Rafael Brinhosa, profile picture
Carregado porRafael Brinhosa
PDF, PPTX505 visualizações

FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre

O documento discute a detecção de vulnerabilidades de segurança na web usando software livre. Ele descreve ferramentas como nmap, OWASP DirBuster e w3af que podem ser usadas para descobrir vulnerabilidades e testá-las através de abordagens de caixa-branca e caixa-preta. O documento também discute a importância de relatórios e métricas de segurança e o processo de correção de vulnerabilidades encontradas.

Incorporar apresentação

Transferir como PDF, PPTX
R A F A E L B . B R I N H O S A Detectando falhas de Segurança na Web com Software Livre
Agenda y Introdução y Segurança na Web y Processo Simplificado y Descoberta y Testes { Comparação de ferramentas y Relatórios y Correção y Conclusões
Introdução y Aumento do uso da Web
Segurança na Web Cumulative count of Web application vulnerabilities Published by IBM X-Force in January 2009.
Contornar a Segurança pode ser fácil
Desenvolver mecanismos seguros pode ser difícil
Falhas recentes LizaMoon, Epsilon...
Softwares Proprietários y Preço alto y Patentes y Poucos bugs - são extensivamente testados y Poucos falso-positivos y Atualizações constantes do banco de dados de vulnerabilidades y Relatórios Completos
Software Livre y Ferramentas pequenas e independentes que não se comunicam y Mais falso-positivos e Menos IA y Bancos de dados de vulnerabilidades menos atualizados y Poucos Relatórios y Níveis de maturidade diferentes y Alternativas melhores surgindo a cada dia
OWASP TOP 10 2010 y Lista de falhas mais críticas encontradas em aplicações web: y A1: Injection y A2: Cross-Site Scripting (XSS) y A3: Broken Authentication and Session Management y A4: Insecure Direct Object References y A5: Cross-Site Request Forgery (CSRF) y A6: Security Misconfiguration y A7: Insecure Cryptographic Storage y A8: Failure to Restrict URL Access y A9: Insufficient Transport Layer Protection y A10: UnvalidatedRedirects and Forwards
Como detectá-las ou evitá-las?
Segurança no Ciclo de Desenvolvimento de Software
Cost of Fixing Security Vulnerabilities The Fortify data suggested that it cost 100 times more to fix a single vulnerability in operational software than to fix it at the requirements stage.
Processo Simplificado y Descoberta y Testes y Relatórios y Correção
Descoberta y Ferramentas { nmap { OWASP DirBuster { Firefox Plugin Ù Tamper Data
Descoberta y Sites { shodanhq { google (google hacking database) { Yahoo Site Explore! y OSVDB y Documentos y Diagramas y Metadados y Arquivos descompilados
Testes de Segurança y White Box Security Testing, Static application security testing (SAST) { Manual Reviews + Code review tools y Black Box Security Testing, Dynamic application security testing (DAST) { Manual Security Testing + Automated tools
White Box Security Testing y Graudit é um script simples e conjunto de assinaturas que permite encontrar potenciais falhas de segurança em código-fonte usando o grep. y Uso: graudit /path/to/scan y Suporta: asp, jsp, perl, php e python
JSP y request.getQueryString y Runtime.exec y getRequest y Request.GetParameter y request.getParameter y jsp:getProperty y java.security.acl.acl y response.sendRedirects*(.*(Request|request).*) y printStacktrace y out.print(ln)?.*[Rr]equest.
PHP y # PHP - Database y mysql_connects*(.*$.*) y mysql_pconnects*(.*$.*) y mysql_change_users*(.*$.*) y mysql_querys*(.*$.*) y mysql_errors*(.*$.*) y mysql_set_charsets*(.*$.*) y mysql_unbuffered_querys*(.*$.*) y pg_connects*(.*$.*) y pg_pconnects*(.*$.*) y pg_executes*(.*$.*) y pg_inserts*(.*$.*) y pg_put_lines*(.*$.*)
Perl y # Perl xss signatures y prints*.*$.*->param(?.*)?
Black Box Security Testing y w3af – Andrés Riancho, em Python, boa extensibilidade y websecurify – GNUCITIZEN, fácil de rodar y skipfish – Google, detecta vulnerabilidades menos comuns e é rápido y nikto – grande base de assinaturas y SqlMap – ataques de injeção SQL, várias funcionalidades
w3af y Com nmap configura target no arquivo y ./w3af_console -s scripts/scriptosCommanding.w3af y set targetFramework jsp y set targetOS unix
Comparação Vulnerabilidades encontradas por Risco Ferramenta Alto Médio Baixo Informativas Tempo de execução total w3af 4 1 81 18 minutos Websecurify 4 30 segundos Skipfish 8 2 20 2 horas e 26 minutos
Onde Treinar S.N o. Vulnerable Application Platform 1 SPI Dynamics (live) ASP 2 Cenzic (live) PHP 3 Watchfire (live) ASPX 4 Acunetix 1 (live) PHP 5 Acunetix 2 (live) ASP 6 Acunetix 3 (live) ASP.Net 7 PCTechtips Challenge (live) 8 Damn Vulnerable Web Application PHP/MySQL 9 Mutillidae PHP 10 The Butterfly Security Project PHP 11 Hacme Casino Ruby on Rails 12 Hacme Bank 2.0 ASP.NET (2.0) 13 Updated HackmeBank ASP.NET (2.0) 14 Hacme Books J2EE 15 Hacme Travel C++ (application client-server) 16 Hacme Shipping ColdFusion MX 7, MySQL 17 OWASP WebGoat JAVA 18 OWASP Vicnum PHP, Perl 19 OWASP InsecureWebApp JAVA 20 OWASP SiteGenerator ASP.NET 21 Moth 22 Stanford SecuriBench JAVA 23 SecuriBench Micro JAVA 24 BadStore Perl(CGI) 25 WebMaven/Buggy Bank (very old) 26 EnigmaGroup (live) 27 XSS Encoding Skills – x5s (Casaba Watcher) 28 Google – Gruyere (live) (previously Jarlsberg) 29 Exploit- DB Multi-platform Fonte: http://securitythoughts.wordpress.com/2010/03/22/vulnerable-web-applications-for-learning/
Relatórios y Dashboard de Segurança y Métricas y Lista de Vulnerabilidades y Consolidar usando todos os resultados em XML y CVSS
Security Dashboard y Visilibilidade Global dos Riscos de Segurança de Aplicações através de Métricas específicas
Security Dashboard “You Can’t Manage What You Can’t Measure”
Security Dashboard 0% 7% 21% 3% 0% 42% 16% 0% 11% 0% Vulnerabilities by OWASP TOP 10 2010 Classification A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection
Correção y OWASP ESAPI y NIST y …
Conclusão y Se não tiver tempo e for rodar apenas uma – w3af! y Scan portfólio y Integração contínua y Garanta as correções y Integração de Resultados y Gerenciamento
Perguntas? ?
Referências y OWASP: http://www.owasp.org/index.php/Category:OWASP _Project y NIST: http://csrc.nist.gov/publications/PubsSPs.html y Web Application Security Consortium: http://www.webappsec.org y Security Distros: http://securitydistro.com/security- distros/ y CVSS - Common Vulnerability Scoring System: http://www.first.org/cvss/
Obrigado! rafael [at] brinhosa.com.br http://about.me/brinhosa @brinhosa

