Owasp@iscte iul ferramentas-analise_vulnerabilidades

OWASP @ ISCTE-IUL Ferramentas de Auditoria de Vulnerabilidades em Aplicações Web ISCTE-IUL/DCTI Nuno Teodoro Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM) Departamento de Ciências e Tecnologias de Informação http://pt.linkedin.com/in/nunoteodoro http://www.facebook.com/nuno.teodoro

Um pouco sobre mim... 2 Licenciado em Engenharia Informática (ISCTE) Mestrando em Engenharia Informática – SIGC (ISCTE) Consultor na área de SCCM – Noesis Colaborador NetMuST Tese de Mestrado em Segurança Aplicacional – Ethical Hacking OWASP @ ISCTE-IUL Abril 2010

O que são e para que servem? 3 Ferramentas que automatizam testes nas aplicações web Testes geralmente concentram-se mas vulnerabilidades mais comuns XSS SQL Injection Buffer Overflow ... Geralmente utilizadas no fim do CVDS OWASP @ ISCTE-IUL Abril 2010

O que são e para que servem? 4 CVDS OWASP @ ISCTE-IUL Abril 2010

Motivação – Os mitos 5 Está numa rede Usamos com firewalls protocolos proprietários Temos anti-vírus O nosso SO é “seguro” A nossa aplicação Usamos Usamos está segura passwords encriptação de “seguras” dados Usamos SSL ........ OWASP @ ISCTE-IUL Abril 2010

Motivação – A realidade 6 Software bug bites U.S. Military — BBC, Mar 18,2003 OWASP @ ISCTE-IUL Abril 2010

Motivação – A realidade 7 OWASP @ ISCTE-IUL Abril 2010

Motivação 8 E se fosse possível carregar num botão e ver que vulnerabilidades eliminar? Scan Vulnerabilities OWASP @ ISCTE-IUL Abril 2010

Antes dos Web Scanners 9 Um pouco de história Achilles proxy (2000) Robert Cardona Proxy que exibia todos os pedidos e respostas e permitia a sua edição Era complicado Tinha muitos bugs Permitia comprometer muitas aplicações naquela altura OWASP @ ISCTE-IUL Abril 2010

Modo Geral de Funcionamento 10 Efectuam crawling numa aplicação web OWASP @ ISCTE-IUL Abril 2010

Modo Geral de Funcionamento 11 Localizam vulnerabilidades na camada aplicacional Realizam testes de penetração – análise activa através da simulação de ataques Manipulam mensagens HTTP Inspeccionam mensagens HTTP Detectam atributos suspeitos Efectuam fuzzing Inpecção de código ... OWASP @ ISCTE-IUL Abril 2010

Modo Geral de Funcionamento 12 Crawling Inicializar lista com URLs Wanderers, robots, InfoSpiders [Fim] spiders, fish, Procurar fim worms... Focused Crawler [Sem URLs] Escolher URL da lista Web Context Focused Crawler crawlers Ir para o URL Naive Best-First Crawler Efectuar parsing SharkSearch da página Adicionar URLs à lista OWASP @ ISCTE-IUL Abril 2010

