Cum imi pot securiza magazinul online

1 / CUM şi DE CE să îmi securizez magazinul online Scoala de afaceri ePayment ©2009

CUM şi DE CE să îmi securizez magazinul online

Alexandru Molodoi

Chief Technical Officer GECAD NET

Scoala de Afaceri ePayment, 26.02.2009


Agenda

• Despre GECAD NET• Securitatea informatiei• Top vulnerabilitati magazine online• Nu am un magazin online securizat. Ce se poate

intampla?• Ce pot sa fac pentru a-mi securiza site-ul?


Despre GECAD NET

• Cunoscuti pana in 2003 ca producator de tehnologii antivirus.• Dupa 2003, GECAD devine Grup iar in cadrul sau, GECAD NET

continua traditia in securitate IT.• In 2006, GECAD NET lanseaza propria solutie de securitate. SENTINET, care evalueaza infrastructura IT, o monitorizeaza,

alerteaza si raporteaza incidentele din reteaua companiei si nu numai.

• Din 2009 GECAD NET extinde parteneriatul cu Kaspersky atat in Romania cat si in Bulgaria pentru comercializarea solutilor de business.

• Focus pe servicii profesionale de IT pentru mediul business.


Securitatea informatiei


Vulnerabilitati

• SQL Injection• Cross Site Scripting (XSS)• Parameter tampering• Cookie Poisoning• Denial of Service (DoS)


Impactul atacurilor• Furtul, modificarea sau distrugerea informatiilor din

bazele de date• Furtul identitatii clientilor• Efectuarea de tranzactii online de catre atacator in

numele utilizatorului atacat• Preluarea controlului total asupra website-ului sau

chiar a serverului• Modificarea paginilor – dezinformare sau

compromiterea imaginii magazinului online• Indisponibilitatea website-ului


SQL Injection

SQL Injection este o vulnerabilitate ce apare atunci cand datele primite de la utilizator nu sunt verificate corect ci pasate direct catre baza de date. In consecinta atacatorul poate schimba cererea la baza de date.

Vectori de atac:- Formulare- Search box-uri- Parametri din URL


SQL Injection

Efecte Furt de date (tabele intregi) (SELECT * FROM …) Modificare continut website (UPDATE tabel SET …) Distrugere de date (DELETE FROM …) Furtul identitatii utilizatorilor Efectuare de tranzactii online de cate atacator in numele

utilizatorului atacat Preluarea controlului website-ului Indisponibilitatea website-ului


Cross Site Scripting (XSS)

XSS este o vulnerabilitate specifica aplicatiilor web ce permite injectare de cod “malitios” in paginile web vizitate de utilizatori vizati.

Vectori de atac:- Formulare- Parametri transmisi prin URL


Cross Site Scripting (XSS)

Efecte Furtul identitatii utilizatorilor website-ului Efectuarea de tranzactii online in numele altor

utilizatori Rularea de continut malitios pe calculatoarele

utilizatorilor website-ului


Parameter tampering

Atacurile de tip Web Parameter Tampering se bazeaza pe manipularea parametrilor transferati intre browser si server. Astfel sunt modificate datele de intrare ale aplicatiei, precum credentialele utilizatorului si parole de acces, preturi si cantitati ale produselor, etc. Aceste informatii sunt de obicei stocate in cookies, campuri invizibile de formulare sau URL Query Strings, si sunt utilizate pentru a creste functionalitatea si controlul asupra aplicatiei.


Parameter tampering

Efecte Efectuare de comenzi online cu preturi modificate Accesarea de sectiuni neautorizate din website Modificare neautorizata de continut


Cookie Poisoning

In cazul Cookie Poisoning un atacator poate modifica valorile parametrilor stocati in cookie inainte de a le trimite catre server. Daca, spre exemplu, un cookie stocheaza suma totala pe care un client o datoreaza pentru produsele din cosul sau virtual, printr-o modificare adusa acestei valori atacatorul poate prejudicia proprietarul website-ului ca urmare a platii unei sume mult mai mici pentru cumparaturile sale.


Cookie Poisoning

Efecte Accesarea de sectiuni neautorizate din website Modificare neautorizata de continut


Denial of Service (DoS)

Denial of Service este vulnerabilitatea care odata exploatata face aplicatia online indisponibila vizitatorilor. Una din modalitatile de exploatare este de a face un numar mare de cereri incercand saturarea numarului maxim de conexiuni.


Denial of Service (DoS)

Efect Indisponibilitatea aplicatiei


Cum imi protejez website-ul de efectele acestor vulnerabilitati?


Definire specificatii si arhitectura

Securitatea aplicatiei se trateaza inca de la etapa de definire a specificatiilor si a arhitecturii aplicatiei web astfel incat aplicatia sa fie “Secure by Design”


Dezvoltare aplicatie

Dezvoltatorii aplicatiei trebuie sa aiba notiuni de securitatea informatiei.

Pe parcursul dezvoltarii aplicatiei fiecare modul trebuie verificat si din punct de vedere al securitatii cu instrumente specializate.


Release

Inainte de lansarea aplicatiei web aceasta trebuie auditata ca un tot unitar pentru vulnerabilitati de

platforma (Sistem operare, Apache, PHP, SQL etc.) de aplicatie (aplicatia web propriu-zisa)


Auditare periodica

Periodic, trebuie auditat aplicatia deoarece: De cele mai multe ori se adauga functionalitati noi

adaugate in aplicatie Frecvent sunt descoperite vulnerabilitati noi (de

platforma si de aplicatie)


Multumesc !

Alexandru [email protected]


Q & A

Date post:	18-Dec-2014
Category:	Business
Upload:	gecad-epayment
View:	935 times
Download:	4 times

Cum imi pot securiza magazinul online

Business