СОИБ. Анализ. Серьезные недостатки защищенного соединения с web приложениями

Аватар пользователя SergeyBorisov
Автор: Борисов Сергей,
(0)
()
Опубликовано в:
Есть сложно выявляемые уязвимости и недостатки безопасности web приложений, которые приходится искать в рамках дорогостоящих аудитов или пентестов.  А есть такие, в которые вляпываешься зайдя один раз обычным браузером на сайт. Ко второму случаю относится неправильный SSL / TLS-сертификат для обеспечения для обеспечения защищенного взаимодействия между сервером и клиентом по протоколу HTTPS или неправильная конфигурация группы протоколов SSL / TLS на сервере.


Хотелось бы показать, что проблема актуальна, но не светить при этом конкретных заказчиков, поэтому я сделал отдельный экспресс анализ публично доступной информации (та информация, которую сервис выдает каждому клиенту) о сертификате и настройках SSL / TLS 24-х для таких важных с точки зрения ИБ-шника сайтов, как: личные кабинеты и профили в сообществах по ИБ, русскоязычные партнерские/клиентские разделы ИБ вендоров, личные кабинеты у операторов связи,  учебных центров, порталы гос. органов, торговые площадки, интернет банки, интернет магазины.


Анализ проблем с сертификатами и вариант их решения приводится в отдельной статье, а ниже анализ по ошибкам конфигурации SSL / TLS





С одной стороны, использование протокола HTTPS – это де факто стандарт при защите взаимодействия с клиентов и его надо использовать, с другой стороны, при неверных настройках HTTPS, мы получаем лишь иллюзию защищенного взаимодействия.

   

Приложение. Форумы / площадки для общения ИБшников

Надо отметить что такие площадки как Securitylab.ru, club.cnews.ruне поддерживают https в принципе. Да и судя по настройкам SSL / TLS остальных порталов – сапожники без сапог.


















Приложение. Производители ИБ решений. Учебные центры по ИБ

Надо отметить что порталы таких вендоров и учебных центров как Securitycode.ru, infosystems.ru, academy.it.ru не поддерживают https в принципе.













Приложение. Торговые площадки, фонды, интернет магазины









Приложение. Банки






Приложение. Операторы связи










Приложение. Гос. органы и ГИСы















 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.