• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 

Owasp@iscte iul ferramentas-analise_vulnerabilidades

on

  • 2,368 views

 

Statistics

Views

Total Views
2,368
Views on SlideShare
2,117
Embed Views
251

Actions

Likes
0
Downloads
54
Comments
0

7 Embeds 251

http://webappsec.netmust.eu 207
http://www.websegura.net 24
http://www.slideshare.net 10
http://www.carlosserrao.net 6
http://www.netmust.eu 2
http://blog.carlosserrao.net 1
http://webcache.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Owasp@iscte iul ferramentas-analise_vulnerabilidades Owasp@iscte iul ferramentas-analise_vulnerabilidades Presentation Transcript

    • OWASP @ ISCTE-IUL Ferramentas de Auditoria de Vulnerabilidades em Aplicações Web ISCTE-IUL/DCTI Nuno Teodoro Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM) Departamento de Ciências e Tecnologias de Informação http://pt.linkedin.com/in/nunoteodoro http://www.facebook.com/nuno.teodoro
    • Um pouco sobre mim... 2 Licenciado em Engenharia Informática (ISCTE) Mestrando em Engenharia Informática – SIGC (ISCTE) Consultor na área de SCCM – Noesis Colaborador NetMuST Tese de Mestrado em Segurança Aplicacional – Ethical Hacking OWASP @ ISCTE-IUL Abril 2010
    • O que são e para que servem? 3 Ferramentas que automatizam testes nas aplicações web Testes geralmente concentram-se mas vulnerabilidades mais comuns XSS SQL Injection Buffer Overflow ... Geralmente utilizadas no fim do CVDS OWASP @ ISCTE-IUL Abril 2010
    • O que são e para que servem? 4 CVDS OWASP @ ISCTE-IUL Abril 2010
    • Motivação – Os mitos 5 Está numa rede Usamos com firewalls protocolos proprietários Temos anti-vírus O nosso SO é “seguro” A nossa aplicação Usamos Usamos está segura passwords encriptação de “seguras” dados Usamos SSL ........ OWASP @ ISCTE-IUL Abril 2010
    • Motivação – A realidade 6 Software bug bites U.S. Military — BBC, Mar 18,2003 OWASP @ ISCTE-IUL Abril 2010
    • Motivação – A realidade 7 OWASP @ ISCTE-IUL Abril 2010
    • Motivação 8 E se fosse possível carregar num botão e ver que vulnerabilidades eliminar? Scan Vulnerabilities OWASP @ ISCTE-IUL Abril 2010
    • Antes dos Web Scanners 9 Um pouco de história Achilles proxy (2000) Robert Cardona Proxy que exibia todos os pedidos e respostas e permitia a sua edição Era complicado Tinha muitos bugs Permitia comprometer muitas aplicações naquela altura OWASP @ ISCTE-IUL Abril 2010
    • Modo Geral de Funcionamento 10 Efectuam crawling numa aplicação web OWASP @ ISCTE-IUL Abril 2010
    • Modo Geral de Funcionamento 11 Localizam vulnerabilidades na camada aplicacional Realizam testes de penetração – análise activa através da simulação de ataques Manipulam mensagens HTTP Inspeccionam mensagens HTTP Detectam atributos suspeitos Efectuam fuzzing Inpecção de código ... OWASP @ ISCTE-IUL Abril 2010
    • Modo Geral de Funcionamento 12 Crawling Inicializar lista com URLs Wanderers, robots, InfoSpiders [Fim] spiders, fish, Procurar fim worms... Focused Crawler [Sem URLs] Escolher URL da lista Web Context Focused Crawler crawlers Ir para o URL Naive Best-First Crawler Efectuar parsing SharkSearch da página Adicionar URLs à lista OWASP @ ISCTE-IUL Abril 2010
    • Que ferramentas usar e porquê? 13 A escolha das ferramentas a usar é muito complicada Existem muitas ferramentas comerciais e Open Source Nem todas devolvem os mesmos resultados Não sabemos até que ponto os resultados são fiáveis OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 14 Web Application Security Scanner Evaluation Criteria Secção 1 - Protocol Support Secção 2 - Authentication Secção 3 - Session Management Secção 4 - Crawling Secção 5 - Parsing Secção 6 - Testing Secção 7 - Command and Control Secção 8 - Reporting OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 15 Secção 1 - Protocol Support Devem ser suportados todos