Upload
kcholovic
View
336
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
Zagreb, srpanj 2007. 1 od 11
DIPLOMSKI RAD br. 1656DIPLOMSKI RAD br. 1656
Sigurnost Web aplikacija Sigurnost Web aplikacija zasnovanih na AJAX tehnologijizasnovanih na AJAX tehnologiji
Matija Zeman
Zagreb, srpanj 2007. 2 od 11
UvodUvod
AJAX Sigurnost Web aplikacija – OWASP Top 10 Sigurnost AJAX aplikacija WebIKE aplikacija
Konfiguracijske datoteke Način rada Model prijetnji, zaštita, testiranje
Zagreb, srpanj 2007. 3 od 11
AJAXAJAX
AJAX Asinkroni JavaScript i XML
Elementi AJAX-a JavaScript XMLHttpRequestObject XML, JSON
Načini dohvata Dohvat HTML-a i umetanje Dohvat XML-a i
manipulacija Dohvat JSON-a i
evaluacija
Zagreb, srpanj 2007. 4 od 11
Sigurnost Web aplikacija - OWASP Top 10Sigurnost Web aplikacija - OWASP Top 10
1. Izvršavanje napadačkog kôda – XSS
2. Propusti ubacivanja3. Izvođenje zlonamjernih
datoteka4. Nesigurna izravna referenca
na objekt5. Krivotvorenje zahtjeva –
CSRF6. Ispuštanje informacija i
neispravno rukovanje pogreškama
7. Razbijena autentifikacija i kontrola sjednice
8. Nesigurna kriptografska pohrana
9. Nesigurne komunikacije10. Neuspješna zaštita pristupa
URL-u
Zagreb, srpanj 2007. 5 od 11
Sigurnost AJAX aplikacijaSigurnost AJAX aplikacija
AJAX nema novih sigurnosnih problema Višestruke razbacane krajnje točke i skriveni pozivi Zbunjujuća provjera Nepovjerljivi izvori informacija i serijalizacija podataka Izgradnja i izvođenje dinamičkih skripti
Politika istog izvora (Same origin policy) Napadi
Otimanje JavaScript koda Napadi na lokalnu mrežu JIKTO, XSS posrednik Samy crv
Zagreb, srpanj 2007. 6 od 11
Praktični rad - WebIKEPraktični rad - WebIKE
Konverzije konfiguracija za različite IKE alate Testiranja različitih konfiguracija Pokretanje IKE alata (racoon) Proširenja za IKEv2 alat Kod na poslužitelju – Zend framework MVC Kod na klijentu – Yahoo! UI toolkit - AJAX
Zagreb, srpanj 2007. 7 od 11
Konfiguracijske datotekeKonfiguracijske datoteke
IKE alati Konfiguracijske datoteke
Generička XML konfiguracija i shema Zajedničke opcije
Predlošci datoteka Konverzija
Zagreb, srpanj 2007. 8 od 11
Način rada aplikacije – AJAX + MVCNačin rada aplikacije – AJAX + MVC
Zagreb, srpanj 2007. 9 od 11
Prezentacija aplikacijePrezentacija aplikacije
VIDEO ZAPIS
Zagreb, srpanj 2007. 10 od 11
Model prijetnji, zaštita, testiranjeModel prijetnji, zaštita, testiranje
Ključni scenariji aplikacije Korištene tehnologije Sigurnosni mehanizmi aplikacije Specifične prijetnje i način zaštite Automatsko testiranje – Paros alat
Identificirani pozivi i parametri
Ručno testiranje Manji problemi koji su ispravljeni
Zagreb, srpanj 2007. 11 od 11
ZaključakZaključak
Trendovi zloćudnog koda na Internetu Aplikacija
Upitna isplativost AJAX-a (Web-a kao platforme) Manje komplikacije pri proširivosti
Proširenje mogućnosti (IKEv2) Jačanje sigurnosnih mehanizama
Zagreb, srpanj 2007. 23 od 11