Seguridad En Programación

Seguridad en Programación vladimir dot calderon at gmail dot com (16 – mayo – 2009)

Programa ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

SQL Injection ,[object Object],[object Object],Gestor de Base de Datos Cliente/Usuario

SQL : Tipos de comandos Comandos DCL (Data Control Language Statements) Cláusulas Comandos DML (Data Manipulation Language Statements) Comandos DDL (Data Definition Language Statements) Operadores de Comparación

SQL : Comandos Básicos Comandos DDL (Data Definition Language Statements) CREATE Utilizado para crear nuevas tablas, campos e índices. DROP Empleado para eliminar tablas e índices. ALTER Utilizado para modificar las tablas agregando campos o cambiando la definición de los campos. Comandos DCL (Data Control Language Statements) GRANT Utilizado para otorgar permisos. REVOKE Utilizado para revocar permisos. DENY Utilizado para denegar acceso.

SQL : Comandos Básicos Comandos DML (Data Manipulation Language Statements) SELECT Utilizado para consultar registros de una base de datos que satisfagan un criterio determinado. INSERT Utilizado para cargar lotes de datos en la base de datos en una única posición. UPDATE Utilizado para modificar los valores de los campos y registros específicos. DELETE Utilizado para eliminar registros de una tabla de base de datos.

SQL Injection ,[object Object],[object Object]

Por qué hablar de SQL Injection? ,[object Object],[object Object],[object Object]

Esquema simplificado Web Server Firewall Database Server Usuario/Intruso Usuario/Intruso Internet App.Web App.Web App.Web App.Web

Típica página web sql = “SELECT * FROM users WHERE username = '" + usuario + "' AND userpass = '" + clave + "' "

Comilla Simple : Single Quote ,[object Object],[object Object],SELECT * FROM users WHERE username = ‘ ‘ ' AND userpass = ‘xx123'

Objetivos SQL Injection ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Pasando la autenticación ,[object Object],[object Object],[object Object],[object Object],[object Object],' or 1=1-- admin ' -- ' OR '' = '' --

Evadiendo la autenticación ,[object Object],SELECT * FROM users WHERE username = '' OR '' = ''-- AND userpass = '' SELECT * FROM users WHERE username = ' admin ' -- AND userpass = '' ,[object Object],[object Object],SELECT * FROM users WHERE username = '' or 1=1-- ' AND userpass = '' ,[object Object]

Evitando SQL Injection ,[object Object],[object Object],[object Object],[object Object],[object Object]

SQL Injection .vs. PHP ,[object Object],<?php settype($offset, 'integer'); $consulta = "SELECT id, nombre FROM productos " ; $consulta .= "LIMIT 20 OFFSET %d;"; // note el simbolo %d en la cadena de formato // usar %s no tendría sentido $consulta = sprintf($consulta, $offset); ?>

SQL Injection .vs. PHP ,[object Object],<?php $query = "INSERT INTO usuarios(nombre,contr) VALUES('%s','%s');“; $consulta = sprintf($query, pg _escape_string($nombre_usuario), md5($contrasenya)); $resultado = pg _query($conexion, $consulta); $query = "SELECT 1 FROM usuarios WHERE nombre='%s' AND contr='%s';“; $consulta = sprintf($query, pg _escape_string($nombre_usuario), md5($contrasenya)); $resultado = pg _query($conexion, $consulta); ?>

SQL Injection .vs. ASP.NET ,[object Object],string query= "select * from Customers where city = @City“; SqlCommand cmd = new SqlCommand(query, conn); SqlParameter param = new SqlParameter(); param.ParameterName = "@City"; param.Value = inputCity; cmd.Parameters.Add(param); SqlDataReader reader = cmd.ExecuteReader();

SQL Injection .vs. JAVA ,[object Object],String query = "Select favorita from comida where gato = ?“; PreparedStatement preparedStatement = connection.prepareStatement(query); preparedStatement.setString(1, “mufasa"); ResultSet resultSet = preparedStatement.executeQuery(); while (resultSet.next()) { System.out.println(“La comida favorita de mufasa " + resultSet.getString(1)); }

