Доклад Константина Заварова на конференции SQA Days-19, 20-21 мая 2016 г., Санкт-Петербург

1. 50 слайдов для повышения
безопасности вашего сервиса
Константин Заваров

2. «Либо ты сам себя проверишь,
либо тебя проверят»
СБ

3. Публикаций в мес. на
Wooyun и HackerOne
The Pennsylvania State University - www.psu.edu

4. Высокий приоритет ~ 50%
The Pennsylvania State University - www.psu.edu

5. Сфера деятельности значения не
имеет,
размер имеет значение
The Pennsylvania State University - www.psu.edu

6. • PR - ущерб
Финансовые потери
Снижение доверия клиентов

7. QA

8. QA vs Dev

9. Компоненты web-приложения
Клиент Сервер БД
запрос запрос
ответответ
XSS SQL Inj

10. Top-3 атак
The Pennsylvania State University - www.psu.edu

11. Что будем тестировать?
• Входящие данные от пользователя
• Ответы сервера
• Защиту от перебора
• Безопасные механизмы аутентификации
• Работа с пользовательскими сессиями
• Шифрование трафика

12. Some Origin Policy
Код из одного источника не может читать или
изменять DOM-объекты другого источника

13. Some Origin Policy
«Свой локоть укусить нельзя. Но есть
способ укусить, используя соседскую
собачку»

14. Лабораторные примеры

15. Межсайтовая подделка запроса (CSRF)
GOOD
SITE
Сервер
запрос
ответ
BAD SITE
тайный запрос

16. CSRF video example

17. Межсайтовая подделка запроса (CSRF)

18. CSRF : Векторы атаки
Выполнение каких-либо действий на
уязвимом сайте от лица жертвы

19. BruteForce

20. Отправка кода по СМС/ email
Сложно ли подобрать 4х символьный
цифровой СМС-код?

21. BruteForce
2016-05-16 14:48:53
2016-05-16 14:57:41
Code is - 3845; password: new_password)

22. “Ленивый” SSL

24. “Ленивый” SSL

25. “Ленивый” SSL

26. Man-in-the-middle - перехват информации,
передаваемой по незащищенному каналу
связи
Векторы атаки
X

27. Injections
Контекст
команд
Контекст
данных

28. Injections (Content Spoofing)

29. Cross-Site Scripting

30. Cross-Site Scripting

31. Cross-Site Scripting

32. Cross-Site Scripting
XSS позволяет делать с уязвимым сайтом
то же самое, что может делать
пользователь загрузивший XSS скрипт
Например, с помощью BеEF или Metasploit

34. Open Redirect (URL Redirector Abuse )

35. Clickjacking

36. Clickjacking
callbackhunter,
onlineconsultant,
social plugins,
…

37. Рекомендации – это еще
один повод подумать

38. Понимание всех точек
аутентификации
• ВСЕ формы аутентификации
• Аутентификация пользователей моб.
приложений

39. Шифрование трафика
• ВСЕ важнейшие страницы используют HTTPS
• Используем HTTP-header Strict-Transport-
Security: max-age=31536000;
Для параноиков: www.chromium.org/hsts
• Трафик мобильного приложения шифруются по
HTTPS
• Надежный SSL сертификат (проверяем,
например, здесь - www.ssllabs.com/ssltest/ )

40. Шифрование трафика

41. Защита от перебора
Что проверяем?
• Форму аутентификации
• Форму регистрации
• Восстановление пароля
• Изменение данных в ЛК

42. Защита от перебора
• Запрещаем вводить слабые пароли
(https://github.com/dropbox/zxcvbn - это поможет)
• Не даем подсказок. Только общие фразы:
“Неверный логин или пароль”
“Ссылка отправлена на ваш email” / “Код - на телефон”
• Captcha, например, Google ReCaptcha после 3-5 попыток (www.free-ocr.com)
• Timeout после 13-15 попыток
• Проверяем, учитывается ли значение капчи в POST запросе
• Код ответа HTTP = 200
• Логируем все попытки аутентификации (время; IP; учетка; результа; …)

43. Защищаем поля ввода
• Проверяем на инъекции (XSS magic string - ‘';!--
"<XSS>=&{()})
• Все поля ввода валидируются на сервере
• Используем HTTP header Cache-Control: private, no-cache,
no-store, max-age=0

44. Восстановление пароля (Capability
URLs)
• URL содержит уникальный токен (рекомендуется, UUID)
• UUID не должен генерироваться детерминированным способом типа
md5(username)
• UUID имеет ограниченный срок действия (максимум, сутки)
• UUID Не действует после сброса пароля
• URL работает только по HTTPS
• Страницы доступные через URL должны быть закрыты от индексации
роботами
https://w3ctag.github.io/capability-urls/

45. Изменение аутентификационных
данных в ЛК
• Используем анти-CSRF токен в POST запросах (не GET),
который обрабатывается на сервере
• Один анти-CSRF токен действует только для одного
пользователя
• При изменении пароля повторяем механизм восстановления
пароля

46. Защита от clickjacking
• Ответ сервера содержит заголовок
X-Frame-Options Deny
на страницах, не предназначенных для запуска
во фреймах
• Используются ли сторонние сервисы/ плагины?
Разбираемся, как они работают.

47. Injections
• SQL: используем сканеры, например, sqlmap
• XSS: используем сканеры, например, OWASP
Xenotix

48. Дополнительная защита от XSS
• Ответ сервера содержит заголовок
Content-Security-Policy: script-src ‘self'
• Ответ сервера содержит заголовок
Set-Cookie: … ; secure; HttpOnly
• Ответ сервера содержит заголовок
X-XSS-Protection: 1; mode=block
• Ответ сервера содержит заголовок
x-content-type-options:nosniff
www.securityheaders.io

49. 1. OWASP Authentication Cheat Sheet
(https://www.owasp.org/index.php/Authentication_Cheat_She
et)
2. Dos and Don’ts of Client Authentication on the Web
(https://pdos.csail.mit.edu/papers/webauth:sec10.pdf)
3. http://www.webappsec.org
4. http://seclists.org
5. https://www.seekurity.com
6. http://hackerone.com
Что почитать?

50. ext_zavarov@kaspersky.com
facebook.com/zavarovkv
+7 968 6120490
Вопросы?