SlideShare a Scribd company logo

AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE

Download as PPTX, PDF
Magno Logan
Magno Logan

AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE

Technology
1 of 78
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org OWASP TOP 10 + Java EE Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org Paraíba
OWASP 2 Quem sou eu? Desenvolvedor Java EE (+2 anos) Líder do Capítulo OWASP Paraíba Interesses em Segurança em Aplicações Web e Forense Computacional Praticante de Artes Marciais
OWASP Agenda OWASP O que é? Como funciona? OWASP Top 10 + Java EE Vulnerabilidades, Ataques e Contra-Medidas Ferramentas WebGoat, WebScarab, ZAP, Mantra Hands-on! H4ck1ng a real world web app 3
OWASP O que é OWASP? Open Web Application Security Project Educar e conscientizar segurança para desenvolvedores, designers, arquitetos e organizações.
OWASP Como funciona? 5 Sem fins lucrativos (ONG) Reconhecida internacionalmente Segurança de Aplicações (Web) Vive de voluntários!
OWASP Será que estamos seguros? 6
OWASP OWASP Top 10 (Edição 2010) 7 http://www.owasp.org/index.php/Top_10
OWASP A1 – Falhas de Injeção 8 •Enganar uma aplicação a incluir comandos nos dados enviados a um interpretador Injeção significa… •Recebem strings e interpretam como comandos •SQL, OS Shell, LDAP, XPath, Hibernate, etc… Interpretadores •Muitas aplicações ainda são suscetíveis (falha dos desenvolvedores) •Embora seja normalmente muito simples de evitar SQL injection ainda é muito comum! •Normalmente alto. Todo o banco de dados pode ser lido ou modificado. •Pode também permitir acesso à contas de usuário ou até mesmo acesso a nível de SO. Impacto Típico
OWASP Exemplos de Código  String query = "SELECT user_id FROM user_data WHERE user_name = ' " + req.getParameter("userID") + " ' and user_password = ' " + req.getParameter("pwd") +" ' ";  E se o usuário informar isto como username? ‘ OR ‘1’=’1’ --  SELECT user_id FROM user_data WHERE user_name = ‘’ OR ‘1’=‘1’ --  A consulta irá obter o primeiro usuário da tabela de usuários que normalmente é ... o administrador do sistema!  Ainda existem aplicações web vulneráveis a este simples ataque! 9
OWASP Caso Real – Banco de Currículos do C.E.S.A.R 10
OWASP 11
OWASP 12
OWASP 13
OWASP Exemplos de Código  Runtime.exec( “C:windowssystem32cmd.exe C netstat -p “ + req.getParameter(“proto”));  E se o usuário informar isto como protocolo? “udp; format c:”  Runtime.exec( “C:windowssystem32cmd.exe C netstat –p udp; format c:”);  Irá exibir as conexões ativas e portas utilizadas, mas também irá formatar a unidade C do HD  Bastante perigosa! Pode ser utilizada para obter informações sobre o sistema 14
OWASP Exemplo de SQL Injection Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code ATAQUE DE APLICAÇÃO CamadadeRedeCamadadeAplicação Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions HTTP request  SQL query  DB Table   HTTP respons e   "SELECT * FROM accounts WHERE acct=‘’ OR 1=1-- ’" 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário 3. Aplicação repassa ataque para o banco de dados em uma query SQL Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Banco de dados executa query contendo o ataque e envia os resultados para aplicação 5. Aplicação recebe os dados e envia os resultados para o usuário Login: Senha: Login: Senha:
OWASP A1 – Evitando Falhas de Injeção 16 1. Use uma interface que suporte bind variables (prepared statements ou stored procedures) Bind variables permitem ao interpretador distinguir entre código e dados Utilize PreparedStatements fortemente tipados ou Mapeamento Objeto Relacional como Hibernate ou Spring 2. Codificar todas as entradas dos usuários antes de passar para o interpretador Sempre execute validação de entrada do tipo ‘white list’ em todas as informações fornecidas pelo usuário Sempre minimize os privilégios do banco de dados para reduzir o impacto de uma falha
OWASP A1 – Evitando Falhas de Injeção  Utilize as classes Encoder e Validator da OWASP ESAPI (Enterprise Security API) String input = request.getParameter("param"); if (input != null) { if (!Validator.getInstance().isValidString("^[a-zA-Z ]*$", input)) { response.getWriter().write("Inválido: " + Encoder.getInstance().encodeForHTML(input) + "<br>"); } else { response.getWriter().write("Válido: " + Encoder.getInstance().encodeForHTML(input) + "<br>"); }  www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet 17
OWASP Exercícios: Command Injection Numeric SQL Injection LAB SQL Injection  Stage 1  Stage 3 18
OWASP A2 – Cross Site Scripting (XSS) 19 • Dados não processados do atacante são enviados para um navegador de um usuário inocente Acontece a qualquer momento… • Armazenados em banco de dados • Refletidos de entrada da web (formulário, campo oculto, URL, etc…) • Enviado diretamente ao cliente JavaScript Dados são… • Tente isto no seu navegador – javascript:alert(document.cookie) Praticamente toda aplicação web tem este problema! • Roubar a sessão do usuário, roubar dados sensíveis, reescrever a página web ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites Impacto Típico
OWASP Exemplos de Código  out.writeln(“Você pesquisou por: “+request.getParameter(“query”);  <%=request.getParameter(“query”);%>  out.writeln("<tr><td>" + visitante.nome + "<td>" + visitante.comentario); <HTML> <TITLE>Bem vindo!</TITLE>Hi<SCRIPT> var pos=document.URL.indexOf("nome=")+5; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Bem vindo ao nosso sistema… </HTML> 20
OWASP Exemplo de Cross-Site Scripting Aplicação com vulnerabilidade de Stored XSS 3 2 Atacante prepara a armadilha – atualizar meu perfil Atacante insere um script malicioso na página que armazena dados no servidor 1 Vítima acessa a página – o perfil do atacante Script silenciosamente envia o cookie de sessão da vítima Script roda dentro do navegador da vítima com total acesso ao DOM e cookies Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions
OWASP A2 – Evitando XSS  Realize validação de entrada do tipo whitelist  <f:validateLength minimum="2" maximum="10"/>  <h:inputText required=”true”>  Codifique todas as informações fornecidas pelos usuário!  Utilize <bean:write ...> para o Struts ou <c:out escapeXML=”true” > para JSTL  Utilize as classes Encoder e Validator da ESAPI if ( !Validator.getInstance().isValidHTTPRequest(request) ) { response.getWriter().write( "<P>HTTP Request Inválido – Caracteres Inválidos</P>" ); }  www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet 22 (AntiSamy)
OWASP Exercícios: Stored XSS Reflected XSS LAB: Cross Site Scripting Stage 1 Stage 3 Stage 5 23
OWASP A3 – Falha de Autenticação e Gerência de Sessões 24 •Significa que as credenciais deve ser enviadas a cada requisição •Devemos utilizar SSL para tudo que necessite de autenticação HTTP é um protocolo “stateless” (sem estado) •SESSION ID usado para controlar o estado já que o HTTP não faz •E é tão bom quanto as credenciais para o atacante… •SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Falhas no controle das sessões •Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Cuidado com as alternativas! •Contas de usuários comprometidas ou sessões de usuários sequestradas Impacto Típico
OWASP Perguntas Secretas? Nem sempre! 25
OWASP Exemplo de Falha de Autenticação Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Usuário envia suas credenciais 2Site usa URL rewriting (coloca a sessão naURL) 3 Usuário clica no link www.hacker.com em um forum www.twitter.com?JSESSIONID=9FA1DB9EA... 4 Hacker checa os logs de referência em www.hacker.com e encontra o JSESSIONID do usuário 5 Hacker usa JSESSIONID e tem acesso à conta da vítima
OWASP A3 – Evitando Falhas de Autenticação e Gerenciamento de Sessões Verifique sua arquitetura Autenticação deve ser simples, centralizada e padronizada Utilize o session id padrão fornecido pelo seu container web Certifique-se que SSL proteja as credenciais e o session id Verifique a implementação Esqueça técnicas de análises automatizadas Verifique o seu certificado SSL Examine todas as funções relacionadas à autenticação Certifique-se que o logoff realmente destroi a sessão Utilize as ferramentas da OWASP para testar sua implementação Siga o guia:  http://www.owasp.org/index.php/Authentication_Cheat_Sheet
OWASP A3 – Evitando Falhas de Autenticação e Gerenciamento de Sessões  Adicione uma restrição de segurança no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas em HTTPS</web-resource-name> <url-pattern>/profile</url-pattern> <url-pattern>/register</url-pattern> <url-pattern>/password-login</url-pattern> <url-pattern>/ldap-login</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENCIAL</transport-guarantee> </user-data-constraint> </security-constraint>  Use as classes Authenticator, User e HTTPUtils da OWASP ESAPI 28
OWASP Exercícios: Password Strength Forgot Password Multi Level Login 1 Multi Level Login 2 29
OWASP A4 – Referência Insegura e Direta à Objetos • Isto é garantir a devida Autorização, junto com A7 – Falha em Restringir Acesso à URLs Como você protege o acesso à seus dados? • Listando apenas os objetos autorizados para o usuário atual • Escondendo referências à objetos em campos ocultos (hidden) • … E então não garantir essas restrições no lado servidor • Isto é chamado de Controle de Acesso da Camada de Apresentação e não funciona! • Atacante simplemente altera os valores dos parâmetros Um erro comum… • Usuários são capazes de acessar arquivos ou informações não autorizadas Impacto típico
OWASP Exemplos de Código <select name="idioma"><option value="fr">Francês</option></select> … Public static String idioma = request.getParameter(idioma); String idioma = request.getParameter(idioma); RequestDispatcher rd = context.getRequestDispatcher(“main_”+ idioma); rd.include(request, response);  E se o usuário modificar o valor da parâmetro para: “../../../../etc/passwd%00“  Resultado: main_../../../../etc/passwd%00  Irá exibir a lista de usuários do sistema! 31
