Mne to na notebooku funguje
Se está descargando tu SlideShare.
×
Eche un vistazo a continuación
Más Contenido Relacionado
Similares a Nehacknutelny web (16)
Más de Security Session (20)
Más reciente (8)
Nehacknutelny web
- 1. Nehacknuteľný web Tomáš Zaťko
- 2. Ako prebieha bežný deface webu? • Deravé CMS-‐ko • SQLi • File upload • atď • Deravé systémy web hosLng providera • Ukradnuté heslo
- 3. Cesty na prienik do webov • Útok na systémy admina • HW • OS • Sieť • Systémové knižnice, služby • Webový server • RunLme aplikácie • Knižnice, framework • Aplikácia
- 4. Útok na systém admina • Rôzne vektory infikácie • Trojan • Keylogger
- 5. Hardvér • Fyzický prístup • Remote management serveru • Tiež je to len operačný systém so všetkými špecifikami • Väčšinou nie je updatovaný
- 6. Operačný Systém • Sieť • Bežné sieťové útoky • DNS • Systémové knižnice, služby • Konfiguračné chyby • Špecifické útoky (staré/deravé verzie) • Služby vs. firewall
- 7. Webový server • Web server samotný • Akevne moduly • Konfigurácia
- 8. Webový server • RunLme aplikácie • Knižnice/moduly/rozšírenia • Aplikácia
- 9. OWASP Top 10 (2013)
- 10. OWASP Top 10 -‐ zmeny
- 11. Čo s tým? • Bezpečnostné aktualizácie CMS • Môže prinášať problémy • WAF • Môže prinášať problémy • Vlastný • As a service
- 12. Čo je úlohou bezpečnosL?
- 13. Nepriestrelný web? • StaLcký web = nehacknuteľný web • Akevne prvky = amack surface • Žiadne akevne prvky = niet na čo útočiť
- 14. Nepriestrelný web? • Back to nineLes!
- 15. Nepriestrelný web?
- 16. Nepriestrelný web – HOW TO • CMS “fyzicky” oddelené od publikovanej verzie webu • Izolácia -‐ zamedzenie prístupu z jedného vhostu do druhého • Napr. mod_ruid, pri ktorom beží každý vhost pod iným EUID • Alebo rôzne servery
- 17. Nepriestrelný web – HOW TO • Mirror webu z CMS • Napr. wget, hmrack • Doťahať špecifické súbory • Napr. IE specific stypesheet • Špecifické fixy • Napr. 404 bez vyhľadávanie • Upload do public vhostu • Cleanup
- 18. Nepriestrelný web – HOW TO $HTTRACK_DIR/h-rack "$DYN_WEB" -‐O "$TMP_DIR" -‐s0 -‐-‐footer "" -‐N "%p/%n.%t" –I0 wget -‐-‐no-‐cache -‐q $DYN_WEB/wp-‐content/themes/citadelo/js/html5.js -‐O $TMP_DIR/wp-‐content/themes/citadelo/js/html5.js wget -‐-‐no-‐cache -‐q $DYN_WEB/wp-‐content/themes/citadelo/css/font-‐awesome-‐ie7.min.css -‐O $TMP_DIR/wp-‐content/themes/citadelo/css/ font-‐awesome-‐ie7.min.css wget -‐-‐no-‐cache -‐q $DYN_WEB/wp-‐content/themes/citadelo/css/ie9.css -‐O $TMP_DIR/wp-‐content/themes/citadelo/css/ie9.css wget -‐-‐no-‐cache -‐q $DYN_WEB/wp-‐content/themes/citadelo/css/ie.css -‐O $TMP_DIR/wp-‐content/themes/citadelo/css/ie.css if [ "$1" == "-‐b" ] || [ "$1" == "-‐-‐beta" ] then rsync -‐a -‐-‐del -‐-‐exclude='404.html' -‐-‐exclude='.htaccess' $TMP_DIR citadelo_beta@secustweb01.digmia.com:$DST_DIR else rsync -‐a -‐-‐del -‐-‐exclude='404.html' -‐-‐exclude='.htaccess' $TMP_DIR citadelo_pub@secustweb01.digmia.com:$DST_DIR mkdir $BCK_DIR/$NOW cp -‐a $TMP_DIR/* $BCK_DIR/$NOW ln -‐sfn $BCK_DIR/$NOW $BCK_DIR/current if [ $(ls $BCK_DIR | wc -‐l) -‐gt 11 ] then rm -‐f -‐R "$(find $BCK_DIR/ -‐maxdepth 1 -‐type d -‐prine '%T@t%pn' | sort -‐r | tail -‐n 1 | sed 's/[0-‐9]*.[0-‐9]*t//')" fi fi rm -‐rf $TMP_DIR/*
- 19. Nepriestrelný web – HOW TO • Absolútne linky • AddOutputFilterByType SUBSTITUTE text/html • Substitute "s|https?://cms.citadelo..*/|/|I”
- 20. Nepriestrelný web – HOW TO • Jazyková mutácia podľa GEO IP • RewriteEngine On • GeoIPEnable On • # ak nie sme domena .hu • RewriteCond %{HTTP_HOST} !^((www.|beta.)? citadelo.hu) • # a zaroven nie sme podla geoip SK|HU|CZ • RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !(^(SK|HU| CZ)$) • # tak zobrazime /en • RewriteRule ^$ /en [L] • RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^HU$ [OR] • RewriteCond %{HTTP_HOST} ^(www.|beta.)? citadelo.hu • RewriteRule ^$ /hu [L]
- 21. Nepriestrelný web – HOW TO • Predsalen nejaký akevny prvok? • ProxyPass /mam-zaujem-o-audit-bezpecnosti/ http://cms.citadelo.com/mam-zaujem-o-audit- bezpecnosti/ • ProxyPassReverse /mam-zaujem-o-audit- bezpecnosti/ http://cms.citadelo.com/mam- zaujem-o-audit-bezpecnosti/
- 22. Nepriestrelný web – HOW TO • Po zmene obsahu v CMS je potrebné vypublikovať obsah cez d2s.sh • AutomaLcky – periodicky z CRONu • Manuálne – skript vyvolaný z webu • Manuálne – skript vyvolaný cez ssh
- 23. Nepriestrelný web – Limity • Vyhľadávanie • Diskusie • Live chat • A/B tesLng
- 24. Nepriestrelný web • PrakLcky nehacknuteľný web • Vhodné pre prezentačné weby bez akevnych prvkov • Alebo weby s akevnymi prvkami, ktoré vieme outsourcovať
- 25. tomas.zatko@citadelo.com
