R A F A E L B . B R I N H O S ADetectando falhas de Segurançana Web com Software Livre
Agenday Introduçãoy Segurança na Weby Processo Simplificadoy Descobertay Testes{ Comparação de ferramentasy Relatóriosy Co...
Introduçãoy Aumento do uso da Web
Segurança na WebCumulative count of Web application vulnerabilitiesPublished by IBM X-Force in January 2009.
Contornar a Segurança pode ser fácil
Desenvolver mecanismos seguros pode ser difícil
Falhas recentesLizaMoon, Epsilon...
Softwares Proprietáriosy Preço altoy Patentesy Poucos bugs - são extensivamente testadosy Poucos falso-positivosy Atualiza...
Software Livrey Ferramentas pequenas e independentes que não secomunicamy Mais falso-positivos e Menos IAy Bancos de dados...
OWASP TOP 10 2010y Lista de falhas mais críticas encontradas em aplicaçõesweb:y A1: Injectiony A2: Cross-Site Scripting (X...
Como detectá-las ou evitá-las?
Segurança no Ciclo de Desenvolvimento deSoftware
Cost of Fixing Security VulnerabilitiesThe Fortify data suggested that it cost 100 times more to fix a single vulnerabilit...
Processo Simplificadoy Descobertay Testesy Relatóriosy Correção
Descobertay Ferramentas{ nmap{ OWASP DirBuster{ Firefox PluginÙ Tamper Data
Descobertay Sites{ shodanhq{ google (google hacking database){ Yahoo Site Explore!y OSVDBy Documentosy Diagramasy Metadado...
Testes de Segurançay White Box Security Testing, Static applicationsecurity testing (SAST){ Manual Reviews + Code review t...
White Box Security Testingy Graudit é um script simples e conjunto deassinaturas que permite encontrar potenciais falhasde...
JSPy request.getQueryStringy Runtime.execy getRequesty Request.GetParametery request.getParametery jsp:getPropertyy java.s...
PHPy # PHP - Databasey mysql_connects*(.*$.*)y mysql_pconnects*(.*$.*)y mysql_change_users*(.*$.*)y mysql_querys*(.*$.*)y ...
Perly # Perl xss signaturesy prints*.*$.*->param(?.*)?
Black Box Security Testingy w3af – Andrés Riancho, em Python, boaextensibilidadey websecurify – GNUCITIZEN, fácil de rodar...
w3afy Com nmap configura target no arquivoy ./w3af_console -s scripts/scriptosCommanding.w3afy set targetFramework jspy se...
ComparaçãoVulnerabilidades encontradas por RiscoFerramenta Alto Médio Baixo Informativas Tempo de execução totalw3af 4 1 8...
Onde TreinarS.No.Vulnerable Application Platform1 SPI Dynamics (live) ASP2 Cenzic (live) PHP3 Watchfire (live) ASPX4 Acune...
Relatóriosy Dashboard de Segurançay Métricasy Lista de Vulnerabilidadesy Consolidar usando todos os resultados em XMLy CVSS
Security Dashboardy Visilibilidade Global dos Riscos de Segurança deAplicações através de Métricas específicas
Security Dashboard“You Can’t Manage What You Can’t Measure”
Security Dashboard0%7%21%3%0%42%16%0% 11%0%Vulnerabilities by OWASP TOP 10 2010 ClassificationA1: InjectionA2: Cross-Site ...
Correçãoy OWASP ESAPIy NISTy …
Conclusãoy Se não tiver tempo e for rodar apenas uma – w3af!y Scan portfólioy Integração contínuay Garanta as correçõesy I...
Perguntas??
Referênciasy OWASP:http://www.owasp.org/index.php/Category:OWASP_Projecty NIST:http://csrc.nist.gov/publications/PubsSPs.h...
Obrigado!rafael [at] brinhosa.com.brhttp://about.me/brinhosa@brinhosa
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre
Upcoming SlideShare
Loading in …5
×

FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre

1,498 views

Published on

A crescente exposição de aplicações, documentos e serviços na Web têm maximizado os riscos de ataques para as organizações, através do uso de ferramentas open-source para análise de vulnerabilidades será demonstrado como avaliar sua segurança na Web diminuindo riscos. É demonstrado um processo simplificado, uma comparação de ferramentas open-source para Black-box Security Testing e um Security Dashboard para apresentação dos resultados.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,498
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre

  1. 1. R A F A E L B . B R I N H O S ADetectando falhas de Segurançana Web com Software Livre
  2. 2. Agenday Introduçãoy Segurança na Weby Processo Simplificadoy Descobertay Testes{ Comparação de ferramentasy Relatóriosy Correçãoy Conclusões
  3. 3. Introduçãoy Aumento do uso da Web
  4. 4. Segurança na WebCumulative count of Web application vulnerabilitiesPublished by IBM X-Force in January 2009.
  5. 5. Contornar a Segurança pode ser fácil
  6. 6. Desenvolver mecanismos seguros pode ser difícil
  7. 7. Falhas recentesLizaMoon, Epsilon...
  8. 8. Softwares Proprietáriosy Preço altoy Patentesy Poucos bugs - são extensivamente testadosy Poucos falso-positivosy Atualizações constantes do banco de dados devulnerabilidadesy Relatórios Completos
  9. 9. Software Livrey Ferramentas pequenas e independentes que não secomunicamy Mais falso-positivos e Menos IAy Bancos de dados de vulnerabilidades menosatualizadosy Poucos Relatóriosy Níveis de maturidade diferentesy Alternativas melhores surgindo a cada dia
  10. 10. OWASP TOP 10 2010y Lista de falhas mais críticas encontradas em aplicaçõesweb:y A1: Injectiony A2: Cross-Site Scripting (XSS)y A3: Broken Authentication and Session Managementy A4: Insecure Direct Object Referencesy A5: Cross-Site Request Forgery (CSRF)y A6: Security Misconfigurationy A7: Insecure Cryptographic Storagey A8: Failure to Restrict URL Accessy A9: Insufficient Transport Layer Protectiony A10: UnvalidatedRedirects and Forwards
  11. 11. Como detectá-las ou evitá-las?
  12. 12. Segurança no Ciclo de Desenvolvimento deSoftware
  13. 13. Cost of Fixing Security VulnerabilitiesThe Fortify data suggested that it cost 100 times more to fix a single vulnerability in operationalsoftware than to fix it at the requirements stage.
  14. 14. Processo Simplificadoy Descobertay Testesy Relatóriosy Correção
  15. 15. Descobertay Ferramentas{ nmap{ OWASP DirBuster{ Firefox PluginÙ Tamper Data
  16. 16. Descobertay Sites{ shodanhq{ google (google hacking database){ Yahoo Site Explore!y OSVDBy Documentosy Diagramasy Metadadosy Arquivos descompilados
  17. 17. Testes de Segurançay White Box Security Testing, Static applicationsecurity testing (SAST){ Manual Reviews + Code review toolsy Black Box Security Testing, Dynamic applicationsecurity testing (DAST){ Manual Security Testing + Automated tools
  18. 18. White Box Security Testingy Graudit é um script simples e conjunto deassinaturas que permite encontrar potenciais falhasde segurança em código-fonte usando o grep.y Uso: graudit /path/to/scany Suporta: asp, jsp, perl, php e python
  19. 19. JSPy request.getQueryStringy Runtime.execy getRequesty Request.GetParametery request.getParametery jsp:getPropertyy java.security.acl.acly response.sendRedirects*(.*(Request|request).*)y printStacktracey out.print(ln)?.*[Rr]equest.
