Zagreb, srpanj 2007. 1 od 11

DIPLOMSKI RAD br. 1656DIPLOMSKI RAD br. 1656

Sigurnost Web aplikacija Sigurnost Web aplikacija zasnovanih na AJAX tehnologijizasnovanih na AJAX tehnologiji

Matija Zeman

Zagreb, srpanj 2007. 2 od 11

UvodUvod

AJAX Sigurnost Web aplikacija – OWASP Top 10 Sigurnost AJAX aplikacija WebIKE aplikacija

Konfiguracijske datoteke Način rada Model prijetnji, zaštita, testiranje

Zagreb, srpanj 2007. 3 od 11

AJAXAJAX

AJAX Asinkroni JavaScript i XML

Elementi AJAX-a JavaScript XMLHttpRequestObject XML, JSON

Načini dohvata Dohvat HTML-a i umetanje Dohvat XML-a i

manipulacija Dohvat JSON-a i

evaluacija

Zagreb, srpanj 2007. 4 od 11

Sigurnost Web aplikacija - OWASP Top 10Sigurnost Web aplikacija - OWASP Top 10

1. Izvršavanje napadačkog kôda – XSS

2. Propusti ubacivanja3. Izvođenje zlonamjernih

datoteka4. Nesigurna izravna referenca

na objekt5. Krivotvorenje zahtjeva –

CSRF6. Ispuštanje informacija i

neispravno rukovanje pogreškama

7. Razbijena autentifikacija i kontrola sjednice

8. Nesigurna kriptografska pohrana

9. Nesigurne komunikacije10. Neuspješna zaštita pristupa

URL-u

Zagreb, srpanj 2007. 5 od 11

Sigurnost AJAX aplikacijaSigurnost AJAX aplikacija

AJAX nema novih sigurnosnih problema Višestruke razbacane krajnje točke i skriveni pozivi Zbunjujuća provjera Nepovjerljivi izvori informacija i serijalizacija podataka Izgradnja i izvođenje dinamičkih skripti

Politika istog izvora (Same origin policy) Napadi

Otimanje JavaScript koda Napadi na lokalnu mrežu JIKTO, XSS posrednik Samy crv

Zagreb, srpanj 2007. 6 od 11

Praktični rad - WebIKEPraktični rad - WebIKE

Konverzije konfiguracija za različite IKE alate Testiranja različitih konfiguracija Pokretanje IKE alata (racoon) Proširenja za IKEv2 alat Kod na poslužitelju – Zend framework MVC Kod na klijentu – Yahoo! UI toolkit - AJAX

Zagreb, srpanj 2007. 7 od 11

Konfiguracijske datotekeKonfiguracijske datoteke

IKE alati Konfiguracijske datoteke

Generička XML konfiguracija i shema Zajedničke opcije

Predlošci datoteka Konverzija

Zagreb, srpanj 2007. 8 od 11

Način rada aplikacije – AJAX + MVCNačin rada aplikacije – AJAX + MVC

Zagreb, srpanj 2007. 9 od 11

Prezentacija aplikacijePrezentacija aplikacije

VIDEO ZAPIS

Zagreb, srpanj 2007. 10 od 11

Model prijetnji, zaštita, testiranjeModel prijetnji, zaštita, testiranje

Ključni scenariji aplikacije Korištene tehnologije Sigurnosni mehanizmi aplikacije Specifične prijetnje i način zaštite Automatsko testiranje – Paros alat

Identificirani pozivi i parametri

Ručno testiranje Manji problemi koji su ispravljeni

Zagreb, srpanj 2007. 11 od 11

ZaključakZaključak

Trendovi zloćudnog koda na Internetu Aplikacija

Upitna isplativost AJAX-a (Web-a kao platforme) Manje komplikacije pri proširivosti

Proširenje mogućnosti (IKEv2) Jačanje sigurnosnih mehanizama

Zagreb, srpanj 2007. 23 od 11