Qué es un exploit? ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Tipos de vulnerabilidades ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Algo de terminología ,[object Object],[object Object],[object Object],[object Object]

Un poco más de terminología ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Llamado a una función en C ,[object Object],Int main(int argc, char* argv[]) { char buffer[256]; if (argc != 2) exit(1);

Llamado a una función en C ,[object Object],strcpy(buffer, argv[1]); return 0; }

Overflow y Memoria ,[object Object],[object Object],[object Object],[object Object],[object Object]

Qué puede ocurrir? ,[object Object],[object Object],[object Object]

En la práctica ,[object Object],void trucho (void) { char small[30]; gets (small); printf("%s", small); } int main() { trucho (); return 0; }

Mostrando la vulnerabilidad ,[object Object],[object Object]

Busquemos las direcciones (GDB) ,[object Object]

La función trucho() ,[object Object]

Cómo vemos el overflow? ,[object Object]

Modificando la dirección ,[object Object],main() { int i=0; char buf[44]; for (i=0;i<=40;i+=4) *(long *) &buf[i] = 0x84130804 ; puts(buf); }

Viendo el resultado ,[object Object],[object Object]

Shellcode ,[object Object],[object Object],[object Object],static char shellcode[]= "eb175e89760831c088460789460cb00b89f38d" "4e0831d2cd80e8e4ffffff2f62696e2f736858";

Finalmente ,[object Object],[object Object],[object Object],[object Object],[object Object]

Por qué? ,[object Object],[object Object],NO VERIFICACION de los parámetros de ENTRADA y SALIDA de las funciones de nuestros programas 12.2.1: El insumo de data en las aplicaciones debe ser validado para asegurar que esta data sea correcta y apropiada. 12.2.2, 12.2.3 y 12.2.4: Que no hayan errores, integridad y validar output.

Políticas de programación ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Logging ,[object Object],[object Object],[object Object],[object Object]

Ejemplo Logging (log4net) protected void Logon_Click(object sender, EventArgs e) { log.Info ("Trata de autenticarse: " + UserEmail.Text + "/********"); if (verificar(UserEmail.Text, UserPass.Text)) { log.Info ("Usuario autenticado"); … // redirección o a Inicio } else { log.Error ("Usuario " + UserEmail.Text + "/" + UserPass.Text + " incorrectos"); Msg.Text = "Nombre o Clave de Usuario son inválidos, o el usuario ha sido dado de baja"; } }

Revisión de Pares ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Try / catch ,[object Object],try { File f = new File(“algo.txt”); FileReader fr = new FileReader(f); } catch { log.error(“Algo pasó”); } File f = null; FileReader fr = null; try { f = new File(“algo.txt”); } catch(Exception e) { log.error(“error”, e); } try { fr = new FileReader(f); } catch(Exception e) { log.error(“error”, e); }

Beneficios en producción ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object]

Generadores de código Una pequeña aplicación con una DAO

Objetivo ,[object Object],[object Object],[object Object],[object Object],[object Object]

Modelo base ,[object Object],[object Object]

Modelo base – Abstract Factory

Resultado esperado ,[object Object],[object Object],[object Object],Factory factory = Factory.getOrCreate(); PersonaDAO dao = factory.nuevoPersonaDAO(); Persona dto = dao.seleccionar(4); dto.Nombre = “pedro”; dao.actualizar();

Et voilà!! FactoryDAO factory = FactoryDAO.Instancia; PersonaDAO dao = factory.newPersonaDAO(); Persona dto = dao.nuevo(); dto.Nombre = txtNombre.Text; dto.Numero = Convert.ToInt32(txtNumero.Text); dto.Salario = Convert.ToDouble(txtSalario.Text); dao.actualizar();

Seguridad En Programación

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (20)

Semelhante a Seguridad En Programación

Semelhante a Seguridad En Programación (20)

Último

Último (18)

Seguridad En Programación