Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Podobne prezentacje


Prezentacja na temat: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Zapis prezentacji:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland Moderator – Wojciech Dworakowski, SecuRing

2 OWASP Obca zawartość Reklamy – ad-serwery Statystyki Biblioteki Widgety Sieci społecznościowe Mashup … 2

3 OWASP Przykład 1 – zbp.pl ( ) Ostrzeżenie pokazywało się tylko dla locale EN-us 3 Żródło: Materiały własne W.Dworakowski

4 OWASP Przykład 2 – Niebezpiecznik.pl ( ) Podmiana skryptu JS ładowanego z zewnętrznego serwera automatyczne przekierowanie przeglądarki na stronę na Pastebin zaraz po załadowaniu serwisu 4

5 OWASP Motywacja i skutki ataku? Motywacja (kto?) Cyberprzestępcy Konkurencja Hacktivism Skutki (po co?) Serwowanie malware i inne masowe przestępstwa internetowe Wyświetlanie własnych reklam DDoS Zmiana treści – np. fałszywe informacje w kontekście strony Obniżenie wiarygodności Kopanie bitcoin ;) Skala masowa Wszystkie serwisy obsługiwane przez danego dostawcę treści 5

6 OWASP Sposoby ataku? Atak na dostawcę treści (bannerów/reklam/statystyk/bibliotek/widgetów/map/…) Np. w pierwszym przypadku: System bannerowy OpenX, stara wersja + nieprawidłowa konfiguracja Atak na stację programisty u operatora Atak na CDNy Cel: zmienienie skryptu włączanego w treści strony zmienienie treści (np. obrazków, reklam, tekstu, itp.) 6

7 OWASP Czy i jak można się zabezpieczyć? Unikanie ryzyka: Nie stosować zawartości na którą nie mamy wpływu Delegowanie ryzyka: Umowa i odszkodowania 7

8 OWASP Czy i jak można się zabezpieczyć? Ograniczanie ryzyka: Opakowanie zewnętrznych skryptów i sprawdzanie ich Sandboxing wbudowany w przeglądarkę Rozwiązanie przyszłościowe ale nie działa w starszych przeglądarkach Sandboxing w JS – np. Google CAJA Osadzanie w IFRAME + atrybut sandbox Monitoring behawioralny (np. współczynnik ucieczki ze strony) Serwowanie całej strony po SSL CSP Żaden z tych sposobów nie jest uniwersalny i w 100% skuteczny 8


Pobierz ppt "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."

Podobne prezentacje


Reklamy Google