Soumettre la recherche
Mettre en ligne
Defense in Depth Web Inkognito 12/2013
•
Télécharger en tant que PPT, PDF
•
1 j'aime
•
1,408 vues
Michal Špaček
Suivre
Signaler
Partager
Signaler
Partager
1 sur 68
Télécharger maintenant
Recommandé
Vyhledávače zboží 2015: Medio
Vyhledávače zboží 2015: Medio
BESTETO
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
Michal Špaček
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
Michal Špaček
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
Lámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
Michal Špaček
Recommandé
Vyhledávače zboží 2015: Medio
Vyhledávače zboží 2015: Medio
BESTETO
WebTop100 Technické chyby, výkon a bezpečnost
WebTop100 Technické chyby, výkon a bezpečnost
Michal Špaček
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
Michal Špaček
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
Lámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
Michal Špaček
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Michal Špaček
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
Medvědí služba
Medvědí služba
Michal Špaček
Disclosing password hashing policies
Disclosing password hashing policies
Michal Špaček
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
Poučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
Michal Špaček
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Michal Špaček
Hlava není na hesla
Hlava není na hesla
Michal Špaček
HTTP/2
HTTP/2
Michal Špaček
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
Přechod na HTTPS
Přechod na HTTPS
Michal Špaček
Noční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
The problem with the real world
The problem with the real world
Michal Špaček
Contenu connexe
Plus de Michal Špaček
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Michal Špaček
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
Medvědí služba
Medvědí služba
Michal Špaček
Disclosing password hashing policies
Disclosing password hashing policies
Michal Špaček
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
Poučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
Michal Špaček
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Michal Špaček
Hlava není na hesla
Hlava není na hesla
Michal Špaček
HTTP/2
HTTP/2
Michal Špaček
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
Přechod na HTTPS
Přechod na HTTPS
Michal Špaček
Noční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
The problem with the real world
The problem with the real world
Michal Špaček
Plus de Michal Špaček
(20)
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Medvědí služba
Medvědí služba
Disclosing password hashing policies
Disclosing password hashing policies
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Poučte se z cizích chyb
Poučte se z cizích chyb
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Operations security (OPSEC) in IT
Operations security (OPSEC) in IT
HTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Hlava není na hesla
Hlava není na hesla
HTTP/2
HTTP/2
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Přechod na HTTPS
Přechod na HTTPS
Noční můry webového vývojáře
Noční můry webového vývojáře
The problem with the real world
The problem with the real world
Defense in Depth Web Inkognito 12/2013
1.
DEFENSE IN DEPTH Tisíc
a jeden tip pro webovou bezpečnost Michal Špaček @spazef0rze Web Inkognito VŠE www.michalspacek.cz @iz228 prosinec 2013 Slajdy jsou bez mých poznámek, nedávají tedy moc smysl pro toho, kdo na semináři nebyl.
2.
Zdroj: www.adobe.com
3.
Říjen 2013 3 miliony
karet + 38 milionů účtů Nebo 150 milionů? Zdrojové kódy
4.
# Count Ciphertext Plaintext -------------------------------------------------------------1. 1911938 EQ7fIpT7i/Q= 123456 2. 446162 j9p+HwtWWT86aMjgZFLzYg== 123456789 3. 345834 L8qbAD3jl3jioxG6CatHBw== password 4. 211659 BB4e6X+b2xLioxG6CatHBw== adobe123 5. 201580 j9p+HwtWWT/ioxG6CatHBw== 12345678 6. 130832 5djv7ZCI2ws= qwerty 7. 124253 dQi0asWPYvQ= 1234567 8. 113884 7LqYzKVeq8I= 111111 9. 83411 PMDTbP0LZxu03SwrFUvYGA== photoshop 10. 82694 e6MPXQ5G6a8= 123123 Zdroj: http://stricture-group.com/files/adobe-top100.txt Michal Špaček www.michalspacek.cz
5.
Zdroj: http://nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/ Michal Špaček www.michalspacek.cz
6.
Hesla špatně zašifrovaná Hesla v
nápovědě v čitelné podobě LOL Michal Špaček www.michalspacek.cz
7.
jan.semcky@firma.seznam.cz kwclmYX4Q9E= Michal Špaček www.michalspacek.cz
8.
lumatch@seznam.cz KwclmYX4Q9E= emajlovej klient vole ajohnson@mynow.co.uk KwclmYX4Q9E= zoznam
cz Michal Špaček www.michalspacek.cz
9.
SQL Injection Útočník modifikuje
SQL dotaz Michal Špaček www.michalspacek.cz
10.
Michal Špaček www.michalspacek.cz
11.
Michal Špaček www.michalspacek.cz
12.
"… WHERE znacka
= '{$_GET['znacka']}'" Michal Špaček www.michalspacek.cz
13.
Michal Špaček www.michalspacek.cz
14.
'… WHERE id
= ' . $_GET['id'] Michal Špaček www.michalspacek.cz
15.
' OR 1=1;
-Michal Špaček www.michalspacek.cz
16.
SELECT jmeno, adresa FROM
vozidla WHERE rz = '$prectena'; Michal Špaček www.michalspacek.cz
17.
