Bezpečnost - nedostatek pozornosti

Existuje několik klíčových prvků, jak vytvořit sebeobranný program. Ale pouze pár se jich dnes používá, včetně validace vstupu, kódování výstupu a zpracování chyb. Robustní práce se sessions a efektivní autorizační mechanismy jsou při tvorbě webových aplikací v podstatě ignorovány.

Mnoho hrozeb je velmi dobře známo, ale techniky pro tvorbu aplikací, které dokáží odolat útokům, jsou stále ignorovány a není na ně kladen dostatečný důraz. Na vině je nedostatek dokumentace, ukázkových kódů a nedostatek uvědomění týkající se hrozeb a útočných metod.

Nové autorizační problémy

Tato ignorace je velmi nebezpečná. Situace se změnila. V dubnu 2005 byl poprvé zaznamenán útok na session na účtu eBay a dalších významných internetových aplikacích, které můžete používat i vy každý den.

Útoky na session a autorizaci jsou reálné, vyvinuté a stále častěji používány na reálných aplikacích. Navíc jsou komunitou internetových vývojářů aplikací nedoceněny, případně ignorovány.

Stručný obsah prezentace

V prezentaci se můžete dozvědět následující zajímavé informace:

• shrnutí a kategorizace - co jsou stavový, session a autorizační útok
• základní taxonomie možných hrozeb
• nový pohled na XSS - cross-site scripting chybu
• odhalení několika dalších session nebo autorizačních útoků
• návod jak napadnout intranet přes internet za použití vašeho prohlížeče samozřejmě bez vašeho vědomí
• předvedení projektu Paraegis, který nabízí zdarma zabezpečení kódu pro .NET, J2EE a Flash frameworky.
• Paraegis zahrnuje funkční elementy kódu pro generování DAT (Dynamic Authorization Tokens) a zastavení automatických skenerů/skriptů
• Paraegis ukáže, jak redukovat útoky XSS z "všichni pořád" na "jedna osoba v jeden čas" a tím tuto zranitelnost zcela znemožnit

Prezentované techniky jsou jednoduché, inovační, reálně použitelné a převážně chybějící v dnešních webových aplikacích. Paraegis projekt uvolní kód, který to nejen demonstruje, ale také vám jej umožní použít zdarma ve vašich aplikacích.

Poznámky a prezentace ke stažení

Celý seminář lze Building Self-Defending Web Applications: Secrets of Session Hacking and Protecting Software Sessions lze stáhnout na stránkách konference Black Hat 2005 (poznámky). Připravili jej Arian J. Evans (Senior Security Engineer, Fishnet Security) a Daniel Thompson (Lead Interface Developer, Secure Passage)

Několik podkladů přednášky

• Started with: Cross Site Request Forgeries
• Mitja Kolsek - Session Fixation
• Michael Schemaat - Web App Session Strength
• Thomas Schreiber - Session Riding
• Gunter Ollman - Host Naming & URL Conventions