Web/безопасностьСовмещая несовместимое

Содержание

Слайд 2

Зачем заниматься безопасностью приложений?

Compliance/Регулятивные требования
Собственно для безопасности
PR, MC & Business
Just for FUN

Зачем заниматься безопасностью приложений? Compliance/Регулятивные требования Собственно для безопасности PR, MC & Business Just for FUN

Слайд 3

Регулятивные требования

PCI DSS
Требования к наличию защитных механизмов (аутентификация, разграничение доступа, шифрование)
Требования к

Регулятивные требования PCI DSS Требования к наличию защитных механизмов (аутентификация, разграничение доступа,
качеству реализации (отсутствие уязвимостей OWASP top 10)
Отдельный стандарт для платежных систем PA DSS
152 ФЗ «О персональных данных»
В рамках 58 приказа ФСТЭК выдвигаются требования к защитным механизмам
Сертификация и аттестация
В Риме веди себя как римлянин

Слайд 4

Нужно ли мне это?...

Собственно безопасность

Нужно ли мне это?... Собственно безопасность

Слайд 5

Регулятивные требования

Объем бедствия по PCI DSS

Степень соответствия PCI DSS (WASC)

Степень соответствия PCI

Регулятивные требования Объем бедствия по PCI DSS Степень соответствия PCI DSS (WASC)
DSS ASV (WASC)

Слайд 6

Пример: атака на Heartland Payment Systems

«США против
Гонзалеса и сообщников»

Пример: атака на Heartland Payment Systems «США против Гонзалеса и сообщников»

Слайд 7

Сценарий

Изучив компании из «Top 500», обнаружили уязвимости класса SQL Injection на Web-серверах

Сценарий Изучив компании из «Top 500», обнаружили уязвимости класса SQL Injection на
трех из них
С помощью SQL-инъекции получили контроль над несколькими серверами, установили руткиты
Получили доступ к ключевым компонентам инфраструктуры, установили сниферы
Арендовали Web-серверы в 6 регионах, на которые автоматически закачивались данные магнитной полосы и PIN-блоки

Схема действовала с октября 2006 г. по май 2008 г.
Было скомпрометировано 130,000,000 карт.
Несмотря на предупреждения о возможном фроде, HPS признала утечку и оповестила клиентов только в январе 2009
Это самая масштабная утечка, по ее итогам HPS была «задним числом» признана не соответствующей PCI DSS

Слайд 8

The Web Hacking Incident Database (WASC)

Сбор и обработка публичных последствий инцидентов (СМИ,

The Web Hacking Incident Database (WASC) Сбор и обработка публичных последствий инцидентов
расследование уголовных дел, интернет)
Классификация, учет последствий

Слайд 9

Найдут?

«Статистика уязвимостей Web-приложений за 2008 год» - WASC

Найдут? «Статистика уязвимостей Web-приложений за 2008 год» - WASC

Слайд 10

PR, MC & Business

Демонстрация серьезного отношения к заказчику
Удержание рынка
Выход на новые

PR, MC & Business Демонстрация серьезного отношения к заказчику Удержание рынка Выход на новые рынки
рынки

Слайд 11

PR, MC & Business

NetCraft Market Share for Top Servers

Авторитетная аналитическая компания

PR, MC & Business NetCraft Market Share for Top Servers Авторитетная аналитическая
призывает всех незамедлительно отказаться от использования веб-серверов Microsoft. В них столько ошибок, что это представляет реальную опасность
25 сентября 2001 года, 15:45 | Текст: К. Т.

Слайд 12

Just for FUN

Как правило, занимаются «чужой» безопасностью
Исследователи, Аудиторы/пентестеры
Злобные хакеры
dud3 1'm g0nn@ +0

Just for FUN Как правило, занимаются «чужой» безопасностью Исследователи, Аудиторы/пентестеры Злобные хакеры
HaX0r J00r s1+E! MuH@Ha!

Слайд 13

Безопасное Web-приложение

Что такое
«Безопасное Web-приложение?»

Безопасное Web-приложение Что такое «Безопасное Web-приложение?»

Слайд 14

Безопасное Web-приложение

Все очень, очень и очень тривиально…

Безопасное Web-приложение Все очень, очень и очень тривиально…

Слайд 15

Проектирование

Две задачи
Выбор необходимых функций безопасности (защитных механизмов)
Проектирование функций безопасности с учетом требований

Проектирование Две задачи Выбор необходимых функций безопасности (защитных механизмов) Проектирование функций безопасности
безопасности
Классический пример – ГОСТ/ISO 15408 (Common Criteria)
Часть 2. Функциональные требования безопасности
Часть 3. Требования доверия к безопасности

Слайд 16

Проектирование - Учет требований безопасности

Наличие функций безопасности
Нужна ли мне аутентификация…
… протоколирование…
…разграничение

