Securitatea aplicaiilor web

cu accent pe aspecte practice

Structura cursului
1. Securitatea n lumea contemporan. Securitatea
informaiilor, securitatea informatic, securitatea
aplicaiilor web
2. Tehnologiile aplicaiilor web
3. Principiile de securitate a aplicaiilor web.
Autentificare, autorizare, managementul sesiunilor,
principii de securitate browser
4. Securitatea bazelor de date
5. Securitatea fisierelor
6. Dezvoltarea i instalarea de aplicaii sigure
7. Detectarea vulnerabilitilor prin inspectarea codului
surs si folosind unelte specifice
8. Structura unui atac asupra unui site web. Ci de atac,
modaliti de rspuns
Cursul 1

Structura laboratoarelor si proiectului

2 sesiuni cu titlu de Laborator
1. Funcionarea unei aplicaii web, obiectivele i
anatomia unui atac. Clase de vulnerabiliti,
identificarea i corectarea acestora n codul
surs (white box)
2. Unelte de analiz (black box). Intocmirea
raportului de audit

2 sesiuni cu titlu de Proiect

1. Prezentarea aplicaiei de test, a cerinelor i
modalitii de lucru
2. Sesiune de ntrebri i rspunsuri

Cursul 1

Evaluare

20% teste fulger (pe parcurs)

30% test final
50% proiect

Cursul 1

Cursul 1

Securitatea n lumea contemporan.

Securitatea informaiilor, securitatea
informatic, securitatea aplicaiilor web

Cursul 1

Agenda

Securitatea in lumea contemporana

Securitatea informatiei. Coordonate
Securitatea aplicatiilor web

Cursul 1

Viziunea simplista a inceputurilor WWW asupra

securitatii
Tipul de dezvoltare a web-ului si consecintele
asupra securitatii
Functionarea web-ului si surse de insecuritate

Securitatea in lumea contemporana

Ce este securitatea? (cu cuvintele noastre)

De ce avem nevoie de securitate?
Unde avem nevoie de securitate?
Este securitatea un domeniu nou?
Este securitatea un domeniu foarte dinamic?

Cursul 1

Securitatea in lumea contemporana

(2)
In lumea contemporana, tehnologia este
omniprezenta.
Pentru a-i atinge obiectivele de
securitate, Europa (si lumea in general)
trebuie s profite de posibilitile sale
tehnologice.
Tehnologia de una singur nu poate
garanta securitatea, dar fr suportul
tehnologiei securitatea nu se poate
realiza.

Cursul 1

Securitatea informatiei
Information security, information assurance
sau cyber-security
Informatia in zilele noastre traieste cel
mai adesea electronic iar securitatea
informatiei este direct legata de
securitatea informatica
In sens complet, securitatea informatiei
implica si alte aspecte, de exemplu
securitatea fizica a sistemelor sau
securitatea informatiei scrise pe hartie,
retinute in memoria angajatilor etc.

Cursul 1

Securitatea informatiei scop sau

mijloc?

Securitatea
informatiei intr-o
organizatie reprezinta
un nivel intermediar
intre securitatea
tehnologiilor utilizate
si securitatea
strategica
Securitatea nu e o
stare, ci se realizeaza
printr-un proces
continuu
Cadrul legal exista si
este menit sa ne
protejeze si sa
responsabilizeze

Cursul 1

Terorism, cyber-crime
Dezastre naturale
Spionaj
Strategii, politici, jurisprudenta

Integritate, confidentialitate,
autenticitate, disponibilitate,
non-repudiere
Respectarea standardelor

Securitatea retelelor
Detectarea intruziunii
Securitatea aplicatiilor web
Software antivirus

Aliante profesionale
Perfectionare profesionala,
cursuri
Etc...
Managementul riscurilor
Continuitatea afacerii/
Planificarea pt. dezastru
Etc...

Criptografie
Infrastructuri de chei
publice
Etc...

Modelul ierarhic al securitatii unei organizatii, din

punct de vedere informational

Cele mai des ntlnite infraciuni

informatice n Romnia
1. Phishing (clonarea de website-uri i trimiterea de
link-uri)
2. Licitaii fictive pe site-uri de comer electronic
3. Compromiterea conturilor de utilizator pe site-uri de
comer electronic, ale unor insitituii financiare ori
reele de socializare
4. Acces neautorizat n sisteme informatice i utilizarea
frauduloas a datelor confideniale obinute
5. Compromiterea bancomatelor i facilitarea copierii
de date de
identificare de pe benzile mgnetice ale cardurilor
bancare
6. Falsificarea instrumentelor de plat electronic
Observatie: Majoritatea au legatura directa cu siteurile sau aplicatiile web
Cursul 1

Situaia fenomenului criminalitii

informatice
n Romnia
2011- 873 (cu
Cauze penale
soluionate
62,87% mai mult dect n 2010)
Cauze finalizate cu trimitere n judecat - 133 (cu
29,13% mai mult dect n 2010)
Numr inculpai - 333
Numr inculpai n arest preventiv - 105
Sursa: DIICOT, www.diicot.ro

Cursul 1

LEGISLAIA ROMNEASC PRIVIND NOILE

TEHNOLOGII
Reprezint o implementare la nivel naional a aquis-ului
comunitar, dar, n mare parte, se rezum la o traducere ad literam
a prevederilor europene
Aspecte pozitive
similitudinea cu directivele sau conveniile europene
uurina interpretrii/comparrii cu actele normative din alte state
facilitarea cooperrii internaionale n combaterea
criminalitii informatice
Aspecte negative
lips de coordonare (ajustare) ntre actul normativ emis i restul
legislaiei n vigoare ceea ce duce adesea la contradicii /
neclariti
(uneori) se remarc dificulti n punerea n practic a
dispoziiilor, innd cont de noutatea i tehnicitatea noilor
prevederi
Cursul 1

LEGISLAIA ROMNEASC PRIVIND NOILE

TEHNOLOGII
Cele mai importante (semnificative) definiii sunt cuprinse n
Legea

161/2003 privind unele msuri pentru asigurarea

transparenei n exercitarea demnitilor publice, a funciilor publice i
n mediul de afaceri, prevenirea i sancionarea corupiei, TITLUL
III prevenirea i combaterea criminalitii informatice
Legea 365/2002 a comerului electronic
Legea 506/2004 privind prelucrarea datelor cu caracter
personal i protecia vieii private n sectorul
telecomunicaiilor
Legea 82/2012 privind reinerea datelor generate sau
prelucrate de furnizorii de servicii de comunicaii electronice
destinate publicului sau de reele publice de
comunicaii

Cursul 1

INFRACIUNI CUPRINSE N LEGEA

161/2003
Infraciuni contra confidenialitii i integritii datelor i sistemelor informatice
Accesul ilegal la un sistem informatic
Interceptarea ilegal a unei transmisii de date informatice
Alterarea integritii datelor informatice
Perturbarea funcionrii sistemelor informatice
Operaiuni ilegale cu dispozitive sau programe informatice
Infraciuni informatice
Falsul informatic
Frauda informatic
Pornografia infantil prin intermediul sistemelor informatice
Constituie infractiune si se pedepseste cu inchisoare de la 1 la 6 ani detinerea
de echipamente sau programe informatice in scopul savarsirii vreuneia dintre
faptele de mai sus.
Cursul 1

Alte infractiuni cuprinse in legea 161 /

2003

ART. 48
Fapta de a introduce, modifica sau sterge, fara drept, date
informatice ori de a restrictiona, fara drept, accesul la
aceste date, rezultand date necorespunzatoare adevarului,
in scopul de a fi utilizate in vederea producerii unei
consecinte juridice, constituie infractiune si se pedepseste
cu inchisoare de la 2 la 7 ani.
ART. 49
Fapta de a cauza un prejudiciu patrimonial unei persoane
prin introducerea, modificarea sau stergerea de date
informatice, prin restrictionarea accesului la aceste date ori
prin impiedicarea in orice mod a functionarii unui sistem
informatic, in scopul de a obtine un beneficiu material
pentru sine sau pentru altul, constituie infractiune si se
pedepseste cu inchisoare de la 3 la 12 ani.

Si tentativa se pedepseste.

