1. DEFENSE IN DEPTH
Tisíc a jeden tip pro webovou bezpečnost
Michal Špaček
@spazef0rze
Web Inkognito VŠE
www.michalspacek.cz
@iz228
prosinec 2013
Slajdy jsou bez mých poznámek,
nedávají tedy moc smysl pro toho, kdo na semináři nebyl.

2. Zdroj: www.adobe.com

3. Říjen 2013
3 miliony karet + 38 milionů účtů
Nebo 150 milionů?
Zdrojové kódy

4. #
Count
Ciphertext
Plaintext
-------------------------------------------------------------1.
1911938
EQ7fIpT7i/Q=
123456
2.
446162
j9p+HwtWWT86aMjgZFLzYg==
123456789
3.
345834
L8qbAD3jl3jioxG6CatHBw==
password
4.
211659
BB4e6X+b2xLioxG6CatHBw==
adobe123
5.
201580
j9p+HwtWWT/ioxG6CatHBw==
12345678
6.
130832
5djv7ZCI2ws=
qwerty
7.
124253
dQi0asWPYvQ=
1234567
8.
113884
7LqYzKVeq8I=
111111
9.
83411
PMDTbP0LZxu03SwrFUvYGA==
photoshop
10.
82694
e6MPXQ5G6a8=
123123
Zdroj: http://stricture-group.com/files/adobe-top100.txt
Michal Špaček
www.michalspacek.cz

5. Zdroj: http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
Michal Špaček
www.michalspacek.cz

6. Hesla špatně
zašifrovaná
Hesla v nápovědě v
čitelné podobě
LOL
Michal Špaček
www.michalspacek.cz

7. jan.semcky@firma.seznam.cz
kwclmYX4Q9E=
Michal Špaček
www.michalspacek.cz

8. lumatch@seznam.cz
KwclmYX4Q9E=
emajlovej klient vole
ajohnson@mynow.co.uk
KwclmYX4Q9E=
zoznam cz
Michal Špaček
www.michalspacek.cz

9. SQL Injection
Útočník modifikuje SQL dotaz
Michal Špaček
www.michalspacek.cz

10. Michal Špaček
www.michalspacek.cz

11. Michal Špaček
www.michalspacek.cz

12. "… WHERE znacka = '{$_GET['znacka']}'"
Michal Špaček
www.michalspacek.cz

13. Michal Špaček
www.michalspacek.cz

14. '… WHERE id = ' . $_GET['id']
Michal Špaček
www.michalspacek.cz

15. ' OR 1=1; -Michal Špaček
www.michalspacek.cz

16. SELECT jmeno, adresa
FROM vozidla
WHERE rz = '$prectena';
Michal Špaček
www.michalspacek.cz

17. 1AM 1337
SELECT jmeno, adresa
FROM vozidla
WHERE rz = '1AM 1337';
Michal Špaček
www.michalspacek.cz

18. ' OR 1=1; -SELECT jmeno, adresa
FROM vozidla
WHERE rz = '' OR 1=1; --';
Michal Špaček
www.michalspacek.cz

20. Řešení?
Prepared statements (PDO)
Michal Špaček
www.michalspacek.cz

21. SELECT jmeno, adresa
FROM vozidla
WHERE rz = ?;
' OR 1=1; -Michal Špaček
www.michalspacek.cz

22. Michal Špaček
www.michalspacek.cz

23. mysql_set_charset()
mysql_real_escape_string()
Michal Špaček
www.michalspacek.cz

24. Nepoužívat
addslashes()
proti SQLIA
Michal Špaček
www.michalspacek.cz

25. Defense in Depth Fail
=
SQL Injection
+
Špatně uložená hesla
Michal Špaček
www.michalspacek.cz

26. 323 loginů
+
SHA-1 hashů hesel
crackstation.net
Michal Špaček
www.michalspacek.cz

