2. Заголовок
Предметная область, рассматривающая в качестве
объекта защиты гипотетическую информационную
систему (ИС):
• включающую в себя конкретное приложение
• объединяющую объекты окружения в единую
сущность
• замкнутую относительно информационных
потоков приложения
APPSEC (APPLICATION SECURITY) 1/2
11. Заголовок
Сущность: точки на карте города
• свойство: координаты – пара значений «широта-долгота»;
• инвариант: координаты принадлежат перекресткам города или
строениям.
Сущность: маршрут
• свойство: путь - упорядоченное множество точек на карте города;
• инвариант: путь непрерывен, проходит по улицам города в соответствии
с ПДД;
• отношение: оптимальность – длина пути минимальна для заданных
начальной и конечной точек.
Сущности: точка загрузки, точка доставки
• свойство: точка на карте города;
• инвариант: координаты принадлежат строениям.
ПРИМЕР: ЛОГИСТИКА
12. Заголовок
В терминах предметной области логистики:
построить оптимальный маршрут из
точки загрузки, проходящий через все
точки доставки по одному разу и
возвращающийся в точку загрузки.
ПРИМЕР: ЛОГИСТИКА
13. Заголовок
В терминах предметной области теории
графов:
Найти гамильтонов цикл минимального
веса в полном (дополненном ребрами
бесконечной длины) взвешенном графе.
ПРИМЕР: ЛОГИСТИКА
15. ЗаголовокПРЕДМЕТНЫЕ ОБЛАСТИ ПРИЛОЖЕНИЙ
Вторичные:
• защищенность;
• отказоустойчивость;
• опыт взаимодействия,
• производительность.
Первичные (основные):
― интернет-торговля;
― онлайн-банкинг;
― бухучет;
― … (тысячи их).
Каждое приложение реализует модели как основной предметной области,
так и множество моделей вторичных предметных областей
35. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 1/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
36. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 2/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
37. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 3/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
38. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 4/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
39. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 5/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
40. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 6/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
41. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 7/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
42. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 8/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
43. ЗаголовокПОТОКИ ДАННЫХ (ПРИМЕР 9/9)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
44. Заголовок
Множество всех возможных значений потока данных в конкретной
точке потока выполнения определяет его состояние
СОСТОЯНИЕ ПОТОКА ДАННЫХ
45. ЗаголовокСОСТОЯНИЕ ПОТОКА ДАННЫХ (ПРИМЕР)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
str1 ∈ {
Encoding.UTF8.GetString(data),
"Wrong Key!"
}
46. Заголовок
Множество состояний всех потоков данных в конкретной точке
потока выполнения определяют состояние приложения
СОСТОЯНИЕ ПРИЛОЖЕНИЯ
47. ЗаголовокСОСТОЯНИЕ ПРИЛОЖЕНИЯ (ПРИМЕР)
var name = Request.Params["name"];
var key1 = Request.Params["key1"];
var parm = Request.Params["parm"];
var data = string.IsNullOrEmpty(parm) ? new char[0]: Convert.FromBase64String(parm);
string str1;
if (name + "in" == "admin")
{
if (key1 == "validkey")
{
str1 = Encoding.UTF8.GetString(data);
}
else
{
str1 = "Wrong key!";
}
Response.Write(str1);
}
str1 ∈ {
Encoding.UTF8.GetString(data),
"Wrong Key!"
}
name ∈ { Request.Params["name"] }
key1 ∈ { Request.Params["key1"] }
parm ∈ { Request.Params["parm"] }
data ∈ {
new char[0],
Convert.FromBse64String(parm)
}
48. Заголовок
Граф переходов между состояниями приложения определяет все
возможные потоки вычисления и является искомой моделью
процесса его выполнения
ГРАФ ПОТОКОВ ВЫЧИСЛЕНИЯ
57. Заголовок
Приводимые далее термины и определения локальны и не
претендуют на признание в качестве общеупотребительных. Тем
не менее, они устраняют существующие разночтения и
противоречия в традиционной терминологии, позволяя перейти от
интуитивных формулировок к формальным.
