Your SlideShare is downloading. ×
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações

3,346

Published on

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações. …

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.

A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.

A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.

A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,346
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
53
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Teste de Invasão em AplicaçõesWebPrincipais Técnicas de Exploração e Formasde Prevenção Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br
  • 2. $ whoami•  Grupo Clavis•  Sócio Diretor Técnico•  Detecção e resposta a incidentes de segurança•  Testes de invasão em redes, sistemas e aplicações.
  • 3. Contatos rafaelsoaresferreira@gmail.com rafaelsoaresferreira @rafaelsferreira www.facebook.com/rafaelsoaresferreira
  • 4. Principais Ameaças•  InjeçõesOWASP Top 10 2010 - A1OWASP Top 10 2007 - A2•  Cross Site Scripting (XSS)OWASP Top 10 2010 - A2OWASP Top 10 2007 - A1
  • 5. Principais Ameaças Injeções
  • 6. Descrição•  Ocorre quando a aplicação envia dados não tratados para algum serviço interno.•  Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.•  Descoberta por varreduras e/ou fuzzers•  Mais facilmente por verificação de código.
  • 7. ExemploSQLi:•  Aplicação: OcoMon•  Versão: 2.0-RC6•  Bypass de autenticação via SQLi•  Validação de entradas feita client-side
  • 8. Exemplo•  Página inicial filtrando caracteres especiais através de javascript.
  • 9. Exemplo•  É possível editar a função de validação, ou impedi-la de ser executada no navegador.
  • 10. Exemplo•  Sem a função de validação é possível submeter a string admin ‘ or ‘ -- que possibilita acesso ao sistema.
  • 11. Impactos•  Dependendo do tipo de injeção os danos causados podem ser: ü  Perda ou corrupção de dados ü  Negação de Serviço ü  Falhas de autenticação ü  Execução arbitrária de código e até comprometimento total do sistema.
  • 12. Como se Prevenir•  Não utilizar dados não confiáveis em comandos e/ou queries.•  Rotinas de validação ou “escape” de caracteres.•  É aconselhável o uso de validação positiva nas entradas.•  Utilizar canonicalização de dados.
  • 13. Referências•  Ferramenta para detecção e exploração de SQLihttp://sqlmap.sourceforge.net/•  Enterprise Security API – Input Validationhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/overview-summary.html•  (OWASP) Reviewing Code for SQL Injectionhttps://www.owasp.org/index.php/Reviewing_Code_for_SQL_Injection
  • 14. Principais Ameaças XSS – Cross Site Scripting
  • 15. Descrição•  Ocorre quando uma aplicação inclui dados não tratados em um objeto enviado ao navegador.•  A detecção pode ser feita via teste de injeção ou análise de código.•  Existem 3 principais tipos: ü  Stored ü  Reflected ü  DOM based XSS
  • 16. DescriçãoStored:•  Código injetado é armazenado permanentemente na aplicação vulnerável (comentários, posts, logs, etc)•  A vítima recebe o código malicioso junto com alguma requisição feita.
  • 17. ExemploStored:•  Aplicação: dotProject•  Versão: 2.1.5•  Múltiplas Vulnerabilidades de XSS e SQLi
  • 18. Exemplo•  Na submissão de arquivos é possível inserir um código malicioso no campo descrição.
  • 19. Exemplo <script>alert(xss)</script>
  • 20. Exemplo•  O código então será submetido a todos que visualizarem a descrição de tal arquivo.
  • 21. Impactos•  Atacante pode executar scripts no navegador da vítima para: ü  Roubo de informações de sessão ü  Pichação de Sites ü  Inserção de conteúdo malicioso ü  Redirecionamento de usuários e etc.•  Além da exposição de informações dos usuários, tal falha pode denegrir a imagem da instituição responsável pela aplicação.
  • 22. Como se Prevenir•  “Escapar” caracteres vindo de fontes não confiáveis e que serão utilizados no contexto do navegador (body, atributos, JavaScript, CSS, URL).•  A validação positiva é sempre interessante mas é preciso atentar para peculiaridades da aplicação em questão pois caracteres especiais e codificações diversas podem fazer parte da rotina da aplicação.
  • 23. Referências•  Definição do CWE sobre Cross-Site Scriptinghttp://cwe.mitre.org/data/definitions/79.html•  RSnakes XSS Attack Cheat Sheethttp://ha.ckers.org/xss.html•  (OWASP) Reviewing Code for Cross-site scriptinghttps://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scripting
  • 24. Outras Ameaças•  Quebra de Autenticação / Sessão•  Referência direta à objetos•  Cross-Site Request Forgery (CSRF)•  Falhas de Configuração•  Armazenamento / Canal Inseguro
  • 25. Referências•  OWASP Top 10https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project•  OWASP Testing Guidehttps://www.owasp.org/index.php/Category:OWASP_Testing_Project•  OWASP Code Review Guidehttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
  • 26. Dúvidas? Perguntas? Críticas? Sugestões?
  • 27. Siga a Clavis http://clav.is/slideshare http://clav.is/twitter http://clav.is/facebook
  • 28. Muito Obrigado! rafael@clavis.com.br @rafaelsferreira Rafael Soares Ferreira Clavis Segurança da Informação

×