audyty bezpieczenstwa czyli jak osmieszyc administratora

background image

Audyty bezpieczeństwa...

...czyli jak ośmieszyć administratora ;-)

Kamil Porembiński – paszczak000.jogger.pl
Sebastian Dudek - d3dik.pl

background image

Socjotechnika...

...czyli jak hackować za pomocą FAXu.

background image

Socjotechnika

Inżynieria

społeczna,

inżynieria

socjalna,

socjotechnika

w

bezpieczeństwie

teleinformatycznym zestaw metod mających na
celu uzyskanie niejawnych informacji przez
cyberprzestępcę. Hackerzy często wykorzystują
niewiedzę bądź łatwowierność użytkowników
systemów

informatycznych,

aby

pokonać

zabezpieczenia odporne na wszelkie formy ataku.
Wyszukują przy tym najsłabszy punkt systemu
bezpieczeństwa, którym najczęściej jest człowiek.

background image

background image

Dziura w skrypcie...

...a włamanie na serwer

background image

Skrypty uploadujące

Brak sprawdzania rozszerzenia pliku

Brak sprawdzania zawartości pliku

Złe prawa dostępu

Możliwość uruchomienia wrzuconego pliku

Indeksowanie katalogu

...a czasem wystarczy kupić tam hosting ;-)

background image

Zła konfiguracja PHP

open_basedir

no value no value

register_globals

On

On

disable_classes

no value no value

disable_functions no value no value

background image

background image

background image

Hasła jawnym tekstem

Srv

PID

Acc

M

CPU

SS

Req

Conn

Child

Slot

Client VHost Request

0-12

23780 1/3/22002K

0.00

0

0

0.3

0.00

52.79 83.5.227.160

www.nazwa.pl

GET /uploads/images/ico_konsultant.png HTTP/1.1

0-12

23780 0/2/22316_

0.00

0

4

0.0

0.00

50.85 85.128.128.36

nazwa.pl GET /buttons/pierwszy/dodaj%20do%20koszyka.jpg HTTP/1.0

0-12

23780 1/1/21760K

0.00

1

587

0.0

0.00

49.62 77.45.42.111

www.nazwa.pl

GET /TwojeSerwery.html HTTP/1.1

0-12

23780 0/2/22267W

0.02

0

0

0.0

0.00

50.39 90.129.110.134

www.nazwa.pl

POST /Logowanie.html HTTP/1.1

0-12

23780 0/2/21812_

0.00

0

16

0.0

0.00

49.23 85.128.128.36

nazwa.pl GET /css/strona_glowna.css HTTP/1.0

background image

background image

/etc/passwd (cal.pl)

root:x:0:0:root:/root:/bin/bash

bin:x:1:1:bin:/bin:/sbin/nologin

daemon:x:2:2:daemon:/sbin:/sbin/nologin

adm:x:3:4:adm:/var/adm:/sbin/nologin

lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin

sync:x:5:0:sync:/sbin:/bin/sync

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown

halt:x:7:0:halt:/sbin:/sbin/halt

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin

news:x:9:13:news:/etc/news:

uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin

operator:x:11:0:operator:/root:/sbin/nologin

games:x:12:100:games:/usr/games:/sbin/nologin

background image

Nie ufaj administratorowi

Brak reakcji na zgłoszone błędy

Połowiczne zabezpieczenia

Kod rzeźbiony na kolanie w notpad.exe

background image

background image

Jak się bronić?

Separacja strony firmowej od stron klientów

Trudne hasła

Restrykcje na PHP

CHMOD, SELinux, AppArmor, etc

Szyfrowanie backupu

Ograniczenia dostępu do Baz Danych

Skrypty uploadujące:

Walidacja plików

Prawa dostępu do katalogów

background image

KONIEC

We are watching you...


Wyszukiwarka

Podobne podstrony:
biznes i ekonomia bezpieczenstwo systemu e commerce czyli jak bez ryzyka prowadzic biznes w internec
Bezpiecznie przez życie czyli jak uczyć dzieci unikania zagrożeń cz 1
Letnie turystyczne ABC w Tatrach czyli jak zadbać o bezpieczeństwo,
`C) Karta tytulowa czyli jak powinno wygladac spra
Optimum No Rinse – czyli jak umyć samochód?z spłukiwania
O, choinka! Czyli jak przetrwać święta
Żegnajcie smugi chemiczne, witaj błękicie nieba czyli jak zbudować własny rozpraszacz chmur
Zagrożenia w internecie - czyli jak rozpoznać wirusa, Studia, Informatyka, Informatyka, Informatyka
Ateizm, Ateizm urojony - czyli jak denerwować ateistów
Buntownik Pełen Bojaźni Bożej, Czyli Jak Rabini Objaśniali Pobożność Hioba
HTML & PHP Jak działają formularze , WAP Statystyki przez WAP, czyli jak połączyć PHP z językiem W
Jak zostać wziętym trenerem, czyli jak zarabiać na prowadzeniu szkoleń
Dziewictwo, czystosc, Wszystko o czystości, czyli jak utrzymać piękno swojej duszy

więcej podobnych podstron