Przykłady błędów bezpieczeństwa w kilku krokach
Download
Report
Transcript Przykłady błędów bezpieczeństwa w kilku krokach
Przykłady błędów bezpieczeństwa
w kilku krokach,
czyli rzecz o atakowaniu procesów
Mateusz Olejarka
Kto zacz?
●
Starszy specjalista
ds. bezpieczeństwa IT, SecuRing
●
(Były) programista
●
Testerzy.pl, trener
●
OWASP Poland, członek zarządu
Agenda
●
Bezpieczeństwo procesów
●
Przyda się
●
Przykłady i techniki
●
Pytania
Bezpieczeństwo procesów?!
●
Czemu testować bezpieczeństwo procesów?
Bezpieczeństwo procesów?!
●
Błędy na poziomie:
–
Logiki procesu
–
Implementacji procesu
Przyda się
●
Web developer
–
Pokazuje pola ukryte na formularzu
–
Zdejmuje ograniczenie długości pól
–
Uaktywnia pola zablokowane (disabled)
–
Zamiana pól wyboru na tekstowe
Przyda się
●
HTTP proxy
Przeglądarka
Proxy
Serwer
Proces - schemat
●
Omówienie procesu
●
Jak go zaatakować?
●
Co było nie tak?
●
Techniki testowania
Przykłady
●
Edycja elementu danych
●
Przypomnienie hasła
●
Zmiana nr telefonu do autoryzacji SMS
●
Zlecenie z autoryzacją
Edycja elementu danych
●
Proces
–
Wybór elementu danych
–
Zmiana danych
–
Zapisanie zmian (+ ew. autoryzacja)
Edycja elementu danych
●
●
Proces
–
Wybór elementu danych
–
Zmiana danych
–
Zapisanie zmian (+ ew. autoryzacja)
Identyfikator elementu danych jest w polu
ukrytym
Przypomnienie hasła
●
Proces
–
Podanie adresu email
–
Podanie kodu otrzymanego na email
–
Zmiana hasła
Przypomnienie hasła
Przypomnienie hasła
[email protected]
Technika nr 1
Manipulacja parametrami ukrytymi i
zablokowanymi do edycji
Zmiana nr telefonu
●
Proces
–
Podanie treści kodu sms, który przyszedł na stary
telefon
–
Podanie treści kodu sms, który przyszedł na nowy
telefon
–
Zapisanie zmiany
Technika nr 2
Weryfikacja walidacji wymaganych
parametrów
Zlecenie z autoryzacją
●
Proces
–
Uzupełnienie danych zlecenia
–
Możliwa autoryzacja od razu, lub zapisanie
operacji do późniejszej autoryzacji
Technika nr 3
Pominięcie parametru i jego wartości
podczas wykonania akcji na formularzu
Zlecenie z autoryzacją
●
Proces
–
Uzupełnienie danych zlecenia
–
Możliwa autoryzacja od razu, lub zapisanie
operacji do późniejszej autoryzacji
Zlecenie z autoryzacją
●
●
Proces
–
Uzupełnienie danych zlecenia
–
Możliwa autoryzacja od razu, lub zapisanie
operacji do późniejszej autoryzacji
Podczas wykonania autoryzacji przesyłane
są dane transakcji
Technika nr 4
Powtórzenie operacji autoryzacji ze
zmienionymi danymi
Czekamy na Was!
Darmowe konsultacje:
www.securing.pl/konsultacje
Pracuj z nami:
www.securing.pl/pl/kariera.html
Kontakt
http://www.securing.pl
e-mail: [email protected]
tel. (12) 4252575
fax. (12) 4252593
Mateusz Olejarka
[email protected]