Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web

Post on 08-Jun-2015

6.820 views 4 download

Preview:

Click to see full reader
Report this document
SHARE

description

Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.

Transcript of Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web

Impacto sobre o Negócio da Exploração Impacto sobre o Negócio da Exploração de Vulnerabilidades de injeção em de Vulnerabilidades de injeção em

Aplicações WebAplicações Web

Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança

$ whoami

• Analista do Grupo Clavis

• Mestre em Informática pela UFRJ

• Detecção e resposta a incidentes de segurança

• Testes de invasão em redes, sistemas e aplicações.

Agenda

Injeções

•Descrição

•Impactos

• Como se Prevenir

Injeções

Descrição

Descrição

• Ocorre quando a aplicação envia dados não tratados para algum serviço interno.

• Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.

• O que “vai ser injetado” depende da tecnologia adotada no back end.

Descrição

•Descoberta através de varreduras identificando e manipulando vetores de entrada

•Tais vetores podem ser implícitos ou explícitos

Descrição

•Representa falta de aderência com boas práticas de programação.

•Ou seja, também pode ser detectado em processos de revisão/auditoria de código.

Injeções

Impactos

Impactos

• Dependendo do tipo de injeção os danos causados podem ser de vários tipos.

• A injeção serve como porta de entrada, falhas de configuração do sistema/serviço podem agravar o problema.

Impactos

Perda ou corrupção de dados

•Instruções a banco de dados para remoção ou alteração de dados.

•Remoção, alteração ou Substituição de arquivos no servidor.

Impactos

Negação de Serviço

•Remoção de Arquivos Críticos.

•Consultas altamente custosas.

•Loops infinitos arbitrários.

•Esgotamento de Recursos.

Impactos

Falhas de autenticação

•Manipulação de Campos Condicionais.

•Uso de usuários legítimos ou bypass.

Impactos

Execução arbitrária de código

•Integração do backend com o sistema operacional.

• Comprometimento Total do Sistema.

Injeções

Como se Previnir

Como se Prevenir

• Política de uso / desenvolvimento.

• Implantação de Firewall de Aplicação.

• Monitoramento de submissões do usuário.

Conclusões

• Injeções são falhas que podem impactar em muito mais do que a aplicação.

• Boas práticas em vários níveis podem conter os impactos.

• É preciso a cooperação entre desenvolvimento, processos e infraestrutura.

Siga a Clavis

Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança

Muito Obrigado!Muito Obrigado!

Top related

Atenuando as vulnerabilidades do GPS
 Documents
Vulnerabilidades Em Redes Wireless
 Documents
Slides ataques e vulnerabilidades
 Documents
Apresentação Workshop - Análise de Vulnerabilidades
 Technology
Grandes barragens: vulnerabilidades e riscos
 Documents
TESTE DE VULNERABILIDADES EM APLICAÇÕES WEB · Figura 4 – Código SQL de seleção Figura 5 – Injeção em tela de acesso ao usuário Figura 6 – Execução da injeção Figura
 Documents
SistSistem injeção eletronicaema de Injeção Eletrônica de Combustível
 Documents
Vulnerabilidades Socioambientais de Rios Urbanos
 Documents
Vulnerabilidades socioambientais diante das mudanças ...€¦ · posteriormente, foi elaborado um índice de vulnerabilidade socioambiental para avaliação das vulnerabilidades
 Documents
PENTEST, ANÁLISE E MITIGAÇÃO DE VULNERABILIDADES
 Documents
Cap2 Vulnerabilidades Ameacas Riscos
 Documents
Vulnerabilidades da Linguagem PHP
 Documents
Métodos de Testar Vulnerabilidades. Identificando métodos para coleta de “inteligência” Prova de Conceito Código de Exploração Ferramentas Automatizadas.
 Documents
Elétrica Automotiva e Injeção Eletrônica · Elétrica Automotiva e Injeção Eletrônica Injeção eletrônica A injeção eletrônica é um sistema de alimentação de combustível
 Documents
Análise e Exploração de Vulnerabilidades em Servidores ...€¦ · 4 ABSTRACT This work purpose is to identify previously defined vulnerabilities, present in services available
 Documents
Vulnerabilidades em Redes Wifi
 Technology
Ataques y Vulnerabilidades en Linux
 Documents
Riscos e Vulnerabilidades
 Documents
Vulnerabilidades de Windows
 Documents
Ataques e Vulnerabilidades Em Redes
 Documents

Copyright © 2022 FDOCUMENTOS