Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałPrzemko Klatka Został zmieniony 9 lat temu
1
Przykłady błędów bezpieczeństwa w kilku krokach, Mateusz Olejarka czyli rzecz o atakowaniu procesów
2
Kto zacz? ● Starszy specjalista ds. bezpieczeństwa IT, SecuRing ● (Były) programista ● Testerzy.pl, trener ● OWASP Poland, członek zarządu
3
Agenda ● Bezpieczeństwo procesów ● Przyda się ● Przykłady i techniki ● Pytania
4
Bezpieczeństwo procesów?! ● Czemu testować bezpieczeństwo procesów?
5
Bezpieczeństwo procesów?! ● Błędy na poziomie: – Logiki procesu – Implementacji procesu
6
Przyda się ● Web developer – Pokazuje pola ukryte na formularzu – Zdejmuje ograniczenie długości pól – Uaktywnia pola zablokowane (disabled) – Zamiana pól wyboru na tekstowe
7
Przyda się ● HTTP proxy PrzeglądarkaSerwerProxy
8
Proces - schemat ● Omówienie procesu ● Jak go zaatakować? ● Co było nie tak? ● Techniki testowania
9
Przykłady ● Edycja elementu danych ● Przypomnienie hasła ● Zmiana nr telefonu do autoryzacji SMS ● Zlecenie z autoryzacją
10
Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja)
11
Edycja elementu danych ● Proces – Wybór elementu danych – Zmiana danych – Zapisanie zmian (+ ew. autoryzacja) ● Identyfikator elementu danych jest w polu ukrytym
12
Przypomnienie hasła ● Proces – Podanie adresu email – Podanie kodu otrzymanego na email – Zmiana hasła
13
Przypomnienie hasła
14
bob@securing.pl
15
Technika nr 1 Manipulacja parametrami ukrytymi i zablokowanymi do edycji
16
Zmiana nr telefonu ● Proces – Podanie treści kodu sms, który przyszedł na stary telefon – Podanie treści kodu sms, który przyszedł na nowy telefon – Zapisanie zmiany
17
Technika nr 2 Weryfikacja walidacji wymaganych parametrów
18
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
19
Technika nr 3 Pominięcie parametru i jego wartości podczas wykonania akcji na formularzu
20
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji
21
Zlecenie z autoryzacją ● Proces – Uzupełnienie danych zlecenia – Możliwa autoryzacja od razu, lub zapisanie operacji do późniejszej autoryzacji ● Podczas wykonania autoryzacji przesyłane są dane transakcji
22
Technika nr 4 Powtórzenie operacji autoryzacji ze zmienionymi danymi
24
Czekamy na Was! Pracuj z nami: www.securing.pl/pl/kariera.html Darmowe konsultacje: www.securing.pl/konsultacje
25
Kontakt http://www.securing.pl e-mail: info@securing.pl tel. (12) 4252575 fax. (12) 4252593 Mateusz Olejarka mateusz.olejarka@securing.pl
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.