1. Roman Kümmel
Kde nechal tesař díru…
Penetrační testování webových aplikací Seznam.cz
2. all
105
2 27
Ovládnutí serveru
Nedostatečná autorizace účtu
Útoky proti cizímu Získání(nutné uživatelské přihlášení
Útoky protidatabází
obsahu cizímu účtu (nutné uživatelské přihlášení str
a návštěva útočné
Proč jsou penetrační testy důležité?
Pomáhají předcházet útokům, které by mohly mít negativní dopad na uživatele
Provádí se před nasazením aplikace do ostrého provozu a následně i na ostré verzi
Testování zamezilo zveřejnění bezmála 200 potencionálně zranitelných míst různé závažnosti
3. all
105
2 27
Ovládnutí serveru
Nedostatečná autorizace účtu
Útoky proti cizímu Získání obsahu cizímu účtu
Útoky proti databází přihlášení
(nutné uživatelské (nutné uživatelské přihlášení str
a návštěva útočné
Typy útoků:
Nezabezpečený upload
Local (Remote) File Inclusion
Špatná konfigurace sdílených serverů
Příklady nálezů:
Neošetřený upload obrázků na rozhraní outsourcované služby
Špatná konfigurace webhostingových serverů SWEB.cz
4. all
105
2 27
Ovládnutí serveru
Nedostatečná autorizace účtu
Útoky proti cizímu Získání obsahu cizímu účtu
Útoky proti databází přihlášení
(nutné uživatelské (nutné uživatelské přihlášení str
a návštěva útočné
Typy útoků:
SQL injection
Forced browsing postupnou změnou ID v GET/POST proměnné
Nedostatečná autorizace
Ukázka útoku:
Mazání videíí a uživatelských komentářů na službě stream.cz
http://www.stream.cz/?m=video&a=delete_form&video_id=679055&page=0
5. all
105
2 27
Ovládnutí serveru
Nedostatečná autorizace účtu
Útoky proti cizímu Získání obsahu cizímu účtu
Útoky proti databází přihlášení
(nutné uživatelské (nutné uživatelské přihlášení str
a návštěva útočné
Typy útoků:
Cross-Site Request Forgery (CSRF)
Cross-Site Scripting (XSS)
6. all
105
2 27
Ovládnutí serveru
Nedostatečná autorizace účtu
Útoky proti cizímu Získání obsahu cizímu účtu
Útoky proti databází přihlášení
(nutné uživatelské (nutné uživatelské přihlášení str
a návštěva útočné
Clickjacking
Typ zranitelnosti, který byl poprvé publikován v roce 2008
Původně náchylné všechny služby na Seznam.cz
Příklad:
Vložení e-mailové adresy pro přesměrování příchozích zpráv (demo)
7. Podíl zachycených zranitelností v konkrétních službách
Novinky Tip TV
2% 2% 2% Zboží
2% Spolužáci
3%
Sfinance
3%
Sklik
5%
Sport
Mobilní služby 5%
45%
Firmy
6%
Lidé
7%
Stream
Email 7%
11%
8. Vznik nových služeb na Seznam.cz
Nově vznikající služby jsou mnohem lépe zabezpečeny než
tomu bylo v minulosti
Provádí se penetrační testy na beta-verzích před uvedením
služby do ostrého provozu
I ty se můžeš zapojit!