OWASP Exemplos de Código  Numa loja de compras online protegida contra SQL Injection e que não apresente nenhum link para carrinhos não autorizados… int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;  Se eu modificar o ID do meu carrinho de compras, terei acesso ao carrinho de outras pessoas!  O correto seria: User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID(); 32
OWASP Exemplo de Referência Insegura e Direta à Objetos Atacante nota que o parâmetro da sua conta é 6065 ?acct=6065 Ele modifica para um número próximo: ?acct=6066 Atacante visualiza as informações da conta da vítima https://www.bancoonline.com/user?acct=6065
OWASP A4 – Evitando Referência Insegura e Direta à Objetos Elimine a referência direta à objetos  Substitua por um valor temporariamente mapeado (ex. 1, 2, 3)  ESAPI fornece suporte para mapeamentos númericos e aleatórios  IntegerAccessReferenceMap & RandomAccessReferenceMap Valide a referência direta ao objeto Verifique se o valor do parametro está devidamente formatado Verifique se o usuário tem acesso ao objeto em questão Verifique se o modo de acesso é permitido para o objeto (ex. read, write, delete) http://app?file=1 Planilha123.xls http://app?id=7d3J93 Conta:9182374http://app?id=9182374 http://app?file=Planilha123.xls Mapa de Acesso à Referências
OWASP Exercícios: Insecure Configuration Forced Browsing 35
OWASP A5 – Cross Site Request Forgery (CSRF) • Um ataque onde o browser da vítima é enganado a enviar um comando à uma aplicação web vulnerável • Vulnerabilidade causada por browsers que incluem automaticamente informações de autenticação do usuário (ID da sessão, Endereço IP, …) a cada solicitação (request) Cross Site Request Forgery • E se um hacker pudesse mexer seu mouse e fazê-lo clicar em links na sua aplicação de online banking? • O que eles poderiam “forçar” você fazer? Imaginem… • Iniciar transações (transferir fundos, fazer logout, fechar conta) • Acessar dados sensíveis • Mudar os detalhes da conta Impacto típico
OWASP Padrão de Vulnerabilidade do CSRF O Problema  Navegadores web automaticamente incluem a maioria das credenciais a cada request  Até mesmo para requests feitos em outro site Todos os sites que confiam apenas em credenciais automáticas estão vulneráveis!  (quase todos os sites estão desta forma) Credenciais fornecidas automaticamente  Cookie de sessão  Cabeçalho básico de autenticação  Endereço IP  Certificados SSL do lado cliente  Autenticação de domínios Windows
OWASP Exemplos de Código  <img src="http://www.example.com/logout.jsp">  Irá realizar o logout do usuário da aplicação acessada. Nada muito perigoso não é mesmo?  <img src="http://www.example.com/transfer.do?frmAcct= document.form.frmAcct&toAcct=4345754&toSWIFTid=434343&amt =3434.43">  E agora? Irá realizar a transferência de uma certa quantia em dinheiro de uma conta para outra! 38
OWASP Exemplo de CSRF 3 2 Atacante coloca uma armadilha em um site na internet (ou simplesmente via email)1 Enquanto logada no site vulnerável, a vítima visita o site do atacante Site vulnerável olha o request legítimo da vítima e realiza a ação solicitada Tag <img> carregada pelo browser – envia um request GET (incluindo credenciais) para o site vulnerável Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions Tag <img> oculta contém ataque contra o site vulnerável Aplicação com uma vulnerabilidade CSRF
OWASP A5 – Evitando Falhas de CSRF  Adicione um token secreto, não submetido automaticamente, para todos os requests sensíveis  Torna impossível para uma atacante falsificar o request  (a não ser que tenha uma falha de XSS na sua aplicação)  Tokens devem ser criptografados e aleatórios (não sequenciais!)  Opções  Armazene um token na sessão e adicione a todos os links e formulários  Campo oculto: <input name="token" value="687965fdfaew87agrde" type="hidden"/>  URL de Uso Único: /accounts/687965fdfaew87agrde  Token de Formulário: /accounts?auth=687965fdfaew87agrde …  Pode ter um token único para cada função  Use um hash do nome da função, id da sessão e um segredo (salt)  Pode requerer autenticação secundária para funções sensíveis (ex. eTrade)
OWASP A5 – Evitando Falhas de CSRF 41  Não permita que atacantes armazenem ataques no seu site  Codifique devidamente toda entrada na saída  Isto torna todos os links/requests inertes na maioria dos interpretadores  Elimine as falhas de XSS  Utilize a classe User da ESAPI para gerar e validar um token Para mais detalhes: www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
OWASP Exercícios: Cross Site Request Forgery (CSRF) CSRF Prompt By-Pass CSRF Token By-Pass 42
OWASP A6 – Falhas de Configuração de Segurança •Tudo desde o SO ao Servidor de Aplicações •Não esqueça das bibliotecas que estiver usando! Aplicações Web confiam em uma fundação segura •Pense em todos os locais que seu código fonte vai •Segurança não deve requerer um código fonte secreto Seu código fonte é secreto? •Todas as credenciais devem mudar em produção! GC deve se estender para todas as partes da aplicação •Instalar um backdoor através de SO ou Servidor desatualizado •Exploits de falhas de XSS devido a falta de patches dos frameworks da aplicação •Acesso não autorizado a contas default, funcionalidades ou dados da aplicação ou acesso à funcionalidades devido a fraca configuração do servidor Impacto Típico
OWASP Hardened OS Web Server App Server Framework Exemplo de Falhas de Configuração de Segurança App Configuration Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Test Servers QA Servers Source Control Development Database Insider
OWASP A6 – Evitando Falhas de Configuração de Segurança  Verifique o gerenciador de configurações do sistema  Guia do Hardening da Configuração Segura  Automação é MUITO IMPORTANTE aqui  Deve cobrir toda a plataforma e a aplicação  Mantenha todos os componentes atualizados!  Incluindo bibliotecas de software, não apenas SO e Servidor de Aplicações  Analise os efeitos de segurança das mudanças  Forte arquitetura da aplicação  Provê uma boa separação e segurança entre os componentes  Verifique a implementação  Scans encontram configurações genericas e problemas de atualização
OWASP Exercícios: Improper Error Handling Fail Open Authentication Scheme Code Quality Discover Clues in the HTML 46
OWASP A7 – Armazenamento com Criptografia Insegura • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Banco de dados, diretórios, arquivos, logs, backups, etc.. • Falha em proteger devidamente estes dados em todos os locais Armazenando dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Ex.: cartões de crédito, registros de saúde, dados financeiros (seus ou dos seus clientes) • Atacantes obtém segredos para usá-los em novos ataques • Embaraço da Empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente, como forense, enviar cartas de desculpas, reemitir milhares de cartões de crédito, fornecer seguro contra roubo de identidade • Empresas são processadas e/ou multadas Impacto Típico
OWASP Exemplo de Armazenamento com Criptografia Insegura Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Vítima insere seu número de cartão de crédito no formulário 2 Gerenciador de erros loga os detalhes do CC porque o gateway da loja está indisponível 4 Insider malicioso rouba 4 milhões de números de cartões de crédito Arquivos de Log 3 Logs são acessíveis a todos os membros da TI para depuração
OWASP A7 – Evitando Armazenamento com Criptografia Insegura Verifique sua arquitetura Identifique todos os dados sensíveis Identifique todos os locais que esses dados são armazenados Utilize criptografia para combater as ameaças, não apenas criptografe os dados Proteja com mecanismos apropriados Criptografia de arquivos, criptografia de banco de dados, criptografia de elementos de dados
OWASP A7 – Evitando Armazenamento com Criptografia Insegura  Utilize os mecanismos corretamente Use algoritmos padrões fortes Gere, distribua e proteja as chaves apropriadamente Prepare-se para mudança de chaves  Verifique a implementação Um forte algoritmo padrão é usado e é o apropriado para esta situação Todas as chaves, certificados e senhas estão devidamente armazenadas e protegidas Distribuição de chaves segura e um efetivo plano para mudança de chaves estão implementados Analise o código de criptografia para falhas comuns 50
OWASP A8 – Falha de Restrição de Acesso a URLs • Isto é garantir a devida autorização junto com A4 – Referência Insegura e Direta à Objetos Como você protege o acesso à URLs (páginas)? • Mostrando apenas links e menus autorizados • Isto é chamado de Controle de Acesso de Camada de Apresentação e não funciona! • Atacante simplesmente forja um acesso direto à páginas “não- autorizadas” Um erro comum… • Atacante chama funções e serviços que não estão autorizados • Acesso à conta e informações de outros usuários • Realização de ações privilegiadas Impacto Típico
OWASP Exemplo de Falha de Restrição de Acesso a URLs Atacante nota que a URL indica seu perfil /user/getAccounts Ele modifica para outro diretório (perfil) /admin/getAccounts ou /manager/getAccounts Atacante visualiza mais contas do que apenas a sua https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts
OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs  Para cada URL, um site precisa fazer 3 coisas:  Restringir o acesso à usuários autenticados (se não for público)  Garantir permissões baseadas em usuários ou perfis (se privado)  Desabilitar completamente requests para tipos de páginas não autorizadas (Ex.: arquivos de configuração, arquivos de log, códigos fonte, etc.)  Verifique sua arquitetura  Utilize um modelo simples e positivo em todas as camadas  Tenha certeza que realmente tem um mecanismo em todas as camadas  Verifique a implementação  Esqueça abordagens de análises automatizadas  Certifique-se que cada URL na sua aplicação está protegida com:  Um filtro externo como web.xml do Java EE  Ou verificações internas no seu código – Utilize o isAuthorizedForURL() da ESAPI  Verifique se a configuração do servidor desabilita requests para tipos de arquivos não autorizados  Use WebScarab ou seu browser para forjar requests não autorizados
OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs Google is your friend! Use-o! Sabe utilizar o robots.txt?! Utilize a ferramenta da OWASP DirBuster para mapear todos os arquivos e diretórios da sua aplicação Evite que estas páginas sejam acessíveis por usuários não autorizados: /admin/adduser.php ou /approveTransfer.do 54
OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs  Configure as restrições no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas de administração da Aplicação Java EE protegidas</web- resource-name> <description>Requer autenticação dos usuários.</description> <url-pattern>/admin/*</url-pattern> </web-resource-collection> <auth-constraint> <description>Permite acesso às paginas de administração</description> <role-name>Administrador</role-name> </auth-constraint> </security-constraint> <security-role> <description>Administrador Java EE</description> <role-name>Administrador</role-name> </security-role> 55
OWASP A9 – Fraca Proteção na Camada de Transporte • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais que estes dados são enviados • Na Internet, para o banco de dados, para parceiros de negócios ou comunicações internas • Falha em devidamente proteger estes dados em todos os locais Transmitindo dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Ex.: cartões de crédito, registros de saúde, dados financeiros (seus ou dos seus clientes • Atacantes obtém segredos para usar em ataques futuros • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Custos de limpar o incidente (Forense) • Empresas são processadas e/ou multadas Impacto Típico
OWASP Exemplo de Fraca Proteção na Camada de Transporte Custom Code Empregados Parceiros Vítima Externa Backend Systems Atacante Externo 1 Atacante externo rouba dados e credenciais da rede 2 Atacante interno rouba dados e credenciais da rede interna Atacante Interno (Insider)
OWASP A9 – Evitando Fraca Proteção na Camada de Transporte Proteja com mecanismos apropriados Use TLS em todas as conexões com dados sensíveis Criptografe individualmente as mensagens antes de transmitir  Ex.: XML-Encryption Assine as mensagens antes de transmitir  Ex.: XML-Signature Utilize mecanismos corretamente Use algoritmos fortes (desabilite algoritmos SSL antigos) Gerencie chaves/certificados apropriadamente Verifique certificados SSL antes de utilizá-los Use mecanismos aprovados quando suficiente  Ex.: SSL vs XML-Encryption  http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
OWASP A9 – Evitando Fraca Proteção na Camada de Transporte  Adicione restrições de segurança no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas HTTPS</web-resource-name> <url-pattern>/profile</url-pattern> <url-pattern>/register</url-pattern> <url-pattern>/password-login</url-pattern> <url-pattern>/ldap-login</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENCIAL</transport-guarantee> </user-data-constraint> </security-constraint>  Proteja o cookie de sessão setando o secure bit para 1  (javax.servlet.http.Cookie.setSecure(true))  Isto irá prevenir o envio do cookie em texto plano 59
OWASP Exercícios: Insecure Communication Insecure Login 60
OWASP A10 – Redirects e Forwards Não Validados • E frequentemente incluiem parâmetros fornecidos pelo usuário na URL de destino • Se eles não forem validados, atacante pode enviar a vítima para um site a sua escolha Redirecionamentos em Aplicações Web são muito comuns • Eles enviam o request internamente para uma nova página na mesma aplicação • Às vezes os parâmetros definem a página alvo • Se não forem validados, atacante pode utilizar um envio não-validado para burlar checagens de autenticação ou autorização Envios (Forwards) também são • Redirecionar a vítima para um site de phishing ou malware • O request do atacante burla checagens de segurança, permitindo o acesso à funções ou dados não-autorizados Impacto típico
OWASP Mas qual a diferença entre eles?  Forward É executado internamente pelo servlet O browser não sabe o que está ocorrendo A URL na barra de endereços não muda O reload irá executar a requisição original  Ex.: rd = request.getRequestDispatcher("pagina.html"); rd.forward(request, response); 62
OWASP Mas qual a diferença entre eles?  Redirect É um processo de dois passos, por isso a URL muda O reload da página não repetirá a requisição original É um processo muito mais lento que um forward, pois são necessárias duas requisições, e não uma Objetos colocados no escopo do request original são perdidos durante o segundo request  Ex.: response.sendRedirect("pagina.html"); 63
OWASP Exemplo de Redirect Não Validado 3 2 Atacante envia o ataque para a vítima através de um email ou site From: Receital Federal Subject: Imposto de Renda Nossos registros mostram que você tem uma restituição para receber. Por favor clique aqui para receber seu dinheiro. 1 Aplicação redireciona a vítima pro site do atacante Request enviado para o site vulnerável, incluindo o site destino como parâmetro. Redirecionamento envia a vítima para o site do atacante Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions 4 Site malicioso instala malware na vítima ou tenta obter informações privadas Vítima clica no link contendo parâmetros não validados Evil Site http://www.receita.fazenda.gov.br/irpf/obterImpos to.jsp?year=2011& … &dest=www.hacked.com
OWASP Exemplo de Forward Não Validado 2 Atacante envia o ataque para página vulnerável a qual tem acesso1 Aplicação autoriza o request que continua para a página vulnerável Request enviado para a página vulnerável que o usuário tem acesso. Redirecionamento envia o usuário diretamente para página privada burlando o controle de acesso 3 O envio falha em validar o parâmetro, enviando o atacante para uma página não-autorizada, burlando o controle de acesso public void doPost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getParameter( "dest" ) ); ... request.getRequestDispatcher( target ).forward(request, response); } catch ( ... Filtro public void sensitiveMethod( HttpServletRequest request, HttpServletResponse response) { try { // Faz coisas sensíveis aqui. ... } catch ( ...
OWASP A10 – Evitando Redirects e Forwards Não Validados 1. Evitar o uso de redirects e forwards o máximo possível 2. Se utilizado, não envolva parâmetros do usuário para definir a URL alvo 3. Se necessitar envolver parâmetros do usuário, então: Use mapeamento do lado servidor para traduzir a escolha fornecida pelo usuário com a página alvo  Para redirects, valide a URL de destino para garantir que irá para um site externo autorizado  A OWASP ESAPI pode fazer isso para você!  SecurityWrapperResponse.sendRedirect(URL)
OWASP A10 – Evitando Redirects e Forwards Não Validados  Algumas dicas sobre proteger Forwards Chame o controle de acesso para garantir que o usuário está autorizado antes de realizar o forward Garanta que os usuários que podem acessar a página origem são todos autorizados a acessar a página destino Analise de onde o usuário está vindo, de forma a mapear a aplicação e impedir acessos indevidos a URLs Preste especial atenção aos casos parametrizados que precisam, necessariamente, utilizar URLs externas 67
OWASP Como resolver todos estes problemas?  Desenvolver código seguro - “Prevenir é melhor do que remediar”  Siga as melhores práticas no Guia da OWASP – Construindo Aplicações Web Seguras  http://www.owasp.org/index.php/OWASP_Guide_Project  Utilize o Padrão de Verificação de Segurança em Aplicações da OWASP como um guia para saber o que uma aplicação precisa para ser segura  https://www.owasp.org/index.php/ASVS  Use os componentes padrões de segurança que se adequam a sua organização  Veja a ESAPI da OWASP como base para seus componentes padrões  https://www.owasp.org/index.php/ESAPI
OWASP Como resolver todos estes problemas?  Revise suas aplicações  Tenha um time para testar e revisar suas aplicações  Revise você mesmo suas aplicações seguindo os guias da OWASP:  OWASP Code Review Guide: http://www.owasp.org/index.php/Code_Review_Guide  OWASP Testing Guide: http://www.owasp.org/index.php/Testing_Guide 69
OWASP Desafio Final – only for 1337! The CHALLENGE! Stage 1 Stage 2 Stage 3 Can you do it?! May the source be with you! 70
OWASP Ferramentas 71
OWASP WebGoat Uma aplicação Java EE vulnerável propositalmente mantida pela OWASP Desenvolvida para ensinar segurança em aplicações web Mas também é util para testar produtos de segurança: IPS, Firewalls, WAF, etc... Funciona em Windows, Linux, etc... 72
OWASP WebGoat v5.3 Disponível em Inglês e Alemão Existe uma versão disponível em pt-BR: v5.1 code.google.com/p/webgoat-ptbr Simples e fácil de utilizar, só baixar e rodar! Vamos começar? Execute o webgoat.bat ou .sh 73
OWASP 74
OWASP WebScarab Framework para analisar aplicações que utilizam os protocolos HTTP e HTTPS Feito em Java (multiplataforma) Nova versão (NG) é mais amigável Desenvolvido por Rogan Dawes 75
OWASP ZAP (Zed Attack Proxy) Ferramenta de teste de invasão integrada Ideal para pessoas sem conhecimento em segurança (desenvolvedores e testers) Feito em Java (multiplataforma) Desenvolvido por Simon Bennetts e Axel Neumann 76
OWASP Obrigado! 77
OWASP Referências  OWASP Top 10 for 2010 - http://www.owasp.org/index.php/Top_10  The Ten Most Critical Web Application Security Risks http://owasptop10.googlecode.com/files/OWASP%20Top%2010%2 0-%202010.pdf  OWASP Top 10 Presentation - http://owasptop10.googlecode.com/files/OWASP_Top_10_- _2010%20Presentation.pptx 78