Cursul 1

Nu este considerat acces ilegal

Nu este considerat acces ilegal
transmiterea de fiiere sau de mesaje email
accesarea unei hiperconexiuni (link)
accesul unei pagini web
utilizarea de aplicaii ajuttoare (cookies) sau care
folosesc pentru asigurarea unei comunicaii mai bune (i
care nu sunt rejectate de ctre int)
Se consider a fi acces autorizat (legal):
accesul permis de utilizatorul de drept sau de
proprietar
accesul n scopul asigurrii securitii sau pentru teste
(iniial autorizate)
Cursul 1

Securitatea aplicatiilor web

WWW World Wide Web nu a fost de la

inceput gandit ca un mediu care sa permita
protejarea informatiei
Aspectele simplitate si functionalitate
imediata au fost primordiale
WWW este denumirea primului browser creat
de Tim Berners-Lee si Dan Connolly, capabil
sa parseze HTML si sa comunice prin HTTP
fundamental nesigure

Cursul 1

Viziunea simplista a inceputurilor

WWW asupra securitatii

1945 Memex
1960 GML
1980 SGML
1991 WWW: HTML + HTTP
1993 Mosaic, apoi Mosaic Netscape (ulterior
Netscape Navigator) si SpyGlass Mosaic (ulterior
Internet Explorer); Opera; Lynx, w3m
1994 infiintarea World Wide Web Consortium
(W3C)
1996 Internet Explorer
2003 Safari
2004 Mozilla Firefox
2008 Google Chrome

Cursul 1

Tipul de dezvoltare al WWW

Puternic competitiv
Rapid
Adesea supra-politizat si dezordonat
Fara viziune unificatoare
Fara un set unificat de principii de securitate
Surse de probleme:

Cursul 1

majoritatea utilizatorilor nu sunt specialisti in informatica,

din contra
Internetul este un mediu distribuit si deschis
lipsa unei viziuni convergente
interactiunea browser-ului cu restul sistemului
perimarea diviziunii client - server

Tipul de dezvoltare al WWW

Cotele de piata ale principalelor browsere web, decembrie 2012

(sursa http://www.w3counter.com/ )

Cursul 1

Sondaj
Sunteti familiarizati cu HTML?
Ati dezvoltat vreodata aplicatii folosind:

Apache?
SQL?
JavaScript?
Ajax?

PHP?
CSS?
JSON?

Python?
HTML5?

Vizitati: http://www.w3schools.com/

Cursul 1

Scopurile securitatii web

Navigarea sigura pe Internet

Utilizatorii trebuie sa poata vizita diferite site-uri

web, fara a intampina consecite negative precum:

Aplicatii web sigure

Informatie furata (preluata fara permisiunea

utilizatorului)
Site-ul A nu trebuie sa poata compromite o sesiune a
Site-ului B

Aplicatiile oferite pe internet trebuie sa

indeplineasca aceleasi caracteristici de securitate
cerute pentru aplicatiile standalone

Alte idei?

Cum functioneaza aplicatiile web

Cursul 1

Securitatea retelei

Atacator retea
Sistem

Alice
Cursul 1

Intercepteaza
si controleaza
comunicatia in
retea

Securitatea web

Sistem

Atacator web

Alice
Cursul 1

Controleaza un
site de rea
credinta vizitat de
victima; fara
control asupra
retelei

Exemplu de atac

Cursul 1

Modele de amenintari web

Atacator web

Controleaza atac.com
Poate obtine certificare SSL/TLS pentru atac.com
Utilizatorul viziteaza atac.com

Atacatorul retea

sau: ruleaza o aplicatie Facebook sau mobile a

atacatorului

Pasiv: Ascultare trafic wireless

Activ: Router compromis, DNS poisoning

Atacator Malware

Cursul 1

Atacatorul escaladeaza mecanismele de izolare

in browser si ruleaza cod in cadrul OS

Atacator Malware
Browser-ele (ca orice aplicatii software) contin defecte
(bug-uri) ce rezulta in vulnerabilitati exploatabile
Pot permite executarea de cod de la distanta de
catre site-uri
Studiu Google: The ghost in the browser
Troieni identificati pe 300,000 pagini web (URLs)
Adware pe 18,000 pagini web (URLs)
Chiar si daca browserele nu ar avea bug-uri, exista
vulnerabilitati de care pot suferi aplicatiile web:
Toate vulnerabilitatile pe care le vom trata in acest
curs: XSS, SQLi, CSRF,

Cursul 1

Se intampla si la case mari

http://www.google.com/search?
btnI&q=allinurl:http://www.yahoo.com/

http://www.chevron.com/media/VideoPlayer.as
px?videoid=WeAgreeGrowth
%22%20onmouseover=alert%28%22Aceastaeste-o-vulnerabilitate-XSS%22%29%20a=%22

Daca vi se pare interesant, reveniti si la cursul

urmator

Cursul 1

Desi in bara de adresa am scris un link

incepand cu http://www.google.com/...

Cursul 1

O mica joaca cu parametrii pe site-ul

Chevron no harm done

Cursul 1