SlideShare a Scribd company logo

Типовые сценарии атак на современные клиент-серверные приложения

Download as PPTX, PDF
Advanced monitoring
Advanced monitoring

Типовые сценарии атак на современные клиент-серверные приложения.

Economy & Finance
1 of 21
Типовые сценарии атак на современные клиент- серверные приложения
©2016, ОАО «ИнфоТеКС». Профиль современного клиент- серверного приложения
©2016, ОАО «ИнфоТеКС». Примеры подобных приложений  Microsoft Exchange Server + Microsoft Outlook + Outlook Web Access (OWA)  1С:Предприятие  ДБО ("Банк-клиент" и "веб-клиент") + АБС  Средства защиты информации (СЗИ)  Scada + HMI
©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей клиентской части  выполнение произвольного кода и повышение привилегий на клиентской машине ("толстый" клиент)  получение доступа к конфиденциальным данным пользователя ("толстый" и "тонкий" клиент)  подмена пользовательских команд ("толстый" и "тонкий" клиент)  атака на других пользователей приложения с позиции легитимного пользователя
©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей серверной части  получение доступа к данным пользователей на сервере  получение привилегий администратора приложения на сервере  выведение сервера из строя (DoS)  выполнение произвольного кода и повышение привилегий на сервере
©2016, ОАО «ИнфоТеКС». Повышение привилегий на клиентском компьютере Цель – от имени пользователя выполнить код с правами «NT AUTHORITYSYSTEM» Анализ расположения файлов ПО Места поиска подключаемых библиотек Проверка подлинности подгружаемых библиотек Создание прокси-dll Выполнение произвольного кода с правами «NT AUTHORITY» Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов
©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения
©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения Цель – от имени администратора выполнять команды в контексте приложения Анализ защищенности Front-end Вертикальное повышение привилегий Атака на «Тонкого» клиента администратора Анализ защищенности Back-end Выполнение управляющих команд Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные
©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей
©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей Цель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени Анализ защищенности Front-end Горизонтальное повышение привилегий Атака на «Тонкого» клиента пользователя Атака с позиции администратора приложения Доступ к данным пользователей Результат – возможность выполнять операции от других пользователей, доступ к личным данным Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ
©2016, ОАО «ИнфоТеКС». Возможный сценарий атаки на банковскую систему
©2016, ОАО «ИнфоТеКС». Общий вид
©2016, ОАО «ИнфоТеКС». Служебный канал
©2016, ОАО «ИнфоТеКС». Необрабатываемое служебное поле
©2016, ОАО «ИнфоТеКС». Базовый вектор атаки
©2016, ОАО «ИнфоТеКС». Фиктивная форма аутентификации
©2016, ОАО «ИнфоТеКС». Отправка данных пользователей Банк-клиент Автоматизированная банковская система Администратор «Тонкий» клиент Веб-сервер нарушителя
©2016, ОАО «ИнфоТеКС». А если на хосте живет еще кто-то?
©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
Спасибо! Вопросы? Пушкин Александр Начальник отдела исследований информационных технологий ЗАО «Перспективный мониторинг» ГК ИнфоТеКС

Recommended

Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыCisco Russia
 
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesАдаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesCisco Russia
 

Recommended

Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиVulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атакиAdvanced monitoring
 
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.Advanced monitoring
 
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!Advanced monitoring
 
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковРасследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
 
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…Advanced monitoring
 
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...Advanced monitoring
 
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыРешения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почтыCisco Russia
 
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesАдаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-SeriesCisco Russia
 
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
 
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЭЛВИС-ПЛЮС
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
Web Threats
Web ThreatsWeb Threats
Web ThreatsDmitry Evteev
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогоfinnopolis
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ibfinnopolis
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовSiteSecure
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerExpolink
 
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SУстройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SCisco Russia
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...Expolink
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018malvvv
 
Безопасность
БезопасностьБезопасность
Безопасность1С-Битрикс
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 

More Related Content

What's hot

Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыCisco Russia
 
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЭЛВИС-ПЛЮС
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейCisco Russia
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасностьCisco Russia
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогоfinnopolis
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend microyaevents
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ibfinnopolis
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовSiteSecure
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиCisco Russia
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerExpolink
 
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SУстройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SCisco Russia
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковMedia Gorod
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Expolink
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"Expolink
 
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...Expolink
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018malvvv
 

What's hot (20)

Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защитыЕжегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
 
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решенияЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
 
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещейИнфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
 
Инфографика. Информационная безопасность
Инфографика. Информационная безопасностьИнфографика. Информационная безопасность
Инфографика. Информационная безопасность
 
Web Threats
Web ThreatsWeb Threats
Web Threats
 
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперскогопрезентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперского
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
Risspa app sec trend micro
Risspa app sec trend microRisspa app sec trend micro
Risspa app sec trend micro
 
