NETinfo 2009–10-09 Magnus Persson Epost: Telefon: 046 – 222 13 60.

En presentation över ämnet: "NETinfo 2009–10-09 Magnus Persson Epost: Telefon: 046 – 222 13 60."— Presentationens avskrift:

1 NETinfo 2009–10-09 Magnus Persson Epost: Magnus.Persson@ldc.lu.se Telefon: 046 – 222 13 60

2 Netinfo 2009-10-09 Brandväggar Hacka webbservrar

3 Brandväggar Brandväggar och CFL Centrala brandväggar Kör själva eller låt oss hantera regler GUI eller hardcore editor Behöver inte vänta till fem i tolv!

4 Hacka webbservrar Fokus mer på WWW Servrar och klienter Många säkerhetsluckor Dåligt skydd 80/20 regeln gäller

5 Hacka webbservrar Ett antal standardmetoder XSS CSRF SQL injection

6 Hacka webbservrar XSS – Cross site scripting Startade på 90-talet Runt 80% av funna säkerhetshål Stoppa in kod på HTML-sidor Utnyttjar ofta dåligt kontrollerad indata

7 Hacka webbservrar

8 Hålet: Skickade info om iframe via GET Ändra URLen till att inkludera hej

9 Hacka webbservrar

10 CSRF – Cross site request forgery Få en klient att göra uppkopplingar till en webbsida Laddar kod från en hackers webbsida Döljs i t.ex. bild-tag, CSS, script, mm. Exekveras utan att klienten märker någonting

11 Hacka webbservrar

12 SQL injection Utnyttjar dåligt skyddade indatafält Indata från webbsidor blir SQL-anrop DB-poster kan skrivas, raderas eller ändras Plus allt annat som servern tillåter

13 Hacka webbservrar SELECT ID, LastLogin FROM Users WHERE User = 'john' AND Password = 'doe' SELECT ID, LastLogin FROM Users WHERE User = '" + userName + "' AND Password = '" + password + "' Hackern matar in i ”User”: ' OR 1=1 --

14 Hacka webbservrar SQLservern får följande SELECT ID, LastLogin FROM Users WHERE User = '' OR 1=1 -- AND Password = ' Sedan är det bara att testa vad SQLservern kan

15 Hacka webbservrar

16

17

18 NETinfo 2009–10-09 FRÅGOR?