Recommended

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 

Recommended

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
Patrick Kaminski
 
Quem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe SecQuem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe Sec
William Costa
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
William Costa
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objeto
Luciano Monteiro da Silva
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
Rafael Jaques
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Clavis Segurança da Informação
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010
Rafael Jaques
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
Gustavo Neves
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação Web
Matheus Fidelis
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
Flavio Souza
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js Seguras
Paulo Pires
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
Kaito Queiroz
 
Sql injection
Sql injectionSql injection
Sql injection
Tiago Natel de Moura
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
William Costa
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
Carlos Serrao
 

More Related Content

What's hot

Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
William Costa
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objeto
Luciano Monteiro da Silva
 

What's hot (20)

PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
 
Quem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe SecQuem tem medo do XSS ? MindThe Sec
Quem tem medo do XSS ? MindThe Sec
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objeto
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação WebAula 1 - Testando a Segurança de Sua Aplicação Web
Aula 1 - Testando a Segurança de Sua Aplicação Web
 
Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js Seguras
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Sql injection
Sql injectionSql injection
Sql injection
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
 

Viewers also liked

Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
Arquitetura de Software Na Pratica
Arquitetura de Software Na PraticaArquitetura de Software Na Pratica
Arquitetura de Software Na Pratica
Alessandro Kieras
 

Viewers also liked (10)

OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
OWASP Top 10 2013
OWASP Top 10 2013OWASP Top 10 2013
OWASP Top 10 2013
 
Arquitetura de Software Na Pratica
Arquitetura de Software Na PraticaArquitetura de Software Na Pratica
Arquitetura de Software Na Pratica
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
 

Similar to AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE

Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Luis Asensio
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da Tecnologia
Carlos Nilton Araújo Corrêa
 
APIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentamAPIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentam
Diana Ungaro Arnos
 

Similar to AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE (20)

Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
 
Owasp web app_flaws
Owasp web app_flawsOwasp web app_flaws
Owasp web app_flaws
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
 
