Обеспечение безопасности web приложений
DESCRIPTION
Дмитрий Лапыгин, IBM, Москва, РоссияTRANSCRIPT
®
IBM Software Group
© 2008 IBM Corporation
Обеспечение безопасностиweb приложений
Дмитрий Лапыгинтехнический специалист по продуктам IBM Rational, IBM EE/A email: [email protected]
IBM Software Group | Rational software
Содержание
•Проблемы в области
тестирования веб-приложений•Обзор самых распространенных
атак
•Последовательность работы
AppScan•Возможности инструмента
IBM Software Group | Rational software
Последние случаи атак
26 октября 2008
"Аэрофлот" прекратил он-лайн продажи авиабилетов из-захакерской атаки
ОАО "Аэрофлот - российские авиалинии" не принимает к оплатечерез сайт банковские карты всех банков из-за хакерской атаки. Cпециалисты занимаются решением данной проблемы и втечение 1-2 дней покупка билетов при помощи банковских картчерез сайт будет доступна.
Неизвестные хакеры 7 февраля воспользовалисьуязвимостью на американском сайте "ЛабораторииКасперского" и опубликовали список таблиц баз данныхресурса, якобы содержащих информацию о пользователях, кодах активации, найденных в продуктах ошибках, а такжеинтернет-магазине.
7 февраля 2009
16 марта 2009
РИА Новости. Официальный сайт одной из крупнейшихроссийских ежедневных общественно-политических газет -"Коммерсанта" - уже несколько дней подвергается хакерскиматакам, сообщил РИА Новости в понедельник источник в издании.Сайт газеты в течение нескольких дней недоступен для просмотра
с внешних источников.
IBM Software Group | Rational software
Высокоуровневая архитектура веб-приложения
(Presentation)App Server
(Бизнес логика)
Базы данныхКлиент
(Browser)
Middle TierУровень данных
Firewall
Здесь
хранятся
важные
данные
SSL
Защищенный
транспорт Защищенная сеть
Здесь
установлено
приложение
InternetInternet
IBM Software Group | Rational software
Безопасность приложений
Клиентские
станцииТранспорт Сеть Веб-приложения
Антивирусная
защита
Шифрование
(SSL)Брандмауэры /Продвинутые
роутеры
Firewall
Веб сервера
Базы
данных
Внутренний
сервер
Сервера
приложений
ЛандшафтЛандшафт информационнойинформационной
безопасностибезопасностиRational AppScan
IBM Software Group | Rational software
Мы используем сканеры
сетевой уязвимости
Мы используем сканеры
сетевой уязвимости
Миф: “ Наш веб-сайт неуязвим”
Мы используем
брандмауэры
(firewall)
Мы используем
брандмауэры
(firewall)Мы проверяем его раз в
квартал ручным
тестированием
Мы проверяем его раз в
квартал ручным
тестированием
IBM Software Group | Rational software
Сервера
Веб-приложения
% of Attacks % $
75%
10%
25%
90%
Sources: Gartner, Watchfire
Безопасность Затраты
всех атак приходится на уровень веб-
приложений75%75%
всех веб-приложений уязвимы2/32/3
Реальность: Безопасность и затраты
IBM Software Group | Rational software
Тестирование безопасности в рамкахжизненного цикла разработки
Сборка
Разработчики
ЖизненныйЖизненный циклцикл
Разработчики
Разработчики
Разработка QA Безопасность Операции
Обеспечение Разработчиков и
Тестировщиков экспертизой по
обнаружению и испралению
уязвимостей
Позвольте
специалистам по
Безопасности
эффективно
доносить
необходимые
исправления
разработчикам
Убедитесь, чтоуязвимости
исправлены перед
установкой
приложений в
промышленное
использование
IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений
•Обзор самых
распространенных атак
•Последовательность работы
AppScan•Возможности инструмента
IBM Software Group | Rational software
XSS процесс
Evil.org
Пользователь bank.com
1) Ссылка на bank.comпосылается пользователю
E-mail или HTTP
2) Пользователь посылает скрипт встроенный как данные
3) Скрипт/данные возвращаются выполненные браузером
4) Скрипт посылает пользовательскуюинформацию без уведомления пользователя
5) Evil.org использует украденнуюинформацию по сессии пользователя
для авторизации на сайте
IBM Software Group | Rational software
Использование XSS
Если Вы запустите мой JavaScript, Я могу…Украсть информацию (cookies) для веб-домена, который вы просматриваете
Отслеживать все ваши действия в браузере с
момента запуска скрипта
Переправлять Вас на мой мошеннический сайт
Полностью модифицировать содержание страниц, которые вы просматриваете в этом домене
…
XSS это наиболее используемая уязвимостьсегодня
IBM Software Group | Rational software
SQL-инъекции
Всавка SQL команд в данные, вводимыепользователем:Получить данные о продукте по id:
Select * from products where id=‘$REQUEST[“id”]’;
Взлом: послать параметер id со значением ‘ or ‘1’=‘1
