Tvorba sebeobranných webových aplikací
Na konferenci o počítačové bezpečnosti Black Hat 2005 bylo mimo jiné zmiňováno největší nebezpečí internetových aplikací. Jsou neustále pod různými útoky a musí se bránit. Bohužel tomu tak nyní většinou nebývá...
Bezpečnost - nedostatek pozornosti
Existuje několik klíčových prvků, jak vytvořit sebeobranný program. Ale pouze pár se jich dnes používá, včetně validace vstupu, kódování výstupu a zpracování chyb. Robustní práce se sessions a efektivní autorizační mechanismy jsou při tvorbě webových aplikací v podstatě ignorovány.
Mnoho hrozeb je velmi dobře známo, ale techniky pro tvorbu aplikací, které dokáží odolat útokům, jsou stále ignorovány a není na ně kladen dostatečný důraz. Na vině je nedostatek dokumentace, ukázkových kódů a nedostatek uvědomění týkající se hrozeb a útočných metod.
Nové autorizační problémy
Tato ignorace je velmi nebezpečná. Situace se změnila. V dubnu 2005 byl poprvé zaznamenán útok na session na účtu eBay a dalších významných internetových aplikacích, které můžete používat i vy každý den.
Útoky na session a autorizaci jsou reálné, vyvinuté a stále častěji používány na reálných aplikacích. Navíc jsou komunitou internetových vývojářů aplikací nedoceněny, případně ignorovány.
Stručný obsah prezentace
V prezentaci se můžete dozvědět následující zajímavé informace:
- shrnutí a kategorizace - co jsou stavový, session a autorizační útok
- základní taxonomie možných hrozeb
- nový pohled na XSS - cross-site scripting chybu
- odhalení několika dalších session nebo autorizačních útoků
- návod jak napadnout intranet přes internet za použití vašeho prohlížeče samozřejmě bez vašeho vědomí
- předvedení projektu Paraegis, který nabízí zdarma zabezpečení kódu pro .NET, J2EE a Flash frameworky.
- Paraegis zahrnuje funkční elementy kódu pro generování DAT (Dynamic Authorization Tokens) a zastavení automatických skenerů/skriptů
- Paraegis ukáže, jak redukovat útoky XSS z "všichni pořád" na "jedna osoba v jeden čas" a tím tuto zranitelnost zcela znemožnit
Prezentované techniky jsou jednoduché, inovační, reálně použitelné a převážně chybějící v dnešních webových aplikacích. Paraegis projekt uvolní kód, který to nejen demonstruje, ale také vám jej umožní použít zdarma ve vašich aplikacích.
Poznámky a prezentace ke stažení
Celý seminář lze Building Self-Defending Web Applications: Secrets of Session Hacking and Protecting Software Sessions lze stáhnout na stránkách konference Black Hat 2005 (poznámky). Připravili jej Arian J. Evans (Senior Security Engineer, Fishnet Security) a Daniel Thompson (Lead Interface Developer, Secure Passage)
Několik podkladů přednášky
- Started with: Cross Site Request Forgeries
- Mitja Kolsek - Session Fixation
- Michael Schemaat - Web App Session Strength
- Thomas Schreiber - Session Riding
- Gunter Ollman - Host Naming & URL Conventions
Tip: Nevíte čím obdarovat nejbližší? Nechte je napsat Ježíškovi.
Související
- 5 kroků k zachování bezpečnosti (04. 04. 2005 23:51)
- TOP 10 chyb webových aplikací (07. 02. 2005 06:07)