Beruflich Dokumente
Kultur Dokumente
Belo Horizonte - MG
2014
Belo Horizonte MG
2014
Prof.
Luiz
Cludio
RESUMO
Palavras-chave: OWASP (Open Web Application Security Project); Ambiente Web; Aplicaes
Web; PenetrationTest ; Segurana da Informao
SUMRIO
1.
INTRODUO ............................................................................................................... 5
2.
3.
4.
OBJETIVOS ................................................................................................................... 9
4.1 Objetivo Geral ............................................................................................................. 9
4.2 Objetivos Especficos .................................................................................................. 9
5.
6.
METODOLOGIA DE PESQUISA.................................................................................. 30
7.
RESULTADOS ............................................................................................................. 33
8.
CRONOGRAMA ........................................................................................................... 34
9.
REFERNCIAS ............................................................................................................ 35
1. INTRODUO
Tanto Ceron et al (2008) quanto Holz (2006) concordam que uma soluo web
normalmente mais vulnervel a falhas do que um software tradicional de desktop, j que h
diversas camadas de solues atuando em conjunto criando pontos de vulnerabilidade na
integrao de todo o ambiente. A atuao dos mecanismos de busca, permitem inclusive, a
localizao de determinadas falhas em web sites, tornando assim um facilitador para o
invasor.
Essa viso tambm corroborada por Macedo, Queiroz e Damasceno (2010) quando
expem que devido ao crescimento exponencial do mercado de web, muitas empresas tm
recorrido
solues
vulnerabilidades.
de
frameworks
terceirizados,
que
podem
conter
diversas
2. PROBLEMA DE PESQUISA
1Disponvel
em http://projects.webappsec.org/w/page/13246989/Web%20Application%20Security%20Statistics.
4. OBJETIVOS
Identificar
as
principais
vulnerabilidades
que
podem
impactar
no
10
5. FUNDAMENTAO TERICA
Com o uso cada vez mais frequente de recursos voltados para a web, as empresas
tm cada vez mais levado seus produtos e servios para a esfera da Internet. Por essa razo,
solues do tipo Business to Business (B2B) e Business to Client (B2C) utilizam sistemas de
gerenciamento de bancos de dados que so parcialmente ou totalmente integrados World
Wide Web.
De acordo com Lima (2003,p.290), a World Wide Web nasceu em 1989 no CERN,
advinda da necessidade de fazer com que grupos de pesquisadores de diferentes
nacionalidades pudessem colaborar uns com os outros. Lima (2003) expe, portanto, que a
web nasceu como uma ferramenta de colaborao cientfica, e desde ento trouxe a
possibilidade de obteno de vantagens competitivas para as empresas que a utilizam para
divulgar, vender ou prestar servios e produtos.
Existem atualmente dezenas de diferentes padres e tecnologias que podem ser
utilizados para a construo de um website, ou um portal uma verso mais complexa de um
site web que integra normalmente um grande nmero de recursos para acesso do cliente.
11
12
aplicao no possuem nenhum tipo de criptografia nativa, o que poderia levar a diversos
tipos de ataques.
De acordo com Stallings (2008):
Trs protocolos de camada superior so definidos como parte do SSL: o
Protocolo de Estabelecimento de Sesso (HandshakeProtocol), o Protocolo de
Mudana de Especificao de Cifra (ChangeCipherSpecProtocol) e o Protocolo
de Alerta (AlertProtocol). Esses protocolos so usados no gerenciamento de
trocas SSL.(STALLINGS, 2008, p. 185)
Como o SSL e o TLS trabalham com criptografia assimtrica, que exige uma chave
pblica e uma privada para completar uma transao, necessria uma infraestrutura para
distribuio e uso de certificados digitais. O certificado documento digital utilizado como uma
maneira de distribuir a chave pblica atravs de uma estrutura PKI (Public Key Infrastructure).
Muitas instituies hoje possuem sua prpria infraestrutura de chaves pblicas e podem gerar
certificados digitais para terceiros, seja de forma gratuita ou cobrando por esse servio. Essas
empresas so chamadas de autoridades de certificao.
