SlideShare une entreprise Scribd logo

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

Télécharger en tant que PPTX, PDF
E
ebuc
1  sur  19
Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis, CISSP, GPEN DPA infrastruktūras un drošības virziena vadītājs
Saturs
Didzis Balodis • DPA IT drošības un infrastruktūras virziena vadītājs • Vairāk kā 10 gadi IT industrijā (sākot no 1999.g) • Administrēšana, izstrāde, drošība • Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās testi (veikti vairāk kā 50 auditi) • Hobijs - bezvadu tīklu drošība • Sertifikāti: • CISSP- Certified Information System Security Professional • GPEN – GIAC Certified Penetration Tester
Statistika gadījumu web aplikācija satur vismaz augsta riska ievainojamību
OWASP TOP 10 A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
Trustwave pētījums
Viegli... Arī web lietojumu drošībā statistika ir nemainīga:
Sekas Klientu dati publiski pieejami Publiskota organizācijas iekšējā informācija Reputācijas zaudējumi Administratīvā atbildība (FPDAL) Sistēmu nepieejamība Finanšu zaudējumi
Piemērs
Piemērs
Piemērs
DEMO TIME
SQLi http://somesystem.lv/ gettextLang=0&usr_login=login ' AND (SELECT 4747 FROM (SELECT COUNT(*),CONCAT(0x3a76796a3a, (SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)), 0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
Failu upload
Pakalpojuma atteice
Proaktīva rīcība Lai izvairītos no nepatīkamas situācijas - pirms to izdarījis kāds cits...
DPA piedāvājums IT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Darbinieku IT drošības apmācība
Sertifikāti
Paldies!

Recommandé

Drosibas auditi
Drosibas auditiDrosibas auditi
Drosibas auditi
ebuc
 
Sociala inzenierija
Sociala inzenierijaSociala inzenierija
Sociala inzenierija
ebuc
 
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībāZinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
ebuc
 
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
ebuc
 
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
ebuc
 
54b Dilhorn Lane
54b Dilhorn Lane54b Dilhorn Lane
54b Dilhorn Lane
michaelbradshaw
 
Lambaian Malar Hijau
Lambaian Malar HijauLambaian Malar Hijau
Lambaian Malar Hijau
ahmadfaris
 
Slideshow for Quiz 1
Slideshow for Quiz 1Slideshow for Quiz 1
Slideshow for Quiz 1
Mr. MacDonald
 

Recommandé

Drosibas auditi
Drosibas auditiDrosibas auditi
Drosibas auditi
ebuc
 
Sociala inzenierija
Sociala inzenierijaSociala inzenierija
Sociala inzenierija
ebuc
 
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībāZinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
Zinoši datorlietotāji – atslēgas elements informācijas aizsardzībā
ebuc
 
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
Kā organizācijas gūs labumu no datu analīzes rīku lietošanas? Aldis Ērglis. D...
ebuc
 
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
Datu bāzu drošība ar IBM InfoSphere Guardium. Jānis Bērziņš. DPA Konference 2...
ebuc
 
54b Dilhorn Lane
54b Dilhorn Lane54b Dilhorn Lane
54b Dilhorn Lane
michaelbradshaw
 
Lambaian Malar Hijau
Lambaian Malar HijauLambaian Malar Hijau
Lambaian Malar Hijau
ahmadfaris
 
Slideshow for Quiz 1
Slideshow for Quiz 1Slideshow for Quiz 1
Slideshow for Quiz 1
Mr. MacDonald
 
What's Next for Your Industry and City?
What's Next for Your Industry and City? What's Next for Your Industry and City?
What's Next for Your Industry and City?
ebuc
 
Top global mega trends
Top global mega trends Top global mega trends
Top global mega trends
ebuc
 
Mobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerlMobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerl
ebuc
 
Launching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competitionLaunching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competition
ebuc
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
ebuc
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
ebuc
 
IBM vision for aviation
IBM vision for aviationIBM vision for aviation
IBM vision for aviation
ebuc
 
CSDD case study
CSDD case studyCSDD case study
CSDD case study
ebuc
 
Can you afford (not) moving to the cloud
Can you afford (not) moving to the cloudCan you afford (not) moving to the cloud
Can you afford (not) moving to the cloud
ebuc
 
Big data – ready for business
Big data – ready for businessBig data – ready for business
Big data – ready for business
ebuc
 
Meistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbamMeistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbam
ebuc
 
