SlideShare a Scribd company logo

Roman kummel

Download as PPSX, PDF
S
seznamVyvojari
1 of 11
Roman Kümmel Kde nechal tesař díru… Penetrační testování webových aplikací Seznam.cz
all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání(nutné uživatelské přihlášení Útoky protidatabází obsahu cizímu účtu (nutné uživatelské přihlášení str a návštěva útočné Proč jsou penetrační testy důležité? Pomáhají předcházet útokům, které by mohly mít negativní dopad na uživatele Provádí se před nasazením aplikace do ostrého provozu a následně i na ostré verzi Testování zamezilo zveřejnění bezmála 200 potencionálně zranitelných míst různé závažnosti
all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: Nezabezpečený upload Local (Remote) File Inclusion Špatná konfigurace sdílených serverů Příklady nálezů: Neošetřený upload obrázků na rozhraní outsourcované služby Špatná konfigurace webhostingových serverů SWEB.cz
all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: SQL injection Forced browsing postupnou změnou ID v GET/POST proměnné Nedostatečná autorizace Ukázka útoku: Mazání videíí a uživatelských komentářů na službě stream.cz http://www.stream.cz/?m=video&a=delete_form&video_id=679055&page=0
all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: Cross-Site Request Forgery (CSRF) Cross-Site Scripting (XSS)
all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Clickjacking Typ zranitelnosti, který byl poprvé publikován v roce 2008 Původně náchylné všechny služby na Seznam.cz Příklad: Vložení e-mailové adresy pro přesměrování příchozích zpráv (demo)
Podíl zachycených zranitelností v konkrétních službách Novinky Tip TV 2% 2% 2% Zboží 2% Spolužáci 3% Sfinance 3% Sklik 5% Sport Mobilní služby 5% 45% Firmy 6% Lidé 7% Stream Email 7% 11%
Vznik nových služeb na Seznam.cz Nově vznikající služby jsou mnohem lépe zabezpečeny než tomu bylo v minulosti Provádí se penetrační testy na beta-verzích před uvedením služby do ostrého provozu I ty se můžeš zapojit!
Děkuji za pozornost
Protispamová ochrana opiš do pole: kontrola@seznam.cz zpět
<HTML> Proveď nějakou akci … <img src=“Proveď stránku Načti akci“> + COOKIES … útočníka </HTML> zpět

Recommended

Nejčastější webové zranitelnosti
Nejčastější webové zranitelnostiNejčastější webové zranitelnosti
Nejčastější webové zranitelnosticCuMiNn
 
Presentacio projecte idiomes
Presentacio projecte idiomesPresentacio projecte idiomes
Presentacio projecte idiomesVíctor González
 
Analytika
AnalytikaAnalytika
AnalytikaseznamVyvojari
 
Odpoledne s vyvojari - mobilni aplikace
Odpoledne s vyvojari - mobilni aplikaceOdpoledne s vyvojari - mobilni aplikace
Odpoledne s vyvojari - mobilni aplikaceseznamVyvojari
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidechseznamVyvojari
 
SEO - optimalizace pro vyhledávače
SEO - optimalizace pro vyhledávačeSEO - optimalizace pro vyhledávače
SEO - optimalizace pro vyhledávačeseznamVyvojari
 
Mapy.cz
Mapy.czMapy.cz
Mapy.czseznamVyvojari
 
Content delivery network a video
Content delivery network a videoContent delivery network a video
Content delivery network a videoseznamVyvojari
 

Recommended

Nejčastější webové zranitelnosti
Nejčastější webové zranitelnostiNejčastější webové zranitelnosti
Nejčastější webové zranitelnosticCuMiNn
 
Presentacio projecte idiomes
Presentacio projecte idiomesPresentacio projecte idiomes
Presentacio projecte idiomesVíctor González
 
Analytika
AnalytikaAnalytika
AnalytikaseznamVyvojari
 
Odpoledne s vyvojari - mobilni aplikace
Odpoledne s vyvojari - mobilni aplikaceOdpoledne s vyvojari - mobilni aplikace
Odpoledne s vyvojari - mobilni aplikaceseznamVyvojari
 
Javascript na steroidech
Javascript na steroidechJavascript na steroidech
Javascript na steroidechseznamVyvojari
 
SEO - optimalizace pro vyhledávače
SEO - optimalizace pro vyhledávačeSEO - optimalizace pro vyhledávače
SEO - optimalizace pro vyhledávačeseznamVyvojari
 
Mapy.cz
Mapy.czMapy.cz
Mapy.czseznamVyvojari
 
Content delivery network a video
Content delivery network a videoContent delivery network a video
Content delivery network a videoseznamVyvojari
 
Seznam.cz email
Seznam.cz email Seznam.cz email
Seznam.cz emailseznamVyvojari
 
Velké obsahové systémy
Velké obsahové systémyVelké obsahové systémy
Velké obsahové systémyseznamVyvojari
 
Hledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničkyHledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničkyseznamVyvojari
 
Nový Email.cz
Nový Email.czNový Email.cz
Nový Email.czseznamVyvojari
 
Sklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledáváníSklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledáváníseznamVyvojari
 
Fulltextový vyhledávač
Fulltextový vyhledávačFulltextový vyhledávač
Fulltextový vyhledávačseznamVyvojari
 
Výzkum ve fulltextu
Výzkum ve fulltextuVýzkum ve fulltextu
Výzkum ve fulltextuseznamVyvojari
 
Seznam na mobilu
Seznam na mobiluSeznam na mobilu
Seznam na mobiluseznamVyvojari
 
SCRUM v Seznam.cz
SCRUM v Seznam.czSCRUM v Seznam.cz
SCRUM v Seznam.czseznamVyvojari
 

More Related Content

More from seznamVyvojari

Velké obsahové systémy
Velké obsahové systémyVelké obsahové systémy
Velké obsahové systémyseznamVyvojari
 
Hledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničkyHledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničkyseznamVyvojari
 
Sklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledáváníSklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledáváníseznamVyvojari
 
Fulltextový vyhledávač
Fulltextový vyhledávačFulltextový vyhledávač
Fulltextový vyhledávačseznamVyvojari
 

More from seznamVyvojari (9)

Seznam.cz email
Seznam.cz email Seznam.cz email
Seznam.cz email
 
Velké obsahové systémy
Velké obsahové systémyVelké obsahové systémy
Velké obsahové systémy
 
Hledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničkyHledání úspor v provozu internetové jedničky
Hledání úspor v provozu internetové jedničky
 
Nový Email.cz
Nový Email.czNový Email.cz
Nový Email.cz
 
Sklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledáváníSklik - Reklama nejen ve vyhledávání
Sklik - Reklama nejen ve vyhledávání
 
Fulltextový vyhledávač
Fulltextový vyhledávačFulltextový vyhledávač
Fulltextový vyhledávač
 
Výzkum ve fulltextu
Výzkum ve fulltextuVýzkum ve fulltextu
Výzkum ve fulltextu
 
Seznam na mobilu
Seznam na mobiluSeznam na mobilu
Seznam na mobilu
 
SCRUM v Seznam.cz
SCRUM v Seznam.czSCRUM v Seznam.cz
SCRUM v Seznam.cz
 

Roman kummel

  • 1. Roman Kümmel Kde nechal tesař díru… Penetrační testování webových aplikací Seznam.cz
  • 2. all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání(nutné uživatelské přihlášení Útoky protidatabází obsahu cizímu účtu (nutné uživatelské přihlášení str a návštěva útočné Proč jsou penetrační testy důležité? Pomáhají předcházet útokům, které by mohly mít negativní dopad na uživatele Provádí se před nasazením aplikace do ostrého provozu a následně i na ostré verzi Testování zamezilo zveřejnění bezmála 200 potencionálně zranitelných míst různé závažnosti
  • 3. all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: Nezabezpečený upload Local (Remote) File Inclusion Špatná konfigurace sdílených serverů Příklady nálezů: Neošetřený upload obrázků na rozhraní outsourcované služby Špatná konfigurace webhostingových serverů SWEB.cz
  • 4. all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: SQL injection Forced browsing postupnou změnou ID v GET/POST proměnné Nedostatečná autorizace Ukázka útoku: Mazání videíí a uživatelských komentářů na službě stream.cz http://www.stream.cz/?m=video&a=delete_form&video_id=679055&page=0
  • 5. all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Typy útoků: Cross-Site Request Forgery (CSRF) Cross-Site Scripting (XSS)
  • 6. all 105 2 27 Ovládnutí serveru Nedostatečná autorizace účtu Útoky proti cizímu Získání obsahu cizímu účtu Útoky proti databází přihlášení (nutné uživatelské (nutné uživatelské přihlášení str a návštěva útočné Clickjacking Typ zranitelnosti, který byl poprvé publikován v roce 2008 Původně náchylné všechny služby na Seznam.cz Příklad: Vložení e-mailové adresy pro přesměrování příchozích zpráv (demo)
  • 7. Podíl zachycených zranitelností v konkrétních službách Novinky Tip TV 2% 2% 2% Zboží 2% Spolužáci 3% Sfinance 3% Sklik 5% Sport Mobilní služby 5% 45% Firmy 6% Lidé 7% Stream Email 7% 11%
  • 8. Vznik nových služeb na Seznam.cz Nově vznikající služby jsou mnohem lépe zabezpečeny než tomu bylo v minulosti Provádí se penetrační testy na beta-verzích před uvedením služby do ostrého provozu I ty se můžeš zapojit!
  • 10. Protispamová ochrana opiš do pole: kontrola@seznam.cz zpět
  • 11. <HTML> Proveď nějakou akci … <img src=“Proveď stránku Načti akci“> + COOKIES … útočníka </HTML> zpět