os protocolos mais usados pelas aplicações web HTTP 1.0 HTTP 1.1 SSL / TLS HTTP Keep Alice .... OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 16 Secção 2 - Authentication Deve suportar as autenticações mais utilizadas, de modo a ser capaz de testar aplicações que requiram essa autenticação Basic Digest HTTP Form-based ... OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 17 Secção 3 - Session Management Durante os testes a uma aplicação web, é essencial que a ferramenta consiga manter uma sessão aberta e válida durante os testes Este cenário é necessário para: Web crawiling Fases de testes Criar manter uma sessão OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 18 Secção 4 – Crawling Esta função é fundamental pois permite que a ferramenta esteja “consciente” de todos os caminhos dentro de uma aplicação web Definir um URL de início Definir extensões para exclusão Definir um máximo de profundidade de crawling Detectar páginas de erro OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 19 Secção 5 – Parsing O processo de mapeamento do crawler é feito através do parsing de diferentes tipos de conteúdos para extrair informações Esta informação é de elevada importância e refere-se a: HTML JavaScript VBScript XML .... OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 20 Secção 6 – Testing Esta é a funcionalidade mais relevante numa ferramentas de auditoria Configuração de testes Nome do Host ou IP Extensões de ficheiros Cookies ... Capacidades de testes Autenticação Autorização Ataques do lado do cliente OWASP @ ISCTE-IUL ... Abril 2010
    • Escolha da ferramenta - WASSEC 21 Secção 7 - Command and Control Têm bastante influência na usabilidade por isso deve ser considerado um critério importante Controlo das capacidades de scan Calendarização Pause e Resume Real-time scans ... Interfaces fornecidas Extensão e interoperabilidade Existência de APIs Conjugação com outras ferramentas OWASP @ ISCTE-IUL Abril 2010
    • Escolha da ferramenta - WASSEC 22 Secção 8 - Reporting As ferramentas deverão ser capazes de produzir relatórios e de suportar costumização dos mesmos Tipos de relatórios Sumário executivo Relatório técnico detalhado Informação sobre cada vulnerabilidade e medidas de mitigação Costumização Formato PDF XML OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria 23 WASC Open Comerciais SaaS Source OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Comerciais 24 OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Open Source 25 OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - SaaS 26 OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria 27 RSS Database security HTTP general HTTP proxying / extensions editing assessment testing / and fingerprinting caching Browser-based SQL HTTP tampering injection / editing / scanning replaying Web services enumeration / Ajax and scanning / XHR fuzzing scanning Cookie editing / Web application security poisoning malware, backdoors, and evil code OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - SECTOOLS 28 Top 10 - sectools 1 2 3 4 Nikto WebScarab 5 6 7 8 libwhisker Wikto 9 10 OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 29 Preparação Testes Comparação de resultados OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 30 Preparação Determinar quais os pontos do WASSEC são mais importante Cada utilizador tem as suas necessidades e preferências pessoais Avaliar um conjunto de características adicionais Custo de aquisição Custos de suporte Custos adicionais (e.g. hardware) Facilidade de utilização Qualidade da documentação Disponibilidade de suporte (telefone, web, e-mail, etc) Disponibilidade de formação Capacidades de update das capacidades do produto Restrições de licença OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 31 Preparação Decidir que ferramentas serão