Minsk Web Appl 190509

®

IBM Software Group

© 2008 IBM Corporation

Обеспечение безопасностиweb приложений

Дмитрий Лапыгинтехнический специалист по продуктам IBM Rational, IBM EE/A email: [email protected]

IBM Software Group | Rational software

Содержание

•Проблемы в области

тестирования веб-приложений•Обзор самых распространенных

атак

•Последовательность работы

AppScan•Возможности инструмента


Последние случаи атак

26 октября 2008

"Аэрофлот" прекратил он-лайн продажи авиабилетов из-захакерской атаки

ОАО "Аэрофлот - российские авиалинии" не принимает к оплатечерез сайт банковские карты всех банков из-за хакерской атаки. Cпециалисты занимаются решением данной проблемы и втечение 1-2 дней покупка билетов при помощи банковских картчерез сайт будет доступна.

Неизвестные хакеры 7 февраля воспользовалисьуязвимостью на американском сайте "ЛабораторииКасперского" и опубликовали список таблиц баз данныхресурса, якобы содержащих информацию о пользователях, кодах активации, найденных в продуктах ошибках, а такжеинтернет-магазине.

7 февраля 2009

16 марта 2009

РИА Новости. Официальный сайт одной из крупнейшихроссийских ежедневных общественно-политических газет -"Коммерсанта" - уже несколько дней подвергается хакерскиматакам, сообщил РИА Новости в понедельник источник в издании.Сайт газеты в течение нескольких дней недоступен для просмотра

с внешних источников.


Высокоуровневая архитектура веб-приложения

(Presentation)App Server

(Бизнес логика)

Базы данныхКлиент

(Browser)

Middle TierУровень данных

Firewall

Здесь

хранятся

важные

данные

SSL

Защищенный

транспорт Защищенная сеть

Здесь

установлено

приложение

InternetInternet


Безопасность приложений

Клиентские

станцииТранспорт Сеть Веб-приложения

Антивирусная

защита

Шифрование

(SSL)Брандмауэры /Продвинутые

роутеры

Firewall

Веб сервера

Базы

данных

Внутренний

сервер

Сервера

приложений

ЛандшафтЛандшафт информационнойинформационной

безопасностибезопасностиRational AppScan


Мы используем сканеры

сетевой уязвимости

Мы используем сканеры

сетевой уязвимости

Миф: “ Наш веб-сайт неуязвим”

Мы используем

брандмауэры

(firewall)

Мы используем

брандмауэры

(firewall)Мы проверяем его раз в

квартал ручным

тестированием

Мы проверяем его раз в

квартал ручным

тестированием


Сервера

Веб-приложения

% of Attacks % $

75%

10%

25%

90%

Sources: Gartner, Watchfire

Безопасность Затраты

всех атак приходится на уровень веб-

приложений75%75%

всех веб-приложений уязвимы2/32/3

Реальность: Безопасность и затраты


Тестирование безопасности в рамкахжизненного цикла разработки

Сборка

Разработчики

ЖизненныйЖизненный циклцикл



Разработка QA Безопасность Операции

Обеспечение Разработчиков и

Тестировщиков экспертизой по

обнаружению и испралению

уязвимостей

Позвольте

специалистам по

Безопасности

эффективно

доносить

необходимые

исправления

разработчикам

Убедитесь, чтоуязвимости

исправлены перед

установкой

приложений в

промышленное

использование


•Проблемы в области тестирования

веб-приложений

•Обзор самых

распространенных атак




XSS процесс

Evil.org

Пользователь bank.com

1) Ссылка на bank.comпосылается пользователю

E-mail или HTTP

2) Пользователь посылает скрипт встроенный как данные

3) Скрипт/данные возвращаются выполненные браузером

4) Скрипт посылает пользовательскуюинформацию без уведомления пользователя

5) Evil.org использует украденнуюинформацию по сессии пользователя

для авторизации на сайте


Использование XSS

Если Вы запустите мой JavaScript, Я могу…Украсть информацию (cookies) для веб-домена, который вы просматриваете

Отслеживать все ваши действия в браузере с

момента запуска скрипта

Переправлять Вас на мой мошеннический сайт

Полностью модифицировать содержание страниц, которые вы просматриваете в этом домене

…

XSS это наиболее используемая уязвимостьсегодня


SQL-инъекции

Всавка SQL команд в данные, вводимыепользователем:Получить данные о продукте по id:

Select * from products where id=‘$REQUEST[“id”]’;

Взлом: послать параметер id со значением ‘ or ‘1’=‘1

В результате будет выполнен SQL запрос:Select * from products where id=‘’ or ‘1’=‘1’

Все продукты будут выбраны



веб-приложений•Обзор самых распространенных

атак




Как работает Rational AppScan

• Подход к приложению как к “черному ящику”

• Обследование веб приложения и построение модели сайта

• Определить векторы атак основываясь на выбранной политике

тестирования

• Тестирование посредством посылки модифицированных HTTP запросовприложению и проверка HTTP ответов в соответствии с правиламипроверки

HTTP Запрос

Веб приложение

HTTP ОтветВеб

Сервер

Приложение

База данных


Проверяемые уровни безопасности

Network

OperatingSystem

Applications

Database

Web Server

Web Server Configuration

Third-party Components

Web Applications

Web ServicesR

ational AppS

canIS

S


Последовательность работы AppScan1. Выбрать шаблон сканирования

2. Конфигурация быстрого сканирования (мастер)

а) Ввести стартовый URL

б) Выполнить ручной вход

в) (Опционально) Обзор тестовых политик

3. Запустить Scan Expert

4. Обзор предложенных изменений конфигурации и применить выборочно

5. Запустить автоматическое сканирование (Automatic Scan)

6. Проверить результаты и (если потребуется)

а) Обследовать дополнительные ссылки вручную

б) Распечатать отчеты

в) Обзор задач по исправлению



веб-приложений•Обзор самых распространенных

атак


AppScan

•Возможности инструмента


Возможности Rational AppScan

Web-приложения –основная цель атак!

• Автоматизированное сканирование

и тестирование web-приложений натиповые уязвимости

• Сканирование широкого спектра

web-приложений, включая сервисы, выполнение и разбор Java-Script

• Мощные средства исправления

уязвимостей, включая списокдействий для закрытия

обнаруженных уязвимостей

• Интеграция со средствами

тестирования, совместноерасписание и отчетность

• Более 40 готовых отчетов насоответствие требованиям

безопасности

PrivacyPrivacy QualityQuality

ComplianceComplianceStandardsStandards

SecuritySecurity

ScanScanScan

11

AnalyzeAnalyzeAnalyze

22

ReportDetailed, Actionable

Information

ReportReportDetailed, ActionableDetailed, Actionable

InformationInformation

33

ScanScanScan

11

ScanScanScan

11


22


22


Information



33


Information



33


Фаза обследования

Построение

дерева

приложения

Количество

выполненных/сгенерированных

тестов


Фаза обследования – советы пооптимизации сканирования

Советы по

оптимизации

сканирования


Фаза тестирования

Найденные

уязвимости


Информация об уязвимостях

Описание

уязвимости

Обучающее

видео, описывающее

уязвимость


Рекомендации по устранению


Тестовые HTTP запрос\ответ

Изменение к

обычному

запросу


Задачи по устранению уязвимостей

Интеграция

с ClearQuestдля трекинга

дефектов


Генерация отчетов


Полезные ссылки

Видео презентация

http://www.ibm.com/developerworks/ru/events/appscan_video/register.html

Здесь можно скачать пробную версию Rational AppScan

http://www.ibm.com/developerworks/downloads/r/appscan/standarded.html?S_TACT=105AGX28&S_CMP=DLMAIN

Форум

http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1320


© Copyright IBM Corporation 2007. All rights reserv ed. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.

Дополнительная информация:

• IBM Rational software

• IBM Rational Software Delivery Platform

• Process and portfolio management

• Change and release management

• Quality management

• Architecture management

• Rational trial downloads

• Leading Innovation Website

• IBM Rational TV

• IBM Rational Business Partners

Minsk Web Appl 190509

Technology

Transcript of Minsk Web Appl 190509