Pieredzes stāsti
Pieredzes stāstiPieredzes stāsti
Pieredzes stāsti
ebuc
 
Biznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspektiBiznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspekti
ebuc
 
Smart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solutionSmart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solution
ebuc
 
CITY UP iniciatīva
CITY UP iniciatīvaCITY UP iniciatīva
CITY UP iniciatīva
ebuc
 
Programmatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācijaProgrammatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācija
ebuc
 
Start up iniciatīva 2014
Start up iniciatīva 2014Start up iniciatīva 2014
Start up iniciatīva 2014
ebuc
 
Microsoft Office 365
Microsoft Office 365Microsoft Office 365
Microsoft Office 365
ebuc
 
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
ebuc
 
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAProgrammatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
ebuc
 

Contenu connexe

Plus de ebuc

Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
ebuc
 
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAProgrammatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
ebuc
 

Plus de ebuc (20)

What's Next for Your Industry and City?
What's Next for Your Industry and City? What's Next for Your Industry and City?
What's Next for Your Industry and City?
 
Top global mega trends
Top global mega trends Top global mega trends
Top global mega trends
 
Mobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerlMobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerl
 
Launching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competitionLaunching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competition
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
 
IBM vision for aviation
IBM vision for aviationIBM vision for aviation
IBM vision for aviation
 
CSDD case study
CSDD case studyCSDD case study
CSDD case study
 
Can you afford (not) moving to the cloud
Can you afford (not) moving to the cloudCan you afford (not) moving to the cloud
Can you afford (not) moving to the cloud
 
Big data – ready for business
Big data – ready for businessBig data – ready for business
Big data – ready for business
 
Meistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbamMeistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbam
 
Pieredzes stāsti
Pieredzes stāstiPieredzes stāsti
Pieredzes stāsti
 
Biznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspektiBiznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspekti
 
Smart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solutionSmart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solution
 
CITY UP iniciatīva
CITY UP iniciatīvaCITY UP iniciatīva
CITY UP iniciatīva
 
Programmatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācijaProgrammatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācija
 
Start up iniciatīva 2014
Start up iniciatīva 2014Start up iniciatīva 2014
Start up iniciatīva 2014
 
Microsoft Office 365
Microsoft Office 365Microsoft Office 365
Microsoft Office 365
 
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
 
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAProgrammatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
 

Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis. DPA Konference 2014.

  • 1. Web lietojumu biežāk pieļautās kļūdas un to risinājumi. Didzis Balodis, CISSP, GPEN DPA infrastruktūras un drošības virziena vadītājs
  • 3. Didzis Balodis • DPA IT drošības un infrastruktūras virziena vadītājs • Vairāk kā 10 gadi IT industrijā (sākot no 1999.g) • Administrēšana, izstrāde, drošība • Pēdējie 5 gadi – IT konsultācijas, audits un drošības audits, ielaušanās testi (veikti vairāk kā 50 auditi) • Hobijs - bezvadu tīklu drošība • Sertifikāti: • CISSP- Certified Information System Security Professional • GPEN – GIAC Certified Penetration Tester
  • 4. Statistika gadījumu web aplikācija satur vismaz augsta riska ievainojamību
  • 5. OWASP TOP 10 A1- Injection (SQL, LDAP, SMTP, XML...) A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards
  • 7. Viegli... Arī web lietojumu drošībā statistika ir nemainīga:
  • 8. Sekas Klientu dati publiski pieejami Publiskota organizācijas iekšējā informācija Reputācijas zaudējumi Administratīvā atbildība (FPDAL) Sistēmu nepieejamība Finanšu zaudējumi
  • 13. SQLi http://somesystem.lv/ gettextLang=0&usr_login=login ' AND (SELECT 4747 FROM (SELECT COUNT(*),CONCAT(0x3a76796a3a, (SELECT (CASE WHEN (4747=4747) THEN 1 ELSE 0 END)), 0x3a787a693a,FLOOR(RAND(0)*2))x FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY x)a) AND 'KWgn'='KWgn&usr_password=aaa&sendpost=PieslÄgties sistÄmai
  • 16. Proaktīva rīcība Lai izvairītos no nepatīkamas situācijas - pirms to izdarījis kāds cits...
  • 17. DPA piedāvājums IT auditi un ielaušanās testēšana: Atbilstības auditi LR normatīviem un labākās prakses standartiem Ievainojamību skanēšana Tīkla ielaušanās testi Bezvadu tīklu auditi Web aplikāciju drošības testēšana Sociālās inženierijas testēšana Darbinieku IT drošības apmācība