Tratando as vulnerabilidades do Top 10 do OWASP Php Conference – São Paulo 28/11/2008 Wagner Elias Research & Development Manager Brazilian Chapter Leader http://wagnerelias.com http://www.conviso.com.br

Agenda Um pouco de OWASP Top 10 2007 1 – XSS (Cross Site Scripting) 2 – Falhas de Injeção 3 – Execução Maliciosa de Arquivos 4 – Referência Direta a Objetos 5 – CSRF (Cross Site Request Forgery) 6 – Vazamento de Informações 7 – Furo de Autenticação 8 – Armazenamento Criptográfico 9 – Comunicação Insegura 10 – Restrição de Acesso a URL Encerramento

Um pouco de OWASP

Top 10 2007

1 – XSS (Cross Site Scripting)

2 – Falhas de Injeção

3 – Execução Maliciosa de Arquivos

4 – Referência Direta a Objetos

5 – CSRF (Cross Site Request Forgery)

6 – Vazamento de Informações

7 – Furo de Autenticação

8 – Armazenamento Criptográfico

9 – Comunicação Insegura

10 – Restrição de Acesso a URL

Encerramento

O que é OWASP? Open Web Application Security Project Educar e conscientizar segurança para desenvolvedores, designers, arquitetos e organizações.

Open Web Application Security Project

Educar e conscientizar segurança para desenvolvedores, designers, arquitetos e organizações.

Como funciona? Documentação Wiki e Books Code Review, Testing Guide, Building, Top Ten, … Code Projects Projetos ferramentas ofensivas/defensivas Processos, procedimentos … Educação e outros Chapters (Capítulos) Grupo de usuários +100 e crescendo Conferências Grandes e pequenos eventos ao redor do mundo

Documentação

Wiki e Books

Code Review, Testing Guide, Building, Top Ten, …

Code Projects

Projetos ferramentas ofensivas/defensivas

Processos, procedimentos …

Educação e outros

Chapters (Capítulos)

Grupo de usuários

+100 e crescendo

Conferências

Grandes e pequenos eventos ao redor do mundo

Brazilian Chapter (OWASP-BR) Positive Security Project Melhorar a postura das empresas em relação a segurança em aplicações Application Security Desk Reference Project (ASDR) Guia de referência sobre segurança em aplicações web Princípios, agentes de ameça, controles, vulnerabilidades e ataques, impactos de negócio e técnicos Traduções WebGoat Top Ten Project Lista de discussão ativa, participe! http://lists.owasp.org/mailman/listinfo/owasp-brazilian Acompanhe e colabore com o wiki do capítulo http://www.owasp.org/index.php/Brazilian

Positive Security Project

Melhorar a postura das empresas em relação a segurança em aplicações

Application Security Desk Reference Project (ASDR)

Guia de referência sobre segurança em aplicações web

Princípios, agentes de ameça, controles, vulnerabilidades e ataques, impactos de negócio e técnicos

Traduções

WebGoat

Top Ten Project

Lista de discussão ativa, participe!

http://lists.owasp.org/mailman/listinfo/owasp-brazilian

Acompanhe e colabore com o wiki do capítulo

http://www.owasp.org/index.php/Brazilian

Patrocinadores / Membros

Quem contribui?

Tratando as vulnerabilidades do Top 10 do OWASP Top 10 2007

O que é? Estudo da OWASP que busca identificar e classificar as 10 principais vulnerabilidades encontradas em ambientes WEB Traduzido para vários idiomas e atualizado regularmente Pt-Br:http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf

Estudo da OWASP que busca identificar e classificar as 10 principais vulnerabilidades encontradas em ambientes WEB

Traduzido para vários idiomas e atualizado regularmente

Pt-Br:http://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf

Tratando as vulnerabilidades do Top 10 do OWASP 1 – XSS (Cross Site Scripting)

1 - Cross Site Scripting (XSS) Permite que um atacante insira um script na página que será mostrada à vítima. Afeta qualquer ambiente web Efeitos: Seqüestro de sessão Inserção de código ou conteúdo hostil Roubo de informações Controle do navegador da vítima

Permite que um atacante insira um script na página que será mostrada à vítima.

Afeta qualquer ambiente web

Efeitos:

Seqüestro de sessão

Inserção de código ou conteúdo hostil

Roubo de informações

Controle do navegador da vítima

Tipos de Cross Site Scripting Refletido Quando o site reflete para o usuário todo ou parte do conteúdo da requisição Armazenado O script é armazenado em base de dados e é mostrado às vítimas posteriormente Inserção DOM Os scripts da página são alterados

Refletido

Quando o site reflete para o usuário todo ou parte do conteúdo da requisição

Armazenado

O script é armazenado em base de dados e é mostrado às vítimas posteriormente

Inserção DOM

Os scripts da página são alterados

Tratando em php Sanitize os dados usando htmlentities() ou htmlspecialchars()

Sanitize os dados usando

htmlentities() ou htmlspecialchars()

Tratando as vulnerabilidades do Top 10 do OWASP 2 – Falha de Injeção

2 - Falhas de Injeção Várias linguagens envolvidas: SQL LDAP HTML XSLT XML Comandos de interpretadores do sistema operacional (cmd, shell, etc)

Várias linguagens envolvidas:

SQL

LDAP

HTML

XSLT

XML

Comandos de interpretadores do sistema operacional (cmd, shell, etc)

Falhas de Injeção Como acontecem: Dados fornecidos por usuários são usados como parte de comandos ou consultas Dados são manipulados para alterar os comandos enviados ao interpretador Atacante pode se utilizar das permissões da aplicação para ler e/ou alterar dados Pode permitir execução de programas

Como acontecem:

Dados fornecidos por usuários são usados como parte de comandos ou consultas

Dados são manipulados para alterar os comandos enviados ao interpretador

Atacante pode se utilizar das permissões da aplicação para ler e/ou alterar dados

Pode permitir execução de programas

Falhas de Injeção Ambientes afetados: Quaisquer ambientes que utilizem interpretadores Muito comum no acesso a bases de dados SQL Injection

Ambientes afetados:

Quaisquer ambientes que utilizem interpretadores

Muito comum no acesso a bases de dados

SQL Injection

Dicas Valide sempre Expressões regulares são sempre uma boa Adote camada de abstração de dados Bibliotecas de ORM são bastante eficazes para evitar falhas de SQL Injection. Exemplo ADOdb, PDO. Use procedimentos armazenados Prepared Statements (Bind Variables) Evite usar a chamada padrão de query do MySQL ( mysqli_multi_query()) use mysqli_query() Não confie No usuário e no magic_quotes /addslashes() 

Valide sempre

Expressões regulares são sempre uma boa

Adote camada de abstração de dados

Bibliotecas de ORM são bastante eficazes para evitar falhas de SQL Injection. Exemplo ADOdb, PDO.

Use procedimentos armazenados

Prepared Statements (Bind Variables)

Evite usar a chamada padrão de query do MySQL ( mysqli_multi_query()) use

mysqli_query()

Não confie

No usuário e no magic_quotes /addslashes() 

Tratando em php Sanitize os dados usando escapeshellcmd()

Sanitize os dados usando

escapeshellcmd()

Tratando em php Evite, mas se precisar interagir com shell use escapeshellarg()

Evite, mas se precisar interagir com shell use

escapeshellarg()

Tratando em php Referenciando path de forma segura, evitando path traversal realpath()

Referenciando path de forma segura, evitando path traversal

realpath()

Tratando em php Evitando SQL Injection com mysql_escape_string() (não é uma solução definitiva, sujeito a SQL Injection usando técnicas de encode.) Só Bind Variables Salva 

Evitando SQL Injection com mysql_escape_string() (não é uma solução definitiva, sujeito a SQL Injection usando técnicas de encode.) Só Bind Variables Salva 

Tratando as vulnerabilidades do Top 10 do OWASP 3 – Execução Maliciosa de Arquivos

3 - Execução Maliciosa de Arquivo Execução de conteúdo externo ao código da aplicação Permite realizar Execução remota de código Instalação de rootkits

Execução de conteúdo externo ao código da aplicação

Permite realizar

Execução remota de código

Instalação de rootkits

Execução Maliciosa de Arquivo Ambientes afetados: Sistemas que aceitam nomes de arquivos Sistemas que recebem arquivos Ambientes interpretados

Ambientes afetados:

Sistemas que aceitam nomes de arquivos

Sistemas que recebem arquivos

Ambientes interpretados

Tratando em php Desabilite estas funções que são habilitadas por default allow_url_fopen e allow_url_include Cuidado com as funções eval() passthru() Streams (stream_*)

Desabilite estas funções que são habilitadas por default

allow_url_fopen e allow_url_include

Cuidado com as funções

eval()

passthru()

Streams (stream_*)

Tratando as vulnerabilidades do Top 10 do OWASP 4 – Referência Direta a Objetos

4 - Referência Direta a Objeto Ocorre quando a aplicação expõe referência direta a objeto interno Arquivo Diretório Registro de base de dados URL Parâmetro

Ocorre quando a aplicação expõe referência direta a objeto interno

Arquivo

Diretório

Registro de base de dados

URL

Parâmetro

Referência Direta a Objeto Permite ao atacante manipular a referência e burlar controles de acesso Exemplo: Aplicação utiliza CPF na URL para identificar usuário Atacante manipula a URL e altera o CPF Atacante acessa dados de outros CPFs

Permite ao atacante manipular a referência e burlar controles de acesso

Exemplo:

Aplicação utiliza CPF na URL para identificar usuário

Atacante manipula a URL e altera o CPF

Atacante acessa dados de outros CPFs

Referência Direta a Objeto Ambientes afetados: Qualquer ambiente web Solução Usar sessões Armazenar identificadores internos na sessão do usuário Usar identificadores de sessão aleatórios (token)

Ambientes afetados:

Qualquer ambiente web

Solução

Usar sessões

Armazenar identificadores internos na sessão do usuário

Usar identificadores de sessão aleatórios (token)

Tratando em php O recurso de _autoload é uma boa opção

O recurso de _autoload é uma boa opção

Tratando as vulnerabilidades do Top 10 do OWASP 5 – CSRF (Cross Site Request Forgery)

5 - Cross Site Request Forgery (CSRF) Usar sessão já aberta pelo usuário para enviar comandos para a aplicação Usuário loga na aplicação alvo Usuário acessa site do atacante Scripts do atacante usam a sessão da aplicação alvo Enviam comandos em nome do usuário na sessão já aberta

Usar sessão já aberta pelo usuário para enviar comandos para a aplicação

Usuário loga na aplicação alvo

Usuário acessa site do atacante

Scripts do atacante usam a sessão da aplicação alvo

Enviam comandos em nome do usuário na sessão já aberta

Cross Site Request Forgery Quando ocorre: Não há verificação de autorização Ação é executada quando credenciais são enviadas na URL As credenciais são submetidas automaticamente Cookies

Quando ocorre:

Não há verificação de autorização

Ação é executada quando credenciais são enviadas na URL

As credenciais são submetidas automaticamente

Cookies

Cross Site Request Forgery A maioria das aplicações atuais estão vulneráveis Aplicações de Internet Banking pedem a senha para operações de atualização Ambientes afetados: Todos os ambientes web

A maioria das aplicações atuais estão vulneráveis

Aplicações de Internet Banking pedem a senha para operações de atualização

Ambientes afetados:

Todos os ambientes web

Tratando em php Evite Que funções críticas na aplicação sejam feitas sem a necessidade de re-autenticação Não use apenas $_REQUEST[‘input‘] Utilize Corretamente $_COOKIE, $_GET e $_POST Token em todas as requisições

Evite

Que funções críticas na aplicação sejam feitas sem a necessidade de re-autenticação

Não use apenas $_REQUEST[‘input‘]

Utilize

Corretamente $_COOKIE, $_GET e $_POST

Token em todas as requisições

Tratando as vulnerabilidades do Top 10 do OWASP 6 – Vazamento de Informações

6 - Vazamento de Informações Nome completo: Vazamento de informações e tratamento de erros inapropriado A própria aplicação informa ao atacante: Configurações Arquitetura interna Plataformas Dados sigilosos

Nome completo:

Vazamento de informações e tratamento de erros inapropriado

A própria aplicação informa ao atacante:

Configurações

Arquitetura interna

Plataformas

Dados sigilosos

Vazamento de Informações Formas de vazamento: Tempo de resposta Respostas diferentes para diferentes entradas Página de erro com códigos diferentes Páginas de erros com informações de debug Stack trace na página de erro Ambientes afetados: Todos

Formas de vazamento:

Tempo de resposta

Respostas diferentes para diferentes entradas

Página de erro com códigos diferentes

Páginas de erros com informações de debug

Stack trace na página de erro

Ambientes afetados:

Todos

Tratando em php Cuidado com informações sobre o ambiente Phpinfo() Server-Status Configure no php.ini log_errors = On display_errors = Off

Cuidado com informações sobre o ambiente

Phpinfo()

Server-Status

Configure no php.ini

log_errors = On

display_errors = Off

Tratando as vulnerabilidades do Top 10 do OWASP 7 – Furo de Autenticação

7 - Furo de Autenticação Nome completo: Furo de autenticação e gerência de sessão Problemas mais comuns: Falhas de proteção de credenciais Falha de proteção de identificadores de sessão Ambientes afetados: Todos os ambientes

Nome completo:

Furo de autenticação e gerência de sessão

Problemas mais comuns:

Falhas de proteção de credenciais

Falha de proteção de identificadores de sessão

Ambientes afetados:

Todos os ambientes

Furo de Autenticação Conseqüências: Roubos de contas Seqüestro de sessão Violações de privacidade Acessos não autorizados Personificação de usuários ( impersonation )

Conseqüências:

Roubos de contas

Seqüestro de sessão

Violações de privacidade

Acessos não autorizados

Personificação de usuários ( impersonation )

Dicas Nunca faça Armazenamento de senhas. Nem mesmo criptografadas Não use mais md5 e sha-1 Faça Armazene apenas o hash + salt das senhas Fortaleça as configurações de sessão session.save_path = [diretório protegido] session.cookie_httponly = 1 (acesso apenas por HTTP) session.cookie_secure = 1 (força o uso de HTTPS)

Nunca faça

Armazenamento de senhas. Nem mesmo criptografadas

Não use mais md5 e sha-1

Faça

Armazene apenas o hash + salt das senhas

Fortaleça as configurações de sessão

session.save_path = [diretório protegido]

session.cookie_httponly = 1 (acesso apenas por HTTP)

session.cookie_secure = 1 (força o uso de HTTPS)

Números aleatórios Cuidado com as funções geradoras de números aleatórios rand(), srand(), mt_rand(), mt_srand() Uma falha na implementação destas funções causou inúmeras falhas em sistemas de autenticação em projetos open source

Cuidado com as funções geradoras de números aleatórios

rand(), srand(), mt_rand(), mt_srand()

Uma falha na implementação destas funções causou inúmeras falhas em sistemas de autenticação em projetos open source

Tratando em php Utilize outros algoritmos de hash

Utilize outros algoritmos de hash

Tratando as vulnerabilidades do Top 10 do OWASP 8 – Armazenamento Criptográfico

8 - Armazenamento Criptográfico Nome Completo: Armazenamento Criptográfico Inseguro Aplicações tem dados sensíveis Algumas não criptografam Outras criptografam de forma insegura Algoritmos mal concebidos Mecanismos inapropriados Erros no uso de criptografia Mesmo com algoritmos adequados

Nome Completo:

Armazenamento Criptográfico Inseguro

Aplicações tem dados sensíveis

Algumas não criptografam

Outras criptografam de forma insegura

Algoritmos mal concebidos

Mecanismos inapropriados

Erros no uso de criptografia

Mesmo com algoritmos adequados

Armazenamento Criptográfico Ambientes afetados Todos Problemas mais comuns: Não criptografar dados sensíveis Uso inseguro de algoritmos fortes Chaves fracas Uso de algoritmos caseiros ou de algoritmos fracos Armazenar chaves em sistemas de armazenamento desprotegidos

Ambientes afetados

Todos

Problemas mais comuns:

Não criptografar dados sensíveis

Uso inseguro de algoritmos fortes

Chaves fracas

Uso de algoritmos caseiros ou de algoritmos fracos

Armazenar chaves em sistemas de armazenamento desprotegidos

Tratando em php Use Mcrypt com algoritmos conhecidos de criptografia Cuidados Implementação do algoritmo Armazenamento da chave Cifra de César e XOR não funcionam

Use

Mcrypt com algoritmos conhecidos de criptografia

Cuidados

Implementação do algoritmo

Armazenamento da chave

Cifra de César e XOR não funcionam

Tratando as vulnerabilidades do Top 10 do OWASP 9 – Comunicação Insegura

9 - Comunicações inseguras Todo o tráfego autenticado da aplicação deve ser criptografado Usar SSL ou equivalente: Entre aplicação e cliente Entre aplicação e back-end (base de dados) Sempre autenticar (ou re-autenticar) antes de transmitir dados sigilosos Ambientes afetados: todos

Todo o tráfego autenticado da aplicação deve ser criptografado

Usar SSL ou equivalente:

Entre aplicação e cliente

Entre aplicação e back-end (base de dados)

Sempre autenticar (ou re-autenticar) antes de transmitir dados sigilosos

Ambientes afetados:

todos

Tratando as vulnerabilidades do Top 10 do OWASP 10 – Restrições de Acesso a URL

10 - Restrições de acesso a URLs Nome completo: Falha ao restringir acesso a URLs Aplicações tem páginas internas Estas páginas só devem ser acessadas: Por usuários autenticados ou Após determinada operação O acesso a páginas internas deve ser controlado corretamente

Nome completo:

Falha ao restringir acesso a URLs

Aplicações tem páginas internas

Estas páginas só devem ser acessadas:

Por usuários autenticados ou

Após determinada operação

O acesso a páginas internas deve ser controlado corretamente

Restrições de acesso a URLs Ambientes Afetados: Todos Problemas: Navegação forçada: Adivinhação de URLs Força bruta Ocorre porque a página não verifica se usuário deveria acessar

Ambientes Afetados:

Todos

Problemas:

Navegação forçada:

Adivinhação de URLs

Força bruta

Ocorre porque a página não verifica se usuário deveria acessar

Tratando em php Controle de acesso Estabeleça um bom controle de acesso as informações da aplicação Hardening de sessão A sessão é responsável por manter o estado das conexões, garanta que as sessões terão segurança adequada

Controle de acesso

Estabeleça um bom controle de acesso as informações da aplicação

Hardening de sessão

A sessão é responsável por manter o estado das conexões, garanta que as sessões terão segurança adequada

Tratando as vulnerabilidades do Top 10 do OWASP Encerrando

Fiquem de olho Port do projeto ESAPI para php Biblioteca completa para tratar as vulnerabilidades do Top 10 AppSec Latin America 2009 Conferência que será realizada no Brasil e irá unir especialistas do mundo todo para tratar de segurança em aplicações WEB

Port do projeto ESAPI para php

Biblioteca completa para tratar as vulnerabilidades do Top 10

AppSec Latin America 2009

Conferência que será realizada no Brasil e irá unir especialistas do mundo todo para tratar de segurança em aplicações WEB

REFERÊNCIAS http://www.owasp.org Code Review Guide www.owasp.org/index.php/Category:OWASP_Code_Review_Project Development Guide www.owasp.com.br/index.php/Category:OWASP_Guide_Project Testing Guide www.owasp.com.br/index.php/Category:OWASP_Testing_Project Application Security Desk Reference www.owasp.com.br/index.php/Category:OWASP_ASDR_Project Top Ten Project www.owasp.com.br/index.php/Category:OWASP_Top_Ten_Project http://br.php.net/manual/

http://www.owasp.org

Code Review Guide

www.owasp.org/index.php/Category:OWASP_Code_Review_Project

Development Guide

www.owasp.com.br/index.php/Category:OWASP_Guide_Project

Testing Guide

www.owasp.com.br/index.php/Category:OWASP_Testing_Project

Application Security Desk Reference

www.owasp.com.br/index.php/Category:OWASP_ASDR_Project

Top Ten Project

www.owasp.com.br/index.php/Category:OWASP_Top_Ten_Project

http://br.php.net/manual/

Perguntas Obrigado

Obrigado