+ All Categories
Home > Documents > Securitatea Aplicaţiilor Web - c1

Securitatea Aplicaţiilor Web - c1

Date post: 28-Jan-2016
Category:
Upload: nicolae-dorel-constantinescu
View: 55 times
Download: 3 times
Share this document with a friend
Description:
Securitatea Aplicaţiilor Web
32
Securitatea aplicaţiilor web cu accent pe aspecte practice
Transcript
Page 1: Securitatea Aplicaţiilor Web - c1

Securitatea aplicaţiilor web

cu accent pe aspecte practice

Page 2: Securitatea Aplicaţiilor Web - c1

Cursul 1

Structura cursului1. Securitatea în lumea contemporană. Securitatea informaţiilor, securitatea informatică, securitatea aplicaţiilor web2. Tehnologiile aplicaţiilor web 3. Principiile de securitate a aplicaţiilor web. Autentificare, autorizare, managementul sesiunilor, principii de securitate browser 4. Securitatea bazelor de date 5. Securitatea fisierelor6. Dezvoltarea şi instalarea de aplicaţii sigure7. Detectarea vulnerabilităţilor prin inspectarea codului sursă si folosind unelte specifice8. Structura unui atac asupra unui site web. Căi de atac, modalităţi de răspuns

Page 3: Securitatea Aplicaţiilor Web - c1

Cursul 1

Structura laboratoarelor si proiectului 2 sesiuni cu titlu de Laborator1. Funcţionarea unei aplicaţii web, obiectivele şi

anatomia unui atac. Clase de vulnerabilităţi, identificarea şi corectarea acestora în codul sursă (white box)

2. Unelte de analiză (black box). Intocmirea raportului de audit

2 sesiuni cu titlu de Proiect1. Prezentarea aplicaţiei de test, a cerinţelor şi

modalităţii de lucru2. Sesiune de întrebări şi răspunsuri

Page 4: Securitatea Aplicaţiilor Web - c1

Cursul 1

Evaluare

20% teste fulger (pe parcurs) 30% test final 50% proiect

Page 5: Securitatea Aplicaţiilor Web - c1

Cursul 1

Cursul 1

Securitatea în lumea contemporană. Securitatea informaţiilor, securitatea

informatică, securitatea aplicaţiilor web

Page 6: Securitatea Aplicaţiilor Web - c1

Cursul 1

Agenda Securitatea in lumea contemporana Securitatea informatiei. Coordonate Securitatea aplicatiilor web

Viziunea simplista a inceputurilor WWW asupra securitatii

Tipul de dezvoltare a web-ului si consecintele asupra securitatii

Functionarea web-ului si surse de insecuritate

Page 7: Securitatea Aplicaţiilor Web - c1

Cursul 1

Securitatea in lumea contemporana Ce este securitatea? (cu cuvintele noastre) De ce avem nevoie de securitate? Unde avem nevoie de securitate? Este securitatea un domeniu nou? Este securitatea un domeniu foarte dinamic?

Page 8: Securitatea Aplicaţiilor Web - c1

Cursul 1

Securitatea in lumea contemporana (2) In lumea contemporana, tehnologia este

omniprezenta. “Pentru a-şi atinge obiectivele de

securitate, Europa (si lumea in general) trebuie să profite de posibilităţile sale tehnologice.”

“Tehnologia de una singură nu poate garanta securitatea, dar fără suportul tehnologiei securitatea nu se poate realiza.”

Page 9: Securitatea Aplicaţiilor Web - c1

Cursul 1

Information security, information assurance sau cyber-security

Informatia in zilele noastre “traieste” cel mai adesea electronic iar securitatea informatiei este direct legata de securitatea informatica

In sens complet, securitatea informatiei implica si alte aspecte, de exemplu securitatea fizica a sistemelor sau securitatea informatiei scrise pe hartie, retinute in memoria angajatilor etc.