5.1.4 Servidores Web
13
disponibilizado pelo servidor visto pelo cliente atravs de navegadores tais como: Internet
Explorer, Netscape, Google Chrome.
O servidor que prov o servio web, ou seja, hospeda o contedo para consulta,
executa um software especfico para realizar essa funo tais como o IIS (Internet Information
Services), que proprietrio da Microsoft, e o Apache, que uma das solues de cdigofonte livre, que executado em diversas plataformas.
5.1.4.1 Apache
A figura acima demostra que durante cinco anos, o Apache o servidor mais buscado
pelo mecanismo de busca Google e consequentemente, bastante utilizado. Assuno (2009)
14
corrobora esta afirmao alegando que o Apache em conjunto com a linguagem PHP
(Hypertext Preprocessor) a combinao de solues mais comum em servidores da Internet.
15
5.1.5.1 Scripts
tarefas
Um banco de dados (sua abreviatura BD, em ingls DB, database) uma entidade
na qual possvel armazenar dados de maneira estruturada e com a menor redundncia
possvel. Estes dados podero ser ento acessados e utilizados por usurios distintos, atravs
de softwares especficos. A linguagem mais comumente utilizada para a comunicao entre
os usurios e o banco a SQL (Structured Query Language). (LIMA, 2003).
16
17
18
19
5.2.3 Intruso
2.
3.
4.
5.
6.
20
21
22
Testes de caixa branca so feitos com total conhecimento preliminar da rede. Seus objetivos
so mais especficos, geralmente so utilizados para descobrir vulnerabilidades no sistema e
no esto focados na viso de um invasor externo e nem na descoberta de vazamentos de
informaes.
23
5.3.3.3 Gray-box
O teste gray-box utilizado para identificar possveis mtodos de ataque que poderiam
ser realizados por algum que est dentro da corporao. O exemplo comum o de um
funcionrio que tem o conhecimento parcial da rede na qual ele se encontra e tenta um ataque
contra outro departamento. Atualmente, muitos ataques iniciam-se dentro das empresas, o
que torna o Gray-box uma opo de teste importante para considerao.
5.3.4 Ps-teste
Aps a concluso da anlise das vulnerabilidades, necessrio reunir e organizar
todas as informaes obtidas durante o processo, como, por exemplo, os tipos de problemas
encontrados e o nvel de gravidade de cada um. Em geral, utiliza-se uma classificao de
acordo com a gravidade da falha encontrada: se de baixo risco, mdio risco ou alto risco.
Essas informaes devem estar contidas no relatrio final.
5.3.4.1 Relatrio final
O relatrio final o documento que ser composto das informaes e falhas encontradas
durante o Penetration Test. Deve seguir um modelo claro, de preferncia baseado em tpicos,
sem conter informaes confusas. Assuno (2014) recomenda quatro itens essenciais que
devem estar contidos no relatrio: introduo, detalhes do trabalho, resultados obtidos e
recomendaes.
Alm do relatrio final, Mcclure, Scambray e Kurtz (2014) recomendam a criao de
um Termo de responsabilidade que dever ser assinado pelo prestador do servio de
Penetration Test, assim como pela empresa responsvel pela contratao do teste.
Engebretson (2013) e Assuno (2014) tambm concordam com a importncia deste
documento, de forma a proteger legalmente o hacker tico j que o penetration test pode levar
ao comprometimento do Sistema e acesso a informaes confidenciais.
24
O projeto OWASP resultado dos esforos da entidade sem fins lucrativos de mesmo
nome, e tem como objetivo encontrar e combater a causa da insegurana em aplicativos web.
Meucci (2008) expe que a OWASP no afiliada com nenhuma empresa de tecnologia,
portanto as informaes de segurana geradas pela comunidade do projeto so imparciais e
prticas.
