Безопасность Веб-приложений

Дмитрий Евтеев

Эксперт по информационной безопасности

Угрозы Web-приложений

Нарушение конфиденциальности• Кража конфиденциальной информации, в том числе данных

клиентов/партнеров

Нарушение целостности• Подмена заглавной страницы (deface)• Распространение вредоносного программного обеспечения и

запрещенного контента

• $500,000 украдено у грузоперевозчиков путем подмены данных на сайте (http://www.securitylab.ru/news/361590.php)

Нарушение доступности• Удаление содержимого• DoS (Denial of Service) и DDoS (Distributed Denial of Service) атаки• Внешние факторы и воздействия

Опасный мир Web-приложений

Хакеры сфокусировали свое внимание на Web-сервисах

• 75% всех атак направлено на уровень Web-приложений (Gartner)

• 60% всех зафиксированных атак в настоящее время нацелено на эксплуатацию уязвимостей в Web-приложениях (SANS)

Большинство Web-приложений уязвимы

• 90% сайтов являются уязвимыми (Watchfire)

• 78% уязвимых Web-приложений могут быть легко атакованы (Symantec)

• 80% организаций к 2010 году столкнутся с хотя бы одним инцидентом, связанным с безопасностью web-приложений (Gartner)

Согласно последним данным аналитиков IBM 75% атак приходиться на Web-приложения, в то время как на обеспечение их безопасности тратиться только 10% от общих затрат.

Опасный мир Web-приложений

По данным компании Positive Technologies за 2008 год

• 83% сайтов содержат критические уязвимости

• 78% сайтов содержат уязвимости средней степени риска

• вероятность автоматизированного заражения страниц уязвимого Web-приложения вредоносным кодом составляет приблизительно 15-20%

http://ptsecurity.ru/analytics.asp

Данные основываются на проведении 16121 автоматических сканирований, детальном анализе 59 Web-приложений, в том числе с проведением анализа исходного кода более 10-ти из них.

Опасный мир web-приложений: статистика за 2008 г.

Уязвимость типа «Внедрение операторов SQL»

Web-сервер СУБДhttp://web/?id=6329&print=Y

….SELECT * from news where id = 6329….

Уязвимость типа «Внедрение операторов SQL»

Web-сервер СУБДhttp://web/?id=6329+union+select+id,pwd,0+from...

….SELECT * from news where id = 6329 union select id,pwd,0 from…….

Массовые заражения Web-приложений

«Лаборатория Касперского» предупреждает о массовом взломе - на 10,000 серверов были размещены опасные ссылки

ScanSafe сообщают об обнаружении в сети Интернет более 64,000 web-сайтов, зараженных одним и тем же интернет-червём

Распределение критических уязвимостей по инфицированным сайтам

Опасный мир web-приложений: статистика за 2008 г.

Уязвимость типа «Межсайтовое выполнение сценариев»

Web-серверhttp://web/?search=secureweb

…print "<b>secureweb</b>";…

Уязвимость типа «Межсайтовое выполнение сценариев»

Web-сервер

1. fuzzing, поиск уязвимости

2. Передача «заряженной» ссылки:http://web/?search=secureweb"><script>...</script>

3. Переход по ссылке

4. Выполнение исполняемогокода в браузере пользователя

5. Например, передача Web-сессии (cookies)

6. Работа с Web-приложением от имени атакованного пользователя

Опасный мир web-приложений: статистика за 2008 г.

http://web/adm/

Уязвимость типа «Утечка информации»

Web-сервер

http://web/test/

http://web/sql/

http://web/admins.dat

http://web/data.txt

http://web/php.php

http://web/pwd.txt

http://web/info.txt

http://web/usr.txt

http://web/db/

http://web/readme.txt

http://web/phpinfo.php

Опасный мир web-приложений: статистика за 2008 г.

Уязвимость типа «Недостаточная аутентификация»

Web-серверhttp://web/secure/

Уязвимость типа «Недостаточная аутентификация»

Web-серверhttp://web/secure/members.php

Уязвимости Web-приложений

Статистика уязвимостей Web-приложений Positive Technologies за 2008 год (Whitebox Sites %) - http://www.ptsecurity.ru/analytics.asp

Статистика используемых паролей в России

Более 40% паролей можно взломать из-за простоты

Статистика по паролям низкой стойкости у администраторов:

Данные основываются на анализе более чем 185 тысяч паролей пользователей (http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf).

Опасный мир web-приложений: статистика за 2008 г.

Уязвимость типа «Обратный путь в директориях»

Web-серверhttp://web/?file=positive.jpg

….$handle = fopen("positive.jpg","r"); $contents = fread($handle, filesize("positive.jpg")); ….

Уязвимость типа «Обратный путь в директориях»

Web-серверhttp://web/?file=../../../../../../etc/passwd

….$handle = fopen("../../../../../../etc/passwd","r"); $contents = fread($handle, filesize("../../../../../../etc/passwd")); ….