Mais conteúdo relacionado

PDF
php4android: desenvolva aplicações android em PHP
porRamon Ribeiro Rabello
 
PDF
Manual de Recarga HP Canon PX 92274A.
porValejet
 
PDF
Manual de Recarga HP Canon VX C3903A.
porValejet
 
PDF
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
porAs Zone
 
PDF
Owasp@iscte iul ferramentas-analise_vulnerabilidades
porCarlos Serrao
 
PDF
Manual de Recarga Lexmark C760 | C762 | C750 | C752
porValejet
 
PDF
Hp 4500 drum
porValejet
 
PPTX
Weekly newsp
porsavisca
 
php4android: desenvolva aplicações android em PHP
porRamon Ribeiro Rabello
 
Manual de Recarga HP Canon PX 92274A.
porValejet
 
Manual de Recarga HP Canon VX C3903A.
porValejet
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
porAs Zone
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
porCarlos Serrao
 
Manual de Recarga Lexmark C760 | C762 | C750 | C752
porValejet
 
Hp 4500 drum
porValejet
 
Weekly newsp
porsavisca
 

Destaque

PDF
Manual de Recarga Lexmark E120 Espanhol.
porValejet
 
PDF
Manual de Recarga Samsung ML 2251N | ML 2251NP | ML 2251W | ML 2250
porValejet
 