1AM 1337 SELECT jmeno,
adresa FROM vozidla WHERE rz = '1AM 1337'; Michal Špaček www.michalspacek.cz
18.
' OR 1=1;
-SELECT jmeno, adresa FROM vozidla WHERE rz = '' OR 1=1; --'; Michal Špaček www.michalspacek.cz
19.
20.
Řešení? Prepared statements (PDO) Michal
Špaček www.michalspacek.cz
21.
SELECT jmeno, adresa FROM
vozidla WHERE rz = ?; ' OR 1=1; -Michal Špaček www.michalspacek.cz
22.
Michal Špaček www.michalspacek.cz
23.
mysql_set_charset() mysql_real_escape_string() Michal Špaček www.michalspacek.cz
24.
Nepoužívat addslashes() proti SQLIA Michal Špaček www.michalspacek.cz
25.
Defense in Depth
Fail = SQL Injection + Špatně uložená hesla Michal Špaček www.michalspacek.cz
26.
323 loginů + SHA-1 hashů
hesel crackstation.net Michal Špaček www.michalspacek.cz
27.
crackstation.net 111 cracknutých hesel Michal
Špaček www.michalspacek.cz
28.
exoddus Tbvfs1 9plams P1ll3d Neznašov Michal Špaček www.michalspacek.cz
29.
111 cracknutých hesel 52
k loginu …@seznam.cz Michal Špaček www.michalspacek.cz
30.
52 loginů …@seznam.cz Kolik
stejných hesel jako na Seznam? Michal Špaček www.michalspacek.cz
31.
Zdroj: http://www.flickr.com/photos/77939791@N00/5721058729/
32.
…@email.cz 2z8 …@centrum.cz 3z9 …@gmail.com 1 z 15 Michal
Špaček www.michalspacek.cz
33.
hashcat 164 dalších cracknutých
hesel Michal Špaček www.michalspacek.cz
34.
164 dalších cracknutých
hesel 2 také použita pro mailbox Michal Špaček www.michalspacek.cz
35.
Email Password! Zdroj: www.twitter.com
36.
v čitelné podobě (v
plaintextu) Michal Špaček www.michalspacek.cz
37.
38.
MD5(heslo) SHA1(heslo) CRC32(heslo) Michal Špaček www.michalspacek.cz
39.
40.
41.
Zdroj: http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/
42.
MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( MD5(MD5(MD5(MD5(MD5(MD5(MD5( heslo )))))))))))))))) )))))))))))))))) Michal Špaček www.michalspacek.cz
43.
44.
Zdroj: http://www.flickr.com/photos/92154034@N00/440515255/
45.
MD5(heslo + salt) SHA1(heslo
+ salt) Michal Špaček www.michalspacek.cz
46.
47.
bcrypt! Blowfish hashing Michal Špaček www.michalspacek.cz
48.
crypt() salt=$2y$… password_hash() password_verify() Michal Špaček www.michalspacek.cz
49.
scrypt PBKDF2 Michal Špaček www.michalspacek.cz
50.
Zdroj: http://www.flickr.com/photos/40852961@N04/5439723004/
51.
Zdroj: http://www.flickr.com/photos/59730822@N08/5701097734/
52.
Zdroj: http://www.flickr.com/photos/reidrac/4696900602/
53.
Cross-Site Scripting (XSS) Útočník
vloží na naši stránku vlastní HTML nebo JS kód Michal Špaček www.michalspacek.cz
54.
Michal Špaček www.michalspacek.cz
55.
Michal Špaček www.michalspacek.cz
56.
Michal Špaček www.michalspacek.cz
57.
Řešení? htmlspecialchars($string) Michal Špaček www.michalspacek.cz
58.
htmlspecialchars($string, ENT_QUOTES) Michal Špaček www.michalspacek.cz
59.
Nepoužívat strip_tags() proti XSS Michal Špaček www.michalspacek.cz
60.
Cross-Site Scripting X-XSS-Protection: 0 X-XSS-Protection:
1 X-XSS-Protection: 1; mode=block Michal Špaček www.michalspacek.cz
61.
X-XSS-Protection IE 8+ Chrome Safari 4+ Michal
Špaček www.michalspacek.cz
62.
Michal Špaček www.michalspacek.cz
63.
HTTP-Only cookies session.cookie_httponly: true session.cookie_secure:
true Michal Špaček www.michalspacek.cz
64.
HttpOnly flag IE 6
SP1+ a všechny další Michal Špaček www.michalspacek.cz
65.
Content-Security-Policy default-src 'none' script-src 'unsafe-inline' script-src
ajax.googleapis.com Michal Špaček www.michalspacek.cz
66.
Content-Security-Policy Firefox 4+ X-Content-Security-Policy Chrome 25+,
Firefox 23+, Opera 15+ Content-Security-Policy IE 10+ X-Content-Security-Policy Michal Špaček www.michalspacek.cz
67.
I vaši aplikaci napadnou zlí
útočníci Jste připraveni?
68.
Michal Špaček www.michalspacek.cz
Télécharger maintenant