Przykłady błędów bezpieczeństwa

w kilku krokach,

Mateusz Olejarka

czyli rzecz o atakowaniu procesów

Kto zacz?

● Starszy specjalista

ds. bezpieczeństwa IT, SecuRing

● (Były) programista

● Testerzy.pl, trener

● OWASP Poland, członek zarządu

Agenda

● Bezpieczeństwo procesów

● Przyda się

● Przykłady i techniki

● Pytania

Bezpieczeństwo procesów?!

● Czemu testować bezpieczeństwo procesów?

Bezpieczeństwo procesów?!

● Błędy na poziomie:

– Logiki procesu

– Implementacji procesu

Przyda się

● Web developer

– Pokazuje pola ukryte na formularzu

– Zdejmuje ograniczenie długości pól

– Uaktywnia pola zablokowane (disabled)

– Zamiana pól wyboru na tekstowe

Przyda się

● HTTP proxy

Przeglądarka SerwerProxy

Proces - schemat

● Omówienie procesu

● Jak go zaatakować?

● Co było nie tak?

● Techniki testowania

Przykłady

● Edycja elementu danych

● Przypomnienie hasła

● Zmiana nr telefonu do autoryzacji SMS

● Zlecenie z autoryzacją X 3

Edycja elementu danych

● Proces

– Wybór elementu danych z listy

– Zmiana danych

– Zapisanie zmian (+ ew. autoryzacja)

Edycja elementu danych

● Proces

– Wybór elementu danych z listy

– Zmiana danych

– Zapisanie zmian (+ ew. autoryzacja)

● Identyfikator elementu danych w polu

ukrytym jest przesyłany w kroku 1 i 2

Przypomnienie hasła

● Proces

– Podanie adresu email

– Podanie kodu otrzymanego na email

– Zmiana hasła

Przypomnienie hasła

Przypomnienie hasłabob@securing.pl

Technika nr 1

Manipulacja parametrami ukrytymi i

zablokowanymi do edycji

Zmiana nr telefonu

● Proces

– Podanie treści kodu sms, który przyszedł na stary

telefon

– Podanie nowego numeru telefonu

– Podanie treści kodu sms, który przyszedł na nowy

telefon

– Zapisanie zmiany

Technika nr 2

Weryfikacja walidacji wymaganych

parametrów ( format i wartość )

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

● Podpowiedź: Proszę Państwa, to jest proste

;)

Technika nr 3

Pominięcie parametru i jego wartości

podczas wykonania akcji na formularzu

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

● Podczas wykonania autoryzacji przesyłane

są dane transakcji

Technika nr 4

Powtórzenie operacji autoryzacji ze

zmienionymi danymi

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

Zlecenie z autoryzacją

● Proces

– Uzupełnienie danych zlecenia

– Możliwa autoryzacja od razu, lub zapisanie

operacji do późniejszej autoryzacji

● Dostępne akcje na formularzu to:

– signandsend

– save

Technika nr 5

Eksperymentuj !

Czekamy na Was!

Pracuj z nami:

www.securing.pl/pl/kariera.html

Darmowe konsultacje:

www.securing.pl/konsultacje

Kontakt

http://www.securing.pl

e-mail: info@securing.pl

tel. (12) 4252575

fax. (12) 4252593

Mateusz Olejarka

mateusz.olejarka@securing.pl