O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
OWASP Top 10Principais Vulnerabilidades        em Aplicações Web          Rafael Soares Ferreira          Sócio Diretor Té...
$ whoami   •   Grupo Clavis   •   Sócio Diretor Técnico   •   Detecção e resposta a incidentes de       segurança   •   Te...
Principais Ameaças     Injeções
Descrição    •   Ocorre quando a aplicação envia dados        não tratados para algum serviço interno.    •   Pode ser fei...
Impactos   •   Dependendo do tipo de injeção os danos       causados podem ser:        Perda ou corrupção de dados       ...
Como se Prevenir    •   Não utilizar dados não confiáveis em        comandos e/ou queries.    •   Rotinas de validação ou ...
Principais Ameaças    XSS – Cross Site    Scripting
Descrição    •   Ocorre quando uma aplicação inclui        dados não tratados em um objeto        enviado ao navegador.   ...
Impactos   •   Atacante pode executar scripts no       navegador da vítima para:        Roubo de informações de sessão   ...
Como se Prevenir   •   “Escapar” caracteres vindo de fontes não       confiáveis e que serão utilizados no       contexto ...
Principais Ameaças   Quebra de Autenticação   / Sessão
Definição   Quebra de Autenticação / Sessão   • Restrição de conteúdos / recursos       Autenticação HTTP:   Basic -> cre...
Impacto  Quebra de Autenticação / Sessão   HTTP digest:   Força-bruta   Hydra   (http://freeworld.thc.org/thc-hydra/)   Re...
Como se Prevenir   Quebra de Autenticação / Sessão          Tunelameto por SSL          Políticas de segurança         ...
Principais Ameaças    Referência Direta a    Objetos
Definição   Referência Direta a Objetos   • Exposição de informações internas   • Evite Controle de Acesso em camada de   ...
Impacto   Referência Direta a Objetos   • Evite expor referências a objetos internos          Validação de referências   ...
Principais Ameaças    Cross Site Request    Forgery
Definição   Cross Site Request Forgery   (CSRF)   • Browsers enviam alguns tipos de credenciais   automaticamente em cada ...
Impacto   Cross Site Request Forgery   (CSRF)   • A vítima acessa um site malicioso enquanto   está logada no sistema vuln...
Como se Prevenir   Cross Site Request Forgery   (CSRF)   • Autenticações forçadas em requisições sensíveis         Contro...
Principais Ameaças   Falhas de Configuração
Definição   Falhas de Configuração   • Aplicações rodam em cima de serviços   que rodam em cima de SOs   • Todos podem ser...
Como se Prevenir   Falhas de Configuração   • “Hardening” de servidores          Patchs e atualizações          Homologa...
Principais Ameaças    Armazenamento com    métodos Inseguros
Descrição          Falha mais comum e grave: simplesmente   não criptografar dados sensíveis          Falhas quando a cr...
Impacto          Frequentemente comprometem todos os   dados protegidos por criptografia          Tipicamente, estes dad...
Como se Previnir          Requisitos mínimos para armazenamento   de dados em aplicações web:        −   Algoritmos de cr...
Principais Ameaças   Falha em restringir   acesso à URL
Descrição          Falha em proteger requisições da página       apropriadamente          Falhas básicas de fácil detecç...
Impacto          Frequentemente, contas privilegiadas são o       alvo deste tipo de ataque          Uma vez bem sucedid...
Como se Prevenir  • É fundamental ter muito bem definido    o que se trata de informação pública    (não requer credenciai...
Principais Ameaças   Proteção Insuficiente no   Transporte de Dados
Descrição          Falha em proteger o tráfego de rede onde       passam os dados da aplicação          Utilização de cr...
Impacto          Estas falhas expõe dados de usuários e       podem conduzir a roubo de contas.          Se uma conta de...
Como se Prevenir   • É importante que a aplicação não     aceite requisições contendo dados     privados por canais insegu...
Principais Ameaças  Redirecionamentos e  repasses não validados
Descrição          Falha em validar o destino de       redirecionamentos ou repasses utilizados          Problemas mais ...
Impacto          Redirecionamentos podem induzir usuários       a instalar malware ou revelar informações       sensíveis...
Como se Prevenir          Recomendações básicas para utilizar       redirecionamentos e repasses:       −   Não envolver ...
Dúvidas?
Siga a Clavis
Muito Obrigado!       rafael@clavis.com.br       @rafaelsferreira    Rafael Soares Ferreira      Sócio Diretor Técnico
Próximos SlideShares
Carregando em…5
×

OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web

17.366 visualizações

Publicada em

Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web

Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.