A1 - Sql Injection na Prática Parte 01
A1 - Sql Injection na Prática Parte 01A1 - Sql Injection na Prática Parte 01
A1 - Sql Injection na Prática Parte 01
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da Tecnologia
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
 
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Desenvolvimento Web - Palestra Coding Night #3 - MicrosoftDesenvolvimento Web - Palestra Coding Night #3 - Microsoft
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasil
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
APIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentamAPIs: o que são, onde vivem e como se alimentam
APIs: o que são, onde vivem e como se alimentam
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
 

More from Magno Logan

More from Magno Logan (18)

DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
XST - Cross Site Tracing
XST - Cross Site TracingXST - Cross Site Tracing
XST - Cross Site Tracing
 
OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE
 
XPath Injection
XPath InjectionXPath Injection
XPath Injection
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
SQL Injection Tutorial
SQL Injection TutorialSQL Injection Tutorial
SQL Injection Tutorial
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsAppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisAppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck Willis
 
Just4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsJust4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applications
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguro
 
BHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsBHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applications
 
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasAppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
 

Recently uploaded

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
Natalia Granato
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Recently uploaded (6)

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 

AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE

  • 1. Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org OWASP TOP 10 + Java EE Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org Paraíba
  • 2. OWASP 2 Quem sou eu? Desenvolvedor Java EE (+2 anos) Líder do Capítulo OWASP Paraíba Interesses em Segurança em Aplicações Web e Forense Computacional Praticante de Artes Marciais
  • 3. OWASP Agenda OWASP O que é? Como funciona? OWASP Top 10 + Java EE Vulnerabilidades, Ataques e Contra-Medidas Ferramentas WebGoat, WebScarab, ZAP, Mantra Hands-on! H4ck1ng a real world web app 3
  • 4. OWASP O que é OWASP? Open Web Application Security Project Educar e conscientizar segurança para desenvolvedores, designers, arquitetos e organizações.
  • 5. OWASP Como funciona? 5 Sem fins lucrativos (ONG) Reconhecida internacionalmente Segurança de Aplicações (Web) Vive de voluntários!
  • 7. OWASP OWASP Top 10 (Edição 2010) 7 http://www.owasp.org/index.php/Top_10
  • 8. OWASP A1 – Falhas de Injeção 8 •Enganar uma aplicação a incluir comandos nos dados enviados a um interpretador Injeção significa… •Recebem strings e interpretam como comandos •SQL, OS Shell, LDAP, XPath, Hibernate, etc… Interpretadores •Muitas aplicações ainda são suscetíveis (falha dos desenvolvedores) •Embora seja normalmente muito simples de evitar SQL injection ainda é muito comum! •Normalmente alto. Todo o banco de dados pode ser lido ou modificado. •Pode também permitir acesso à contas de usuário ou até mesmo acesso a nível de SO. Impacto Típico
  • 9. OWASP Exemplos de Código  String query = "SELECT user_id FROM user_data WHERE user_name = ' " + req.getParameter("userID") + " ' and user_password = ' " + req.getParameter("pwd") +" ' ";  E se o usuário informar isto como username? ‘ OR ‘1’=’1’ --  SELECT user_id FROM user_data WHERE user_name = ‘’ OR ‘1’=‘1’ --  A consulta irá obter o primeiro usuário da tabela de usuários que normalmente é ... o administrador do sistema!  Ainda existem aplicações web vulneráveis a este simples ataque! 9
  • 10. OWASP Caso Real – Banco de Currículos do C.E.S.A.R 10
  • 14. OWASP Exemplos de Código  Runtime.exec( “C:windowssystem32cmd.exe C netstat -p “ + req.getParameter(“proto”));  E se o usuário informar isto como protocolo? “udp; format c:”  Runtime.exec( “C:windowssystem32cmd.exe C netstat –p udp; format c:”);  Irá exibir as conexões ativas e portas utilizadas, mas também irá formatar a unidade C do HD  Bastante perigosa! Pode ser utilizada para obter informações sobre o sistema 14
  • 15. OWASP Exemplo de SQL Injection Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code ATAQUE DE APLICAÇÃO CamadadeRedeCamadadeAplicação Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions HTTP request  SQL query  DB Table   HTTP respons e   "SELECT * FROM accounts WHERE acct=‘’ OR 1=1-- ’" 1. Aplicação apresenta um formulário para o atacante 2. Atacante envia um ataque nos dados do formulário 3. Aplicação repassa ataque para o banco de dados em uma query SQL Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Banco de dados executa query contendo o ataque e envia os resultados para aplicação 5. Aplicação recebe os dados e envia os resultados para o usuário Login: Senha: Login: Senha:
  • 16. OWASP A1 – Evitando Falhas de Injeção 16 1. Use uma interface que suporte bind variables (prepared statements ou stored procedures) Bind variables permitem ao interpretador distinguir entre código e dados Utilize PreparedStatements fortemente tipados ou Mapeamento Objeto Relacional como Hibernate ou Spring 2. Codificar todas as entradas dos usuários antes de passar para o interpretador Sempre execute validação de entrada do tipo ‘white list’ em todas as informações fornecidas pelo usuário Sempre minimize os privilégios do banco de dados para reduzir o impacto de uma falha
  • 17. OWASP A1 – Evitando Falhas de Injeção  Utilize as classes Encoder e Validator da OWASP ESAPI (Enterprise Security API) String input = request.getParameter("param"); if (input != null) { if (!Validator.getInstance().isValidString("^[a-zA-Z ]*$", input)) { response.getWriter().write("Inválido: " + Encoder.getInstance().encodeForHTML(input) + "<br>"); } else { response.getWriter().write("Válido: " + Encoder.getInstance().encodeForHTML(input) + "<br>"); }  www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet 17
  • 18. OWASP Exercícios: Command Injection Numeric SQL Injection LAB SQL Injection  Stage 1  Stage 3 18
  • 19. OWASP A2 – Cross Site Scripting (XSS) 19 • Dados não processados do atacante são enviados para um navegador de um usuário inocente Acontece a qualquer momento… • Armazenados em banco de dados • Refletidos de entrada da web (formulário, campo oculto, URL, etc…) • Enviado diretamente ao cliente JavaScript Dados são… • Tente isto no seu navegador – javascript:alert(document.cookie) Praticamente toda aplicação web tem este problema! • Roubar a sessão do usuário, roubar dados sensíveis, reescrever a página web ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites Impacto Típico
  • 20. OWASP Exemplos de Código  out.writeln(“Você pesquisou por: “+request.getParameter(“query”);  <%=request.getParameter(“query”);%>  out.writeln("<tr><td>" + visitante.nome + "<td>" + visitante.comentario); <HTML> <TITLE>Bem vindo!</TITLE>Hi<SCRIPT> var pos=document.URL.indexOf("nome=")+5; document.write(document.URL.substring(pos,document.URL.length)); </SCRIPT> <BR> Bem vindo ao nosso sistema… </HTML> 20
  • 21. OWASP Exemplo de Cross-Site Scripting Aplicação com vulnerabilidade de Stored XSS 3 2 Atacante prepara a armadilha – atualizar meu perfil Atacante insere um script malicioso na página que armazena dados no servidor 1 Vítima acessa a página – o perfil do atacante Script silenciosamente envia o cookie de sessão da vítima Script roda dentro do navegador da vítima com total acesso ao DOM e cookies Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions
  • 22. OWASP A2 – Evitando XSS  Realize validação de entrada do tipo whitelist  <f:validateLength minimum="2" maximum="10"/>  <h:inputText required=”true”>  Codifique todas as informações fornecidas pelos usuário!  Utilize <bean:write ...> para o Struts ou <c:out escapeXML=”true” > para JSTL  Utilize as classes Encoder e Validator da ESAPI if ( !Validator.getInstance().isValidHTTPRequest(request) ) { response.getWriter().write( "<P>HTTP Request Inválido – Caracteres Inválidos</P>" ); }  www.owasp.org/index.php/XSS_(Cross Site Scripting) Prevention Cheat Sheet 22 (AntiSamy)
  • 23. OWASP Exercícios: Stored XSS Reflected XSS LAB: Cross Site Scripting Stage 1 Stage 3 Stage 5 23
  • 24. OWASP A3 – Falha de Autenticação e Gerência de Sessões 24 •Significa que as credenciais deve ser enviadas a cada requisição •Devemos utilizar SSL para tudo que necessite de autenticação HTTP é um protocolo “stateless” (sem estado) •SESSION ID usado para controlar o estado já que o HTTP não faz •E é tão bom quanto as credenciais para o atacante… •SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Falhas no controle das sessões •Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Cuidado com as alternativas! •Contas de usuários comprometidas ou sessões de usuários sequestradas Impacto Típico
  • 26. OWASP Exemplo de Falha de Autenticação Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Usuário envia suas credenciais 2Site usa URL rewriting (coloca a sessão naURL) 3 Usuário clica no link www.hacker.com em um forum www.twitter.com?JSESSIONID=9FA1DB9EA... 4 Hacker checa os logs de referência em www.hacker.com e encontra o JSESSIONID do usuário 5 Hacker usa JSESSIONID e tem acesso à conta da vítima
  • 27. OWASP A3 – Evitando Falhas de Autenticação e Gerenciamento de Sessões Verifique sua arquitetura Autenticação deve ser simples, centralizada e padronizada Utilize o session id padrão fornecido pelo seu container web Certifique-se que SSL proteja as credenciais e o session id Verifique a implementação Esqueça técnicas de análises automatizadas Verifique o seu certificado SSL Examine todas as funções relacionadas à autenticação Certifique-se que o logoff realmente destroi a sessão Utilize as ferramentas da OWASP para testar sua implementação Siga o guia:  http://www.owasp.org/index.php/Authentication_Cheat_Sheet
  • 28. OWASP A3 – Evitando Falhas de Autenticação e Gerenciamento de Sessões  Adicione uma restrição de segurança no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas em HTTPS</web-resource-name> <url-pattern>/profile</url-pattern> <url-pattern>/register</url-pattern> <url-pattern>/password-login</url-pattern> <url-pattern>/ldap-login</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENCIAL</transport-guarantee> </user-data-constraint> </security-constraint>  Use as classes Authenticator, User e HTTPUtils da OWASP ESAPI 28
  • 30. OWASP A4 – Referência Insegura e Direta à Objetos • Isto é garantir a devida Autorização, junto com A7 – Falha em Restringir Acesso à URLs Como você protege o acesso à seus dados? • Listando apenas os objetos autorizados para o usuário atual • Escondendo referências à objetos em campos ocultos (hidden) • … E então não garantir essas restrições no lado servidor • Isto é chamado de Controle de Acesso da Camada de Apresentação e não funciona! • Atacante simplemente altera os valores dos parâmetros Um erro comum… • Usuários são capazes de acessar arquivos ou informações não autorizadas Impacto típico
  • 31. OWASP Exemplos de Código <select name="idioma"><option value="fr">Francês</option></select> … Public static String idioma = request.getParameter(idioma); String idioma = request.getParameter(idioma); RequestDispatcher rd = context.getRequestDispatcher(“main_”+ idioma); rd.include(request, response);  E se o usuário modificar o valor da parâmetro para: “../../../../etc/passwd%00“  Resultado: main_../../../../etc/passwd%00  Irá exibir a lista de usuários do sistema! 31
  • 32. OWASP Exemplos de Código  Numa loja de compras online protegida contra SQL Injection e que não apresente nenhum link para carrinhos não autorizados… int cartID = Integer.parseInt( request.getParameter( "cartID" ) ); String query = "SELECT * FROM table WHERE cartID=" + cartID;  Se eu modificar o ID do meu carrinho de compras, terei acesso ao carrinho de outras pessoas!  O correto seria: User user = (User)request.getSession().getAttribute( "user" ); String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" + user.getID(); 32
  • 33. OWASP Exemplo de Referência Insegura e Direta à Objetos Atacante nota que o parâmetro da sua conta é 6065 ?acct=6065 Ele modifica para um número próximo: ?acct=6066 Atacante visualiza as informações da conta da vítima https://www.bancoonline.com/user?acct=6065
  • 34. OWASP A4 – Evitando Referência Insegura e Direta à Objetos Elimine a referência direta à objetos  Substitua por um valor temporariamente mapeado (ex. 1, 2, 3)  ESAPI fornece suporte para mapeamentos númericos e aleatórios  IntegerAccessReferenceMap & RandomAccessReferenceMap Valide a referência direta ao objeto Verifique se o valor do parametro está devidamente formatado Verifique se o usuário tem acesso ao objeto em questão Verifique se o modo de acesso é permitido para o objeto (ex. read, write, delete) http://app?file=1 Planilha123.xls http://app?id=7d3J93 Conta:9182374http://app?id=9182374 http://app?file=Planilha123.xls Mapa de Acesso à Referências
  • 36. OWASP A5 – Cross Site Request Forgery (CSRF) • Um ataque onde o browser da vítima é enganado a enviar um comando à uma aplicação web vulnerável • Vulnerabilidade causada por browsers que incluem automaticamente informações de autenticação do usuário (ID da sessão, Endereço IP, …) a cada solicitação (request) Cross Site Request Forgery • E se um hacker pudesse mexer seu mouse e fazê-lo clicar em links na sua aplicação de online banking? • O que eles poderiam “forçar” você fazer? Imaginem… • Iniciar transações (transferir fundos, fazer logout, fechar conta) • Acessar dados sensíveis • Mudar os detalhes da conta Impacto típico
  • 37. OWASP Padrão de Vulnerabilidade do CSRF O Problema  Navegadores web automaticamente incluem a maioria das credenciais a cada request  Até mesmo para requests feitos em outro site Todos os sites que confiam apenas em credenciais automáticas estão vulneráveis!  (quase todos os sites estão desta forma) Credenciais fornecidas automaticamente  Cookie de sessão  Cabeçalho básico de autenticação  Endereço IP  Certificados SSL do lado cliente  Autenticação de domínios Windows
  • 38. OWASP Exemplos de Código  <img src="http://www.example.com/logout.jsp">  Irá realizar o logout do usuário da aplicação acessada. Nada muito perigoso não é mesmo?  <img src="http://www.example.com/transfer.do?frmAcct= document.form.frmAcct&toAcct=4345754&toSWIFTid=434343&amt =3434.43">  E agora? Irá realizar a transferência de uma certa quantia em dinheiro de uma conta para outra! 38
  • 39. OWASP Exemplo de CSRF 3 2 Atacante coloca uma armadilha em um site na internet (ou simplesmente via email)1 Enquanto logada no site vulnerável, a vítima visita o site do atacante Site vulnerável olha o request legítimo da vítima e realiza a ação solicitada Tag <img> carregada pelo browser – envia um request GET (incluindo credenciais) para o site vulnerável Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions Tag <img> oculta contém ataque contra o site vulnerável Aplicação com uma vulnerabilidade CSRF
  • 40. OWASP A5 – Evitando Falhas de CSRF  Adicione um token secreto, não submetido automaticamente, para todos os requests sensíveis  Torna impossível para uma atacante falsificar o request  (a não ser que tenha uma falha de XSS na sua aplicação)  Tokens devem ser criptografados e aleatórios (não sequenciais!)  Opções  Armazene um token na sessão e adicione a todos os links e formulários  Campo oculto: <input name="token" value="687965fdfaew87agrde" type="hidden"/>  URL de Uso Único: /accounts/687965fdfaew87agrde  Token de Formulário: /accounts?auth=687965fdfaew87agrde …  Pode ter um token único para cada função  Use um hash do nome da função, id da sessão e um segredo (salt)  Pode requerer autenticação secundária para funções sensíveis (ex. eTrade)
