Milan Kryl

Kryl Blog - RSS

Tvorba sebeobranných webových aplikací

01. 08. 2005 - 08:09

Na konferenci o počítačové bezpečnosti Black Hat 2005 bylo mimo jiné zmiňováno největší nebezpečí internetových aplikací. Jsou neustále pod různými útoky a musí se bránit. Bohužel tomu tak nyní většinou nebývá...

Bezpečnost - nedostatek pozornosti

Existuje několik klíčových prvků, jak vytvořit sebeobranný program. Ale pouze pár se jich dnes používá, včetně validace vstupu, kódování výstupu a zpracování chyb. Robustní práce se sessions a efektivní autorizační mechanismy jsou při tvorbě webových aplikací v podstatě ignorovány.

Mnoho hrozeb je velmi dobře známo, ale techniky pro tvorbu aplikací, které dokáží odolat útokům, jsou stále ignorovány a není na ně kladen dostatečný důraz. Na vině je nedostatek dokumentace, ukázkových kódů a nedostatek uvědomění týkající se hrozeb a útočných metod.

Nové autorizační problémy

Tato ignorace je velmi nebezpečná. Situace se změnila. V dubnu 2005 byl poprvé zaznamenán útok na session na účtu eBay a dalších významných internetových aplikacích, které můžete používat i vy každý den.

Útoky na session a autorizaci jsou reálné, vyvinuté a stále častěji používány na reálných aplikacích. Navíc jsou komunitou internetových vývojářů aplikací nedoceněny, případně ignorovány.

Stručný obsah prezentace

V prezentaci se můžete dozvědět následující zajímavé informace:

  • shrnutí a kategorizace - co jsou stavový, session a autorizační útok
  • základní taxonomie možných hrozeb
  • nový pohled na XSS - cross-site scripting chybu
  • odhalení několika dalších session nebo autorizačních útoků
  • návod jak napadnout intranet přes internet za použití vašeho prohlížeče samozřejmě bez vašeho vědomí
  • předvedení projektu Paraegis, který nabízí zdarma zabezpečení kódu pro .NET, J2EE a Flash frameworky.
  • Paraegis zahrnuje funkční elementy kódu pro generování DAT (Dynamic Authorization Tokens) a zastavení automatických skenerů/skriptů
  • Paraegis ukáže, jak redukovat útoky XSS z "všichni pořád" na "jedna osoba v jeden čas" a tím tuto zranitelnost zcela znemožnit

Prezentované techniky jsou jednoduché, inovační, reálně použitelné a převážně chybějící v dnešních webových aplikacích. Paraegis projekt uvolní kód, který to nejen demonstruje, ale také vám jej umožní použít zdarma ve vašich aplikacích.

Poznámky a prezentace ke stažení

Celý seminář lze Building Self-Defending Web Applications: Secrets of Session Hacking and Protecting Software Sessions lze stáhnout na stránkách konference Black Hat 2005 (poznámky). Připravili jej Arian J. Evans (Senior Security Engineer, Fishnet Security) a Daniel Thompson (Lead Interface Developer, Secure Passage)

Několik podkladů přednášky

 

Tip: Nevíte čím obdarovat nejbližší? Nechte je napsat Ježíškovi.

Související