Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Типовые сценарии атак на современные клиент-серверные приложения

307 views

Published on

Типовые сценарии атак на современные клиент-серверные приложения.

Published in: Economy & Finance
  • Login to see the comments

  • Be the first to like this

Типовые сценарии атак на современные клиент-серверные приложения

  1. 1. Типовые сценарии атак на современные клиент- серверные приложения
  2. 2. ©2016, ОАО «ИнфоТеКС». Профиль современного клиент- серверного приложения
  3. 3. ©2016, ОАО «ИнфоТеКС». Примеры подобных приложений  Microsoft Exchange Server + Microsoft Outlook + Outlook Web Access (OWA)  1С:Предприятие  ДБО ("Банк-клиент" и "веб-клиент") + АБС  Средства защиты информации (СЗИ)  Scada + HMI
  4. 4. ©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
  5. 5. ©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей клиентской части  выполнение произвольного кода и повышение привилегий на клиентской машине ("толстый" клиент)  получение доступа к конфиденциальным данным пользователя ("толстый" и "тонкий" клиент)  подмена пользовательских команд ("толстый" и "тонкий" клиент)  атака на других пользователей приложения с позиции легитимного пользователя
  6. 6. ©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей серверной части  получение доступа к данным пользователей на сервере  получение привилегий администратора приложения на сервере  выведение сервера из строя (DoS)  выполнение произвольного кода и повышение привилегий на сервере
  7. 7. ©2016, ОАО «ИнфоТеКС». Повышение привилегий на клиентском компьютере Цель – от имени пользователя выполнить код с правами «NT AUTHORITYSYSTEM» Анализ расположения файлов ПО Места поиска подключаемых библиотек Проверка подлинности подгружаемых библиотек Создание прокси-dll Выполнение произвольного кода с правами «NT AUTHORITY» Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов
  8. 8. ©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения
  9. 9. ©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения Цель – от имени администратора выполнять команды в контексте приложения Анализ защищенности Front-end Вертикальное повышение привилегий Атака на «Тонкого» клиента администратора Анализ защищенности Back-end Выполнение управляющих команд Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные
  10. 10. ©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей
  11. 11. ©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей Цель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени Анализ защищенности Front-end Горизонтальное повышение привилегий Атака на «Тонкого» клиента пользователя Атака с позиции администратора приложения Доступ к данным пользователей Результат – возможность выполнять операции от других пользователей, доступ к личным данным Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ
  12. 12. ©2016, ОАО «ИнфоТеКС». Возможный сценарий атаки на банковскую систему
  13. 13. ©2016, ОАО «ИнфоТеКС». Общий вид
  14. 14. ©2016, ОАО «ИнфоТеКС». Служебный канал
  15. 15. ©2016, ОАО «ИнфоТеКС». Необрабатываемое служебное поле
  16. 16. ©2016, ОАО «ИнфоТеКС». Базовый вектор атаки
  17. 17. ©2016, ОАО «ИнфоТеКС». Фиктивная форма аутентификации
  18. 18. ©2016, ОАО «ИнфоТеКС». Отправка данных пользователей Банк-клиент Автоматизированная банковская система Администратор «Тонкий» клиент Веб-сервер нарушителя
  19. 19. ©2016, ОАО «ИнфоТеКС». А если на хосте живет еще кто-то?
  20. 20. ©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
  21. 21. Спасибо! Вопросы? Пушкин Александр Начальник отдела исследований информационных технологий ЗАО «Перспективный мониторинг» ГК ИнфоТеКС

×