2. Kas tad ir web aplikācijas
• Plašāka pāreja uz web aplikācijām
– Bankas, sociālie tīkli, portāli, utml
• WEB 2.0
– AJAX
– Drošība vs. Lietojamība
3. Klasiskie drošības mehānismi
• Perimetra drošības nodrošināšana
• Jauninājumu instalēšana
• Web aplikāciju gadījumā ar to nav gana...
4. Kā tad nodrošināt drošību
• Tehnoloģiskā drošība
– Operētājsistēma
– Ar lapas apkalpošanu saistītie servisi
– Tīkla infrastruktūra
– Web aplikācijas saturs
• Procedūras un procesi
– Izstrāde ar fokusu uz drošību
– Uzraudzība un kontrole
• Auditācijas pieraksti
• Pro-aktīva drošības testēšana
5. Tehnoloģiju daļa web lapu
drošībā
• SQL injection (un citi injection tipi
– Piekļuve datu bāžu saturam
• XSS Cross Site Scripting
– Pārvirzīšana, sesiju nolaupīšana, lapas izskats
(jebkura JavaScript funkcija)
• Mainīgo minēšana
– ?pass=xas2312
• Paroļu minēšana
• Cookie izmantošana
• Un citi...
6. Procesu daļa drošības
nodrošināšanā
• Izstrādes daļa
– Secure Development
– Testēšana pēc ieviešanas
• Pastāvīga uzraudzība un kontrole
– Auditācijas pieraksti
• Proaktīvās darbības
– Drošības pārbaudes
• Vulnerability management process
• Drošības incidentu izmeklēšana
– Informācijas ievākšana
9. Kādi ir “top” gadījumi
• Latvija
– Valsts Policijas mājas lapa = 2007.07
– Iekšlietu ministrijas mājas lapa = 2007.10
– Kopumā katru mēnesi ~20 lapām
• Pasaule
– RIAA (ASV ierakstu industrija) 2008.04
• SQL injection
– Twitter kontu laušana (t.sk. Baraka Obamas konts)
2009.02
• Brute force
– Orkut, Myspace un citu sociālo tīklu problēmas ar
XSS (2007/2008/2009)
• Worm tipa aplikācijas
10. OWASP
• Open Web Application Security Project
• Projekti
– PROTECT
• Development guide
• Sammy
• Enterprise Security
• Ruby on Rails
– DETECT
• WebScarab
• LiveCD
• Code Review & Testing
• Top Ten (Qualys)
– LIFE CYCLE
• WebGoat
• Legal
• Latvian chapter
11. Kur gūt papildus informāciju
• Google
• OWASP.org
• http://ha.ckers.org
• www.zone-h.org