PDF
Manual de Recarga HP P1005 P1006 P1505.
porValejet
 
PDF
Brother hl 1240 drum
porValejet
 
PDF
A Validation Model of Data Input for Web Services
porRafael Brinhosa
 
PDF
Manual de Recarga Lexmark C910 Espanhol.
porValejet
 
PDF
Hp 4700 4730
porValejet
 
PDF
Brother tn 350 hl2040
porValejet
 
PDF
Hp 3500 q2670 a q2671a q2672a q2673a espanhol
porValejet
 
PDF
Manual de Recarga HP Canon AX C3906A.
porValejet
 
PDF
Manual de Recarga Minolta 2300 DL
porValejet
 
PDF
Hp 4000
porValejet
 
PPTX
Matariki Winery experience - Richard Bott
porRichardBott
 
Manual de Recarga Lexmark E120 Espanhol.
porValejet
 
Manual de Recarga Samsung ML 2251N | ML 2251NP | ML 2251W | ML 2250
porValejet
 
Manual de Recarga HP P1005 P1006 P1505.
porValejet
 
Brother hl 1240 drum
porValejet
 
A Validation Model of Data Input for Web Services
porRafael Brinhosa
 
Manual de Recarga Lexmark C910 Espanhol.
porValejet
 
Hp 4700 4730
porValejet
 
Brother tn 350 hl2040
porValejet
 
Hp 3500 q2670 a q2671a q2672a q2673a espanhol
porValejet
 
Manual de Recarga HP Canon AX C3906A.
porValejet
 
Manual de Recarga Minolta 2300 DL
porValejet
 
Hp 4000
porValejet
 
Matariki Winery experience - Richard Bott
porRichardBott
 

Semelhante a FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre

PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
Ferranentas OWASP
porCarlos Serrao
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PPT
Seguranca web Testday2012
porMarcio Cunha
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
2011 01-18.campus party 2011
porCampus Party Brasil
 
PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
PDF
Análise de Vulnerabilidades em Aplicações na Web Nacional
porCarlos Serrao
 
PPTX
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
PDF
Antar ferreira
porAntar Ferreira
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 
PDF
Analise de vulnerabilidade como e feita.
porjpcparaguaibsb
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
PPTX
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
OWASP - Ferramentas
porCarlos Serrao
 
OWASP Top Ten 2004
porCarlos Serrao
 
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Ferranentas OWASP
porCarlos Serrao
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
Seguranca web Testday2012
porMarcio Cunha
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
2011 01-18.campus party 2011
porCampus Party Brasil
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
porCarlos Serrao
 
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
Antar ferreira
porAntar Ferreira
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 
Analise de vulnerabilidade como e feita.
porjpcparaguaibsb
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 

Último

PPTX
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
PPT
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
PPTX
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
PDF
Um projeto de redes para fins educacionais
porLorran17
 
PPTX
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
PDF
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 
PDF
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
Um projeto de redes para fins educacionais
porLorran17
 
