Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland Moderator – Wojciech Dworakowski, SecuRing
OWASP Obca zawartość Reklamy – ad-serwery Statystyki Biblioteki Widgety Sieci społecznościowe Mashup … 2
OWASP Przykład 1 – zbp.pl ( ) Ostrzeżenie pokazywało się tylko dla locale EN-us 3 Żródło: Materiały własne W.Dworakowski
OWASP Przykład 2 – Niebezpiecznik.pl ( ) Podmiana skryptu JS ładowanego z zewnętrznego serwera automatyczne przekierowanie przeglądarki na stronę na Pastebin zaraz po załadowaniu serwisu 4
OWASP Motywacja i skutki ataku? Motywacja (kto?) Cyberprzestępcy Konkurencja Hacktivism Skutki (po co?) Serwowanie malware i inne masowe przestępstwa internetowe Wyświetlanie własnych reklam DDoS Zmiana treści – np. fałszywe informacje w kontekście strony Obniżenie wiarygodności Kopanie bitcoin ;) Skala masowa Wszystkie serwisy obsługiwane przez danego dostawcę treści 5
OWASP Sposoby ataku? Atak na dostawcę treści (bannerów/reklam/statystyk/bibliotek/widgetów/map/…) Np. w pierwszym przypadku: System bannerowy OpenX, stara wersja + nieprawidłowa konfiguracja Atak na stację programisty u operatora Atak na CDNy Cel: zmienienie skryptu włączanego w treści strony zmienienie treści (np. obrazków, reklam, tekstu, itp.) 6
OWASP Czy i jak można się zabezpieczyć? Unikanie ryzyka: Nie stosować zawartości na którą nie mamy wpływu Delegowanie ryzyka: Umowa i odszkodowania 7
OWASP Czy i jak można się zabezpieczyć? Ograniczanie ryzyka: Opakowanie zewnętrznych skryptów i sprawdzanie ich Sandboxing wbudowany w przeglądarkę Rozwiązanie przyszłościowe ale nie działa w starszych przeglądarkach Sandboxing w JS – np. Google CAJA Osadzanie w IFRAME + atrybut sandbox Monitoring behawioralny (np. współczynnik ucieczki ze strony) Serwowanie całej strony po SSL CSP Żaden z tych sposobów nie jest uniwersalny i w 100% skuteczny 8