  • 41. OWASP A5 – Evitando Falhas de CSRF 41  Não permita que atacantes armazenem ataques no seu site  Codifique devidamente toda entrada na saída  Isto torna todos os links/requests inertes na maioria dos interpretadores  Elimine as falhas de XSS  Utilize a classe User da ESAPI para gerar e validar um token Para mais detalhes: www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
  • 42. OWASP Exercícios: Cross Site Request Forgery (CSRF) CSRF Prompt By-Pass CSRF Token By-Pass 42
  • 43. OWASP A6 – Falhas de Configuração de Segurança •Tudo desde o SO ao Servidor de Aplicações •Não esqueça das bibliotecas que estiver usando! Aplicações Web confiam em uma fundação segura •Pense em todos os locais que seu código fonte vai •Segurança não deve requerer um código fonte secreto Seu código fonte é secreto? •Todas as credenciais devem mudar em produção! GC deve se estender para todas as partes da aplicação •Instalar um backdoor através de SO ou Servidor desatualizado •Exploits de falhas de XSS devido a falta de patches dos frameworks da aplicação •Acesso não autorizado a contas default, funcionalidades ou dados da aplicação ou acesso à funcionalidades devido a fraca configuração do servidor Impacto Típico
  • 44. OWASP Hardened OS Web Server App Server Framework Exemplo de Falhas de Configuração de Segurança App Configuration Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Test Servers QA Servers Source Control Development Database Insider
  • 45. OWASP A6 – Evitando Falhas de Configuração de Segurança  Verifique o gerenciador de configurações do sistema  Guia do Hardening da Configuração Segura  Automação é MUITO IMPORTANTE aqui  Deve cobrir toda a plataforma e a aplicação  Mantenha todos os componentes atualizados!  Incluindo bibliotecas de software, não apenas SO e Servidor de Aplicações  Analise os efeitos de segurança das mudanças  Forte arquitetura da aplicação  Provê uma boa separação e segurança entre os componentes  Verifique a implementação  Scans encontram configurações genericas e problemas de atualização
  • 46. OWASP Exercícios: Improper Error Handling Fail Open Authentication Scheme Code Quality Discover Clues in the HTML 46
  • 47. OWASP A7 – Armazenamento com Criptografia Insegura • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Banco de dados, diretórios, arquivos, logs, backups, etc.. • Falha em proteger devidamente estes dados em todos os locais Armazenando dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Ex.: cartões de crédito, registros de saúde, dados financeiros (seus ou dos seus clientes) • Atacantes obtém segredos para usá-los em novos ataques • Embaraço da Empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente, como forense, enviar cartas de desculpas, reemitir milhares de cartões de crédito, fornecer seguro contra roubo de identidade • Empresas são processadas e/ou multadas Impacto Típico
  • 48. OWASP Exemplo de Armazenamento com Criptografia Insegura Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Vítima insere seu número de cartão de crédito no formulário 2 Gerenciador de erros loga os detalhes do CC porque o gateway da loja está indisponível 4 Insider malicioso rouba 4 milhões de números de cartões de crédito Arquivos de Log 3 Logs são acessíveis a todos os membros da TI para depuração
  • 49. OWASP A7 – Evitando Armazenamento com Criptografia Insegura Verifique sua arquitetura Identifique todos os dados sensíveis Identifique todos os locais que esses dados são armazenados Utilize criptografia para combater as ameaças, não apenas criptografe os dados Proteja com mecanismos apropriados Criptografia de arquivos, criptografia de banco de dados, criptografia de elementos de dados
  • 50. OWASP A7 – Evitando Armazenamento com Criptografia Insegura  Utilize os mecanismos corretamente Use algoritmos padrões fortes Gere, distribua e proteja as chaves apropriadamente Prepare-se para mudança de chaves  Verifique a implementação Um forte algoritmo padrão é usado e é o apropriado para esta situação Todas as chaves, certificados e senhas estão devidamente armazenadas e protegidas Distribuição de chaves segura e um efetivo plano para mudança de chaves estão implementados Analise o código de criptografia para falhas comuns 50
  • 51. OWASP A8 – Falha de Restrição de Acesso a URLs • Isto é garantir a devida autorização junto com A4 – Referência Insegura e Direta à Objetos Como você protege o acesso à URLs (páginas)? • Mostrando apenas links e menus autorizados • Isto é chamado de Controle de Acesso de Camada de Apresentação e não funciona! • Atacante simplesmente forja um acesso direto à páginas “não- autorizadas” Um erro comum… • Atacante chama funções e serviços que não estão autorizados • Acesso à conta e informações de outros usuários • Realização de ações privilegiadas Impacto Típico
  • 52. OWASP Exemplo de Falha de Restrição de Acesso a URLs Atacante nota que a URL indica seu perfil /user/getAccounts Ele modifica para outro diretório (perfil) /admin/getAccounts ou /manager/getAccounts Atacante visualiza mais contas do que apenas a sua https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts
  • 53. OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs  Para cada URL, um site precisa fazer 3 coisas:  Restringir o acesso à usuários autenticados (se não for público)  Garantir permissões baseadas em usuários ou perfis (se privado)  Desabilitar completamente requests para tipos de páginas não autorizadas (Ex.: arquivos de configuração, arquivos de log, códigos fonte, etc.)  Verifique sua arquitetura  Utilize um modelo simples e positivo em todas as camadas  Tenha certeza que realmente tem um mecanismo em todas as camadas  Verifique a implementação  Esqueça abordagens de análises automatizadas  Certifique-se que cada URL na sua aplicação está protegida com:  Um filtro externo como web.xml do Java EE  Ou verificações internas no seu código – Utilize o isAuthorizedForURL() da ESAPI  Verifique se a configuração do servidor desabilita requests para tipos de arquivos não autorizados  Use WebScarab ou seu browser para forjar requests não autorizados
  • 54. OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs Google is your friend! Use-o! Sabe utilizar o robots.txt?! Utilize a ferramenta da OWASP DirBuster para mapear todos os arquivos e diretórios da sua aplicação Evite que estas páginas sejam acessíveis por usuários não autorizados: /admin/adduser.php ou /approveTransfer.do 54
  • 55. OWASP A8 – Evitando Falhas de Restrição de Acesso a URLs  Configure as restrições no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas de administração da Aplicação Java EE protegidas</web- resource-name> <description>Requer autenticação dos usuários.</description> <url-pattern>/admin/*</url-pattern> </web-resource-collection> <auth-constraint> <description>Permite acesso às paginas de administração</description> <role-name>Administrador</role-name> </auth-constraint> </security-constraint> <security-role> <description>Administrador Java EE</description> <role-name>Administrador</role-name> </security-role> 55
  • 56. OWASP A9 – Fraca Proteção na Camada de Transporte • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais que estes dados são enviados • Na Internet, para o banco de dados, para parceiros de negócios ou comunicações internas • Falha em devidamente proteger estes dados em todos os locais Transmitindo dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Ex.: cartões de crédito, registros de saúde, dados financeiros (seus ou dos seus clientes • Atacantes obtém segredos para usar em ataques futuros • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Custos de limpar o incidente (Forense) • Empresas são processadas e/ou multadas Impacto Típico
