![LCFIB- 2007 Seguretat en aplicacions web Jordi Planadecursach [email_address] Héctor Puente [email_address]](https://image.slidesharecdn.com/seguretatenaplicacionsweb-final-091227114636-phpapp02/85/Seguridad-en-aplicaciones-web-1-320.jpg)
Recommended
Recommended
More Related Content
Similar to Seguridad en aplicaciones web
Similar to Seguridad en aplicaciones web (20)
Seguridad en aplicaciones web
- 1. LCFIB- 2007 Seguretat en aplicacions web Jordi Planadecursach [email_address] Héctor Puente [email_address]
- 2. LCFIB- 2007 Parlarem de… Protocol HTTP Sistemes d’autenticació Cookies Vulnerabilitats més comuns Polítiques de control d’accés Tractament d’erros i logging
- 3. LCFIB- 2007 Parlarem de… Com protegir dades sensibles Polítiques de seguretat Testing de seguretat
- 4. LCFIB- 2007 Introducció Que tenen en comú la majoria d’aplicacions web?
- 5. LCFIB- 2007 Que tenen el port 80 obert (o el 443)
- 9. LCFIB- 2007 75% dels atacs estan destinats a la capa d’aplicació 2/3 aplicacions web són en major o menor mesura vulnerables
- 11. LCFIB- 2007 GET http://www.fib.upc.edu/fib/buscar.html?lang=0§ion=0& s=hola HTTP/1.0 Accept: */* Accept-Language: es Cookie: SSO_ID=Ba3U8owbH4z0Q/K12gU2Yw==; JSESSIONID=DCD16D163B38B02858E466A216FF7612.pim; Apache=147.83.58.208.1184685235517970 User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727) Host: raco.fib.upc.es Connection: Keep-Alive
- 12. LCFIB- 2007 POST https://raco.fib.upc.es:443/cas/servlet/lcfib.login.CASLogin HTTP/1.0 Referer: http://www.fib.upc.edu/fib/buscar.html?lang=0§ion=0 Connection: Keep-Alive User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.1; .NET CLR 2.0.50727) Host: raco.fib.upc.es Cache-Control: no-cache Cookie: CASTGC=TGT-4579-xzlCXcMfJzdZyMr5kKEQ0WmzM1ArOTuaXsp-50; JSESSIONID=AF2BCACA6BB144A4392EF4FA1B467605.pim; SSO_ID=Ba3U8owbH4z0Q/K12gU2Yw==; url_service=https%3A%2F%2Fraco.fib.upc.es%2Fservlet%2Flcfib.racons.Portal& username=usuari & password=contrassenya &x=0&y=0
- 13. LCFIB- 2007 Interceptant peticions HTTP Web Scarab
- 14. LCFIB- 2007 Mètodes d’autenticació Com identificar qui està fent peticions ?
- 34. LCFIB- 2007 Vulnerabilitats més usuals
- 39. LCFIB- 2007 Username: admin Password: 1234 SQL generat: SELECT * FROM logins WHERE username=‘ admin ’ AND password=‘ 1234 ’ ; Username: admin Password: ‘ OR ‘’=‘ SQL generat: SELECT * FROM logins WHERE username=‘ admin ’ AND password=‘ ‘ OR ‘’=‘ ’ ; Username: admin Password: ’; DROP TABLE logins where ‘’=‘ SQL generat: SELECT * FROM logins WHERE username=‘ admin ’ AND password=‘ ’; drop table logins where ‘’=‘ ’ ; String sql = “ SELECT * FROM logins WHERE username=‘” + username + “’ AND password=‘” + password + “’” ;
- 42. LCFIB- 2007 Username: admin Password: 1 OR 1=1 SQL generat: SELECT * FROM logins WHERE username=‘ admin ’ AND pin_code= 1 OR 1=1 Altres vectors: 1 OR HAVING 1=1 Error, ‘cuenta_corriente’ is not on the group by clause 1 OR GROUP BY cuenta_corriente HAVING 1=1 Error, ‘dni’ is not on the group by clause 1 OR GROUP BY cuenta_corriente,dni HAVING 1=1 Error, ‘direccion’ is not on the group by clause 1 OR (SELECT cuenta_corriente FROM logins) = “1234 1000 6666 45256” 1 OR (SELECT cuenta_corriente FROM logins) > “5000 0000 0000 0000” 1 OR (SELECT substr(cuenta_corriente,1) FROM logins) = chr(1) String sql = “ SELECT * FROM logins WHERE username=‘” + username + “’ AND pin_code=” + pin_code ;
- 44. LCFIB- 2007 Buffer Overflow #include <stdlib.h> #include <stdio.h> char* read_POST(){ char query_string[1024]; int query_size; query_size = atoi(getenv(“CONTENT_LENGTH”)); fread(query_string,query_size,1,stdin); return query_string; }
- 46. LCFIB- 2007
- 47. LCFIB- 2007 Buffer Overflow #include <stdlib.h> #include <stdio.h> char* read_POST(){ char query_string[1024]; int query_size; query_size = atoi(getenv(“CONTENT_LENGTH”)); fread(query_string,query_size,1,stdin); return query_string; }
- 48. LCFIB- 2007 Solució: comprovar tamany de l’entrada #include <stdlib.h> #include <stdio.h> char* read_POST(){ char query_string[1024]; int query_size; query_size = atoi(getenv(“CONTENT_LENGTH”)); fread(query_string, min(query_size,1024) ,1,stdin); return query_string; }
- 71. LCFIB- 2007 Exemple pràctic amb e-Catalunya
- 73. LCFIB- 2007
- 74. LCFIB- 2007 Hacker Obtenció d’URL d’administració CREAR NOU USUARI + Esbrinar la URL de la pàgina de crear un nou usuari + Esbrinar el nom dels camps del formulari (nom, id, email) + Construir URL tal que si s’accedeix a ella es dona d’alta l’usuari especificat ASSIGNAR PERMISOS D’ADMINISTRACIÓ + Idem que l’anterior però usant la pàgina d’assignar permisos Obtenir URL
- 75. LCFIB- 2007 Hacker <script> … crear_usuari(X) fer_administrador(X) … </script> Creació de Script maligne SCRIPT + Cridar URL1 (crear nou usuari) + Cridar URL2 (assigna al nou usuari permisos d’administrador) (si s’utilitzen peticions AJAX l’usuari no se n’adona de que ha executat un script)
- 76. LCFIB- 2007 Hacker Introduir script maligne com a comentari a l’e-blog <script> … crear_usuari(X) administrador(X) … </script> Introduir SCRIPT a l’e-Blog
- 77. LCFIB- 2007 Hacker Ingenieria social Administrador Enviar un mail a l’admin amb l’enllaç al blog Quan l’administrador vagi a veure el Blog, si aquest està identificat, s’executarà l’script insertat. Aquest crearà un nou usuari amb permisos d’administrador que el hacker podrà utilitzar per fer maldats. També es podria robar la cookie de l’admin per tal de fer una suplantació d’identitat.
- 78. LCFIB- 2007