Безопасность
Инженер по безопасности
Роли
- Пользователь
- Администратор
- Хакер
Пользователь
Администратор
Хакер
Что такое взломать web приложение
- Получить доступ к недоступной информации
- Убрать конкурента
- Украсть денеги
Цель тестирования безопасности - выявить возможные слабые места приложения
Информационная безопасность
- Доступность информации
- Конфиденциальность информации
- Целостность информации
Доступность информации
Клиент
Клиент <-> Сервер
Репликация серверов
Сервер/База данных
DoS - Denial of Service
DDoS
Нагрузочное тестирование
Тестирование слабых мест
Выяснение пределов доступности
JMeter, Yandex Танк
Пример
iframe для каждого пользователя
first_and_last_warning
Quiz
Что значит "сломать" сайт?
Что такое DDoS и почему "оно" опасно?
Как и чем тестируется доступность информации?
Целостность информации
Клиент <-> Сервер
Криптография
Алан Тьюринг (Энигма)
I love dogs
Алгоритм
Ключ1
K Nqxg Fqiu
I love dogs
Алгоритм
Ключ1
K Nqxg Fqiu
I love dogs
Алгоритм
Ключ2
K Nqxg Fqiu
Ключ1
HTTPS
WiFi сниферы
Одна картинка под http не страшна?
Cookie)))
Как тестировать?
Правило 1
Любой алгоритм можно взломать!!!
Правило 2
Равная стоимость
Конфиденциальность информации
Роли пользователей
JMeter, Yandex Танк
Что если мы все перебрали?
А что если подставить невалидные данные
SQL инекции
SQL
SELECT name FROM users WHERE name like "*vlad*" OR id=5
SELECT name FROM users WHERE name = {{login}}
SELECT name FROM users WHERE name = '' OR 1=1
http://sqlzoo.net/hack/
MongoDB это не SQL
db.users.findOne({ login: 'root' })
db.users.findOne({ login: ''}); db.users.find({'' })
Server-Side Includes
Not_a_virus.exe
Not_a_virus.php
И тут мы все протестировали)))
Дай другому пользователю сделать это)))
XSS
http://life777.github.io/CSP/index.html
CSRF/XSRF
Валера: Зацени, как я накачался: <img src="http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">
Race condition
Starbucks