Sunteți pe pagina 1din 10

Programarea Clientului Web

s.l. dr. ing. Simona Caraiman


mailto: sarustei@cs.tuiasi.ro

Universitatea Tehnica Gh. Asachi din Iasi


Facultatea de Automatica si Calculatoare

Securitate Web
Tipuri de amenintari pe Web

Securitate cross-domain in aplicatii


Web

PCW - C13.WebSecurity

Tipuri de amenintari pe Web

Vandalism (defacement)
Infiltrare
Phishing
Pharming
Denial of Service
Atacuri din interior
Click Fraud
PCW - C13.WebSecurity

Tipuri de amenintari pe Web


Vandalism (defacement)
inlocuirea paginilor legitime din situri ale
unor organizatii cu pagini nelegitime

Infiltrare
system take-over
obtinerea accesului deplin la resursele
unui sistem de calcul
PCW - C13.WebSecurity

Tipuri de amenintari pe Web

Phishing

impersonarea siturilor web legitime


Scop:

obtinerea de informatii sensibile (username, parola, cont bancar, detalii


card credit) de la utilizatori
transmiterea unor informatii false utilizatorilor (e.g. stiri false ce ar
putea determina utilizatorul sa vanda/cumpere stocuri)

Tehnici de realizare

Address spoofing inregistrarea unor nume de domenii ce ar putea


crea confuzii (e.g. paypai.com)
Page spoofing copierea continutului unei pagini legitime in pagina
atacatorului

atragerea utilizatorului catre pagina nelegitima se realizeaza, de obicei, prin


email sau instant messaging.

Chrome spoofing (Picture in Picture Attacks) copierea elementelor


vizuale din pagina legitima in pagina atacatorului

Exemple: RapidShare (pt. obtinerea unui cont premium), social


networking (MySpace), IRS Internal Revenue Service (pt. a
determina bancile folosite de potentiale victime)
http://en.wikipedia.org/wiki/Phishing
/docs/Threats.pdf
PCW - C13.WebSecurity

Tipuri de amenintari pe Web


Pharming
DNS cache poisoning
redirectarea utilizatorului catre o pagina
web malitioasa prin compromiterea
cache-ului unui server DNS
Pharming = fishing + farming
/docs/Threats.pdf
/docs/WebSecurity_CN4thEd.pdf
/docs/Pharming.pdf
PCW - C13.WebSecurity

Tipuri de amenintari pe Web

Denial of Service (DoS)

Blocarea aplicatiilor, serverelor si a retelelor, impiedicand


comunicarea utilizatorilor legitimi
Tipuri:

Scop:

Atac prin inundare trimiterea unui nr mare de pachete,


aparent legitime, a caror procesare consuma resurse cheie ale
entitatii tinta
Atac de vulnerabilitate construirea unei secvente de pachete
cu anumite caracteristici ce poate cauza prabusirea, oprirea
unui sistem, sau un comportament impredictibil al acestuia
Pentru a demonstra ca se poate (castigarea respectului unei
anumite comunitati)
Atacuri impotriva siturilor competitiei sau a organizatiilor
politice
Santaj: amenintarea detinatorului sitului cu un atac DoS

/docs/DoS.pdf
PCW - C13.WebSecurity

Tipuri de amenintari pe Web


Atacuri din interior
Realizate cu cooperarea unor utilizatori autorizati (ex.
angajatii unei corporatii care au acces la informatii
despre clienti, rapoarte financiare, informatii
confidentiale)
Masuri: separarea privilegiilor
Click fraud
Publicitatea pay-per-click
Epuizarea bugetului de publicitate alocat prin vizitarea
link-ului publicitar de catre un competitor
Vizitarea link-urilor de publicitate afisate pe propriul
web site pentru cresterea profitului determinat de
gazduirea acestora
/docs/Threats.pdf
PCW - C13.WebSecurity

Securitate cross-domain
Interactiunile dintre siturile/aplicatiile web vizitate
folosind acelasi browser
Same origin policy doar scripturile ce ruleaza in
paginile aceluiasi domeniu isi pot accesa reciproc
metodele si proprietatile fara nicio restrictie

poate fi evitata in ultimele versiuni de browsere (vezi W3C CORS


curs 6,7)

Tipare de atac
Cross-site request forgery (XSRF)
Cross-Site Script Inclusion (XSSI)
Cross-Site Scripting (XSS)
/docs/CrossDomainSec.pdf
http://en.wikipedia.org/wiki/Same_origin_policy
PCW - C13.WebSecurity

Bibliografie

Neil Daswani, Christoph Kern, Anita Kesavan, Foundations of Security - What


Every Programmer Needs to Know, Apress, 2007
http://code.google.com/edu/submissions/daswani/index.html
(/docs/Threats.pdf , /docs/CrossDomainSec.pdf)

Andrew S. Tanenbaum, Computer Networks, 4th Edition, Prentice Hall, 2003


(/docs/WebSecurity_CN4thEd.pdf)

http://www.kjhole.com/WebSec/Downloads.html (/docs/Pharming.pdf,
/docs/DoS.pdf, /docs/csrf.pdf)

http://www.w3.org/TR/wsc-threats/ (/docs/Threats.pdf)

http://code.google.com/edu/security/index.html#content

http://en.wikipedia.org/wiki/Cross_site_scripting

http://en.wikipedia.org/wiki/Cross-site_request_forgery
PCW - C13.WebSecurity