Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações

3.615 visualizações

Publicada em

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.

A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.

A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.

A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.

  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações

  1. 1. Teste de Invasão em AplicaçõesWebPrincipais Técnicas de Exploração e Formasde Prevenção Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br
  2. 2. $ whoami•  Grupo Clavis•  Sócio Diretor Técnico•  Detecção e resposta a incidentes de segurança•  Testes de invasão em redes, sistemas e aplicações.
  3. 3. Contatos rafaelsoaresferreira@gmail.com rafaelsoaresferreira @rafaelsferreira www.facebook.com/rafaelsoaresferreira
  4. 4. Principais Ameaças•  InjeçõesOWASP Top 10 2010 - A1OWASP Top 10 2007 - A2•  Cross Site Scripting (XSS)OWASP Top 10 2010 - A2OWASP Top 10 2007 - A1
  5. 5. Principais Ameaças Injeções
  6. 6. Descrição•  Ocorre quando a aplicação envia dados não tratados para algum serviço interno.•  Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.•  Descoberta por varreduras e/ou fuzzers•  Mais facilmente por verificação de código.
  7. 7. ExemploSQLi:•  Aplicação: OcoMon•  Versão: 2.0-RC6•  Bypass de autenticação via SQLi•  Validação de entradas feita client-side
  8. 8. Exemplo•  Página inicial filtrando caracteres especiais através de javascript.
  9. 9. Exemplo•  É possível editar a função de validação, ou impedi-la de ser executada no navegador.
  10. 10. Exemplo•  Sem a função de validação é possível submeter a string admin ‘ or ‘ -- que possibilita acesso ao sistema.
  11. 11. Impactos•  Dependendo do tipo de injeção os danos causados podem ser: ü  Perda ou corrupção de dados ü  Negação de Serviço ü  Falhas de autenticação ü  Execução arbitrária de código e até comprometimento total do sistema.
  12. 12. Como se Prevenir•  Não utilizar dados não confiáveis em comandos e/ou queries.•  Rotinas de validação ou “escape” de caracteres.•  É aconselhável o uso de validação positiva nas entradas.•  Utilizar canonicalização de dados.
  13. 13. Referências•  Ferramenta para detecção e exploração de SQLihttp://sqlmap.sourceforge.net/•  Enterprise Security API – Input Validationhttp://owasp-esapi-java.googlecode.com/svn/trunk_doc/latest/overview-summary.html•  (OWASP) Reviewing Code for SQL Injectionhttps://www.owasp.org/index.php/Reviewing_Code_for_SQL_Injection
  14. 14. Principais Ameaças XSS – Cross Site Scripting
  15. 15. Descrição•  Ocorre quando uma aplicação inclui dados não tratados em um objeto enviado ao navegador.•  A detecção pode ser feita via teste de injeção ou análise de código.•  Existem 3 principais tipos: ü  Stored ü  Reflected ü  DOM based XSS
  16. 16. DescriçãoStored:•  Código injetado é armazenado permanentemente na aplicação vulnerável (comentários, posts, logs, etc)•  A vítima recebe o código malicioso junto com alguma requisição feita.
  17. 17. ExemploStored:•  Aplicação: dotProject•  Versão: 2.1.5•  Múltiplas Vulnerabilidades de XSS e SQLi
  18. 18. Exemplo•  Na submissão de arquivos é possível inserir um código malicioso no campo descrição.
  19. 19. Exemplo <script>alert(xss)</script>
  20. 20. Exemplo•  O código então será submetido a todos que visualizarem a descrição de tal arquivo.
  21. 21. Impactos•  Atacante pode executar scripts no navegador da vítima para: ü  Roubo de informações de sessão ü  Pichação de Sites ü  Inserção de conteúdo malicioso ü  Redirecionamento de usuários e etc.•  Além da exposição de informações dos usuários, tal falha pode denegrir a imagem da instituição responsável pela aplicação.
  22. 22. Como se Prevenir•  “Escapar” caracteres vindo de fontes não confiáveis e que serão utilizados no contexto do navegador (body, atributos, JavaScript, CSS, URL).•  A validação positiva é sempre interessante mas é preciso atentar para peculiaridades da aplicação em questão pois caracteres especiais e codificações diversas podem fazer parte da rotina da aplicação.
  23. 23. Referências•  Definição do CWE sobre Cross-Site Scriptinghttp://cwe.mitre.org/data/definitions/79.html•  RSnakes XSS Attack Cheat Sheethttp://ha.ckers.org/xss.html•  (OWASP) Reviewing Code for Cross-site scriptinghttps://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scripting
  24. 24. Outras Ameaças•  Quebra de Autenticação / Sessão•  Referência direta à objetos•  Cross-Site Request Forgery (CSRF)•  Falhas de Configuração•  Armazenamento / Canal Inseguro
  25. 25. Referências•  OWASP Top 10https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project•  OWASP Testing Guidehttps://www.owasp.org/index.php/Category:OWASP_Testing_Project•  OWASP Code Review Guidehttps://www.owasp.org/index.php/Category:OWASP_Code_Review_Project
  26. 26. Dúvidas? Perguntas? Críticas? Sugestões?
  27. 27. Siga a Clavis http://clav.is/slideshare http://clav.is/twitter http://clav.is/facebook
  28. 28. Muito Obrigado! rafael@clavis.com.br @rafaelsferreira Rafael Soares Ferreira Clavis Segurança da Informação

×