De acordo com Oliveira (2012, p. 49), os projetos OWASP so divididos em duas
categorias: desenvolvimento e documentao. Curphey et al (2005) e Meucci (2008) citam
alguns dos principais projetos desenvolvidos:
25
Code Review Guide um guia que mostra boas prticas para a reviso segura
de cdigos com o objetivo de encontrar vulnerabilidades. um pouco mais
tcnico e extenso do que o testing guide.
Falhas de Injeo
Execuo maliciosa
de arquivos
Referncia Insegura
Direta Objetos
26
Vazamento de
Informaes e
Tratamento de
Erros Inapropriado
Autenticao falha e
Gerenciamento de
Sesso
Armazenamento
Criptogrfico
Inseguro
Comunicaes
inseguras
Falha de Restrio
de Acesso URL
27
28
29
30
6. METODOLOGIA DE PESQUISA
Disponvel em http://sectools.org/about
31
Disponvel em http://sourceforge.net/projects/mutillidae/
32
1.Construir um cenrio
simulado com as dez
principais falhas OWASP;
3.Instalar as ferramentas de
anlise de vulnerabilidade
selecionadas;
6.Observar quantidade de
falsos-positivos;
5.Observar a variao de
tempo entre ataque e
gerao de alerta de
vulnerabilidade detectada;
33
7. RESULTADOS
34
8. CRONOGRAMA
35
9. REFERNCIAS
ASSUNO, Marcos F. Honeypots e Honeynets. Florianpolis: Visual Books, 2009.
ASSUNO, Marcos F. Segredos do Hacker tico. 5 ed. Florianpolis: Visual Books,
2014.
CAMPOS, Andr. Sistema de Segurana da Informao. 3 ed. Florianpolis: Visual
Books, 2014.
CARVALHO, Alan Henrique Pardo. Segurana de aplicaes web e os dez anos do relatrio
OWASP Top Ten: o que mudou? Fasci-Tech Peridico Eletrnico da FATEC-So
Caetano do Sul, So Caetano do Sul, v.1, n. 8, Mar./Set. 2014, p. 6 a 18.
CERON, J; FAGUNDES, Leonardo; LUDWIG, Glauco; TAROUCO. Liane; BERTHOLDO,
Leadro. Vulnerabilidades em Aplicaes Web: uma Anlise Baseada nos Dados
Coletados nos honeypots. VIII Simposio Brasileiro de Segurana. 2008 Disponvel em
<http://sbseg2008.inf.ufrgs.br/proceedings/data/pdf/st06_02_resumo.pdf>.
COSTA, D.G. Administrao de Redes com scripts: Bash Script, Python e VBScript.
Rio de Janeiro: Brasport, 2010.
CURPHEY, M.; ENDLER, D.; HAU, W.; TAYLOR, S.; SMITH, T.; RUSSELL,A.; MCKENNA,
G.; PARKE, R.; MCLAUGHLIN, K.; TRANTER. A guide to building secure web applications
and web services. The Open Web Application Security Project, v. 1, 2005.
DOUP, Adam et al. Enemy of the State: A State-Aware Black-Box Web Vulnerability
Scanner. In: USENIX Security Symposium. 2012. Disponvel em <
www.usenix.org/system/files/conference/usenixsecurity12/sec12-final225.pdf >. Acesso em
22 de dezembro de 2014.
ENGEBRETSON, Patrick. Introduo ao Hacking e aos Testes de Invaso. So Paulo:
Novatec, 2013.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 5. ed. So Paulo: Atlas, 2010.
HOLZ, T.; MARECHAL, S; RAYNAL, F. New threats and attacks on the World Wide Web.
IEEE Security & Privacy Magazine, v. 4, n. 2, p. 45-50, maro. 2006.
ISECOM. Open Source Security Testing Methodology Manual. Disponvel em <
www.isecom.org/osstmm/>. Acesso em 07 de Janeiro de 2015.
ISO 1 7799. ABNT NBR ISO/IEC 1 7799:2005 Tecnologia da Informao Tcnicas de
segurana Cdigo de prtica para a gesto da segurana da informao. Associao
Brasileira de Normas Tcnicas Rio de Janeiro: ABNT, 2005.
