Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów.

Slides:



Advertisements
Podobne prezentacje
Bezpieczeństwo aplikacji WWW
Advertisements

Kamil Smitkiewicz Bezpieczeństwo w PHP.
Interaktywna prezentacja użytkowa
PRZEPROWADZANIE OCENY
PARTNER II System komunikacji oraz przygotowania beneficjentów i projektów finansowanych z Funduszy Strukturalnych w Województwie Śląskim Urząd.
Wirtualna Recepcja Łatwy kontakt pacjenta z lekarzem Warszawa,
Zarządzanie transakcjami w SQL Server
Rezerwacja pozycji wypożyczonych INSTRUKCJA. Zarezerwować można pozycję przeznaczoną do wypożyczania która ma status wypożyczona, zamówiona, w opracowaniu.
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Bezpieczeństwo rodzinne w Windows 8
Dokumentacja do obsługi PWI (nowa wersja aplikacji)
Agenda 1 Tailored Mobile Solutions S.A 2 Aplikacja TMS Finance 3
Przewodnik po koncie internetowym iBOK.
Oczekiwania odbiorców Zadania stawiane przez hotelarzy
System zamawiania on-line
Rozpoczęcie pracy z programem DAPP Optic.
Przedłużenie licencji mMedica.
Witaj. Zapraszamy Ciebie do zapoznania się z przewodnikiem, który pokaże jak założyć konto oraz w jaki sposób można korzystać z usług w serwisie iplay.pl.
Serwis poświęcony korepetycjom. Przemysław Mrówczyński Maciej Raszka Technologie internetowe.
Prezentacja i szkolenie
System raportowania, ewaluacji oraz badania satysfakcji Klienta.
Google Testing Radosław Smilgin, , TestWarez.
System rejestracji zawodników Polski Związek Judo 2006.
Wejście ze strony AWF.
Bezpieczeństwo a zarządzanie projektami
Jak legalnie kupić MS Office 2010 Professional za 12,95 EURO?
Aleksandra Wojaczyńska – Starszy Specjalista
Rejestracja na egzamin HSK 2014 krok po kroku
Testowanie bezpieczeństwa
Temat 12: Formularze.
Jak dodać funkcjonalność płatności internetowej PayU do strony WWW
Elektroniczna rekrutacja: opolskie.edu.com.pl
Kalkulator Wyborczy. Okno startowe Kalkulator w pierwszej kolejności weryfikuje, czy posiada ważne licencje. Jeżeli posiada więcej niż jedną licencję,
OTWARTA FIRMA „Otwarta firma” Jak zgłosić się do programu?
OTWARTA FIRMA „Otwarta firma” Jak zgłosić się do programu?
Aplikacje internetowe Projektowanie formularzy Część 2.
System wyborczy – web serwis Tworzenie licencji operatora.
Kalkulator Wyborczy. Okno startowe Kalkulator w pierwszej kolejności weryfikuje, czy posiada ważne licencje. Jeżeli posiada więcej niż jedną licencję,
Aplikacje internetowe
Zamawianie i rezerwacja książek przez Internet
XML Publisher Przedmiot i zakres szkolenia Przedmiot i zakres szkolenia Przeznaczenie XML Publisher Przeznaczenie XML Publisher Definiowanie Definiowanie.
Bazy i Systemy Bankowe Sp. z o.o. ul. Kasprzaka 3, 85 – 321 Bydgoszcz
OWASP + DevOps, kilka przydatnych narzędzi
1. Tak wygląda strona forum. Wchodząc pierwszy raz zaczynamy od kliknięcia na słowo "rejestracja".
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.
Agenda O Nas Ogólne informacje o Produkcie Job Manager – idealne rozwiązanie Aplikacja Webowa Aplikacja Kliencka Najnowsze zmiany.
Program edukacyjny Dzień przedsiębiorczości Działania firmy na platformie programu.
(UDZIAŁ W CHARAKTERZE PUBLICZNOŚCI)
Serwery Aplikacji Bezpieczeństwo w Aplikacjach.NET uruchamianych pod IIS Arkadiusz Popa, WMiI, UŁ.
HTML 5.0. Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego 2 Program Literatura Historia HTML Koncepcja HTML.
GENERATOR WNIOSKÓW O DOFINANSOWANIE. Generator wniosków o dofinansowanie umożliwia przygotowywanie i edycję wniosków o dofinansowanie. Jest to pierwszy.
Instrukcja Rejestracja do I edycji Gimnazjalnej Olimpiady Wiedzy o Społeczeństwie Instrukcja
Remigusz Kaczewski GSM:
Szkoła Przyjazna dla Sprawiedliwego Handlu Procedura uzyskania tytułu.
Rejestracja na egzamin HSK i HSKK w roku 2016: PRZEWODNIK
HTML.  Wprowadzenie  Protokół HTTP  Język HTML  Definicja typu dokumentu  Nagłówek strony  Formatowanie treści dokumentu  Definiowanie struktury.
PFR Wstępnie wypełnione zeznanie podatkowe PIT-37 i PIT-38 za rok 2015.
Grupa: administratorzy lokalni JST. Użytkownik systemu CEIDG - materiały szkoleniowe2 Informacje wstępne Zakładanie konta w CEIDG -Wybór sposobu dostępu.
Kształcenie podyplomowe pielęgniarek i położnych w obszarach związanych z potrzebami epidemiologiczno- demograficznymi – System SOWA Dorota Ludorowska.
Informacje dla operatorów obsługi informatycznej Wybory Samorządowe
System Obsługi Wniosków Aplikacyjnych (SOWA) Grzegorz Kuczyński DEPARTAMENT FUNDUSZY EUROPEJSKICH I e-ZDROWIA MINISTERSTWO ZDROWIA Warszawa, 8 lipca 2016.
Proces rejestracji nowego członka stowarzyszenia
ZAKŁADANIE POCZTY ELEKTRONICZNEJ
ZAKŁADANIE POCZTY ELEKTRONICZNEJ
Otwarta firma Jak zgłosić szkołę do programu?.
Logowanie się do systemu
Automatyzacja pracy z aplikacją w Ms Access
Jak zgłosić do programu
Instrukcja obsługi panelu E-gwarancji
PLATFORMA EDUKACYJNA SZKOŁY PODSTAWOWEJ W BABICACH.
Zapis prezentacji:

Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów

Kto zacz? ● Starszy specjalista ds. bezpieczeństwa IT, SecuRing ● (Były) programista ● Testerzy.pl, trener ● OWASP Poland, członek zarządu

Agenda ● Bezpieczeństwo procesów ● Przyda się ● Przykłady i techniki ● Pytania

Bezpieczeństwo procesów?! ● Czemu testować bezpieczeństwo procesów?

Bezpieczeństwo procesów?! ● Błędy na poziomie: – Logiki procesu – Implementacji procesu

Przyda się ● Web developer – Pokazuje pola ukryte na formularzu – Zdejmuje ograniczenie długości pól – Uaktywnia pola zablokowane (disabled) – Zamiana pól wyboru na tekstowe

Przyda się ● HTTP proxy PrzeglądarkaSerwerProxy

Proces - schemat ● Omówienie procesu ● Jak go zaatakować? ● Co było nie tak? ● Techniki testowania

Przykłady ● Edycja elementu danych ● Przypomnienie hasła ● Zmiana nr telefonu do autoryzacji SMS ● Zlecenie z autoryzacją

Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja)

Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja) ● Identyfikator elementu danych jest w polu ukrytym

Przypomnienie hasła ● Proces – Podanie adresu – Podanie kodu otrzymanego na – Zmiana hasła

Przypomnienie hasła

Technika nr 1 Manipulacja parametrami ukrytymi i zablokowanymi do edycji

Zmiana nr telefonu ● Proces – Podanie treści kodu sms, który przyszedł na stary telefon – Podanie treści kodu sms, który przyszedł na nowy telefon – Zapisanie zmiany

Technika nr 2 Weryfikacja walidacji wymaganych parametrów

Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji

Technika nr 3 Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu

Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji

Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podczas wykonania autoryzacji przesyłane są dane transakcji

Technika nr 4 Powtórzenie operacji autoryzacji ze zmienionymi danymi

Czekamy na Was! Pracuj z nami: Darmowe konsultacje:

Kontakt tel. (12) fax. (12) Mateusz Olejarka

Zwrotny adres: Polityka prywatności Zwrotny adres
О projekcie: SlidePlayer Regulamin

© 2024 SlidePlayer.pl Inc. All rights reserved.