Kaja

avatar
Created by
Mateo Juretić

Cards (35)

  • Prijetnje na aplikacijskom sloju
    Sigurnost informacijskih sustava
  • Aplikacije predstavljaju sučelje prema krajnjim korisnicima, jasno je da su one danas najizloženije neovlaštenim aktivnostima potencijalnih napadača
  • Da bi se ostvarila optimalna zaštita, sigurnost bi trebala biti dio dizajna aplikacije jednako kao i funkcionalnost, no danas nažalost još uvijek mali broj tvrtki posvećuje ovome dovoljno pažnje
  • Zadaci aplikacija
    • Kontroliraju ulazne podatke
    • Procesiraju ih
    • Komuniciraju s drugim aplikacijama preko računalne mreže ili drugih komunikacijskih metoda
    • Pristupaju podacima i pohranjuju ih
    • Razmjenjuju poruke s operacijskim sustavom
  • Cilj implementacije ispravnih sigurnosnih mehanizama

    Smanjivanje broja sigurnosnih ranjivosti (te izravno i sigurnosnog rizika upotrebe aplikacije) i mogućnosti narušavanja integriteta pohranjenih podataka
  • Vrste sigurnosnih kontrola
    • Preventivne
    • Detektivne
    • Korektivne
  • Preventivne sigurnosne kontrole

    Pokušavaju spriječiti neku sigurnosnu ranjivost bez obzira na to je li ona prisutna na sustavu ili ne
  • Detektivne sigurnosne kontrole

    Imaju za cilj otkrivanje potencijalnih napada
  • Korektivne sigurnosne kontrole

    Uklanjaju sigurnosne ranjivosti za koje se zna da postoje u aplikaciji
  • Sigurnosne ranjivosti prepisivanja spremnika vrlo su česte u aplikacijama pisanim u C i C++ programskim jezicima budući da isti ne uvjetuju nikakvu kontrolu veličine spremnika
  • Sigurnosne ranjivosti web-aplikacija predstavljaju posebnu kategoriju sigurnosnih ranjivosti
  • Zadnjih godina sve vidljiviji trend prijelaza na web kao sučelje prema korisniku (odnosno odmak od tradicionalnog modela fat client aplikacija), tako je potrebno i posebnu pažnju posvetiti upravo zaštiti ovih webaplikacija koje imaju jedinstvene sigurnosne ranjivosti
  • Prepisivanje spremnika

    Nastaje kada aplikacija (ili operacijski sustav, odnosno bilo koje sučelje kojem je korisnik u stanju dati ulazne podatke) prihvaća preveliku količinu podataka
  • Spremnik (buffer)

    Predstavlja alocirani segment memorije koji je definirane, ograničene veličine
  • Bez obzira na format u kojem su podaci pohranjeni u pozadini (npr. obične tekstualne datoteke ili tablice u bazama podataka), ako napadač uspije kontrolirati web-aplikaciju, može doći i do željenih podataka
  • Web-aplikacije se oslanjaju na kolačiće
  • Krađa kolačića može korisniku dati pristup aplikaciji pod tuđim korisničkim računom
  • Veliki broj napada na web-aplikacije usmjeren je upravo na kolačiće
  • Dvije kategorije ranjivosti prisutne u najvećem broju web-aplikacija: umetanje proizvoljnog koda i tzv. XSS (Cross Site Scripting) ranjivosti
  • SQL Injection sigurnosne ranjivosti
    Vrsta ranjivosti web-aplikacija u kojima je napadač u mogućnosti modificirati SQL upit koji izvodi web-aplikacija nad podacima pohranjenim u bazi podataka
  • Ciljevi implementacije ispravnih sigurnosnih mehanizama

    • Smanjivanje broja sigurnosnih ranjivosti
    • Smanjivanje mogućnosti narušavanja integriteta pohranjenih podataka
  • Sigurnosne kontrole koje se implementiraju

    • Preventivne
    • Detektivne
    • Korektivne
  • Preventivne sigurnosne kontrole

    Pokušavaju spriječiti neku sigurnosnu ranjivost bez obzira na prisutnost opasnosti
  • Detektivne sigurnosne kontrole

    Cilj otkrivanje potencijaknih napada
  • Korektivne sigurnosne kontrole

    Uklanjaju sigurnosne ranjivosti za koje se zna da postoje u aplikaciji
  • Prepisivanje spremnika

    Često u aplikacijama C i C++, događa se pri prihvaćanju prevelike količine podataka
  • Ranjivost web-aplikacija

    Posebne sigurnosne ranjivosti, cilj osigurati kontrolu nad aplikacijom
  • Ranjivosti web-aplikacija

    • Napadi usmjereni na kolačiće
    • Umetanje proizvoljnog koda
    • XSS
  • SQL Injection

    Napadač u mogućnosti modificirati SQL upit koji se izvodi nad podacima u bazi, nastaje najčešće zbog malene ili nepostojeće sigurnosne kontrole nad podacima prije upotrebe u SQL upitima
  • XSS
    Najčešće napadi na korisnike web aplikacija, dohvaćaju se podaci o kolačićima te se tako može predstavit kao drugi korisnik i pristupiti osjetljivim podacima, za izvođenje napada potrebna je URL adresa za malicioznu web aplikaciju koja pristupa korisničkim podacima, najčešće se vodi preko emaila
  • Autentifikacija
    Provjera identiteta korisnika koji se prijavljuje, tj. provjera je li onaj koji se predstavlja da jest, cilj je dodjeljivanje ispravnog pristupa drugim objektima u sustavu
  • Tipovi autentifikacije

    • Nešto što znaš
    • Nešto što imaš
    • Nešto što jesi
  • Autentifikacija zaporkom

    Jeftina, lako prihvatljiva i jednostavna, zaporke moraju biti jake i minimalno 8 znakova duge
  • 2FA
    Uz zaporku se koristi još jedna komponenta koju korisnik posjeduje (token)
  • Biometrijska autentifikacija
    Visoka cijena i zadiranje u privatnost korisnika su razlog manje primjene, neskalabilan sustav pa je potrebno centralizirati upravljanje korisničkim računima