Submit Search
Upload
Типовые сценарии атак на современные клиент-серверные приложения
•
Download as PPTX, PDF
•
0 likes
•
441 views
Advanced monitoring
Follow
Типовые сценарии атак на современные клиент-серверные приложения.
Read less
Read more
Economy & Finance
Report
Share
Report
Share
1 of 21
Download now
Recommended
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Advanced monitoring
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Advanced monitoring
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Advanced monitoring
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источников
Advanced monitoring
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…
Advanced monitoring
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Advanced monitoring
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-Series
Cisco Russia
Recommended
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Vulnerability Prevention. Управляем уязвимостями – предупреждаем атаки
Advanced monitoring
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Кто и как атаковал российские организации в 2016-ом. Статистика и тенденции.
Advanced monitoring
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Игнорируем уязвимости сегодня? Расплачиваемся завтра!
Advanced monitoring
Расследование инцидентов ИБ с помощью открытых интернет-источников
Расследование инцидентов ИБ с помощью открытых интернет-источников
Advanced monitoring
Threat Intelligence вам поможет, если его правильно приготовить…
Threat Intelligence вам поможет, если его правильно приготовить…
Advanced monitoring
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Анализ защиты мобильных приложений Facebook, Instagram, LinkedIn, Вконтакте и...
Advanced monitoring
Решения Cisco для защиты электронной почты
Решения Cisco для защиты электронной почты
Cisco Russia
Адаптивное сканирование для Cisco IronPort S-Series
Адаптивное сканирование для Cisco IronPort S-Series
Cisco Russia
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
Cisco Russia
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
ЭЛВИС-ПЛЮС
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
Cisco Russia
Инфографика. Информационная безопасность
Инфографика. Информационная безопасность
Cisco Russia
Web Threats
Web Threats
Dmitry Evteev
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперского
finnopolis
Risspa app sec trend micro
Risspa app sec trend micro
yaevents
Risspa app sec trend micro
Risspa app sec trend micro
yaevents
презентация волков д. - Group ib
презентация волков д. - Group ib
finnopolis
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
SiteSecure
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
Expolink
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Cisco Russia
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Expolink
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
Expolink
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
Expolink
Web vulnerabilities-2018
Web vulnerabilities-2018
malvvv
Безопасность
Безопасность
1С-Битрикс
Клиент банка под атакой
Клиент банка под атакой
Digital Security
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
More Related Content
What's hot
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
Cisco Russia
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
ЭЛВИС-ПЛЮС
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
Cisco Russia
Инфографика. Информационная безопасность
Инфографика. Информационная безопасность
Cisco Russia
Web Threats
Web Threats
Dmitry Evteev
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперского
finnopolis
Risspa app sec trend micro
Risspa app sec trend micro
yaevents
Risspa app sec trend micro
Risspa app sec trend micro
yaevents
презентация волков д. - Group ib
презентация волков д. - Group ib
finnopolis
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
SiteSecure
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Cisco Russia
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
Expolink
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Cisco Russia
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Expolink
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
Expolink
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
Expolink
Web vulnerabilities-2018
Web vulnerabilities-2018
malvvv
Безопасность
Безопасность
1С-Битрикс
What's hot
(20)
Ежегодный отчет Cisco по ИБ. Состояние защиты
Ежегодный отчет Cisco по ИБ. Состояние защиты
ЗАСТАВА — Презентация решения
ЗАСТАВА — Презентация решения
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Программы-вымогатели: реальное положение вещей
Инфографика. Информационная безопасность
Инфографика. Информационная безопасность
Web Threats
Web Threats
презентация поцелуевская е. - лаборатория касперского
презентация поцелуевская е. - лаборатория касперского
Risspa app sec trend micro
Risspa app sec trend micro
Risspa app sec trend micro
Risspa app sec trend micro
презентация волков д. - Group ib
презентация волков д. - Group ib
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Основные угрозы безопасности веб-сайтов
Основные угрозы безопасности веб-сайтов
Контроль и мониторинг периметра сети
Контроль и мониторинг периметра сети
Kaspersky endpoint security 8 для windows и kaspersky security center
Kaspersky endpoint security 8 для windows и kaspersky security center
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
Устройства обеспечения безопасности web-трафика Cisco IronPort серии S
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
Kaspersky endpoint security 8 для windows и kaspersky security center. лиценз...