alvo da avaliação Obter a última versão de cada ferramenta Efectuar uma lista das aplicações web que serão testadas Consumo de tempo! Escolher mais que uma tecnologia Autorizações para efectuar os testes Documentar as características das aplicações caso os resultados sejam para ser tornados públicos OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 32 Testes As ferramentas permitem várias configurações para efectuar os testes Devem ser usadas essas várias configurações Maior cobertura de vulnerabilidades Configurar vários níveis de defesa Nível 0 – sem defesas Nível 1 – nível 0 + filtros Nível 2 – nível 1 + funções especiais … OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 33 Testes OWASP SiteGenerator OWASP @ ISCTE-IUL Abril 2010
    • Ferramentas de Auditoria - Avaliação 34 Comparação de resultados Para cada teste avaliar os pesos dados segundo as nossas preferências da WASSEC Próximo documento WASSEC já prevê os pesos mais comuns dos utilizadores Avaliar características extra definidas por nós OWASP @ ISCTE-IUL Abril 2010
    • Prós e Contras 35 Prós Recursos temporais limitados Podem poupar muito tempo em vulnerabilidades facilmente detectáveis pelas ferramentas Boas soluções custo/eficácia Soluções PaS Recursos humanos limitados Exige pouco conhecimento técnico Boa solução para as fases finais do CVDS Automatização de testes frequentes OWASP @ ISCTE-IUL Abril 2010
    • Prós e Contras 36 Contras Fiabilidade das ferramentas Não são A solução Não significa que não existam falhas se estas não forem contradas Têm limitações Custos Tempo de scanning Dependendo da aplicação, o próprio crawling pode demorar dias OWASP @ ISCTE-IUL Abril 2010
    • Web Application Attack and Audit 37 Framework Web Application Attack and Audit Framework http://w3af.sourceforge.net/ Autor: Andres Riancho “w3af is a Web Application Attack and Audit Framework. The project's goal is to create a framework to find and exploit web application vulnerabilities that is easy to use and extend.” OWASP @ ISCTE-IUL Abril 2010
    • Web Application Attack and Audit 38 Framework OWASP @ ISCTE-IUL Abril 2010
    • Web Application Attack and Audit 39 Framework OWASP @ ISCTE-IUL Abril 2010
    • Nikto 2 40 OWASP @ ISCTE-IUL Abril 2010
    • Netsparker – Community Edition 41 OWASP @ ISCTE-IUL Abril 2010
    • Onde Testar? 42 SPI Dynamics (live) - http://zero.webappsecurity.com/ Cenzic (live) - http://crackme.cenzic.com/ Watchfire (live) - http://demo.testfire.net/ Acunetix (live) - http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com WebMaven / Buggy Bank - http://www.mavensecurity.com/webmaven Foundstone SASS tools - http://www.foundstone.com/us/resources-free-tools.asp Updated HackmeBank - http://www.o2-ounceopen.com/technical- info/2008/12/8/updated-version-of-hacmebank.html OWASP WebGoat - http://www.owasp.org/index.php/OWASP_WebGoat_Project Stanford SecuriBench - http://suif.stanford.edu/~livshits/securibench/ OWASP @ ISCTE-IUL Abril 2010
    • Onde Testar? 43 OWASP @ ISCTE-IUL Abril 2010
    • Onde Testar? 44 Importante pedir autorizações para testar aplicações web reais Problemas legais caso contrário Lei do cibercrime Permite perceber até que ponto as ferramentas são eficazes a descobrir quais vulnerabilidades Diferentes configurações para a mesma vulnerabilidade OWASP @ ISCTE-IUL Abril 2010
    • Conclusões 45 O que sao web scanners Para que servem Como funcionam Como devem ser avaliados OWASP @ ISCTE-IUL Abril 2010
    • Conclusões 46 Pros Contras Onde Testar OWASP @ ISCTE-IUL Abril 2010
    • OWASP @ ISCTE-IUL Ferramentas de Auditoria de Vulnerabilidades em Aplicações Web ISCTE-IUL/DCTI Nuno Teodoro Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM) Departamento de Ciências e Tecnologias de Informação http://pt.linkedin.com/in/nunoteodoro http://www.facebook.com/nuno.teodoro