Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

OpublikowałGabrysia Strączyński Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."— Zapis prezentacji:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Włączanie obcej zawartości do kodu strony Dyskusja podczas spotkania OWASP Poland Moderator – Wojciech Dworakowski, SecuRing wojciech.dworakowski@owasp.org 2013-05-08

2 OWASP Obca zawartość Reklamy – ad-serwery Statystyki Biblioteki Widgety Sieci społecznościowe Mashup … 2

3 OWASP Przykład 1 – zbp.pl (2011-02) Ostrzeżenie pokazywało się tylko dla locale EN-us 3 Żródło: Materiały własne W.Dworakowski

4 OWASP Przykład 2 – Niebezpiecznik.pl (2013-04) Podmiana skryptu JS ładowanego z zewnętrznego serwera automatyczne przekierowanie przeglądarki na stronę na Pastebin zaraz po załadowaniu serwisu 4

5 OWASP Motywacja i skutki ataku? Motywacja (kto?) Cyberprzestępcy Konkurencja Hacktivism Skutki (po co?) Serwowanie malware i inne masowe przestępstwa internetowe Wyświetlanie własnych reklam DDoS Zmiana treści – np. fałszywe informacje w kontekście strony Obniżenie wiarygodności Kopanie bitcoin ;) Skala masowa Wszystkie serwisy obsługiwane przez danego dostawcę treści 5

6 OWASP Sposoby ataku? Atak na dostawcę treści (bannerów/reklam/statystyk/bibliotek/widgetów/map/…) Np. w pierwszym przypadku: System bannerowy OpenX, stara wersja + nieprawidłowa konfiguracja Atak na stację programisty u operatora Atak na CDNy Cel: zmienienie skryptu włączanego w treści strony zmienienie treści (np. obrazków, reklam, tekstu, itp.) 6

7 OWASP Czy i jak można się zabezpieczyć? Unikanie ryzyka: Nie stosować zawartości na którą nie mamy wpływu Delegowanie ryzyka: Umowa i odszkodowania 7

8 OWASP Czy i jak można się zabezpieczyć? Ograniczanie ryzyka: Opakowanie zewnętrznych skryptów i sprawdzanie ich Sandboxing wbudowany w przeglądarkę Rozwiązanie przyszłościowe ale nie działa w starszych przeglądarkach Sandboxing w JS – np. Google CAJA Osadzanie w IFRAME + atrybut sandbox Monitoring behawioralny (np. współczynnik ucieczki ze strony) Serwowanie całej strony po SSL CSP Żaden z tych sposobów nie jest uniwersalny i w 100% skuteczny 8

Pobierz ppt "Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP."

Podobne prezentacje

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Plan prezentacji Problem plagiatów w szkolnictwie średnim. Plagiatowanie, a niesamodzielność Geneza systemu Plagiat.pl Plagiat.pl - zasady działania Funkcjonalności.

Plan prezentacji Problem plagiatów w szkolnictwie średnim. Plagiatowanie, a niesamodzielność Geneza systemu Plagiat.pl Plagiat.pl - zasady działania Funkcjonalności.
Bramka zabezpieczająca VPN

Bramka zabezpieczająca VPN
Bezpieczeństwo aplikacji WWW

Bezpieczeństwo aplikacji WWW
Jak weryfikować informacje

Jak weryfikować informacje
Social Media Monitoring dla biznesu - zastosowanie oraz wykorzystanie przy pozyskiwaniu klientów czyli jak dzięki monitoringowi Internetu można zmienić.

Social Media Monitoring dla biznesu - zastosowanie oraz wykorzystanie przy pozyskiwaniu klientów czyli jak dzięki monitoringowi Internetu można zmienić.
Wikiźródła – oddolna cyfryzacja

Wikiźródła – oddolna cyfryzacja
ASP.NET 2.0 AJAX Extensions 1.0

ASP.NET 2.0 AJAX Extensions 1.0
Definicja (ang. Domain Name System, system nazw domenowych)

Definicja (ang. Domain Name System, system nazw domenowych)
Proxy (WWW cache) Sieci Komputerowe

Proxy (WWW cache) Sieci Komputerowe
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+

PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
PHP wprowadzenie.

PHP wprowadzenie.
FILMSTRIPP nowy format reklamowy w IDMnet.

FILMSTRIPP nowy format reklamowy w IDMnet.
KURS Z INFORMATYKI prowadzący: mgr Przemysław Głowacki.

KURS Z INFORMATYKI prowadzący: mgr Przemysław Głowacki.
INTERNET JAKO OCEAN INFORMACJI

INTERNET JAKO OCEAN INFORMACJI
Forum internetowe, przykład skryptu, Funkcjonalność.

Forum internetowe, przykład skryptu, Funkcjonalność.
Made by Mateusz Szirch Kilka słów o JavaScript.

Made by Mateusz Szirch Kilka słów o JavaScript.
Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.

Jak przeżyć w Internecie? Czyli o bezpieczeństwie słów kilka… Michał Jankowski MJ Software Solutions Services.

Podobne prezentacje

Reklamy Google