  • 57. OWASP Exemplo de Fraca Proteção na Camada de Transporte Custom Code Empregados Parceiros Vítima Externa Backend Systems Atacante Externo 1 Atacante externo rouba dados e credenciais da rede 2 Atacante interno rouba dados e credenciais da rede interna Atacante Interno (Insider)
  • 58. OWASP A9 – Evitando Fraca Proteção na Camada de Transporte Proteja com mecanismos apropriados Use TLS em todas as conexões com dados sensíveis Criptografe individualmente as mensagens antes de transmitir  Ex.: XML-Encryption Assine as mensagens antes de transmitir  Ex.: XML-Signature Utilize mecanismos corretamente Use algoritmos fortes (desabilite algoritmos SSL antigos) Gerencie chaves/certificados apropriadamente Verifique certificados SSL antes de utilizá-los Use mecanismos aprovados quando suficiente  Ex.: SSL vs XML-Encryption  http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
  • 59. OWASP A9 – Evitando Fraca Proteção na Camada de Transporte  Adicione restrições de segurança no web.xml <security-constraint> <web-resource-collection> <web-resource-name>Páginas HTTPS</web-resource-name> <url-pattern>/profile</url-pattern> <url-pattern>/register</url-pattern> <url-pattern>/password-login</url-pattern> <url-pattern>/ldap-login</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENCIAL</transport-guarantee> </user-data-constraint> </security-constraint>  Proteja o cookie de sessão setando o secure bit para 1  (javax.servlet.http.Cookie.setSecure(true))  Isto irá prevenir o envio do cookie em texto plano 59
  • 61. OWASP A10 – Redirects e Forwards Não Validados • E frequentemente incluiem parâmetros fornecidos pelo usuário na URL de destino • Se eles não forem validados, atacante pode enviar a vítima para um site a sua escolha Redirecionamentos em Aplicações Web são muito comuns • Eles enviam o request internamente para uma nova página na mesma aplicação • Às vezes os parâmetros definem a página alvo • Se não forem validados, atacante pode utilizar um envio não-validado para burlar checagens de autenticação ou autorização Envios (Forwards) também são • Redirecionar a vítima para um site de phishing ou malware • O request do atacante burla checagens de segurança, permitindo o acesso à funções ou dados não-autorizados Impacto típico
  • 62. OWASP Mas qual a diferença entre eles?  Forward É executado internamente pelo servlet O browser não sabe o que está ocorrendo A URL na barra de endereços não muda O reload irá executar a requisição original  Ex.: rd = request.getRequestDispatcher("pagina.html"); rd.forward(request, response); 62
  • 63. OWASP Mas qual a diferença entre eles?  Redirect É um processo de dois passos, por isso a URL muda O reload da página não repetirá a requisição original É um processo muito mais lento que um forward, pois são necessárias duas requisições, e não uma Objetos colocados no escopo do request original são perdidos durante o segundo request  Ex.: response.sendRedirect("pagina.html"); 63
  • 64. OWASP Exemplo de Redirect Não Validado 3 2 Atacante envia o ataque para a vítima através de um email ou site From: Receital Federal Subject: Imposto de Renda Nossos registros mostram que você tem uma restituição para receber. Por favor clique aqui para receber seu dinheiro. 1 Aplicação redireciona a vítima pro site do atacante Request enviado para o site vulnerável, incluindo o site destino como parâmetro. Redirecionamento envia a vítima para o site do atacante Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions 4 Site malicioso instala malware na vítima ou tenta obter informações privadas Vítima clica no link contendo parâmetros não validados Evil Site http://www.receita.fazenda.gov.br/irpf/obterImpos to.jsp?year=2011& … &dest=www.hacked.com
  • 65. OWASP Exemplo de Forward Não Validado 2 Atacante envia o ataque para página vulnerável a qual tem acesso1 Aplicação autoriza o request que continua para a página vulnerável Request enviado para a página vulnerável que o usuário tem acesso. Redirecionamento envia o usuário diretamente para página privada burlando o controle de acesso 3 O envio falha em validar o parâmetro, enviando o atacante para uma página não-autorizada, burlando o controle de acesso public void doPost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getParameter( "dest" ) ); ... request.getRequestDispatcher( target ).forward(request, response); } catch ( ... Filtro public void sensitiveMethod( HttpServletRequest request, HttpServletResponse response) { try { // Faz coisas sensíveis aqui. ... } catch ( ...
  • 66. OWASP A10 – Evitando Redirects e Forwards Não Validados 1. Evitar o uso de redirects e forwards o máximo possível 2. Se utilizado, não envolva parâmetros do usuário para definir a URL alvo 3. Se necessitar envolver parâmetros do usuário, então: Use mapeamento do lado servidor para traduzir a escolha fornecida pelo usuário com a página alvo  Para redirects, valide a URL de destino para garantir que irá para um site externo autorizado  A OWASP ESAPI pode fazer isso para você!  SecurityWrapperResponse.sendRedirect(URL)
  • 67. OWASP A10 – Evitando Redirects e Forwards Não Validados  Algumas dicas sobre proteger Forwards Chame o controle de acesso para garantir que o usuário está autorizado antes de realizar o forward Garanta que os usuários que podem acessar a página origem são todos autorizados a acessar a página destino Analise de onde o usuário está vindo, de forma a mapear a aplicação e impedir acessos indevidos a URLs Preste especial atenção aos casos parametrizados que precisam, necessariamente, utilizar URLs externas 67
  • 68. OWASP Como resolver todos estes problemas?  Desenvolver código seguro - “Prevenir é melhor do que remediar”  Siga as melhores práticas no Guia da OWASP – Construindo Aplicações Web Seguras  http://www.owasp.org/index.php/OWASP_Guide_Project  Utilize o Padrão de Verificação de Segurança em Aplicações da OWASP como um guia para saber o que uma aplicação precisa para ser segura  https://www.owasp.org/index.php/ASVS  Use os componentes padrões de segurança que se adequam a sua organização  Veja a ESAPI da OWASP como base para seus componentes padrões  https://www.owasp.org/index.php/ESAPI
  • 69. OWASP Como resolver todos estes problemas?  Revise suas aplicações  Tenha um time para testar e revisar suas aplicações  Revise você mesmo suas aplicações seguindo os guias da OWASP:  OWASP Code Review Guide: http://www.owasp.org/index.php/Code_Review_Guide  OWASP Testing Guide: http://www.owasp.org/index.php/Testing_Guide 69
  • 70. OWASP Desafio Final – only for 1337! The CHALLENGE! Stage 1 Stage 2 Stage 3 Can you do it?! May the source be with you! 70
  • 72. OWASP WebGoat Uma aplicação Java EE vulnerável propositalmente mantida pela OWASP Desenvolvida para ensinar segurança em aplicações web Mas também é util para testar produtos de segurança: IPS, Firewalls, WAF, etc... Funciona em Windows, Linux, etc... 72
  • 73. OWASP WebGoat v5.3 Disponível em Inglês e Alemão Existe uma versão disponível em pt-BR: v5.1 code.google.com/p/webgoat-ptbr Simples e fácil de utilizar, só baixar e rodar! Vamos começar? Execute o webgoat.bat ou .sh 73
  • 75. OWASP WebScarab Framework para analisar aplicações que utilizam os protocolos HTTP e HTTPS Feito em Java (multiplataforma) Nova versão (NG) é mais amigável Desenvolvido por Rogan Dawes 75
  • 76. OWASP ZAP (Zed Attack Proxy) Ferramenta de teste de invasão integrada Ideal para pessoas sem conhecimento em segurança (desenvolvedores e testers) Feito em Java (multiplataforma) Desenvolvido por Simon Bennetts e Axel Neumann 76
  • 78. OWASP Referências  OWASP Top 10 for 2010 - http://www.owasp.org/index.php/Top_10  The Ten Most Critical Web Application Security Risks http://owasptop10.googlecode.com/files/OWASP%20Top%2010%2 0-%202010.pdf  OWASP Top 10 Presentation - http://owasptop10.googlecode.com/files/OWASP_Top_10_- _2010%20Presentation.pptx 78