Top Web hacking tehniques in 2012

Top Web hacking tehniques in 2012 Ivan MarkovićIT Security Consultant

Reference

Teme • Opšta bezbednost na Internetu • OWASP Top Ten • Istraživanja u Srbiji

Opšta bezbednost na Internetu • Socijalne mreže • Web aplikacije

Socijalne mreže • Socijalnemreže - fenomendanašnjice

Socijalne mreže • Socijalnemreže - fenomendanašnjice • Olakšana komunikacija • Olakšana organizacija • Privatnost u drugom planu • Ugrožena bezbednost korporacija ali i pojedinca

Socijalne mreže • Nebezbednostsocijalnihmreža • Nenamerno odavanje privatnih ili korporativnih informacija • Industriska špijunaža • Virusi, Malware • Preuzimanje kontrole nad računarom i mrežom • Phishing

Kakoodajemoinformacije o sebiilidrugima? • Nenamerno odavanje privatnih ili korporativnih informacija • AT&T Leaks Motorola Olympus Launch Date on Facebook; Coming in December/January?

Kakoodajemoinformacije o sebiilidrugima? • Nenamerno odavanje privatnih ili korporativnih informacija

Kakoodajemoinformacije o sebiilidrugima? • Industriska špijunaža

Kakoodajemoinformacije o sebiilidrugima? • Virusi, Malware

Kakoodajemoinformacije o sebiilidrugima? • Preuzimanje kontrole nad računarom i mrežom

Kakoodajemoinformacije o sebiilidrugima? • Phishing

Nacinizloupotrebeiposledice http://pleaserobme.com/

Nacinizloupotrebeiposledice • Poslovni rizik • Penali usled nemogućnosti operativnog poslovanja • Reputacioni rizik • Lažno predstavljanje, širenje dezinformacija, imena podataka • Regulatorni rizik • Posledice usled pružanja neispravnih usluga prema trećim licima

Zaključak • Socijalne (društvene) mreže otvaraju mnoga vrata potencijalnim napadačima • Potrebno je osigurati najslabiju kariku u lancu bezbednosti – čoveka • Rešenje leži u redovnoj edukaciji i primeni propisanih standarda!

Web aplikacije Šta znamo o web tehnologijama? Kojetemeobrađujemo?

Šta su tačno web aplikacije? Internet, Intranet, Web Browser, HTML, JavaScript

Uvod u web tehnologije HTML, JAVASCRIPT, Klijent strana PHP, ASP, Server strana Web čitači kao alat za analizu web aplikacija i web bezbednosnih propusta

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača?

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti?

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting http://secunia.com/advisories/graph/?type=imp&period=all&prod=33191

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting Desktop Malware, Web server Malware, 0day, Virusi, Botnets

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Desktop Malware, Web server Malware, 0day, Virusi, Botnets Top 10 threats on the Internet in November 2011 Source: VirusList

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Besplatne instalacije, Shared hosting Desktop Malware, Web server Malware, 0day, Virusi, Botnets Phishing

Jednostavna implementacija, ali šta je sa održavanjem i proverom bezbednosti? Phishing

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija Zaobilazesvakodnevneoblikezaštite: FW, SSL

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Zaobilazesvakodnevneoblikezaštite: FW, SSL

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Dostupnost 24h Masovnaijednostavnaupotrebakaoiimplementacija Zaobilazesvakodnevneoblikezaštite: FW, SSL Povezuje interne i eksterne mreže

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Povezuje interne i eksterne mreže

Zašto su web aplikacije veliki sigurnosni rizik i prva meta napadača? Povezuje interne i eksterne mreže Propusti u desktop aplikacijama Cross site request forgery DNS Pinning, CSS History hack, Javascript port scanning, ...

