Owasp Top10 FireFox
Upcoming SlideShare
Loading in...5
×
 

Owasp Top10 FireFox

on

  • 5,565 views

 

Statistics

Views

Total Views
5,565
Views on SlideShare
4,233
Embed Views
1,332

Actions

Likes
2
Downloads
117
Comments
0

5 Embeds 1,332

http://www.securitybydefault.com 1325
http://www.slideshare.net 4
resource://brief-content 1
http://translate.googleusercontent.com 1
http://webcache.googleusercontent.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Owasp Top10 FireFox Owasp Top10 FireFox Presentation Transcript

    • Seguridad Web Firefox y OWASP Top10 (2010RC1) Alejandro Ramos CISSP, CISA SbD UCA – Noviembre 2009 securitybydefault.com
    • OWASP • Open Web Application Security Project • Comunidad mundial abierta (130 capítulos) • Mejora de la seguridad de apps • Sin ánimo de lucro • Desarrollo de herramientas, documentación, estudios • Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10 http://www.owasp.org Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Owasp TOP10 2010 (RC1) A1 – Injection • 10 riesgos más A2 – Cross Site Scripting (XSS) importantes. A3 – Broken Authentication and Session Management • Versión anterior de 2007 A4 – Insecure Direct Object References (2003, 2004) A5 – Cross Site Request Forgery (CSRF) • HOT! HOT! Liberada el 13 A6 – Security Misconfiguration (NEW) de noviembre en OWASP A7 – Failure to Restrict URL Access AppSec DC. A8 – Unvalidated Redirects and Forwards (NEW) • WARNING: los riesgos no A9 – Insecure Cryptographic Storage solo se limitan a 10! A10 – Insufficient Transport Layer Protection http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • ¿ Firefox? • Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos • Multiplataforma • Motor de renderizado “Gecko” • Soporte de extensiones SecuritybyDefault.com Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • FFHardener 1.1 • Criptografía: – Impide el uso del algoritmo RC4 en sesiones SSL – Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128) • JavaScript: – Impide modificación del aspecto de Firefox – Deshabilita capacidades de JS potencialmente inseguras • Privacidad: – Elimina el historial de navegación – Borra la caché de paginas web visitadas http://code.google.com/p/sbdtools/downloads/list Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Perfiles • Firefox admite el uso de varios perfiles • Las extensiones consumen recursos (…demasiados…) • Útil para no sobrecargar el navegador • Con Firefox cerrado: Firefox –Profile (-P) http://support.mozil la.com/es/kb/Manag ing+profiles Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • FireCat • Febrero 2007: “Turning Firefox to an ethical hacking platform” • Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web • Compuesta por más de 40 utilidades (demasiadas…) • Mantenida por Security-Database.com http://www.security-database.com/toolswatch/FireCAT-1-5-released.html Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Instalación de extensiones Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A1.- INJECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A1.- Injection • Explota una aplicación que construye una consulta con los datos introducidos por el usuario sin previa validación, modificando la lógica de la aplicación. • Mediante SQL, OS Shell, LDAP, XPATH, etc • Muchas aplicaciones actualmente vulnerables • Impacto: lectura/escritura completa de una base de datos, ejecución de comandos, acceso a credenciales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • SQL Inject-Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Tamper Data Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A1 – Injection - Contramedidas • Recomendaciones – Utilizar un API segura de validación de datos mediante parámetros – Escapar caracteres siguiendo rutinas como ESAPI de OWASP – Uso de listas blancas • Referencias – http://www.owasp.org/index.php/SQL_Injection _Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A2.- CROSS SITE SCRIPTING (XSS) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A2.- Cross Site Scripting • Inserción de código en la página generada por una aplicación web. • Falta de validación de datos introducidos por el usuario. • Reflejados o almacenados en bbdd • Impacto: permite el control total del navegador, robo de sesiones, redirección a otras páginas. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • XSS Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • HackBar Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A2 – Cross Site Scripting - Contramedidas • Recomendaciones – No mostrar contenido generado con los datos introducidos por el usuario. – Codificar los datos de entrada (escapar). Ej OWASP-ESAPI. – Uso de validación mediante listas blancas. • Referencias – http://www.owasp.org/index.php/XSS_(Cross_S ite_Scripting)_Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A3.- BROKEN AUTHENTICATION AND SESSION MANGEMENT Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A3.- Broken Authentication and session mangement • Incorrecta gestión de funciones de autenticación como: recordar contraseña, desconectar, recuperar contraseña, pregunta secreta. • Ataques de fuerza bruta, enumeración de usuarios, predicción de sesiones, etc. • Impacto: robo de credenciales, suplantación de identidad Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • iMacros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Add ‘n’ Edit Cookies Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A3 – Broken Authentication and Session Mangement - Contramedidas • Recomendaciones – Simplificar proceso de autenticación – Uso de la sesión estándar del sistema. Ej JSESSIONID – Uso de SSL en cada vez que se transmita la sesión • Verificaciones – No existen herramientas automáticas. – Verificación del certificado SSL – Comprobación de las funciones de autenticación – Verificar que la función “desconectar”, destruye la sesión Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A4.- INSECURE DIRECT OBJECT REFERENCES Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A4.