$30 off During Our Annual Pro Sale. View Details »

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua
July 06, 2012
Programming
1
3.3k

ThinkPHP #2: Безопасность веб приложений

thinkphp_com_ua

July 06, 2012
Tweet

More Decks by thinkphp_com_ua

See All by thinkphp_com_ua
ThinkPHP #7: Оптимизация верстки для High-Density дисплеев
thinkphp_com_ua
0
2.1k
ThinkPHP #7: Адаптация веб-сайта под различные дисплеи
thinkphp_com_ua
0
2.1k
ThinkPHP #7: Bluz - наш код как музыка
thinkphp_com_ua
0
2k
ThinkPHP #6: Usability кода
thinkphp_com_ua
0
1.3k
ThinkPHP #6: Нелёгкий труд интервьюера
thinkphp_com_ua
2
1.3k
ThinkPHP #6: Адаптивный дизайн - время пришло!
thinkphp_com_ua
0
1.4k
ThinkPHP #3: Highload не кусается
thinkphp_com_ua
1
1.9k
ThinkPHP #3: Оптимизация быстродействия Веб-сайта
thinkphp_com_ua
1
1.8k
ThinkPHP #3: Дизайн пользовательских интерфейсов для разработчиков
thinkphp_com_ua
1
1.8k

Other Decks in Programming

See All in Programming
クソアプリを作ってみた💩 / kusojaku
uhooi
0
180
DIGGLEの分析基盤アーキテクチャ
zakky21
0
150
.NET 8世代のBlazorについて
tomokusaba
0
150
Expert Tech Talk!〜ニフティスペシャリスト対談〜 - NIFTY Tech Day 2023
niftycorp
0
120
if 式と switch 式による SwiftUI のプレビューエラー対策
ojun9
1
120
Intro to Stateful Services or How to get 1 million RPS from a single node
antyadev
0
140
BigQuery のデータ品質やデータ活用を高める Dataplex 等の活用
mot_techtalk
4
930
進化したWeb技術でPWAをネイティブアプリに近づける / frontend-conf-2023
yuhei_fujita
6
2.6k
Scala Left Fold Parallelisation - Three Approaches
philipschwarz
PRO
0
270
Visually experience the beauty of mathematics with p5.js
clown0082
0
1.6k
ちょうぜつ本の紹介 (クリーンアーキテクチャとパッケージ原則)
suzukimar
0
270
Microservices: what does good look like? (Nov 2023)
cer
PRO
0
360

Featured

See All Featured
Teambox: Starting and Learning
jrom
125
8.2k
jQuery: Nuts, Bolts and Bling
dougneiner
57
6.9k
Designing the Hi-DPI Web
ddemaree
274
33k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Web development in the modern age
philhawksworth
201
9.9k
Testing 201, or: Great Expectations
jmmastey
26
6.1k
What the flash - Photography Introduction
edds
64
11k
Web Components: a chance to create the future
zenorocha
304
41k
How to train your dragon (web standard)
notwaldorf
71
4.8k
The MySQL Ecosystem @ GitHub 2015
samlambert
241
11k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
64k
How GitHub (no longer) Works
holman
299
140k

Transcript

  1. Безопасность веб приложений
    ThinkPHP #2
    thinkphp.com.ua
    #thinkphp

    View Slide

  2. Дмитрий Рудой
    компания Unitecsys
    ведущий разработчик
    платежи банковскими картам через
    интернет и в сетях самообслуживания
    по
    #thinkphp

    View Slide

  3. Что такое безопасность?
    #thinkphp

    View Slide

  4. Информационная безопасность
    Классически, безопасность информации складывается из
    трех составляющих:
    • Конфиденциальности,
    • Целостности,
    • Доступности.
    #thinkphp

    View Slide

  5. В чем угроза?
    #thinkphp

    View Slide

  6. Категории атак
    #thinkphp

    View Slide

  7. • Злоупотребление функциональностью
    • Атаки на структуры данных
    • Встраиваемый вредоносный код
    • Использование аутентификации
    • Инъекции
    • Атака отслеживания путей
    • Атаки с использованием вероятностных методов Манипуляции
    с протоколом
    • Истощение ресурсов
    • Манипуляции с ресурсами
    • Sniffing
    #thinkphp

    View Slide

  8. Злоупотребление функциональностью
    • Блокировка аккаунта (многократный логин)
    • 2+ на один запрос
    • Мобильный код
    • Отслеживание путей
    #thinkphp

    View Slide

  9. Атаки на структуры данных
    • Переполнение буфера
    • Переполнение буфера, используя
    переменные окружения
    • Переполнение бинарных
    ресурсных файлов
    #thinkphp

    View Slide

  10. Встраиваемый вредоносный код
    • Cross-Site Request Forgery (CSRF)
    • Трояны
    #thinkphp

    View Slide

  11. Использование аутентификации
    • Блокировка аккаунта (многократный логин)
    • Cross-Site Request Forgery (CSRF)
    • Фиксация сессии
    • Предсказание сессии
    #thinkphp

    View Slide

  12. Инъекции
    • Инъекция аргументов
    • SQL-инъекции
    • XPath-инъекции (XML)
    • Инъекции кода (php, js)
    • Инъекции комманд ОС
    • Eval Injection
    • Инъекции форматирования строк
    • LDAP –инъекции
    • Отказ регулярных выражений
    • Инъекции ресурсов
    • SSI -инъекции
    #thinkphp

    View Slide

  13. Атаки с использованием вероятностных методов
    • Brute force attack
    • Криптоанализ
    #thinkphp

    View Slide

  14. Манипуляции с ресурсами
    • Инъекция комментариев (MS Access: %00 )
    • Инъекция специальных символов (IP "+++ATH0" )
    • Двойное кодирование (“../” - "%252E%252E%252F" )
    • Принудительный просмотр (login в url)
    • Отслеживание путей (?file=secret.doc%00.pdf )
    • Отслеживание относительных путей ("../" )
    • Манипуляция с настройками
    (conn.setCatalog(request.getParameter(“catalog”)); )
    • Шпионское ПО
    • Использование Unicode (“../” - %C0AE%C0AE%C0AF )
    #thinkphp

    View Slide

  15. Как с этим жить? :)
    #thinkphp

    View Slide

  16. Как обеспечить безопасность?
    #thinkphp

    View Slide

  17. Принципы
    • Безопасность на всех уровнях
    • Позитивная модель безопасности
    • Сбой надежности (получение доступа в результате сбоя)
    • Запуск с минимальными привилегиями
    • Избегать безопасности на основе неизвестности
    • Безопасность должна быть простой
    • Обнаружение вторжений (логгирование)
    • Не доверять инфраструктуре
    • Не доверять сервисам
    • Безопасность по умолчанию
    #thinkphp

    View Slide

  18. Безопасность по умолчанию
    #thinkphp

    View Slide

  19. Ссылки
    WASC - http://www.webappsec.org
    CERT - http://www.cert.org
    CGISecurity – http://www.cgisecurity.net
    CVE MITRE - http://cve.mitre.org
    OWASP – http://www.owasp.org
    SQL Security - http://www.sqlsecurity.com
    Web Application Security Podcasts -
    http://www.mightyseek.com/category/podcasts/
    Defacement
    #thinkphp

    View Slide

  20. Спасибо за внимание!
    E-mail: [email protected]
    Skype: dmytrorudiy
    #thinkphp

    View Slide