27. crackstation.net
111 cracknutých hesel
Michal Špaček
www.michalspacek.cz

28. exoddus
Tbvfs1
9plams
P1ll3d
Neznašov
Michal Špaček
www.michalspacek.cz

29. 111 cracknutých hesel
52 k loginu
…@seznam.cz
Michal Špaček
www.michalspacek.cz

30. 52 loginů …@seznam.cz
Kolik stejných hesel jako
na Seznam?
Michal Špaček
www.michalspacek.cz

31. Zdroj: http://www.flickr.com/photos/77939791@N00/5721058729/

32. …@email.cz
2z8
…@centrum.cz
3z9
…@gmail.com
1 z 15
Michal Špaček
www.michalspacek.cz

33. hashcat
164 dalších cracknutých hesel
Michal Špaček
www.michalspacek.cz

34. 164 dalších cracknutých hesel
2 také použita pro mailbox
Michal Špaček
www.michalspacek.cz

35. Email Password!
Zdroj: www.twitter.com

36. v čitelné podobě
(v plaintextu)
Michal Špaček
www.michalspacek.cz

38. MD5(heslo)
SHA1(heslo)
CRC32(heslo)
Michal Špaček
www.michalspacek.cz

41. Zdroj: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/

42. MD5(MD5(MD5(MD5(MD5(MD5(MD5(
MD5(MD5(MD5(MD5(MD5(MD5(MD5(
MD5(MD5(MD5(MD5(MD5(MD5(MD5(
MD5(MD5(MD5(MD5(MD5(MD5(MD5(
heslo
))))))))))))))))
))))))))))))))))
Michal Špaček
www.michalspacek.cz

44. Zdroj: http://www.flickr.com/photos/92154034@N00/440515255/

45. MD5(heslo + salt)
SHA1(heslo + salt)
Michal Špaček
www.michalspacek.cz

47. bcrypt!
Blowfish hashing
Michal Špaček
www.michalspacek.cz

48. crypt() salt=$2y$…
password_hash()
password_verify()
Michal Špaček
www.michalspacek.cz

49. scrypt
PBKDF2
Michal Špaček
www.michalspacek.cz

50. Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/

51. Zdroj: http://www.flickr.com/photos/59730822@N08/5701097734/

52. Zdroj: http://www.flickr.com/photos/reidrac/4696900602/

53. Cross-Site Scripting (XSS)
Útočník vloží na naši stránku
vlastní HTML nebo JS kód
Michal Špaček
www.michalspacek.cz

54. Michal Špaček
www.michalspacek.cz

55. Michal Špaček
www.michalspacek.cz

56. Michal Špaček
www.michalspacek.cz

57. Řešení?
htmlspecialchars($string)
Michal Špaček
www.michalspacek.cz

58. htmlspecialchars($string, ENT_QUOTES)
Michal Špaček
www.michalspacek.cz

59. Nepoužívat
strip_tags()
proti XSS
Michal Špaček
www.michalspacek.cz

60. Cross-Site Scripting
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
Michal Špaček
www.michalspacek.cz

61. X-XSS-Protection
IE 8+
Chrome
Safari 4+
Michal Špaček
www.michalspacek.cz

62. Michal Špaček
www.michalspacek.cz

63. HTTP-Only cookies
session.cookie_httponly: true
session.cookie_secure: true
Michal Špaček
www.michalspacek.cz

64. HttpOnly flag
IE 6 SP1+
a všechny další
Michal Špaček
www.michalspacek.cz

65. Content-Security-Policy
default-src 'none'
script-src 'unsafe-inline'
script-src ajax.googleapis.com
Michal Špaček
www.michalspacek.cz

66. Content-Security-Policy
Firefox 4+
X-Content-Security-Policy
Chrome 25+, Firefox 23+, Opera 15+
Content-Security-Policy
IE 10+
X-Content-Security-Policy
Michal Špaček
www.michalspacek.cz

67. I vaši aplikaci
napadnou
zlí útočníci
Jste připraveni?

68. Michal Špaček
www.michalspacek.cz