Que ferramentas usar e porquê? 13 A escolha das ferramentas a usar é muito complicada Existem muitas ferramentas comerciais e Open Source Nem todas devolvem os mesmos resultados Não sabemos até que ponto os resultados são fiáveis OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 14 Web Application Security Scanner Evaluation Criteria Secção 1 - Protocol Support Secção 2 - Authentication Secção 3 - Session Management Secção 4 - Crawling Secção 5 - Parsing Secção 6 - Testing Secção 7 - Command and Control Secção 8 - Reporting OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 15 Secção 1 - Protocol Support Devem ser suportados todos os protocolos mais usados pelas aplicações web HTTP 1.0 HTTP 1.1 SSL / TLS HTTP Keep Alice .... OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 16 Secção 2 - Authentication Deve suportar as autenticações mais utilizadas, de modo a ser capaz de testar aplicações que requiram essa autenticação Basic Digest HTTP Form-based ... OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 17 Secção 3 - Session Management Durante os testes a uma aplicação web, é essencial que a ferramenta consiga manter uma sessão aberta e válida durante os testes Este cenário é necessário para: Web crawiling Fases de testes Criar manter uma sessão OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 18 Secção 4 – Crawling Esta função é fundamental pois permite que a ferramenta esteja “consciente” de todos os caminhos dentro de uma aplicação web Definir um URL de início Definir extensões para exclusão Definir um máximo de profundidade de crawling Detectar páginas de erro OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 19 Secção 5 – Parsing O processo de mapeamento do crawler é feito através do parsing de diferentes tipos de conteúdos para extrair informações Esta informação é de elevada importância e refere-se a: HTML JavaScript VBScript XML .... OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 20 Secção 6 – Testing Esta é a funcionalidade mais relevante numa ferramentas de auditoria Configuração de testes Nome do Host ou IP Extensões de ficheiros Cookies ... Capacidades de testes Autenticação Autorização Ataques do lado do cliente OWASP @ ISCTE-IUL ... Abril 2010

Escolha da ferramenta - WASSEC 21 Secção 7 - Command and Control Têm bastante influência na usabilidade por isso deve ser considerado um critério importante Controlo das capacidades de scan Calendarização Pause e Resume Real-time scans ... Interfaces fornecidas Extensão e interoperabilidade Existência de APIs Conjugação com outras ferramentas OWASP @ ISCTE-IUL Abril 2010

Escolha da ferramenta - WASSEC 22 Secção 8 - Reporting As ferramentas deverão ser capazes de produzir relatórios e de suportar costumização dos mesmos Tipos de relatórios Sumário executivo Relatório técnico detalhado Informação sobre cada vulnerabilidade e medidas de mitigação Costumização Formato PDF XML OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria 23 WASC Open Comerciais SaaS Source OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Comerciais 24 OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Open Source 25 OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - SaaS 26 OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria 27 RSS Database security HTTP general HTTP proxying / extensions editing assessment testing / and fingerprinting caching Browser-based SQL HTTP tampering injection / editing / scanning replaying Web services enumeration / Ajax and scanning / XHR fuzzing scanning Cookie editing / Web application security poisoning malware, backdoors, and evil code OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - SECTOOLS 28 Top 10 - sectools 1 2 3 4 Nikto WebScarab 5 6 7 8 libwhisker Wikto 9 10 OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 29 Preparação Testes Comparação de resultados OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 30 Preparação Determinar quais os pontos do WASSEC são mais importante Cada utilizador tem as suas necessidades e preferências pessoais Avaliar um conjunto de características adicionais Custo de aquisição Custos de suporte Custos adicionais (e.g. hardware) Facilidade de utilização Qualidade da documentação Disponibilidade de suporte (telefone, web, e-mail, etc) Disponibilidade de formação Capacidades de update das capacidades do produto Restrições de licença OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 31 Preparação Decidir que ferramentas serão alvo da avaliação Obter a última versão de cada ferramenta Efectuar uma lista das aplicações web que serão testadas Consumo de tempo! Escolher mais que uma tecnologia Autorizações para efectuar os testes Documentar as características das aplicações caso os resultados sejam para ser tornados públicos OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 32 Testes As ferramentas permitem várias configurações para efectuar os testes Devem ser usadas essas várias configurações Maior cobertura de vulnerabilidades Configurar vários níveis de defesa Nível 0 – sem defesas Nível 1 – nível 0 + filtros Nível 2 – nível 1 + funções especiais … OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 33 Testes OWASP SiteGenerator OWASP @ ISCTE-IUL Abril 2010