В результате будет выполнен SQL запрос:Select * from products where id=‘’ or ‘1’=‘1’
Все продукты будут выбраны
IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений•Обзор самых распространенных
атак
•Последовательность работы
AppScan•Возможности инструмента
IBM Software Group | Rational software
Как работает Rational AppScan
• Подход к приложению как к “черному ящику”
• Обследование веб приложения и построение модели сайта
• Определить векторы атак основываясь на выбранной политике
тестирования
• Тестирование посредством посылки модифицированных HTTP запросовприложению и проверка HTTP ответов в соответствии с правиламипроверки
HTTP Запрос
Веб приложение
HTTP ОтветВеб
Сервер
Приложение
База данных
IBM Software Group | Rational software
Проверяемые уровни безопасности
Network
OperatingSystem
Applications
Database
Web Server
Web Server Configuration
Third-party Components
Web Applications
Web ServicesR
ational AppS
canIS
S
IBM Software Group | Rational software
Последовательность работы AppScan1. Выбрать шаблон сканирования
2. Конфигурация быстрого сканирования (мастер)
а) Ввести стартовый URL
б) Выполнить ручной вход
в) (Опционально) Обзор тестовых политик
3. Запустить Scan Expert
4. Обзор предложенных изменений конфигурации и применить выборочно
5. Запустить автоматическое сканирование (Automatic Scan)
6. Проверить результаты и (если потребуется)
а) Обследовать дополнительные ссылки вручную
б) Распечатать отчеты
в) Обзор задач по исправлению
IBM Software Group | Rational software
•Проблемы в области тестирования
веб-приложений•Обзор самых распространенных
атак
•Последовательность работы
AppScan
•Возможности инструмента
IBM Software Group | Rational software
Возможности Rational AppScan
Web-приложения –основная цель атак!
• Автоматизированное сканирование
и тестирование web-приложений натиповые уязвимости
• Сканирование широкого спектра
web-приложений, включая сервисы, выполнение и разбор Java-Script
• Мощные средства исправления
уязвимостей, включая списокдействий для закрытия
обнаруженных уязвимостей
• Интеграция со средствами
тестирования, совместноерасписание и отчетность
• Более 40 готовых отчетов насоответствие требованиям
безопасности
PrivacyPrivacy QualityQuality
ComplianceComplianceStandardsStandards
SecuritySecurity
ScanScanScan
11
AnalyzeAnalyzeAnalyze
22
ReportDetailed, Actionable
Information
ReportReportDetailed, ActionableDetailed, Actionable
InformationInformation
33
ScanScanScan
11
ScanScanScan
11
AnalyzeAnalyzeAnalyze
22
AnalyzeAnalyzeAnalyze
22
ReportDetailed, Actionable
Information
ReportReportDetailed, ActionableDetailed, Actionable
InformationInformation
33
ReportDetailed, Actionable
Information
ReportReportDetailed, ActionableDetailed, Actionable
InformationInformation
33
IBM Software Group | Rational software
Фаза обследования
Построение
дерева
приложения
Количество
выполненных/сгенерированных
тестов
IBM Software Group | Rational software
Фаза обследования – советы пооптимизации сканирования
Советы по
оптимизации
сканирования
IBM Software Group | Rational software
Фаза тестирования
Найденные
уязвимости
IBM Software Group | Rational software
Информация об уязвимостях
Описание
уязвимости
Обучающее
видео, описывающее
уязвимость
IBM Software Group | Rational software
Рекомендации по устранению
IBM Software Group | Rational software
Тестовые HTTP запрос\ответ
Изменение к
обычному
запросу
IBM Software Group | Rational software
Задачи по устранению уязвимостей
Интеграция
с ClearQuestдля трекинга
дефектов
IBM Software Group | Rational software
Генерация отчетов
IBM Software Group | Rational software
Полезные ссылки
Видео презентация
http://www.ibm.com/developerworks/ru/events/appscan_video/register.html
Здесь можно скачать пробную версию Rational AppScan
http://www.ibm.com/developerworks/downloads/r/appscan/standarded.html?S_TACT=105AGX28&S_CMP=DLMAIN
Форум
http://www.ibm.com/developerworks/forums/forum.jspa?forumID=1320
IBM Software Group | Rational software
© Copyright IBM Corporation 2007. All rights reserv ed. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, the on-demand business logo, Rational, the Rational logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others.
Дополнительная информация:
• IBM Rational software
• IBM Rational Software Delivery Platform
• Process and portfolio management
• Change and release management
• Quality management
• Architecture management
• Rational trial downloads
• Leading Innovation Website
• IBM Rational TV
• IBM Rational Business Partners