  20. 20. PHPy # PHP - Databasey mysql_connects*(.*$.*)y mysql_pconnects*(.*$.*)y mysql_change_users*(.*$.*)y mysql_querys*(.*$.*)y mysql_errors*(.*$.*)y mysql_set_charsets*(.*$.*)y mysql_unbuffered_querys*(.*$.*)y pg_connects*(.*$.*)y pg_pconnects*(.*$.*)y pg_executes*(.*$.*)y pg_inserts*(.*$.*)y pg_put_lines*(.*$.*)
  21. 21. Perly # Perl xss signaturesy prints*.*$.*->param(?.*)?
  22. 22. Black Box Security Testingy w3af – Andrés Riancho, em Python, boaextensibilidadey websecurify – GNUCITIZEN, fácil de rodary skipfish – Google, detecta vulnerabilidades menoscomuns e é rápidoy nikto – grande base de assinaturasy SqlMap – ataques de injeção SQL, váriasfuncionalidades
  23. 23. w3afy Com nmap configura target no arquivoy ./w3af_console -s scripts/scriptosCommanding.w3afy set targetFramework jspy set targetOS unix
  24. 24. ComparaçãoVulnerabilidades encontradas por RiscoFerramenta Alto Médio Baixo Informativas Tempo de execução totalw3af 4 1 81 18 minutosWebsecurify 4 30 segundosSkipfish 8 2 20 2 horas e 26 minutos
  25. 25. Onde TreinarS.No.Vulnerable Application Platform1 SPI Dynamics (live) ASP2 Cenzic (live) PHP3 Watchfire (live) ASPX4 Acunetix 1 (live) PHP5 Acunetix 2 (live) ASP6 Acunetix 3 (live) ASP.Net7 PCTechtips Challenge (live)8 Damn Vulnerable WebApplicationPHP/MySQL9 Mutillidae PHP10 The Butterfly Security Project PHP11 Hacme Casino Ruby on Rails12 Hacme Bank 2.0 ASP.NET (2.0)13 Updated HackmeBank ASP.NET (2.0)14 Hacme Books J2EE15 Hacme Travel C++ (applicationclient-server)16 Hacme Shipping ColdFusion MX 7,MySQL17 OWASP WebGoat JAVA18 OWASP Vicnum PHP, Perl19 OWASP InsecureWebApp JAVA20 OWASP SiteGenerator ASP.NET21 Moth22 Stanford SecuriBench JAVA23 SecuriBench Micro JAVA24 BadStore Perl(CGI)25 WebMaven/Buggy Bank(very old)26 EnigmaGroup (live)27 XSS Encoding Skills – x5s(Casaba Watcher)28 Google – Gruyere (live)(previously Jarlsberg)29 Exploit- DB Multi-platformFonte: http://securitythoughts.wordpress.com/2010/03/22/vulnerable-web-applications-for-learning/
  26. 26. Relatóriosy Dashboard de Segurançay Métricasy Lista de Vulnerabilidadesy Consolidar usando todos os resultados em XMLy CVSS
  27. 27. Security Dashboardy Visilibilidade Global dos Riscos de Segurança deAplicações através de Métricas específicas
  28. 28. Security Dashboard“You Can’t Manage What You Can’t Measure”
  29. 29. Security Dashboard0%7%21%3%0%42%16%0% 11%0%Vulnerabilities by OWASP TOP 10 2010 ClassificationA1: InjectionA2: Cross-Site Scripting (XSS)A3: Broken Authentication and SessionManagementA4: Insecure Direct Object ReferencesA5: Cross-Site Request Forgery (CSRF)A6: Security MisconfigurationA7: Insecure Cryptographic StorageA8: Failure to Restrict URL AccessA9: Insufficient Transport Layer Protection
  30. 30. Correçãoy OWASP ESAPIy NISTy …
  31. 31. Conclusãoy Se não tiver tempo e for rodar apenas uma – w3af!y Scan portfólioy Integração contínuay Garanta as correçõesy Integração de Resultadosy Gerenciamento
  32. 32. Perguntas??
  33. 33. Referênciasy OWASP:http://www.owasp.org/index.php/Category:OWASP_Projecty NIST:http://csrc.nist.gov/publications/PubsSPs.htmly Web Application Security Consortium:http://www.webappsec.orgy Security Distros: http://securitydistro.com/security-distros/y CVSS - Common Vulnerability Scoring System:http://www.first.org/cvss/
  34. 34. Obrigado!rafael [at] brinhosa.com.brhttp://about.me/brinhosa@brinhosa

×