Securitatea informatiei

Page 10: Securitatea Aplicaţiilor Web - c1

Cursul 1

Securitatea informatiei – scop sau mijloc?

Securitatea informatiei intr-o organizatie reprezinta un nivel intermediar intre securitatea tehnologiilor utilizate si securitatea strategica

Securitatea nu e o stare, ci se realizeaza printr-un proces continuu

Cadrul legal exista si este menit sa ne protejeze si sa responsabilizeze

Aliante profesionalePerfectionare profesionala, cursuriEtc...

Securitatea retelelorDetectarea intruziuniiSecuritatea aplicatiilor webSoftware antivirus

CriptografieInfrastructuri de chei publiceEtc...

Integritate, confidentialitate, autenticitate, disponibilitate, non-repudiere Respectarea standardelor

Managementul riscurilorContinuitatea afacerii/Planificarea pt. dezastruEtc...

Terorism, cyber-crimeDezastre naturaleSpionajStrategii, politici, jurisprudenta

Modelul ierarhic al securitatii unei organizatii, din punct de vedere informational

Page 11: Securitatea Aplicaţiilor Web - c1

Cursul 1

Cele mai des întâlnite infracţiuni informatice în România1. Phishing (clonarea de website-uri şi trimiterea de link-uri)2. Licitaţii fictive pe site-uri de comerţ electronic3. Compromiterea conturilor de utilizator pe site-uri de comerţ electronic, ale unor insitituţii financiare ori reţele de socializare4. Acces neautorizat în sisteme informatice şi utilizareafrauduloasă a datelor confidenţiale obţinute5. Compromiterea bancomatelor şi facilitarea copierii de date deidentificare de pe benzile mgnetice ale cardurilor bancare6. Falsificarea instrumentelor de plată electronică

Observatie: Majoritatea au legatura directa cu site-urile sau aplicatiile web

Page 12: Securitatea Aplicaţiilor Web - c1

Cursul 1

Situaţia fenomenului criminalităţii informatice în România 2011 Cauze penale soluţionate - 873 (cu

62,87% mai mult decât în 2010) Cauze finalizate cu trimitere în judecată - 133 (cu

29,13% mai mult decât în 2010) Număr inculpaţi - 333 Număr inculpaţi în arest preventiv - 105

Sursa: DIICOT, www.diicot.ro

Page 13: Securitatea Aplicaţiilor Web - c1

Cursul 1

LEGISLAŢIA ROMÂNEASCĂ PRIVIND NOILE TEHNOLOGIIReprezintă o implementare la nivel naţional a aquis-ului comunitar, dar, în mare parte, se rezumă la o traducere ad literam a prevederilor europeneAspecte pozitive• similitudinea cu directivele sau convenţiile europene• uşurinţa interpretării/comparării cu actele normative din alte state• facilitarea cooperării internaţionale în combaterea criminalităţii informaticeAspecte negative• lipsă de coordonare (ajustare) între actul normativ emis şi restul legislaţiei în vigoare – ceea ce duce adesea la contradicţii / neclarităţi• (uneori) se remarcă dificultăţi în punerea în practică a dispoziţiilor, ţinând cont de noutatea şi tehnicitatea noilor prevederi

Page 14: Securitatea Aplicaţiilor Web - c1

Cursul 1

LEGISLAŢIA ROMÂNEASCĂ PRIVIND NOILE TEHNOLOGIICele mai importante (semnificative) definiţii sunt cuprinse în

Legea 161/2003 privind unele măsuri pentru asigurarea transparenţei în exercitarea demnităţilor publice, a funcţiilor publice şi în mediul de afaceri, prevenirea şi sancţionarea corupţiei, TITLUL III – prevenirea şi combaterea criminalităţii informaticeLegea 365/2002 a comerţului electronicLegea 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilorLegea 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice decomunicaţii