DISCLAIMER
65. Заголовок
То, что может сделать атакующий с потоками информации,
называется угрозой (threat)
То, когда и благодаря чему он может это сделать, называется
уязвимостью (vulnerability), обусловленной недостатком
(weakness)
ИНЫМИ СЛОВАМИ
66. Заголовок
То, как он может это сделать, называется атакой (attack)
То, с какой вероятностью у него это удастся и какие
последствия может повлечь, называется риском (risk)
ИНЫМИ СЛОВАМИ
67. Заголовок
То, что не позволяет атакующему провести атаку, обеспечивает
защищенность (security)
То, что минимизирует риск, обеспечивает безопасность (safety)
ИНЫМИ СЛОВАМИ
71. Заголовок
• Потоки операций являются и информационными потоками, и
сущностями модели основной предметной области приложения
• Потоки вычисления являются и информационными потоками,
и сущностями предметной области защищённости приложения
• Потоки данных окружения являются и информационными
потоками, и сущностями модели окружения
А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
72. Заголовок
• Недостаток – неэффективная реализация моделей предметных
областей приложения или окружения (контролей инвариантов их
сущностей)
Примеры контролей:
• предварительная обработка потоков данных;
• подтверждение аутентичности потоков операций;
• проверка прав доступа к потокам данных;
• обеспечение целостности потока операций;
• …
А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
73. Заголовок
• Уязвимость приложения – состояние возможности нарушения
конфиденциальности, целостности, доступности, аутентичности
или авторизованности любого из потоков операций или
вычисления приложения, а также потоков данных окружения
• Состояние защищённости приложения возникает при
невозможности эксплуатации в нём любой уязвимости
А ТЕПЕРЬ – ВСЁ ВМЕСТЕ
74. Заголовок
• Вычислительный – уязвимости, описываемые в терминах
модели процесса выполнения приложения
• Логический – уязвимости, описываемые в терминах модели
предметной области приложения
• Экзогенный – уязвимости, описываемые в терминах модели
окружения
СУПЕРКЛАССЫ УЯЗВИМОСТЕЙ ПРИЛОЖЕНИЯ
76. Заголовок
Атаки на нарушение целостности потоков данных в результате их
преобразования принято называть инъекциями
Тип инъекции определяется грамматикой атакуемого потока
данных (HTML, XML, SQL, XPath, XQuery, LDAP, LINQ, Path, …)
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ИНЪЕКЦИИ
77. Заголовок
«Пусть C - граф потоков вычисления приложения.
Пусть pvf(t) - достижимая вершина потока управления на C,
являющаяся вызовом функции прямой или косвенной
интерпретации текста t, соответствующего известной
формальной грамматике G.
Пусть e - поток аргумента входных данных на С.
Пусть De - множество потоков данных на C, порождаемых от e и
достижимых в точке вызова pvf(t), где t принадлежит De»
МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (1/3)
78. Заголовок
«Тогда приложение уязвимо к угрозе нарушения целостности
потоков данных De в точке выполнения pvf(t), если среди них
найдётся хотя бы одна пара таких значений, при которых, в
результате их синтаксического разбора в соответствии с
грамматикой G, получаются не изоморфные друг-другу деревья
разбора»
МОДЕЛИРОВАНИЕ ИНЪЕКЦИЙ (2/3)
80. Заголовок
Несогласованная работа с разделяемом ресурсом в
многопоточном окружении приводит к гонкам за ресурс
Окружение любого веб-приложения является многопоточным
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС
81. Заголовок
Пусть P – сеть Петри, построенная по C, где переходами сети
являются все промежуточные вершины C, позициями – его
вершины, соответствующие операциям чтения или записи
каждого ресурса окружения, а условиями перехода – условия
достижимости соответствующих вершин C.
Тогда, возможность появления более одной метки в любом
состоянии графа маркировок P укажет на возможность
реализации угрозы нарушения целостности или аутентичности
потока вычисления.
ВЫЧИСЛИТЕЛЬНЫЙ КЛАСС: ГОНКА ЗА РЕСУРС
82. Заголовок
• Направлены на реализацию угрозы (нарушение одного из
свойств защищённости какого-либо потока вычисления,
операций или данных окружения)
• Могут являться как производными от предыдущих атак, так и
первообразными для последующих. Например:
• HTTP Response Splitting →
Header Spoofing →
Session Fixation
Unvalidated Redirection
Body spoofing →
Content Spoofing
Session Fixation
Unvalidated Redirection
Cross-Site Scripting
…
СВОЙСТВА АТАК
85. ЗаголовокКЛАССИФИКАЦИЯ: СПУФИНГ ПОТОКА ОПЕРАЦИЙ
Признак Значение
Предметная область Защищённость приложения
Недостаток Неэффективное подтверждение
аутентичности идентификатора
потока операций
Информационный поток Поток операций
Угроза Нарушение аутентичности
86. ЗаголовокКЛАССИФИКАЦИЯ: ПЕРЕПОЛНЕНИЕ БУФЕРА
Признак Значение
Предметная область Защищённость приложения
Недостаток Неэффективный контроль записи
производных потоков окружения в
память
Информационный поток Метаданные на стеке или в куче
Угроза Нарушение целостности
87. ЗаголовокКЛАССИФИКАЦИЯ: ОБХОД БИЗНЕС-ЛОГИКИ (ЧАСТНЫЙ СЛУЧАЙ)
Признак Значение
Предметная область Онлайн-торговля
Недостаток Неэффективный контроль
использования купонов на скидку
Информационный поток Поток операций транзакции оплаты
заказа
Угроза Нарушение авторизованности