Ferramentas de Auditoria - Avaliação 34 Comparação de resultados Para cada teste avaliar os pesos dados segundo as nossas preferências da WASSEC Próximo documento WASSEC já prevê os pesos mais comuns dos utilizadores Avaliar características extra definidas por nós OWASP @ ISCTE-IUL Abril 2010

Prós e Contras 35 Prós Recursos temporais limitados Podem poupar muito tempo em vulnerabilidades facilmente detectáveis pelas ferramentas Boas soluções custo/eficácia Soluções PaS Recursos humanos limitados Exige pouco conhecimento técnico Boa solução para as fases finais do CVDS Automatização de testes frequentes OWASP @ ISCTE-IUL Abril 2010

Prós e Contras 36 Contras Fiabilidade das ferramentas Não são A solução Não significa que não existam falhas se estas não forem contradas Têm limitações Custos Tempo de scanning Dependendo da aplicação, o próprio crawling pode demorar dias OWASP @ ISCTE-IUL Abril 2010

Web Application Attack and Audit 37 Framework Web Application Attack and Audit Framework http://w3af.sourceforge.net/ Autor: Andres Riancho “w3af is a Web Application Attack and Audit Framework. The project's goal is to create a framework to find and exploit web application vulnerabilities that is easy to use and extend.” OWASP @ ISCTE-IUL Abril 2010

Web Application Attack and Audit 38 Framework OWASP @ ISCTE-IUL Abril 2010

Web Application Attack and Audit 39 Framework OWASP @ ISCTE-IUL Abril 2010

Nikto 2 40 OWASP @ ISCTE-IUL Abril 2010

Netsparker – Community Edition 41 OWASP @ ISCTE-IUL Abril 2010

Onde Testar? 42 SPI Dynamics (live) - http://zero.webappsecurity.com/ Cenzic (live) - http://crackme.cenzic.com/ Watchfire (live) - http://demo.testfire.net/ Acunetix (live) - http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com WebMaven / Buggy Bank - http://www.mavensecurity.com/webmaven Foundstone SASS tools - http://www.foundstone.com/us/resources-free-tools.asp Updated HackmeBank - http://www.o2-ounceopen.com/technical- info/2008/12/8/updated-version-of-hacmebank.html OWASP WebGoat - http://www.owasp.org/index.php/OWASP_WebGoat_Project Stanford SecuriBench - http://suif.stanford.edu/~livshits/securibench/ OWASP @ ISCTE-IUL Abril 2010

Onde Testar? 43 OWASP @ ISCTE-IUL Abril 2010

Onde Testar? 44 Importante pedir autorizações para testar aplicações web reais Problemas legais caso contrário Lei do cibercrime Permite perceber até que ponto as ferramentas são eficazes a descobrir quais vulnerabilidades Diferentes configurações para a mesma vulnerabilidade OWASP @ ISCTE-IUL Abril 2010

Conclusões 45 O que sao web scanners Para que servem Como funcionam Como devem ser avaliados OWASP @ ISCTE-IUL Abril 2010

Conclusões 46 Pros Contras Onde Testar OWASP @ ISCTE-IUL Abril 2010

OWASP @ ISCTE-IUL Ferramentas de Auditoria de Vulnerabilidades em Aplicações Web ISCTE-IUL/DCTI Nuno Teodoro Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM) Departamento de Ciências e Tecnologias de Informação http://pt.linkedin.com/in/nunoteodoro http://www.facebook.com/nuno.teodoro

http://webappsec.netmust.eu	111
http://www.slideshare.net	10
http://www.websegura.net	7
http://www.carlosserrao.net	6
http://www.netmust.eu	2
http://blog.carlosserrao.net	1

Owasp@iscte iul ferramentas-analise_vulnerabilidades

by Carlos Serrão on Apr 21, 2010

Accessibility

Upload Details

Usage Rights

6 Embeds 137

Statistics

Owasp@iscte iul ferramentas-analise_vulnerabilidades — Presentation Transcript