Cursos e Soluções Relacionados:

Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/

Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php

Palestrante: Rafael Soares Ferreira

Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web

  1. 1. OWASP Top 10Principais Vulnerabilidades em Aplicações Web Rafael Soares Ferreira Sócio Diretor Técnico rafael@clavis.com.br
  2. 2. $ whoami • Grupo Clavis • Sócio Diretor Técnico • Detecção e resposta a incidentes de segurança • Testes de invasão em redes, sistemas e aplicações.
  3. 3. Principais Ameaças Injeções
  4. 4. Descrição • Ocorre quando a aplicação envia dados não tratados para algum serviço interno. • Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc. • Descoberta por varreduras e/ou fuzzers • Mais facilmente por verificação de código.
  5. 5. Impactos • Dependendo do tipo de injeção os danos causados podem ser:  Perda ou corrupção de dados  Negação de Serviço  Falhas de autenticação  Execução arbitrária de código e até comprometimento total do sistema.
  6. 6. Como se Prevenir • Não utilizar dados não confiáveis em comandos e/ou queries. • Rotinas de validação ou “escape” de caracteres. • É aconselhável o uso de validação positiva nas entradas. • Utilizar canonicalização de dados.
  7. 7. Principais Ameaças XSS – Cross Site Scripting
  8. 8. Descrição • Ocorre quando uma aplicação inclui dados não tratados em um objeto enviado ao navegador. • A detecção pode ser feita via teste de injeção ou análise de código. • Existem 3 principais tipos:  Stored  Reflected  DOM based XSS
  9. 9. Impactos • Atacante pode executar scripts no navegador da vítima para:  Roubo de informações de sessão  Pichação de Sites  Inserção de conteúdo malicioso  Redirecionamento de usuários e etc. • Além da exposição de informações dos usuários, tal falha pode denegrir a imagem da instituição responsável pela aplicação.
  10. 10. Como se Prevenir • “Escapar” caracteres vindo de fontes não confiáveis e que serão utilizados no contexto do navegador (body, atributos, JavaScript, CSS, URL). • A validação positiva é sempre interessante mas é preciso atentar para peculiaridades da aplicação em questão pois caracteres especiais e codificações diversas podem fazer parte da rotina da aplicação.
  11. 11. Principais Ameaças Quebra de Autenticação / Sessão
  12. 12. Definição Quebra de Autenticação / Sessão • Restrição de conteúdos / recursos  Autenticação HTTP: Basic -> credenciais concatenadas separadas por “:” e codificadas em base64 Digest -> hash MD5
  13. 13. Impacto Quebra de Autenticação / Sessão HTTP digest: Força-bruta Hydra (http://freeworld.thc.org/thc-hydra/) Replay de tráfego TCPReplay (http://tcpreplay.synfin.net/trac/)
  14. 14. Como se Prevenir Quebra de Autenticação / Sessão  Tunelameto por SSL  Políticas de segurança  CAPTCHA  OWASP Authentication_Cheat_Sheet
  15. 15. Principais Ameaças Referência Direta a Objetos
  16. 16. Definição Referência Direta a Objetos • Exposição de informações internas • Evite Controle de Acesso em camada de apresentação  Modificações de informações para acesso a dados não autorizados
  17. 17. Impacto Referência Direta a Objetos • Evite expor referências a objetos internos  Validação de referências  Mapas de referência Ex: http://www.example.com/application?file=1
  18. 18. Principais Ameaças Cross Site Request Forgery
  19. 19. Definição Cross Site Request Forgery (CSRF) • Browsers enviam alguns tipos de credenciais automaticamente em cada requisição Cookies Cabeçalhos Endereço IP Certificados SSL
  20. 20. Impacto Cross Site Request Forgery (CSRF) • A vítima acessa um site malicioso enquanto está logada no sistema vulnerável  O atacante força a vítima a fazer tal  requisição
  21. 21. Como se Prevenir Cross Site Request Forgery (CSRF) • Autenticações forçadas em requisições sensíveis  Controle exposição de dados utilizados  como credenciais  OWASP: CSRF_Prevention_Cheat_Sheet
  22. 22. Principais Ameaças Falhas de Configuração