Page 15: Securitatea Aplicaţiilor Web - c1

Cursul 1

INFRACŢIUNI CUPRINSE ÎN LEGEA 161/2003Infracţiuni contra confidenţialităţii şi integrităţii datelor şi sistemelor informatice

• Accesul ilegal la un sistem informatic

• Interceptarea ilegală a unei transmisii de date informatice

• Alterarea integrităţii datelor informatice

• Perturbarea funcţionării sistemelor informatice

• Operaţiuni ilegale cu dispozitive sau programe informatice

Infracţiuni informatice

• Falsul informatic

• Frauda informatică

Pornografia infantilă prin intermediul sistemelor informatice

Constituie infractiune si se pedepseste cu inchisoare de la 1 la 6 ani detinerea de echipamente sau programe informatice in scopul savarsirii vreuneia dintre faptele de mai sus.

Page 16: Securitatea Aplicaţiilor Web - c1

Cursul 1

Alte infractiuni cuprinse in legea 161 / 2003 ART. 48

Fapta de a introduce, modifica sau sterge, fara drept, date informatice ori de a restrictiona, fara drept, accesul la aceste date, rezultand date necorespunzatoare adevarului, in scopul de a fi utilizate in vederea producerii unei consecinte juridice, constituie infractiune si se pedepseste cu inchisoare de la 2 la 7 ani.

ART. 49Fapta de a cauza un prejudiciu patrimonial unei persoane prin introducerea, modificarea sau stergerea de date informatice, prin restrictionarea accesului la aceste date ori prin impiedicarea in orice mod a functionarii unui sistem informatic, in scopul de a obtine un beneficiu material pentru sine sau pentru altul, constituie infractiune si se pedepseste cu inchisoare de la 3 la 12 ani.

Si tentativa se pedepseste.

Page 17: Securitatea Aplicaţiilor Web - c1

Cursul 1

Nu este considerat acces ilegalNu este considerat acces ilegal• transmiterea de fişiere sau de mesaje email• accesarea unei hiperconexiuni (link)• accesul unei pagini web• utilizarea de aplicaţii ajutătoare (cookies) sau care folosesc pentru asigurarea unei comunicaţii mai bune (şi care nu sunt rejectate de către ţintă)

Se consideră a fi acces autorizat (legal):

• accesul permis de utilizatorul de drept sau de proprietar• accesul în scopul asigurării securităţii sau pentru teste (iniţial autorizate)

Page 18: Securitatea Aplicaţiilor Web - c1

Cursul 1

Securitatea aplicatiilor web WWW – World Wide Web nu a fost de la

inceput gandit ca un mediu care sa permita protejarea informatiei

Aspectele simplitate si functionalitate imediata au fost primordiale

WWW este denumirea primului browser creat de Tim Berners-Lee si Dan Connolly, capabil sa parseze HTML si sa comunice prin HTTP – fundamental nesigure

Page 19: Securitatea Aplicaţiilor Web - c1

Cursul 1

Viziunea simplista a inceputurilor WWW asupra securitatii 1945 – Memex 1960 – GML 1980 – SGML 1991 – WWW: HTML + HTTP 1993 – Mosaic, apoi Mosaic Netscape (ulterior

Netscape Navigator) si SpyGlass Mosaic (ulterior Internet Explorer); Opera; Lynx, w3m

1994 – infiintarea World Wide Web Consortium (W3C)

1996 – Internet Explorer 2003 – Safari 2004 – Mozilla Firefox 2008 – Google Chrome

Page 20: Securitatea Aplicaţiilor Web - c1

Cursul 1

Tipul de dezvoltare al WWW Puternic competitiv Rapid Adesea supra-politizat si dezordonat Fara viziune unificatoare Fara un set unificat de principii de securitate Surse de probleme:

majoritatea utilizatorilor nu sunt specialisti in informatica, din contra

Internetul este un mediu distribuit si deschis lipsa unei viziuni convergente interactiunea browser-ului cu restul sistemului perimarea diviziunii client - server