- Insecure Direct Object References • Denominado “control de acceso en la capa de presentación”. • No mostrar información que realmente está publicada (mediante la falta de referencias) • Similar a A7 (Failure to Restrict URL Access) • Impacto: acceso a recursos confidenciales, información sensible o datos personales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Unlinker •También A6 Security Misconfiguration •Ejemplos aproximados …por eso de ver la extensión… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • RefControl Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A4 – Insecure Direct Object References - Contramedidas • Recomendaciones – Mapeo de valores de la URL. Ej: • &download=1 -> &download=34cb04e932 • &download=2 -> &download=48add501ef • Validaciones – Verificar que el valor es correcto – Comprobar que el usuario tiene permiso sobre el recurso – Verificar el tipo de permiso (lectura, escritura, borrado) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A5.- CROSS SITE REQUEST FORGERY Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A5.- Cross Site Request Forgery • Un usuario es engañado para pulsar sobre un enlace web. • Este ejecuta una acción en esa web utilizando las credenciales de su usuario (session, IP, dominio de windows, etc) • Impacto: común para transferencias bancarias, acceder información confidencial, cambio de los detalles de una cuenta, etcétera Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Ejemplo CSRF • Una trasferencia bancaria se realiza mediante la petición: – http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn • Si el enlace es pulsado sin autenticación, la aplicación mostrará un error. • Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A5.- Cross Site Request Forgery - Contramedidas • Recomendaciones – Añadir un token a todas las URLs que ejecuten funciones – El token ha de ser generado criptográficamente con un algoritmo seguro – ¡OJO!: el token no debe mostrarse en la cabecera “Referer” -En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn&token=adf02e764f http://www.owasp.org/index.php/CSRF_Prevention_Cheat_S heet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A6.- SECURITY MISCONFIGURATION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A6.- Security Misconfiguration • Errores en configuraciones por defecto. • Sistemas Operativos y Servicios no fortificados. • Falta de otros elementos de seguridad (firewalls, ids/ips, segmentación de red) • Impacto: acceso completo al sistema, lectura de ficheros o configuraciones. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • EXIF Viewer •Realmente “Information Leakage”, no está en Top10- 2010 Pero queremos ver a ¡¡¡ Cat Schwartz !!! Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A6.- Security Misconfiguration - Contramedidas • Recomendaciones – Implantar guía de seguridad (fortificación) – Contemplar todos los elementos: ssoo, servicios, elementos de red – Contemplar la seguridad cuando se hagan cambios en la arquitectura • Validaciones – Verificar configuraciones – Chequear niveles de parcheado Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A7.- FAILURE TO RESTRICT URL ACCESS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A7.- Failure to Restrict URL Access • Acceso a funciones de la aplicación de distintos roles: • www.url.com/listusers.jsp (rol 1) • www.url.com/adduser.jsp?user=aramosf (rol 2) • Impacto: acceso a información, funciones y servicios para los que no se dispone de permisos. • Escalada de privilegios (Usuarios anónimos a zonas que requieren credenciales) • Escalada de privilegios horizontal Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • User-Agent Switcher •Una demo un poco justa… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A7.- Failure To Restrict URL Access - Contramedidas • Recomendaciones para cada URL: – Verificar el rol en la sesión, pero no en un parámetro de la sesión – No basar la seguridad en ocultar enlaces de los menús. • Validaciones – Comprobaciones manuales – Verificar el acceso a ficheros no autorizados Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A8.- UNVALIDATED REDIRECTS AND FORWARDS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A8.- Unvalidated Redirects And Forwards • Redirección de una zona de la aplicación a otra mediante un parámetro de la URL. • Si el parámetro no es validado se podría redirigir al usuario a una página externa. • Impacto: redirección a una página de malware o phishing. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A8.- Unvalidated Redirects and Forwards - Contramedidas • Recomendaciones – Eliminar siempre que se puedan las redirecciones – Si se usan, NO utilizar parámetros introducidos por el usuario – En el peor de los casos: validación de los parámetros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A9.- INSECURE CRYPTOGRAPHIC STORAGE Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A9.- Insecure Cryptographic Storage • Incorrecta identificación y gestión de la información sensible y donde se almacena. • Impacto: acceso y modificación de información confidencial Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • SWF Catcher •Otra demo un agarradita por los pelos … Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Decompilación y análisis de SWF Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A9.- Insecure Cryptographic Storage - Contramedidas • Recomendaciones – Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad. – Selección de un algoritmo de cifrado seguro. • Validaciones – Rotación de claves periódica. – Almacén seguro de las claves. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A10.- INSUFFICIENT TRANSPORT LAYER PROTECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A10.- Insufficient Transport Layer Protection • Identificación incorrecta de los puntos desde los que se transmite información sensible: entre sistemas internos, bases de datos, proveedores/clientes. • Impacto: acceso y modificación de datos sensible Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Cookie Security Inspector Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • A10.- Insufficient Transport Layer - Contramedidas • Recomendaciones – Uso de TLS en las conexiones – Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature – Deshabilitar algoritmos antiguos de SSL – Gestión correcta de certificados/contraseñas • Referencias http://www.owasp.org/index.php/Transport_Layer_ Protection_Cheat _Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • OBTENCIÓN DE EVIDENCIAS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Obtención de Evidencias • Cada hallazgo durante el análisis debe quedar registrado y evidenciado • Mediante capturas de pantalla • O videos con el proceso de detección y explotación de la vulnerabilidad. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • FireShot Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • CaptureFox Seguridad Web OWASP y Firefox UCA – Nov09 SbD
    • Seguridad Web OWASP y Firefox UCA – Nov09 SbD