OWASP AppSec EUROPE 2011: День второй Заключение День второй

На второй день я все-таки решил поучаствовать в CTF, который проходил в рамках конференции. На самом деле это был скорее HackQuest с набором баллов за пройденные задания, чем CTF в чистом виде. В самом начале само собой шли простые этапы, в основном с подстановкой необходимых значений в HTTP-заголовки запроса и просто нахождением нужных флагов в различных местах исходных кодов. Чем дальше, тем, конечно, сложнее. К сожалению (да-да, именно так), в этом квесте я натолкнулся на одну из самых больших проблем на этой конференции: в здании банально практически не было доступных электрических розеток (кстати, английского типа, так что пришлось искать еще и переходник). Так что как только я добрался до первой десятки по баллам, мой ноут предательски ушел спать. Помнишь, я писал, что докладов про SDL на конференции было представлено даже избыточно? Более того, часто доклады про успехи в безопасности SDL были изрядно нашпигованы маркетинговым трешем. Примером этого были выступления Джанне Уусилехто из Nokia и парней из Microsoft. Красивые графики и клипарты, слова о киберпреступности и о том, какие безопасные продукты стремятся производить компании. К слову сказать, к вебу данные презентации отношения имели мало. Microsoft умудрились вообще вставить пропагандистскую часть про то, какие они теперь открытые, как дружат с опенсорсом. Я нормально отношусь к этим компаниям, но тут они могли вполне и более интересные и уместные доклады подготовить. Не без интереса я посмотрел на доклад «Новые стандарты и приходящие технологии в безопасности браузера» от Тобиаса Гондрома из рабочей группы Специальной комиссии интернет-разработок ETF, Получился хороший обзор средств безопасности, так или иначе связанных с веб-браузером:

  • Mime-Sniffing;
  • Same-Origin Policy;
  • Secure Channel: * HSTS Strict Transport Security * TLS in DNSSEC;
  • Frame-Options;
  • Content Security Policy;
  • Do-Not-Track.

Про большинство из них ты уже наверняка наслышан, остановлюсь лишь на HSTS. Атака SSL-stripping известна уже достаточно давно. Напомню, она заключается в том, что исходя из того, что веб-браузер жертвы не знает, что с конкретным сайтом можно взаимодействовать строго по HTTPS, злоумышленник, пропуская трафик жертвы через свой хост (например, с помощью атаки ARP-spoofing), заменяет все https-ссылки на обычные http. Таким образом, трафик до него приходит в открытом виде, а уже от хоста злоумышленника до сайта создается полноценное SSL-соединение. HTTP Strict Transport Security (HSTS) как раз и позволяет веб-приложению явным образом сказать веб-браузеру, что работа с ним должна идти строго по HTTPS. Делается это отправкой в HTTPS-ответе специального заголовка: Strict- Transport-Security: max-age=15768000; includeSubDomains. В данном случае веб-приложение просит веб-браузер в течение 15768000 секунд обращаться к нему строго по HTTPS, включая субдомены. Дома и бани - строим на совесть: баня под ключ. спальни из сосны

Одно из самых достойных технических выступлений подготовил Дэн Корнелл из Denim Group. Он практически препарировал мобильное приложение на примере iOS и Android-платформ с указанием на фишки каждой из них. Какие утилиты можно использовать для бинарного анализа мобильного приложения, что интересного хранится в конфигах, и к чему может привести SQL-инъекция в мобильном приложении, — все это Дэн рассказал, сопровождая примерами и юмором. Одной из основных идей доклада стала атака на мобильное приложение через его же зарегистрированный в системе контент-хэндлер: . Получается интересная атака на стыке веба и мобильного мира. Мобильные приложения, ровно как и «мобильное все», сейчас, конечно же, на взлете популярности, так что стоит обратить внимание на этот не совсем «вебовский» доклад. Достаточно интересным получился доклад Джастина Кларке из Gotham Digital Science о практическом аспекте криптоатак на веб-приложения. На криптографии базируется огромный костяк технологий информационной безопасности. Но криптография — весьма непростая наука, и нередко разработчики ошибаются при собственной реализации алгоритмов или при неправильном использовании существующих. Это и постарался рассказать Джастин. Криптографическая тема обычно не из самых захватывающих, особенно когда ты не криптоаналитик, но тут после демонстрации того, как с помощью padding-криптоатаки получилось вытащить содержимое конфига дотнетовского приложения, стало гораздо увлекательнее. Не обошли стороной и генераторы случайных чисел и риски, связанные с их необдуманным использованием (вспоминается отличная статья «Неслучайные числа» www.xakep.ru/magazine/ ха/119/058/1 .asp). Это выступление я бы назвал одним из самых интересных на конференции. Обязательно посмотри слайды на сайте конференции.

Outro

Пара слов о месте проведения конференции. Тринити-колледж превзошел ожидания. Мало того, что это хорошо оснащенное учебное заведение, которое входит в Дублинский университет, так еще и насквозь пропитанное историей. Шутка ли, он был основан в 1592 году Королевой Елизаветой I! Очень сильно надеюсь, что и в России универы приблизятся когда-нибудь по условиям для обучения к подобным вузам. Сама конференция OWASP AppSec Europe тоже удалась. Даже несмотря на малое количество и не всегда высокий уровень технических докладов. И даже несмотря на весьма специфичную ирландскую погоду. Надеюсь, что в следующем году в Греции все-таки приму участие в конфе уже как спикер.

Похожие статьи Меню Опрос Фото Популярное