Page 21: Securitatea Aplicaţiilor Web - c1

Cursul 1

Tipul de dezvoltare al WWW

Cotele de piata ale principalelor browsere web, decembrie 2012 (sursa http://www.w3counter.com/ )

Page 22: Securitatea Aplicaţiilor Web - c1

Cursul 1

Sondaj Sunteti familiarizati cu HTML? Ati dezvoltat vreodata aplicatii folosind:

Apache? PHP? Python? SQL? JavaScript? CSS? HTML5? Ajax? JSON?

Vizitati: http://www.w3schools.com/

Page 23: Securitatea Aplicaţiilor Web - c1

Scopurile securitatii web

Navigarea sigura pe Internet Utilizatorii trebuie sa poata vizita diferite site-uri

web, fara a intampina consecite negative precum: Informatie furata (preluata fara permisiunea

utilizatorului) Site-ul A nu trebuie sa poata compromite o sesiune a

Site-ului B Aplicatii web sigure

Aplicatiile oferite pe internet trebuie sa indeplineasca aceleasi caracteristici de securitate cerute pentru aplicatiile standalone

Alte idei?

Page 24: Securitatea Aplicaţiilor Web - c1

Cursul 1

Cum functioneaza aplicatiile web

Page 25: Securitatea Aplicaţiilor Web - c1

Cursul 1

Atacator retea

Intercepteaza si controleaza comunicatia in reteaAlice

Sistem

Securitatea retelei

Page 26: Securitatea Aplicaţiilor Web - c1

Cursul 1

Atacator web

Controleaza un site de rea

credinta vizitat de victima; fara

control asupra retelei

Alice

Sistem

Securitatea web

Page 27: Securitatea Aplicaţiilor Web - c1

Cursul 1

Exemplu de atac

Page 28: Securitatea Aplicaţiilor Web - c1

Cursul 1

Atacator web Controleaza atac.com Poate obtine certificare SSL/TLS pentru atac.com Utilizatorul viziteaza atac.com

sau: ruleaza o aplicatie Facebook sau mobile a atacatorului

Atacatorul retea Pasiv: Ascultare trafic wireless Activ: Router compromis, DNS poisoning

Atacator Malware Atacatorul escaladeaza mecanismele de izolare

in browser si ruleaza cod in cadrul OS

Modele de amenintari web

Page 29: Securitatea Aplicaţiilor Web - c1

Cursul 1

Atacator Malware

• Browser-ele (ca orice aplicatii software) contin defecte (bug-uri) ce rezulta in vulnerabilitati exploatabile– Pot permite executarea de cod de la distanta de

catre site-uri– Studiu Google: “The ghost in the browser”

• Troieni identificati pe 300,000 pagini web (URLs)• Adware pe 18,000 pagini web (URLs)

• Chiar si daca browserele nu ar avea bug-uri, exista vulnerabilitati de care pot suferi aplicatiile web:– Toate vulnerabilitatile pe care le vom trata in acest

curs: XSS, SQLi, CSRF, …

Page 30: Securitatea Aplicaţiilor Web - c1

Cursul 1

http://www.google.com/search?btnI&q=allinurl:http://www.yahoo.com/

http://www.chevron.com/media/VideoPlayer.aspx?videoid=WeAgreeGrowth%22%20onmouseover=alert%28%22Aceasta-este-o-vulnerabilitate-XSS%22%29%20a=%22

Daca vi se pare interesant, reveniti si la cursul urmator

Se intampla si la case mari

Page 31: Securitatea Aplicaţiilor Web - c1

Cursul 1

Desi in bara de adresa am scris un link incepand cu http://www.google.com/...

Page 32: Securitatea Aplicaţiilor Web - c1

Cursul 1

O mica joaca cu parametrii pe site-ul Chevron – no harm done


Recommended