Проектирование - Учет требований безопасности Наличие функций безопасности Нужна ли мне аутентификация…
доступа…
Отсутствие функций безопасности может являться уязвимостью
OWASP top 10 (2004)
A8 2004 Insecure Storage
WASC WSTCv2
Insufficient Authentication
Insufficient Authorization

Слайд 17

Проектирование - Источники

Отраслевые/государственные и международные стандарты
PCI DSS
PA DSS
152 «ФЗ» - «Четырехкнижие»


Таксономии и

Проектирование - Источники Отраслевые/государственные и международные стандарты PCI DSS PA DSS 152
классификации
OWASP top 10 (2004)
WASC WSTCv2
CWE

Слайд 18

OWASP TOP 10

A1 - Cross Site Scripting (XSS)
A2 - Injection Flaws

OWASP TOP 10 A1 - Cross Site Scripting (XSS) A2 - Injection

A3 - Malicious File Execution
A4 - Insecure Direct Object Reference
A5 - Cross Site Request Forgery (CSRF)
A6 - Information Leakage and Improper Error Handling
A7 - Broken Authentication and Session Management
A8 - Insecure Cryptographic Storage
A9 - Insecure Communications
A10 - Failure to Restrict URL Access
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Больше ориентирован на разработку

Слайд 19

Web Application Security Consortium WSTCv2
http://projects.webappsec.org/Threat-Classification-Working
http://www.webappsec.org/projects/threat/

Две группы: уязвимости и атаки.
Наиболее полное описание проблем

Web Application Security Consortium WSTCv2 http://projects.webappsec.org/Threat-Classification-Working http://www.webappsec.org/projects/threat/ Две группы: уязвимости и атаки.
безопасности Web-приложений

Слайд 20

Common Weakness Enumeration
http://cwe.mitre.org/

Исчерпывающее описание уязвимостей и атак
Различные взгляды на данные – для

Common Weakness Enumeration http://cwe.mitre.org/ Исчерпывающее описание уязвимостей и атак Различные взгляды на
разработчиков, исследователей…

Слайд 21

Разработка – реализация требований безопасности

Наиболее распространенный источник проблем
Недостаточная информированность разработчиков
Ошибки
Недостаточное тестирование
Как

Разработка – реализация требований безопасности Наиболее распространенный источник проблем Недостаточная информированность разработчиков
решать?
Внедрение Secure SDLC
Тестирование, тестирование, тестирование

Слайд 22

Разработка – Тестирование
OWASP Application Security Verification Standards (ASVS)
http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project

На практике:
Сканеры
Черный ящик/Pentest
Белый ящик

Разработка – Тестирование OWASP Application Security Verification Standards (ASVS) http://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project На практике:

Слайд 23

Тестирование – что лучше?

«Статистика уязвимостей Web-приложений за 2008 год» - WASC

Тестирование – что лучше? «Статистика уязвимостей Web-приложений за 2008 год» - WASC

Слайд 24

Поддержка – поддержание защищенного состояния

Whitehat Security

Фактическое устранение уязвимостей

Поддержка – поддержание защищенного состояния Whitehat Security Фактическое устранение уязвимостей

Слайд 25

Поддержка – уязвимости после «запуска» приложения

Заказчик
А что это такое?
Договор на поддержку включает

Поддержка – уязвимости после «запуска» приложения Заказчик А что это такое? Договор
устранение уязвимостей?
Кто вообще писал этот код?
Разработчик
Это не уязвимость!
Что это за письмо?
Шантаж?!

Слайд 26

Поддержка – вовлеченные стороны

Разработчик
Получает информацию об уязвимостях
Планирует устранение
Устраняет
Информирует заказчиков
Исследователь
Обнаруживает уязвимости
Информирует разработчика/заказчика
Помогает устранять
Заказчик

Поддержка – вовлеченные стороны Разработчик Получает информацию об уязвимостях Планирует устранение Устраняет
(Владелец/Пользователь)
Ждет милости ☺?
Включаем Web Application Firewall

Слайд 27

Устранение уязвимостей – попытки формализации

“Full Disclosure Policy (RFPolicy) v2.0”, Rain Forest Puppy
http://www.wiretrip.net/rfp/policy.html

Устранение уязвимостей – попытки формализации “Full Disclosure Policy (RFPolicy) v2.0”, Rain Forest

Steven M. Christey and Chris Wysopal. “Responsible Vulnerability Disclosure Process (Internet-Draft RFC).”
http://www.vulnwatch.org/papers/draft-christey-wysopal-vuln-disclosure-00.txt
Organization for Internet Safety. “Guidelines for Security Vulnerability Reporting and Response, Version 2.0.”
http://www.oisafety.com/guidelines/secresp.html
NIAC, “Vulnerability Disclosure Framework”,
http://www.dhs.gov/interweb/assetlibrary/vdwgreport.pdf

Слайд 28

Пару слов о WAF

http://server/?id=6329&print=Y

Нас атакуют! Ахтунг!!!

WAF

Webserver

http://server/?id=5351

http://server/?id=8234

http://server/?id=“>

Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть