1. OWASP
Ferramentas & Tecnologias
Joaquim Marques
OWASP@PT
2 Abril, 2009
OWASP
Copyright © 2007 - The OWASP Foundation
This work is available under the Creative Commons SA 2.5 license
The OWASP Foundation
http://www.owasp.org

2. OWASP

3. OWASP Ferramentas e Tecnologias
Automated Security Verification
•Vulnerability Scanners
•Static Analysis Tools
•Fuzzing
Manual Security Verification
•Penetration Testing Tools
•Code Review Tools
Security Architecture
•ESAPI
Secure Coding
•AppSec Libraries
•ESAPI Reference Implementation
•Guards and Filters
AppSec Management
•Reporting Tools
AppSec Education
•Flawed Apps
•Learning Environments
OWASP 3
•Live CD
•SiteGenerator

4. OWASP Ferramentas e Tecnologias
Automated Security Verification
OWASP Panter Web Assessment Studio Project: usa uma versão melhorada de SpikeProxy como motor
de análise de aplicações web. O objectivo principal de Panter é combinar capacidades de teste automáticas com as
manuais a fim de obter os melhores resultados.
SWFIntruder: (Swiff Intruder) ferramenta semi automática de teste e análise de aplicações Flash.
Sprajax: black box security scanner uusado para avaliar a segurança de aplicações AJAX. Ao detectar o
framework em utilização, o Sprajax formula melhor os pedidos de testes e identifica potenciais vulnerabilidades.
Manual Security Verification
WebScarab : conjunto de módulos para análise de aplicações que comunicam com os protocolos HTTP e HTTPS; é
uma suite de análise e avaliação de vulnerabilidades incluindo ferramentas de proxy.
CAL9000 : collecção de ferramentas de testes para browsers (Inclui XSS Attack Library, Character
Encoder/Decoder, HTTP Request Generator and Response Evaluator, Testing Checklist, Automated Attack Editor …etc)
SQLiX scanner de de injecção SQL capaz de detectar e identificar este tipo de vulnerabilidade
………….etc
OWASP 4

5. OWASP Ferramentas e Tecnologias
 Ferramenta idealizada para todos os que lidam com aplicações baseadas no
protocolo HTTP (aplicações web)
 Funcionalidades Chave
 Visibilidade total no protocolo
 Capacidade de modificar pedidos HTTP em qualquer sentido
 Suporta HTTPS (incl cliente certs)
 Audit trail persistente (facilita a revisão)
 Utilização Principal
 Análise de segurança, debugging de Applicações Web
OWASP 5

6. OWASP Ferramentas e Tecnologias
– extrai scripts e comentários HTML de páginas HTML tal como são vistas pelo proxy ou outros
plugins.,
– observa o tráfego HTTP(S) entre o browser e o servidor web, negociando uma conexão SSL entre o
browser e o servidor Webscarab em vez de ligar simplesmente o browser ao servidor, permitindo que
streams encriptadas passem através dele,
– permite que o utilizador modificar pedidos e respostas HTTP(S) em tempo real, antes
destes chegarem ao browser ou ao servidor,
– permite a execução de operações arbitrárias complexas (normalmente em Java) sobre os
pedidos e respostas,
– permite a alteração dos campos escondidos encontrados em páginas,
– identifica novas URLs no site alvo actuando em linha de comandos,
– permite a edição e replay de pedidos anteriores ou a criação de novos pedidos,
– colecciona e analisa um número de cookies para determinar o grau de aleatoriedade
e imprevisibilidade,
– executa a substituição automática de valores de parâmetros capazes expor uma
validação incompleta que podem originar vulnerabilidades como XSS e SQLi,
– permite que o utilizador manuseie expressões BeanShell de modo a identificar conversas,
– automatiza a verificação de ficheiros que por engano/descuido na webroot (ex: .bak, ~, etc
por exemplo. /app/login.jsp verifica /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, etc),
– plugin passivo que procura dados enviados pelo utilizador nos cabeçalhos e corpo das
respostas HTTP com vista a identificar potenciais vulnerabilidades CRLF e XSS,
•….. ,
OWASP 6

7. OWASP Ferramentas e Tecnologias
OWASP 7

8. OWASP Ferramentas e Tecnologias
Security Architecture
ESAPI - OWASP Enterprise Security API (ESAPI) Project – colecção livre e aberta de métodos de
segurança necessários para o desenvolvimento de aplicações web seguras (alinhamento com OWASP
Top Ten; XSS, SQLi, XSRF, ….).
Arquitectura ESAPI é muito simples;
conjunto de colecções de classes que encapsulam as operações chave de segurança que a maioria
das aplicações precisa.
Os Toolkits ESAPI são desenhados para solucionar automaticamente um conjunto variado
de questões de segurança tornando essas mesmas questões imperceptíveis para os
programadores.
ESAPI está desenhado para facilitar a implementação de segurança não só nas aplicações
existentes mas também noutras em desenvolvimento.
ESAPI Toolkits :
Java EE - available. 
.NET - under development. 
PHP - under development. 
OWASP 8

9. Security Architecture
OWASP Top Ten OWASP ESAPI
A1. Cross Site Scripting (XSS) Validator, Encoder
A2. Injection Flaws Encoder
A3. Malicious File Execution HTTPUtilities (Safe Upload)
A4. Insecure Direct Object Reference AccessReferenceMap, AccessController
A5. Cross Site Request Forgery (CSRF) User (CSRF Token)
A6. Leakage and Improper Error
EnterpriseSecurityException, HTTPUtils
Handling
A7. Broken Authentication and Sessions Authenticator, User, HTTPUtils
A8. Insecure Cryptographic Storage Encryptor
A9. Insecure Communications HTTPUtilities (Secure Cookie, Channel)
A10. Failure to Restrict URL Access AccessController
OWASP 9

10. Security Architecture
Dream – ter todos os controlos de segurança que o programador necessita
Standard
Centralizados
Organizados
Integrados
Alta Qualidade
Intuitivos
Testados
OWASP 10

11. OWASP Ferramentas e Tecnologias
Secure Coding
Validation Filters – (Stinger for J2EE, filters for PHP)
filtros genéricos que os utilizadores podem usar nas suas aplicações.
OWASP AntiSamy Java Project
API para validação de input HTML/CSS para evitar a exposição a ataques XSS e
de phishing.
OWASP AntiSamy .NET Project
API para validação de input HTML/CSS para evitar a exposição a ataques XSS e
de phishing.
OWASP 11

12. OWASP Ferramentas e Tecnologias
AppSec Education
(aplicação deliberadamente insegura)
aplicação J2EE da OWASP orientada para o ensino de segurança aplicacional.
Ferrramenta interactiva de treino e benchmarking onde os utilizadores podem aprender acerca da segurança aplicacional
num ambiente seguro e legal.
Estruturada em lições os utilizadores podem aplicar os seus conhecimentos sobre uma questão de segurança explorando
uma vulnerabilidade real (ex: simulação o utilizador poderá utilizar a técnica do SQL injection para roubar informação
confidencial).
A aplicação simula um ambiente de ensino realista dando aos utilizadores dicas e código que assiste/explica a lição.
Cerca de 30 lições, :
Cross-site Scripting (XSS) Numeric SQL Injection
• •
Access Control String SQL Injection
• •
Thread Safety Web Services
• •
Hidden Form Field Manipulation Fail Open Authentication
• •
Parameter Manipulation Dangers of HTML Comments
• •
Weak Session Cookies ... etc!
• •
Blind SQL Injection
•
OWASP 12

13. OWASP Ferramentas e Tecnologias
OWASP 13

14. OWASP Ferramentas e Tecnologias
Suite de ferramentas (25) – Live CD (drive virtual VMWare)
O projecto tem vários objectivos em vista:
Actuar como uma espécie de “montra” para as ferramentas e documentação OWASP,
Fornecer as melhores ferramentas abertas de segurança aplicacional num pacote,
Assegurar que as ferramentas fornecidas são simples de utilizar,
Continuar a adicionar documentação e ferramentas ao OWASP Live CD,
Continuar a documentar a forma de utilização destas ferramentas e como foram criadas.
OWASP 14

15. OWASP Ferramentas e Tecnologias
Ethical Hacking
OWASP 15

16. Perguntas e Respostas
OWASP 16