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 

FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Software Livre

  • 1.
    R A FA E L B . B R I N H O S A Detectando falhas de Segurança na Web com Software Livre
  • 2.
    Agenda y Introdução y Segurançana Web y Processo Simplificado y Descoberta y Testes { Comparação de ferramentas y Relatórios y Correção y Conclusões
  • 3.
  • 4.
    Segurança na Web Cumulativecount of Web application vulnerabilities Published by IBM X-Force in January 2009.
  • 5.
    Contornar a Segurançapode ser fácil
  • 6.
  • 8.
  • 9.
    Softwares Proprietários y Preçoalto y Patentes y Poucos bugs - são extensivamente testados y Poucos falso-positivos y Atualizações constantes do banco de dados de vulnerabilidades y Relatórios Completos
  • 10.
    Software Livre y Ferramentaspequenas e independentes que não se comunicam y Mais falso-positivos e Menos IA y Bancos de dados de vulnerabilidades menos atualizados y Poucos Relatórios y Níveis de maturidade diferentes y Alternativas melhores surgindo a cada dia
  • 11.
    OWASP TOP 102010 y Lista de falhas mais críticas encontradas em aplicações web: y A1: Injection y A2: Cross-Site Scripting (XSS) y A3: Broken Authentication and Session Management y A4: Insecure Direct Object References y A5: Cross-Site Request Forgery (CSRF) y A6: Security Misconfiguration y A7: Insecure Cryptographic Storage y A8: Failure to Restrict URL Access y A9: Insufficient Transport Layer Protection y A10: UnvalidatedRedirects and Forwards
  • 12.
  • 13.
    Segurança no Ciclode Desenvolvimento de Software
  • 14.
    Cost of FixingSecurity Vulnerabilities The Fortify data suggested that it cost 100 times more to fix a single vulnerability in operational software than to fix it at the requirements stage.
  • 15.
    Processo Simplificado y Descoberta yTestes y Relatórios y Correção
  • 16.
    Descoberta y Ferramentas { nmap {OWASP DirBuster { Firefox Plugin Ù Tamper Data
  • 17.
    Descoberta y Sites { shodanhq {google (google hacking database) { Yahoo Site Explore! y OSVDB y Documentos y Diagramas y Metadados y Arquivos descompilados
  • 18.
    Testes de Segurança yWhite Box Security Testing, Static application security testing (SAST) { Manual Reviews + Code review tools y Black Box Security Testing, Dynamic application security testing (DAST) { Manual Security Testing + Automated tools
  • 19.
    White Box SecurityTesting y Graudit é um script simples e conjunto de assinaturas que permite encontrar potenciais falhas de segurança em código-fonte usando o grep. y Uso: graudit /path/to/scan y Suporta: asp, jsp, perl, php e python
  • 20.
    JSP y request.getQueryString y Runtime.exec ygetRequest y Request.GetParameter y request.getParameter y jsp:getProperty y java.security.acl.acl y response.sendRedirects*(.*(Request|request).*) y printStacktrace y out.print(ln)?.*[Rr]equest.
  • 21.
    PHP y # PHP- Database y mysql_connects*(.*$.*) y mysql_pconnects*(.*$.*) y mysql_change_users*(.*$.*) y mysql_querys*(.*$.*) y mysql_errors*(.*$.*) y mysql_set_charsets*(.*$.*) y mysql_unbuffered_querys*(.*$.*) y pg_connects*(.*$.*) y pg_pconnects*(.*$.*) y pg_executes*(.*$.*) y pg_inserts*(.*$.*) y pg_put_lines*(.*$.*)
  • 22.
    Perl y # Perlxss signatures y prints*.*$.*->param(?.*)?
  • 23.
    Black Box SecurityTesting y w3af – Andrés Riancho, em Python, boa extensibilidade y websecurify – GNUCITIZEN, fácil de rodar y skipfish – Google, detecta vulnerabilidades menos comuns e é rápido y nikto – grande base de assinaturas y SqlMap – ataques de injeção SQL, várias funcionalidades
  • 24.
    w3af y Com nmapconfigura target no arquivo y ./w3af_console -s scripts/scriptosCommanding.w3af y set targetFramework jsp y set targetOS unix
  • 25.
    Comparação Vulnerabilidades encontradas porRisco Ferramenta Alto Médio Baixo Informativas Tempo de execução total w3af 4 1 81 18 minutos Websecurify 4 30 segundos Skipfish 8 2 20 2 horas e 26 minutos
  • 26.
    Onde Treinar S.N o. Vulnerable ApplicationPlatform 1 SPI Dynamics (live) ASP 2 Cenzic (live) PHP 3 Watchfire (live) ASPX 4 Acunetix 1 (live) PHP 5 Acunetix 2 (live) ASP 6 Acunetix 3 (live) ASP.Net 7 PCTechtips Challenge (live) 8 Damn Vulnerable Web Application PHP/MySQL 9 Mutillidae PHP 10 The Butterfly Security Project PHP 11 Hacme Casino Ruby on Rails 12 Hacme Bank 2.0 ASP.NET (2.0) 13 Updated HackmeBank ASP.NET (2.0) 14 Hacme Books J2EE 15 Hacme Travel C++ (application client-server) 16 Hacme Shipping ColdFusion MX 7, MySQL 17 OWASP WebGoat JAVA 18 OWASP Vicnum PHP, Perl 19 OWASP InsecureWebApp JAVA 20 OWASP SiteGenerator ASP.NET 21 Moth 22 Stanford SecuriBench JAVA 23 SecuriBench Micro JAVA 24 BadStore Perl(CGI) 25 WebMaven/Buggy Bank (very old) 26 EnigmaGroup (live) 27 XSS Encoding Skills – x5s (Casaba Watcher) 28 Google – Gruyere (live) (previously Jarlsberg) 29 Exploit- DB Multi-platform Fonte: http://securitythoughts.wordpress.com/2010/03/22/vulnerable-web-applications-for-learning/
  • 27.
    Relatórios y Dashboard deSegurança y Métricas y Lista de Vulnerabilidades y Consolidar usando todos os resultados em XML y CVSS
  • 28.
    Security Dashboard y VisilibilidadeGlobal dos Riscos de Segurança de Aplicações através de Métricas específicas
  • 29.
    Security Dashboard “You Can’tManage What You Can’t Measure”
  • 30.
    Security Dashboard 0% 7% 21% 3% 0% 42% 16% 0% 11% 0% Vulnerabilitiesby OWASP TOP 10 2010 Classification A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection
  • 31.
  • 32.
    Conclusão y Se nãotiver tempo e for rodar apenas uma – w3af! y Scan portfólio y Integração contínua y Garanta as correções y Integração de Resultados y Gerenciamento
  • 33.
  • 34.
    Referências y OWASP: http://www.owasp.org/index.php/Category:OWASP _Project y NIST: http://csrc.nist.gov/publications/PubsSPs.html yWeb Application Security Consortium: http://www.webappsec.org y Security Distros: http://securitydistro.com/security- distros/ y CVSS - Common Vulnerability Scoring System: http://www.first.org/cvss/
  • 35.