Уязвимости web-приложений

Уязвимость типа «Подделка HTTP-запросов» (Cross-Site Request Forgery, CSRF, XSRF)

• Практически не входит в статистику уязвимостей Positive Technologies и WASC по автоматизированным сканированиям (сложности при автоматизированном обнаружении)

• Ошибка в том или ином виде, в основном, встречается во всех анализированных web-приложениях

• Степень опасности уязвимости CSRF напрямую зависит от функций и задач, решаемых приложением

Cross-Site Request Forgery – вид атаки, использующий функцию браузера по автоматической отправке идентификатора сессии с каждым GET/POST-запросом к web-приложению

Уязвимость типа «Подделка HTTP-запросов»

Интернет-форум

1. Публикация сообщения:<img src=http://ibanking/action?account=12345&amount=500&for=54321>

Интернет-банк(ibanking)

2. Пользователь посещает форум

3. Браузер загружает картинку по адресу:http://ibanking/action?...

4. Если сессия пользователя существует, то…

Уязвимости в «живой природе»

SQL Injection можно встретить даже на широко известных и крупных Интернет-ресурсах

SQL Injection в «живой природе»

XSS – «головная боль» для всех web-проектов

Cross-Site Scripting в «живой природе»

К чему приводит беззаботное отношение к безопасности web-приложений?

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

WEB-СЕРВЕР

Мы немного посканировали…

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

MP SERVER

Рабочее место

аудитора

WEB-СЕРВЕР

АНАЛИЗ ЗАЩИЩЕННОСТИ

ПРОВЕДЕНИЕ ПРОВЕРОК

ПРОВЕДЕНИЕ ПРОВЕРОК

Инструментальное обследование сети

Сканирование портов и сервисов

Исследование защищенности web-приложения методом «черного ящика»

…обнаружили уязвимость в web-приложении…

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

MP SERVER

Рабочее место

аудитора

WEB-СЕРВЕР

ПОДОБРАН ПАРОЛЬ

ПРОВЕДЕНИЕ ПРОВЕРОК

ПРОВЕДЕНИЕ ПРОВЕРОК

Сканирование сети

Успешно подобран пароль!

• Эксплуатация SQL Injection

• Выполнение команд на сервере

• Повышение привилегий• Атака на внутренние

ресурсы

…захватили управление всей сетью.

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

MP SERVER

Рабочее место

аудитора

WEB-СЕРВЕР

ПОДОБРАН ПАРОЛЬ

ПРОВЕДЕНИЕ ПРОВЕРОК

ПРОВЕДЕНИЕ ПРОВЕРОК

Внутренний пентест/аудит по результатам пентеста

Внутренний пентест/аудит по результатам пентеста

Сканирование сети

Успешно подобран пароль!• Эксплуатация SQL

Injection• Выполнение команд на

сервере• Повышение привилегий• Атака на внутренние

ресурсы

Внутренний пентест• Установка сканера

MaxPatrol• Поиск уязвимостей• Эксплуатация уязвимостей

Перемещение в ИС ЦО• Проведение атаки на

ресурсы ЦО

Получение максимальных привилегий во всей сети!

Концепция безопасного Web-приложения

Уязвимость не является свойством Web-приложения!

Безопасность должна быть разумной

Безопасность должна быть комплексной

Безопасность – это непрерывный процесс

Концепция безопасного Web-приложения

Из чего складывается защищенность Web-ресурса?

Процесс разработки Web-приложения Жизненный цикл разработки программного обеспечения (SDLC) Требования к информационной безопасности (архитектура приложения)

Состояние промышленной среды Поддержка актуального состояния ОС/ПО и сопутствующих компонентов Безопасные конфигурации (CIS, etc) Обеспечение доступности

Анализ защищенности Проверка выполнения требований к информационной безопасности Тестирование функций (fuzzing) и поиск уязвимостей (WASC, OWASP)

Непрерывный мониторинг IDS/IPS Web Application Firewall (WAF)

Positive Technologies

7 лет работы в области информационной безопасности

Предоставление консалтинговых и сервисных услуг в области ИБ• тестирование на проникновение;• проведение оценки уровня защищенности.

Основные направления деятельности• разработка одного из лучших сетевых сканеров XSpider;• разработка уникального продукта - системы контроля

защищенности и соответствия стандартам MaxPatrol;• развитие специализированного портала Securitylab.

Positive Technologies – лаборатория безопасности• постоянный мониторинг новых уязвимостей;• внутренняя система описания уязвимостей;• одна из наиболее профессиональных команд в Европе;• MaxPatrol – ежедневные обновления.

Спасибо за внимание!

devteev@ptsecurity.ruhttp://devteev.blogspot.com/