четверг, 9 июля 2015 г.

СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.

Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи,  учебных центров, порталы гос. органов, торговые площадки, интернет банки, интернет магазины.

Анализ проблем с сертификатами и вариант их решения приводится в отдельной статье, а ниже анализ по ошибкам конфигурации SSL / TLS




С одной стороны, использование протокола HTTPS – это де факто стандарт при защите взаимодействия с клиентов и его надо использовать, с другой стороны, при неверных настройках HTTPS, мы получаем лишь иллюзию защищенного взаимодействия.
   
Приложение. Форумы / площадки для общения ИБшников
Надо отметить что такие площадки как Securitylab.ru, club.cnews.ru не поддерживают https в принципе. Да и судя по настройкам SSL / TLS остальных порталов – сапожники без сапог.

















Приложение. Производители ИБ решений. Учебные центры по ИБ
Надо отметить что порталы таких вендоров и учебных центров как Securitycode.ru, infosystems.ru, academy.it.ru не поддерживают https в принципе.












Приложение. Торговые площадки, фонды, интернет магазины









Приложение. Банки





Приложение. Операторы связи









Приложение. Гос. органы и ГИСы














Комментариев нет: