Seguridad en aplicaciones Web

Seguridad web en aplicaciones Rails Ernesto Jiménez Caballero ernesto.jimenez@negonation.com

Sobre esta charla

¿De qué vamos a hablar?

SQL Injections

SQL Injections class User < ActiveRecord::Base def self.authenticate(login, password) return User.find(:first, :conditions => quot;login = '#{login}' AND crypted_password = '#{encrypt(password)}'quot;) end end User.authenticate(quot;blabla' OR 'x' = 'x') OR ('x' = 'xquot;, 'lo_que_sea') # => SELECT * FROM users WHERE (login = 'blabla' OR 'x' = 'x') OR ('x' = 'x' AND crypted_password = '4123oijsjdir32josidjr032') LIMIT 1; User.authenticate(quot;blabla' OR admin = 1) OR ('x' = 'xquot;, 'lo_que_sea') # => SELECT * FROM users WHERE (login = 'blabla' OR admin = 1) OR ('x' = 'x' AND crypted_password = '4123oijsjdir32josidjr032') LIMIT 1;

SQL Injections class User < ActiveRecord::Base def self.authenticate(login, password) return User.find(:first, :conditions => [ quot;login = ? AND crypted_password = ?quot;, login, encrypt(password) ]) end end class User < ActiveRecord::Base def self.authenticate(login, password) return User.find(:first, :conditions => { :login => login, :crypted_password => encrypt(password) }) end end

:conditions => “x = #{x}” deja que Rails escape los parámetros de las consultas

Asignación masiva

Asignación masiva class UsersController < ApplicationController def create @user = User.create(params[:user]) end end <% from_for :user, :url => users_path do |f| %> <label>email: <%= f.text_field :email %> </label> <label>password: <%= f.text_field :password %> </label> <%= submit_tag 'Registrarse' %> <% end %>

Asignación masiva class UsersController < ApplicationController def create @user = User.create(params[:user]) end end

Asignación masiva class UsersController < ApplicationController def create @user = User.create(params[:user]) end end post :create, :user => { :email => 'usuario@ejemplo.com', :password => 'xxxx'} # => Usuario creado con los parámetros del formulario post :create, :user => { :email => 'usuario@ejemplo.com', :password => 'xxxx', :admin => true} # => Escalada de privilegios!

Asignación masiva class User < ActiveRecord::Base has_many :posts end class Post < ActiveRecord::Base belongs_to :user end post :create, :user => { :email => 'usuario@ejemplo.com', :password => 'xxxx', :post_ids => [1,2,3]} # => Se proclama autor de los posts 1, 2 y 3!

Asignación masiva class User < ActiveRecord::Base attr_protected :admin end user = User.new( :email => 'usuario@ejemplo.com', :password => 'xxxx', :admin => true) user.admin # => false user.attributes = { :email => 'nuevo_email@ejemplo.com', :admin => true } user.admin # => false user.admin = true user.admin # => true

Asignación masiva class User < ActiveRecord::Base attr_accessible :email, :password end user = User.new( :email => 'usuario@ejemplo.com', :password => 'xxxx', :admin => true) user.admin # => false user.attributes = { :email => 'nuevo_email@ejemplo.com', :admin => true } user.admin # => false user.admin = true user.admin # => true

attr_protected attr_accessible no introduzcas vulnerabilidades por olvidos

Cross Site Scripting

Cross Site Scripting <div class=quot;comentarioquot;> <%= @comment.body %> </div> post :create, :comment => { :body => quot; <script> /* Javascript malintencionado */ </script> quot; } # => <div class=quot;commentquot;> <script> /* Javascript malintencionado */ </script> </div>

Cross Site Scripting <div class=quot;comentarioquot;> <%= sanitize @comment.body %> </div> post :create, :comment => { :body => quot; <script> /* Javascript malintencionado */ </script> quot; } # => <div class=quot;commentquot;> <script> /* Javascript malintencionado */ </script> </div>

Cross Site Scripting <div class=quot;comentarioquot;> <%=h @comment.body %> </div> post :create, :comment => { :body => quot; <script> /* Javascript malintencionado */ </script> quot; } # => <div class=quot;commentquot;> <script> /* Javascript malintencionado */ </script> </div>

sanitize Funciona con listas negras y no lo detecta todo

h bueeeeno, pero... ¿qué pasa si te olvidas uno? ¡¡¡es muy fácil olvidarse una letra!!!

sanitiza antes de guardar

Cross Site Request Forgery

Cross Site Request Forgery <img src=”http://web.com/nuevo_pass?pass=robado” />

Cross Site Request Forgery No es un problema en Rails 2.0

Accesos no autorizados

Accesos no autorizados class DraftsController < ApplicationController def show @draft = Draft.find(params[:id]) end def destroy @draft = Draft.destroy(params[:id]) end end # => Cualquier usuario puede ver y eliminar los borradores

Accesos no autorizados class DraftsController < ApplicationController def show @draft = current_user.drafts.find(params[:id]) end def destroy @draft = current_user.drafts.destroy(params[:id]) end end # => Solo el autor del borrador puede verlos y borrarlos

Acciones públicas

Acciones públicas # Ejemplo muy chorra :) class UsersController < ApplicationController def invite current_user.invitations.create(params[:email],) send_email end def send_email UserMailer.deliver_email(params[:email], params[:body]) end end get :send_email, :email => 'cualquiera@spam.es', :body => 'Compra V14GR4! http://www.pastillitaazul.com' # => El código de send_mail se ejecuta aunque luego de error

Acciones públicas # Ejemplo muy chorra :) class UsersController < ApplicationController def invite current_user.invitations.create(params[:email],) send_email end protected def send_email UserMailer.deliver_email(params[:email], params[:body]) end end

algunos consejos

jamás te fíes de lo que recibes en el servidor

ten cuidado con los datos que recibes, pero también con los que envías

controla las interfaces de tus cotroladores y modelos

no ﬁltres con listas negras

no tengas miedo de escribir tests que prueben la seguridad def test_should_avoid_xss_from_search_query get :search, :q => '<script id=quot;injectionquot;>alert();</script>' assert_no_tag :script, :attributes => {:id => 'injection' } end

algunas herramientas

FireBug

Cookie Editor

Tamper Data

WWW::Mechanize

require 'rubygems' require 'mechanize' agent = WWW::Mechanize.new page = agent.get 'http://www.gmail.com' form = page.forms.first form.Email = '***your gmail account***' form.Passwd = '***your password***' page = agent.submit form page = agent.get page.search(quot;//metaquot;).first.attributes['href'].gsub(/'/,'') page = agent.get page.uri.to_s.sub(/?.*$/, quot;?ui=html&zy=nquot;) page.search(quot;//tr[@bgcolor='#ffffff']quot;) do |row| from, subject = *row.search(quot;//b/text()quot;) url = page.uri.to_s.sub(/ui.*$/, row.search(quot;//aquot;).first.attributes[quot;hrefquot;]) puts quot;From: #{from}nSubject: #{subject}nLink: #{url}nnquot; email = agent.get url # .. end

¿Preguntas?

http://www.lacoctelera.com	132
http://blog.ernesto-jimenez.com	122
http://blog.negonation.com	95
http://www.slideshare.net	59
http://ernesto-jimenez.lacoctelera.net	28
http://webcache.googleusercontent.com	2
http://static.slideshare.net	1

Seguridad en aplicaciones Web

by Ernesto Jiménez on Nov 28, 2007

Accessibility

Categories

Tags

Upload Details

Usage Rights

7 Embeds 439

Statistics

Seguridad en aplicaciones Web — Presentation Transcript