V SEGINFO - “Auditoria de Aplicações Web”

1,632 views
1,552 views

Published on

Rafael Soares Ferreira (Clavis Segurança da Informação)

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,632
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
140
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

V SEGINFO - “Auditoria de Aplicações Web”

  1. 1. Auditoria de Segurança em Aplicações WebRafael Soares FerreiraDiretor de Resposta a Incidentes e Auditorias Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  2. 2. IntroduçãoCopyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  3. 3. Utilização● Comércio Eletrônico● Mídias Sociais● Internet Banking Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  4. 4. Benefícios● “Sempre” disponível● Necessita apenas do uso de um browser● Independe de plataforma Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  5. 5. Aspectos Básicos de Segurança● Não confiar em código/dados/entradas externos;● Validar todos os dados (inclusive internos);● Não existe segurança Client-Side● Prever e tratar os erros; Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  6. 6. Testes de Segurança Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  7. 7. Exposição de Informação● Spiders, Crawlers e Robots● Sites de Busca● Fingerprinting● Mensagens de erro Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  8. 8. Configurações e Manutenção ● SSL / TLS ● Infra estrutura ● Extensão de Arquivos ● Arquivos não referenciados Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  9. 9. Autenticação ● Transporte de Credenciais ● Força Bruta ● Bypass ● Lembrete e Recuperação de Senha ● CAPTCHA ● Encerramento de Sessão Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  10. 10. Gerenciamento de Sessões ● Cookies ● Exposição de Variáveis ● Roubo/Sequestro de Sessão Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  11. 11. Autorização ● Path Traversal ● Escalada de Privilégio ● Lógica de Validação Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  12. 12. Validação de Dados ● Criptografia e Codificação ● Cross-site scripting (XSS) ● Injeção de Código ● Buffer Overflow Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  13. 13. Negação de Serviço ● SQL Wildcards ● Contador fornecido por usuário ● Escrita em disco sem tratamento Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  14. 14. FerramentasCopyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  15. 15. Scanners ● Nessus ● Nikto ● W3AF Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  16. 16. Proxies ● WebScarab ● RatProxy ● Burpsuite Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  17. 17. Principais Ameaças Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  18. 18. ● Cross Site Scripting (XSS)A aplicação envia ao browser dados fornecidos pelousuário sem o devido tratamento.Pode ocasionar execução de código arbitrário nobrowser da vítima, roubo de sessão, alteração desites e até downloads de artefatos maliciosos. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  19. 19. ● Injeção de CódigoDados enviados pelos usuários são tratados pelaaplicação sem nenhum tipo de validação.Possibilita a execução de instruções diferentes dasesperadas pela aplicação. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  20. 20. ● Inclusão Remota de Arquivos (RFI)O usuário pode passar parâmetros para aplicaçãoque consistem em nome de arquivos parareferência ou upload.Possibilita a inserção de arquivos maliciosos nocontexto da aplicação. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  21. 21. ● Referência direta a objetosExposição de referências a objetos eimplementações internas da aplicação.Possibilita a referência direta a tais objetos epossível bypass do controle de autenticação. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  22. 22. ● Vazamento de InformaçãoExposição inadvertida de informações sobre aaplicação e o servidor que a hospeda.Possibilita a obtenção de informações sensíveispara elaboração de ataques contra a aplicação. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  23. 23. ● Gerenciamento de SessõesProteção de tokens, chaves e/ou identificadores desessão feita de maneira insuficiente.Possibilita captura de credenciais e roubo desessão. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  24. 24. ● Canais de ComunicaçãoExposição de dados sensíveis na comunicação entreservidores e clientes.Possibilita a captura de informações trocadas entreo cliente e a aplicação podendo culminar em roubode informações sensíveis e credenciais. Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  25. 25. Estudo de CasoCopyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  26. 26. Client-Side:<form method="post" action="http://SITE/login.php"><input name="nome" type="text" id="nome"><input name="senha" type="password" id="senha"></form>Server-Side:SELECT id FROM usuarios WHERE nome = $nome AND senha = $senha; Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  27. 27. Client-Side: O Exploit! OR a=aServer-Side:SELECT id FROM usuarios WHERE nome = $nome AND senha = OR a=a; Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  28. 28. www.seginfo.com.brTraduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  29. 29. ● Referências[documento] Guia para Auditorias de Aplicações web -OWASP Testing Guidehttp://www.owasp.org/index.php/OWASP_Testing_Project[ferramenta] Aplicação para aprendizado - WebGoathttp://www.owasp.org/index.php/Category:OWASP_WebGoat_Project[vídeos] Soluções do WebGoathttp://yehg.net/lab/pr0js/training/webgoat.php Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.
  30. 30. Fim... Muito Obrigado!Rafael Soares Ferreirarafael@clavis.com.br Copyright © 2010 Clavis Segurança da Informação. Todos os direitos reservados.

×