Web aplikacije su veliki sigurnosni rizik, banke u Srbiji kao primer • Neinvazivne tehnike, 10 minuta, sve banke u Srbiji

OWASP Top 10 – 2010The Top 10 Most Critical Web Application Security Risks

Mapping from 2007 to 2010 Top 10 = = + = + - -

OWASP Top 10 Risk Rating Methodology 1 2 3 Injection Example 1.66 weighted risk rating

OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/Top_10

A1 – Injection

Account: SKU: Account: SKU: SQL Injection – Illustrated "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 DB Table   HTTP response   SQL query HTTP request Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Databases Legacy Systems Web Services Directories Billing Human Resrcs Application Layer APPLICATIONATTACK Custom Code 1. Application presents a form to the attacker 2. Attacker sends an attack in the form data App Server 3. Application forwards attack to the database in a SQL query Web Server Hardened OS 4. Database runs query containing attack and sends encrypted results back to application Network Layer Firewall Firewall 5. Application decrypts data as normal and sends results to the user

A1 – Avoiding Injection Flaws • Recommendations • Avoid the interpreter entirely, or • Use an interface that supports bind variables (e.g., prepared statements, or stored procedures), • Bind variables allow the interpreter to distinguish between code and data • Encode all user input before passing it to the interpreter • Always perform ‘white list’ input validation on all user supplied input • Always minimize database privileges to reduce the impact of a flaw • References • For more details, read the new http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

SQL Injection – Statistichttp://www.google.com/fusiontables/

A2 – Cross-Site Scripting (XSS)

Finance Transactions Accounts Administration Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Cross-Site Scripting Illustrated 1 Attacker sets the trap – update my profile Application with stored XSS vulnerability Attacker enters a malicious script into a web page that stores the data on the server Victim views page – sees attacker profile 2 Script runs inside victim’s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim’s session cookie

A2 – Avoiding XSS Flaws • Recommendations • Eliminate Flaw • Don’t include user supplied input in the output page • Defend Against the Flaw • Primary Recommendation: Output encode all user supplied input (Use OWASP’s ESAPI to output encode: http://www.owasp.org/index.php/ESAPI • Perform ‘white list’ input validation on all user input to be included in page • For large chunks of user supplied HTML, use OWASP’s AntiSamy to sanitize this HTML to make it safe See: http://www.owasp.org/index.php/AntiSamy • References • For how to output encode properly, read the new http://www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet (AntiSamy)

Safe Escaping Schemes in Various HTML Execution Contexts #1: ( &, <, >, " )  &entity; ( ', / )  &#xHH; ESAPI: encodeForHTML() HTML Element Content • (e.g., <div> some text to display </div> ) #2: All non-alphanumeric < 256  &#xHH ESAPI: encodeForHTMLAttribute() HTML Attribute Values • (e.g., <input name='person' type='TEXT' value='defaultValue'> ) #3: All non-alphanumeric < 256  \xHH ESAPI: encodeForJavaScript() JavaScript Data (e.g., <script> some javascript</script> ) #4: All non-alphanumeric < 256  \HH ESAPI: encodeForCSS() HTML Style Property Values • (e.g., .pdiv a:hover {color: red; text-decoration: underline} ) #5: All non-alphanumeric < 256  %HH ESAPI: encodeForURL() URI Attribute Values • (e.g., <a href="javascript:toggle('lesson')" ) ALL other contexts CANNOT include Untrusted Data Recommendation: Only allow #1 and #2 and disallow all others See: www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet for more details

XSS Statistichttp://www.google.com/fusiontables/

Top Web hacking tehniques in 2012

Top Web hacking tehniques in 2012

Presentation Transcript

Top Ten Web Hacking Techniques of 2010

Hacking Web Applications

Hacking Web Services

Web Hacking

Web Hacking

Web Hacking Yöntemleri

Web Uygulamaları ve Hacking Yöntemleri

One-Way Hacking: Futility of Firewalls in Web Hacking

Hacking Web File Servers for iOS

Ethical Hacking Penetrating Web 2.0 Security

Hand on Web Hacking

Web Site Hacking

Crash Course in Web Hacking

Web Hacking

Top 1010 Hacking Tools

Web Hacking

Hacking in process …

Hacking Web

Top 3 Institutes for “Ethical hacking” in Delhi

Ethical Hacking Courses | Hacking Courses in Bangalore

One-Way Hacking: Futility of Firewalls in Web Hacking

Web Hacking