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
SearchInform. Александр Барановский. "Как выбрать идеальную DLP-систему?"
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
БАРС Груп. Булат Шамсутдинов. "Практические вопросы обеспечения сетевой безоп...
Web vulnerabilities-2018
Web vulnerabilities-2018
Безопасность
Безопасность
Similar to Типовые сценарии атак на современные клиент-серверные приложения
Клиент банка под атакой
Клиент банка под атакой
Digital Security
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
ebuc
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
Diana Frolova
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
Оценка защищенности Web-приложений
Оценка защищенности Web-приложений
SQALab
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
безопасность
безопасность
Shoplist
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
c3retc3
Безопасность CMS
Безопасность CMS
1С-Битрикс
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco Russia
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Mikhail Vanin
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Digital Security
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Альбина Минуллина
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Expolink
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
Anna Rastova
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 Networks
Dmitry Tikhovich
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
Expolink
Nexthop lab-v4
Nexthop lab-v4
Pete Kuzeev
Similar to Типовые сценарии атак на современные клиент-серверные приложения
(20)
Клиент банка под атакой
Клиент банка под атакой
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Avanpost idm пацифика 2016
Avanpost idm пацифика 2016
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
Оценка защищенности Web-приложений
Оценка защищенности Web-приложений
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
безопасность
безопасность
Эволюция атак на веб приложения (Evolution of web applications attacks)
Эволюция атак на веб приложения (Evolution of web applications attacks)
Безопасность CMS
Безопасность CMS
Cisco ASA CX обеспечивает безопасность с учетом контекста
Cisco ASA CX обеспечивает безопасность с учетом контекста
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
Тренды угроз для БД и веб-приложений
Тренды угроз для БД и веб-приложений
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
Microsoft. Александр Худяков "Windows 10 - защита от современных угроз безопа...
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
MAKING THE BEST FROM HARDWARE AND SOFTWARE FOR TRUE CORPORATE MOBILITY
Замена Microsoft TMG решением от F5 Networks
Замена Microsoft TMG решением от F5 Networks
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
Nexthop lab-v4
Nexthop lab-v4
More from Advanced monitoring
Жизнь без SDL
Жизнь без SDL
Advanced monitoring
Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.
Advanced monitoring
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Advanced monitoring
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Advanced monitoring
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
Advanced monitoring
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
Advanced monitoring
More from Advanced monitoring
(6)
Жизнь без SDL
Жизнь без SDL
Безопасность данных мобильных приложений. Мифы и реальность.
Безопасность данных мобильных приложений. Мифы и реальность.
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Российская криптография: блочные шифры и их режимы шифрования (Russian crypto...
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Юрий Чемёркин (Yury Chemerkin) Owasp russia 2016
Практический опыт мониторинга и анализа компьютерных атак
Практический опыт мониторинга и анализа компьютерных атак
Анализ защищенности ПО и инфраструктур – подходы и результаты
Анализ защищенности ПО и инфраструктур – подходы и результаты
Типовые сценарии атак на современные клиент-серверные приложения
1.
Типовые сценарии атак на
современные клиент- серверные приложения
2.
©2016, ОАО «ИнфоТеКС». Профиль
современного клиент- серверного приложения
3.
©2016, ОАО «ИнфоТеКС». Примеры
подобных приложений Microsoft Exchange Server + Microsoft Outlook + Outlook Web Access (OWA) 1С:Предприятие ДБО ("Банк-клиент" и "веб-клиент") + АБС Средства защиты информации (СЗИ) Scada + HMI
4.
©2016, ОАО «ИнфоТеКС». Объекты
атаки в клиент-серверном приложении
5.
©2016, ОАО «ИнфоТеКС». Основные
угрозы при эксплуатации уязвимостей клиентской части выполнение произвольного кода и повышение привилегий на клиентской машине ("толстый" клиент) получение доступа к конфиденциальным данным пользователя ("толстый" и "тонкий" клиент) подмена пользовательских команд ("толстый" и "тонкий" клиент) атака на других пользователей приложения с позиции легитимного пользователя
6.
©2016, ОАО «ИнфоТеКС». Основные
угрозы при эксплуатации уязвимостей серверной части получение доступа к данным пользователей на сервере получение привилегий администратора приложения на сервере выведение сервера из строя (DoS) выполнение произвольного кода и повышение привилегий на сервере
7.
©2016, ОАО «ИнфоТеКС». Повышение
привилегий на клиентском компьютере Цель – от имени пользователя выполнить код с правами «NT AUTHORITYSYSTEM» Анализ расположения файлов ПО Места поиска подключаемых библиотек Проверка подлинности подгружаемых библиотек Создание прокси-dll Выполнение произвольного кода с правами «NT AUTHORITY» Результат – благодаря установленному приложению «пострадала» безопасность всей ОС пользователя Рекомендации – учитывать архитектурные особенности клиентской ОС, проверять подлинность системных и собственных компонентов
8.
©2016, ОАО «ИнфоТеКС». Выполнение
команд с правами администратора приложения
9.
©2016, ОАО «ИнфоТеКС». Выполнение
команд с правами администратора приложения Цель – от имени администратора выполнять команды в контексте приложения Анализ защищенности Front-end Вертикальное повышение привилегий Атака на «Тонкого» клиента администратора Анализ защищенности Back-end Выполнение управляющих команд Результат – получение полного контроля над приложением, полный или частичный доступ к данным пользователей Рекомендации – анализ защищенности веб-части приложения, повышенные требования безопасности к компьютеру администратора, контролировать все входные данные
10.
©2016, ОАО «ИнфоТеКС». Получение
доступа к данным других пользователей
11.
©2016, ОАО «ИнфоТеКС». Получение
доступа к данным других пользователей Цель – получить доступ к данным других пользователей, а также выполнять команды в контексте приложения от их имени Анализ защищенности Front-end Горизонтальное повышение привилегий Атака на «Тонкого» клиента пользователя Атака с позиции администратора приложения Доступ к данным пользователей Результат – возможность выполнять операции от других пользователей, доступ к личным данным Рекомендации – анализ защищенности веб-части приложения, повышенные осведомленности пользователей, использование СЗИ
12.
©2016, ОАО «ИнфоТеКС». Возможный
сценарий атаки на банковскую систему
13.
©2016, ОАО «ИнфоТеКС». Общий
вид
14.
©2016, ОАО «ИнфоТеКС». Служебный
канал
15.
©2016, ОАО «ИнфоТеКС». Необрабатываемое
служебное поле
16.
©2016, ОАО «ИнфоТеКС». Базовый
вектор атаки
17.
©2016, ОАО «ИнфоТеКС». Фиктивная
форма аутентификации
18.
©2016, ОАО «ИнфоТеКС». Отправка
данных пользователей Банк-клиент Автоматизированная банковская система Администратор «Тонкий» клиент Веб-сервер нарушителя
19.
©2016, ОАО «ИнфоТеКС». А
если на хосте живет еще кто-то?
20.
©2016, ОАО «ИнфоТеКС». Объекты
атаки в клиент-серверном приложении
21.
Спасибо! Вопросы? Пушкин Александр Начальник
отдела исследований информационных технологий ЗАО «Перспективный мониторинг» ГК ИнфоТеКС
Download now