O documento apresenta uma introdução ao Projeto OWASP (Open Web Application Security Project), descrevendo sua metodologia para segurança da informação aplicada a ambientes web. É feita uma explicação dos 10 principais riscos de segurança (OWASP TOP 10), com exemplos de cada um, e seus possíveis impactos. Referências em português e inglês são fornecidas no final para mais informações.
1. Treinamento - Módulo: OWASP
Open Web Application Security
Project
Março 19, 2017
Julio Cesar Stefanutto
2. Quem sou eu?
- Julio Cesar Stefanutto
- Consultor em Segurança da Informação:
Pentester / Arquiteto de Solucoes SIEM / Threat Intelligence;
- Pesquisador em Segurança da Informação:
Pentester / Arquiteto de Ambiente com foco em SI / Hardening de Ambientes.
Contato:
https://linkedin.com/in/jcesarstef
@jcesarstef - Twitter
jcesarstef@gmail.com - E-mail
3. Objetivo
Overview da metodologia OWASP
para Segurança da Informação
aplicada a Ambientes Web:
● Projeto OWASP TOP 10;
● Tipos de ataques mais comuns;
● Inteligência em Seguranca Web.
4. OWASP !?!?
- Open Web Application Security Project;
- Projeto aberto de Segurança em Aplicações Web;
- Comunidade;
- Diversos Papers, Artigos, Metodologias, Ferramentas e muito mais;
- Boas Práticas;
- Defensivo;
- Ofensivo;
- Top 10 OWASP;
- Outros projetos interessantes:
- Osstmm - Open Source Security Testing Methodology Manual;
- Sans - Information Security Training.
5. Top 10 OWASP
A1 - Injeção de código
A2 - Quebra de Autenticação e gerenciamento de sessão
A3 - Cross-Site Scripting (XSS)
A4 - Referência Insegura e Direta a Objeto
A5 - Configuração Incorreta de Seguranca
A6 - Exposição de Dados Sensíveis
A7 - Falta de Função para Controle de Nível de Acesso
A8 - Cross-Site Request Forgery (CSRF)
A9 - Utilizacao de Componentes Vulneráveis Conhecidos
A10 - Redirecionamentos e Encaminhamentos Inválidos
6. Exemplo:
Injeção de códigos, seja de Sistema Operacional,
SQL, LDAP ou PHP/ASP.
Impacto:
● Executar códigos diretamente no Servidor;
● Acesso e modificacao de Informações Internas;
● Comprometimento completo do Sistema.
A1 - Injeção de Codigo
15
SELECT * FROM USUARIOS
WHERE USERNAME = 'administrator' AND
PASSWORD = 'senha123' OR '1'='1;
7. Exemplo:
Sessões de usuarios que não expiram, tokens
transmitidos na url, credenciais armazenadas
de modo inseguro.
Impacto:
● Acesso a informacoes de outros usuarios;
● Escalonamento de Privilegios.
A2 - Quebra de Autenticação e gerenciamento de sessão
15http://minhaloja.com.br/meucarrinho?sessionid=A
2017031223110001
8. Exemplo:
Execucao de ataques diretamente no usuario final.
Impacto:
● Phishing;
● Redirecionamento para páginas maliciosas;
● Roubo de credenciais e sessao;
● Print-Screen da tela;
● Pastejacking.
A3 - Cross-Site Scripting (XSS)
15
http://minhaloja.com.br/busca?=<script>prompt("
Digite sua senha abaixo para continuar
navegando")</script>
9. Exemplo:
Arquivos utilizando numerações sequenciais, id de
usuarios sequenciais, “ocultacao” incorreta de dados.
Impacto:
● Acesso a dados confidenciais;
● Escalonamento de privilégios.
A4 - Referencia Insegura e Direta a Objeto
15
http://minhaloja.com.br/boletos/boleto386.pdf
10. Exemplo:
Configurações incorretas que expõem informações
da aplicacao, como versão do Servidor ou Sistema
Operacional, “Index of” aberto, SSL utilizando cifras
consideradas fracas.
Impacto:
● Conhecimento das aplicações;
● Possibilidade de efetuar ataques direcionados;
● Exposição de Informacoes Sensíveis.
A5 - Configuração Incorreta de Seguranca
15
$ curl -IsL sitevulneravel.com.br
11. Exemplo:
Exposição de dados e informações da aplicação,
como arquivos de backup, de configuração e senhas
de rotinas.
Impacto:
● Acesso a informações e arquivos internos;
● Listagem de informações.
A6 - Exposição de Dados Sensíveis
15
inurl:sitevulneravel.com intext:”index of”
12. Exemplo:
A aplicação não valida se o usuário esta logado para
enviar as informações para ele.
Impacto:
● Exposição de dados para usuários sem
permissoes;
● Quebra da Confidencialidade da Informação.
A7 - Falta de Função para Controle de Nível de Acesso
15http://sitevulneravel.com/intranet/tmp/procedi
mento_interno.jpg
13. Exemplo:
O usuário clica em um link malicioso, enquanto
estava logado na aplicação. O link malicioso efetua
uma ação na aplicação sem o concentimento do
usuario
Impacto:
● Requisições sem o conhecimento do usuario
● Modificação de informações da aplicação
através de Phishing
A8 - Cross-Site Request Forgery (CSRF)
15
http://sitevulneravel.com/intranet/new_user.php
14. A9 - Utilização de Componentes Vulneráveis Conhecidos
15
https://wpvulndb.com/
Exemplo:
Utilização de aplicações, bibliotecas e ferramentas
desatualizadas.
Impacto:
● Possibilidade de existir uma vulnerabilidade
conhecida publicamente e explorável.
15. A10 - Redirecionamentos e Encaminhamentos Inválidos
15
http://aplicacaovulneravel.com/redirect.php?url=http://atacante.com
Exemplo:
Redirecionamento para páginas maliciosas sem o
consentimento do usuário
Impacto:
● Ataques ao usuários utilizando tecnicas de
Phishing