  23. 23. Definição Falhas de Configuração • Aplicações rodam em cima de serviços que rodam em cima de SOs • Todos podem ser vetores de ataque • Exploits (e patchs!) se aplicam à qualquer tipo de software
  24. 24. Como se Prevenir Falhas de Configuração • “Hardening” de servidores  Patchs e atualizações  Homologação de mudanças  Vulnerability Management
  25. 25. Principais Ameaças Armazenamento com métodos Inseguros
  26. 26. Descrição  Falha mais comum e grave: simplesmente não criptografar dados sensíveis  Falhas quando a criptografia é empregada: − Geração e armazenamento inseguros de chaves − Não implantar políticas de rotação de chaves − Utilizar algoritmos de criptografia fracos − Utilizar métodos de criptografia em uma só via (hash) fracos ou sem salto para proteger senhas.
  27. 27. Impacto  Frequentemente comprometem todos os dados protegidos por criptografia  Tipicamente, estes dados incluem, mas não estão limitados à: − Credenciais de acesso − Dados pessoais − Registros de saúde − Cartões de crédito, etc.
  28. 28. Como se Previnir  Requisitos mínimos para armazenamento de dados em aplicações web: − Algoritmos de criptografia e chaves utilizados devem ser apropriadamente fortes. − Chaves e senhas devem estar protegidas de acesso não autorizado. − Senhas devem armazenadas em hash com um algoritmo de criptografia em uma só via forte e com um salto apropriado.
  29. 29. Principais Ameaças Falha em restringir acesso à URL
  30. 30. Descrição  Falha em proteger requisições da página apropriadamente  Falhas básicas de fácil detecção, uma vez listadas todas as páginas (URLs) que existem para atacar.
  31. 31. Impacto  Frequentemente, contas privilegiadas são o alvo deste tipo de ataque  Uma vez bem sucedido, o atacante pode fazer qualquer coisa que a vítima poderia fazer
  32. 32. Como se Prevenir • É fundamental ter muito bem definido o que se trata de informação pública (não requer credenciais) e privada (requer credenciais) e então proteger a informação privada. • Políticas mais restritivas (block all, allow some) são mais adequadas que as mais permissivas (allow all, block some), pois os casos não previstos são bloqueados e o acesso é liberado sob demanda.
  33. 33. Principais Ameaças Proteção Insuficiente no Transporte de Dados
  34. 34. Descrição  Falha em proteger o tráfego de rede onde passam os dados da aplicação  Utilização de criptografia somente na autenticação (expondo dados e IDs de seção)  Utilização de certificados expirados ou mal configurados
  35. 35. Impacto  Estas falhas expõe dados de usuários e podem conduzir a roubo de contas.  Se uma conta de administração for comprometida, o site inteiro pode ser exposto.  Utilizar de métodos de criptografia mal configurados também podem facilitar ataques de phishing e Man-In-The-Middle (MITM)
  36. 36. Como se Prevenir • É importante que a aplicação não aceite requisições contendo dados privados por canais inseguros • A flag secure dos cookies estipula que o cookie só pode ser transmitido através de um canal seguro
  37. 37. Principais Ameaças Redirecionamentos e repasses não validados
  38. 38. Descrição  Falha em validar o destino de redirecionamentos ou repasses utilizados  Problemas mais comuns: − Ausência de validação do destino de um redirecionamento ou repasse − Similaridade entre redirecionamento para destinos internos (da própria aplicação) e externos
  39. 39. Impacto  Redirecionamentos podem induzir usuários a instalar malware ou revelar informações sensíveis.  Repasses inseguros podem permitir contornar controles de acesso.
  40. 40. Como se Prevenir  Recomendações básicas para utilizar redirecionamentos e repasses: − Não envolver parâmetros de usuário para calcular o destino − Se não puder evitar, validar o parâmetro e verificar autorização do usuário
  41. 41. Dúvidas?
  42. 42. Siga a Clavis
  43. 43. Muito Obrigado! rafael@clavis.com.br @rafaelsferreira Rafael Soares Ferreira Sócio Diretor Técnico

×