презентация волков д. - Group ib
презентация волков д. - Group ibпрезентация волков д. - Group ib
презентация волков д. - Group ib
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтовОсновные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
 
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сетиКонтроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
 
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security centerKaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
 
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии SУстройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
 
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
 
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
 
Web vulnerabilities-2018
Web vulnerabilities-2018Web vulnerabilities-2018
Web vulnerabilities-2018
 
Безопасность
БезопасностьБезопасность
Безопасность
 

Similar to Типовые сценарии атак на современные клиент-серверные приложения

Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco Russia
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Diana Frolova
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)MrCoffee94
 
безопасность
безопасностьбезопасность
безопасностьShoplist
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)c3retc3
 
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекстаCisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекстаCisco Russia
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...it-people
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийАльбина Минуллина
 
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...Expolink
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYAnna Rastova
 
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 NetworksЗамена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 NetworksDmitry Tikhovich
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестExpolink
 

Similar to Типовые сценарии атак на современные клиент-серверные приложения (20)

Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакой
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
безопасность
безопасностьбезопасность
безопасность
 
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
 
Безопасность CMS
Безопасность CMSБезопасность CMS
Безопасность CMS
 
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекстаCisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекста
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложенийТренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
 
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
 
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITYMAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
 
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 NetworksЗамена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 Networks
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 

More from Advanced monitoring

Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Advanced monitoring
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Advanced monitoring
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Advanced monitoring
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыAdvanced monitoring
 

More from Advanced monitoring (6)

Жизнь без SDL
Жизнь без SDLЖизнь без SDL
Жизнь без SDL
 
Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.
 
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
 
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
 
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атакПрактический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
 
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результатыАнализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
 

Типовые сценарии атак на современные клиент-серверные приложения

  • 1. Типовые сценарии атак на современные клиент- серверные приложения
  • 2. ©2016, ОАО «ИнфоТеКС». Профиль современного клиент- серверного приложения
  • 3. ©2016, ОАО «ИнфоТеКС». Примеры подобных приложений  Microsoft Exchange Server + Microsoft Outlook + Outlook Web Access (OWA)  1С:Предприятие  ДБО ("Банк-клиент" и "веб-клиент") + АБС  Средства защиты информации (СЗИ)  Scada + HMI
  • 4. ©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
  • 5. ©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей клиентской части  выполнение произвольного кода и повышение привилегий на клиентской машине ("толстый" клиент)  получение доступа к конфиденциальным данным пользователя ("толстый" и "тонкий" клиент)  подмена пользовательских команд ("толстый" и "тонкий" клиент)  атака на других пользователей приложения с позиции легитимного пользователя
  • 6. ©2016, ОАО «ИнфоТеКС». Основные угрозы при эксплуатации уязвимостей серверной части  получение доступа к данным пользователей на сервере  получение привилегий администратора приложения на сервере  выведение сервера из строя (DoS)  выполнение произвольного кода и повышение привилегий на сервере
  • 7. ©2016, ОАО «ИнфоТеКС». Повышение привилегий на клиентском компьютере Цель – от имени пользователя выполнить код с правами «NT AUTHORITYSYSTEM» Анализ расположения файлов ПО Места поиска подключаемых библиотек Проверка подлинности подгружаемых библиотек Создание прокси-dll Выполнение произвольного кода с правами «NT AUTHORITY» Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов
  • 8. ©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения
  • 9. ©2016, ОАО «ИнфоТеКС». Выполнение команд с правами администратора приложения Цель – от имени администратора выполнять команды в контексте приложения Анализ защищенности Front-end Вертикальное повышение привилегий Атака на «Тонкого» клиента администратора Анализ защищенности Back-end Выполнение управляющих команд Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные
  • 10. ©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей
  • 11. ©2016, ОАО «ИнфоТеКС». Получение доступа к данным других пользователей Цель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени Анализ защищенности Front-end Горизонтальное повышение привилегий Атака на «Тонкого» клиента пользователя Атака с позиции администратора приложения Доступ к данным пользователей Результат – возможность выполнять операции от других пользователей, доступ к личным данным Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ
  • 12. ©2016, ОАО «ИнфоТеКС». Возможный сценарий атаки на банковскую систему
  • 17. ©2016, ОАО «ИнфоТеКС». Фиктивная форма аутентификации
  • 18. ©2016, ОАО «ИнфоТеКС». Отправка данных пользователей Банк-клиент Автоматизированная банковская система Администратор «Тонкий» клиент Веб-сервер нарушителя
  • 19. ©2016, ОАО «ИнфоТеКС». А если на хосте живет еще кто-то?
  • 20. ©2016, ОАО «ИнфоТеКС». Объекты атаки в клиент-серверном приложении
  • 21. Спасибо! Вопросы? Пушкин Александр Начальник отдела исследований информационных технологий ЗАО «Перспективный мониторинг» ГК ИнфоТеКС