Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów.

Podobne prezentacje


Prezentacja na temat: "Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów."— Zapis prezentacji:

1 Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów

2 Kto zacz? ● Starszy specjalista ds. bezpieczeństwa IT, SecuRing ● (Były) programista ● Testerzy.pl, trener ● OWASP Poland, członek zarządu

3 Agenda ● Bezpieczeństwo procesów ● Przyda się ● Przykłady i techniki ● Pytania

4 Bezpieczeństwo procesów?! ● Czemu testować bezpieczeństwo procesów?

5 Bezpieczeństwo procesów?! ● Błędy na poziomie: – Logiki procesu – Implementacji procesu

6 Przyda się ● Web developer – Pokazuje pola ukryte na formularzu – Zdejmuje ograniczenie długości pól – Uaktywnia pola zablokowane (disabled) – Zamiana pól wyboru na tekstowe

7 Przyda się ● HTTP proxy PrzeglądarkaSerwerProxy

8 Proces - schemat ● Omówienie procesu ● Jak go zaatakować? ● Co było nie tak? ● Techniki testowania

9 Przykłady ● Edycja elementu danych ● Przypomnienie hasła ● Zmiana nr telefonu do autoryzacji SMS ● Zlecenie z autoryzacją

10 Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja)

11 Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja) ● Identyfikator elementu danych jest w polu ukrytym

12 Przypomnienie hasła ● Proces – Podanie adresu email – Podanie kodu otrzymanego na email – Zmiana hasła

13 Przypomnienie hasła

14 bob@securing.pl

15 Technika nr 1 Manipulacja parametrami ukrytymi i zablokowanymi do edycji

16 Zmiana nr telefonu ● Proces – Podanie treści kodu sms, który przyszedł na stary telefon – Podanie treści kodu sms, który przyszedł na nowy telefon – Zapisanie zmiany

17 Technika nr 2 Weryfikacja walidacji wymaganych parametrów

18 Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji

19 Technika nr 3 Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu

20 Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji

21 Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podczas wykonania autoryzacji przesyłane są dane transakcji

22 Technika nr 4 Powtórzenie operacji autoryzacji ze zmienionymi danymi

23

24 Czekamy na Was! Pracuj z nami: www.securing.pl/pl/kariera.html Darmowe konsultacje: www.securing.pl/konsultacje

25 Kontakt http://www.securing.pl e-mail: info@securing.pl tel. (12) 4252575 fax. (12) 4252593 Mateusz Olejarka mateusz.olejarka@securing.pl


Pobierz ppt "Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów."

Podobne prezentacje


Reklamy Google