ITU-T. Recommendation X.509 - Open Systems Interconnection - The directory:
authentication framework. Disponvel em
<https://www.itu.int/rec/dologin_pub.asp?lang=e&id=T-REC-X.509-199311-S!!PDFE&type=items>. Acesso em 02 de junho de 2015.
KUROSE, James; ROSS, Keith. Redes de Computadores e a Internet: uma abordagem
top-down. 3. ed. So Paulo: Pearson, 2005.
LAKATOS, Eva M.; MARCONI, Marina A. Fundamentos de metodologia cientfica. 5. ed.
So Paulo: Atlas. 2003.
LIMA, Joo P. Administrao de Redes Linux. Goinia: Terra, 2003.
36
MACDO, Mrcio A.; QUEIROZ, Ricardo G.; DAMASCENO, Julio C..jShield: Uma Soluo
Open Source para Segurana de Aplicaes Web. Universidade Federal de Pernambuco.
2010.
MARTINELO, Clriston Aparecido Gomes; BELLEZI, Marcos Augusto. Anlise de
Vulnerabilidades com OpenVAS e Nessus. T.I.S. So Carlos, v. 3, n. 1 , p. 34-44, jan-abr
2014
MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hackers Expostos. 7 ed. So
Paulo: Bookman. 2014.
MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation. 2008.
MUNIZ, Joseph; LAKHANI, Aamir. Web Penetration Testing with Kali Linux. Birmingham:
Packt. 2013.
OISSG. Information Systems Security Assessment Framework. Disponvel em <
www.oissg.org/issaf>. Acesso em 07 de Janeiro de 2015.
OLIVEIRA, Tlio. Testes de Segurana em Aplicaes Web segundo a metodologia
OWASP. Projeto de TCC. Universidade Federal de Lavras. 2012. Disponvel em
<http://www.bcc.ufla.br/wp-content/uploads/2013/09/TESTES-DE-SEGURAN%C3%87A-EMAPLICA%C3%87%C3%95ES-WEB-SEGUNDO-A.pdf>
OWASP. 10 Top Web Vulnerabilities. Disponvel em
<www.owasp.org/index.php/Top_10_2013>. Acesso em 15 de Dezembro de 2014.
PAULI, Josh. Introduo ao WebHacking. So Paulo: Novatec, 2014.
PESSOA, Mrcio. Segurana em PHP. So Paulo: Novatec, 2007.
ROCHA, Douglas; KREUTZ, Diego; TURCHETTI, Rogrio. Uma Ferramenta Livre e
Extensvel Para Deteco de Vulnerabilidades em Sistemas Web. Disponvel em
<article.sapub.org/pdf/10.5923.j.computer.20120001.08.pdf >. Acesso em 21 de dezembro
de 2014.
SCHILDT, Hebert; SKRIEN, Dale. (2013). Programao com Java: Uma Introduo
Abrangente. So Paulo: McGraw-Hill.
SECTOOLS. Top 125 security tools. Disponvel em<www.sectools.org>.Acesso em 07 de
Janeiro de 2015.
SICA, Carlos; REAL, Petter. Programao Segura utilizando PHP. So Paulo: Cincia
Moderna, 2007.SCHILDT, Hebert; SKRIEN, Dale. Programao com Java: Uma introduo
abrangente. So Paulo: McGraw-Hill, 2013.
STALLINGS, William. Redes e sistemas de comunicao de dados: teorias e aplicaes
corporativas. 5 ed. Rio de Janeiro: Elsevier, 2005.
STALLINGS, William. Criptografia e segurana em redes. 4.ed. So Paulo: Person
Prentice Hall, 2008.
WEB APPLICATION SECURITY CONSORTIUM . Disponvel em:
<http://www.webappsec.org/>. Acesso em: 01 de junho de 2015.
WELLING, Luke; THOMSON, Laura. Tutorial MySQL. Rio de Janeiro: Cincia Moderna,
2004.