Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Principais ameças à Aplicações Web Como explorá-las e como se proteger

Rafael Soares FerreiraClavis Segurança da Informaçã[email protected]



Principais Ameaças

Principais Ameaças

• Injeções

• Cross-Site Scripting (XSS)

• Quebra de Autenticação / Sessão

• Referência direta à objetos

• Cross-Site Request Forgery (CSRF)



Principais Ameaças

Principais Ameaças (cont.)

• Falhas de Configuração

• Armazenamento Inseguro

• Falha na Restrição de Acesso à URLs

• Canal Inseguro

• Redirecionamentos Não-Validados



• Dados não esperados

• Strings interpretadas como comandos

• SQL, Shell, LDAP, etc...

• SQL é o caso mais comum

Injeções

Principais Ameaças



SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha';

<form method="post" action="http://SITE/login.php"><input name="nome" type="text" id="nome"><input name="senha" type="password" id="senha"></form>

Client-Side:

Server-Side:

Principais Ameaças

Injeções - Exemplos



' OR 'a'='a

SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a';

Client-Side: O Exploit!

Server-Side:

Principais Ameaças




Principais Ameaças


Código PHP:

$query = "SELECT * FROM usuarios WHERE username ='" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”;

Exploração:

login.php?usr=’+OR+‘1’=‘1’--&pwd=a

query <- SELECT * FROM usuarios WHERE username =‘’+OR+‘1’=‘1’--’ AND passwd=‘a’



Principais Ameaças


Código Java:

String query = "SELECT * FROM usuarios WHEREusername = '" + req.getParameter("usr") + "' andpasswd = '" + req.getParameter("pwd") +"'";

Exploração:

login.jsp?usr=admin’--&pwd=a

query <- SELECT * FROM usuarios WHERE username =‘admin’--’ AND passwd=‘a’



www.seginfo.com.br

Tradução da Tirinha “Exploits of a mom” do xkcd

Principais Ameaças




• Injeção de Comandos

• Exemplo:DNS lookup em domínios passados pelo usuário

Principais Ameaças




Código:$dominio = param(‘dominio');$nslookup = "/usr/bin/nslookup";

Exploit:clavis.com.br%20%3B%20/bin/ls%20-l

Principais Ameaças




Resultado:/usr/bin/nslookup clavis.com.br ; /bin/ls -l

Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação

Principais Ameaças




● Tratamento de entradas

● Validação por whitelist

● Minimize os privilégios

● OWASP:SQL_Injection_Prevention_Cheat_Sheet

Principais Ameaças

Injeções - Recomendações



• Enviados ao browser do usuário

• Posts, URLs, javascript, etc...

• Todo Browser é “vulnerável”: javascript:alert(document.cookie)

• Redirecionamento e/ou roubo de dados

Cross-Site Scripting (XSS)

Principais Ameaças



Principais Ameaças




• Persistente

• Não Persistente

• DOM (Document Object Model)

Tipos:

Principais Ameaças




• Persistente

Dados enviados sem tratamento para usuários

Principais Ameaças




Principais Ameaças




• Não Persistente

Dados enviados de volta sem tratamento e executado no browser da vítima.

Principais Ameaças




Principais Ameaças




• Código vulnerável<?phpecho “Hello ” . $_GET[‘name’] . ”.\n”;?>

• Requisiçãoindex.php?name=<script>alert(1)</script>

Principais Ameaças




• DOM

Código executado no browser utilizandoelementos do DOM

Não há falha no servidor

Principais Ameaças




Principais Ameaças




Principais Ameaças


● Validação de entrada

● Validação de saída

● Validação de elementos do DOM

● OWASPXSS Prevention Cheat Sheet



• Restrição de conteúdos / recursos

● Autenticação HTTP:Basic -> credenciais concatenadasseparadas por “:” e codificadas em base64

Digest -> hash MD5

Quebra de Autenticação / Sessão

Principais Ameaças



Cookie:[...]Authorization: Basic dGVzdGU6ZHVtbXlwYXNzd29yZA==[...]

Decodificando:$ echo "dGVzdGU6ZHVtbXlwYXNzd29yZA==" | base64 –dteste:dummypassword


Principais Ameaças



HTTP digest:

Força-brutaHydra (http://freeworld.thc.org/thc-hydra/)

Replay de tráfegoTCPReplay (http://tcpreplay.synfin.net/trac/)


Principais Ameaças



● Tunelameto por SSL

● Políticas de segurança

● CAPTCHA

● OWASPAuthentication_Cheat_Sheet


Principais Ameaças



• Exposição de informações internas

• Evite Controle de Acesso em camada de apresentação

● Modificações de informações para acesso a dados não autorizados

Referência Direta a Objetos

Principais Ameaças



• Evite expor referências a objetos internos

● Validação de referências

● Mapas de referênciaEx: http://www.example.com/application?file=1

Referência Direta a Objetos

Principais Ameaças



• Browsers enviam alguns tipos de credenciais automaticamente em cada requisição

CookiesCabeçalhosEndereço IPCertificados SSL

Cross Site Request Forgery (CSRF)

Principais Ameaças



• A vítima acessa um site malicioso enquanto está logada no sistema vulnerável

● O atacante força a vítima a fazer tal requisição


Principais Ameaças



Principais Ameaças




• Autenticações forçadas em requisições sensíveis

● Controle exposição de dados utilizados como credenciais

● OWASP:CSRF_Prevention_Cheat_Sheet


Principais Ameaças



• Aplicações rodam em cima de serviços que rodam em cima de SOs

• Todos podem ser vetores de ataque

• Exploits (e patchs!) se aplicam à qualquer tipo de software

Falhas de Configuração

Principais Ameaças



• “hardening” de servidores

● Patchs e atualizações

● Homologação de mudanças

● Vulnerability Management

Falhas de Configuração

Principais Ameaças



• Identificação de dados sensíveis

• Banco de dados, Arquivos, Diretórios, Arquivos de log, Backups, etc...

• Proteção insuficiente ou inexistente

• Confidencialidade e integridade

Armazenamento Inseguro

Principais Ameaças



1. Cliente faz transações com cartão de crédito

2. Log com os dados da transção apontam algum erro

3. Um insider acessa milhões de números de cartão de crédito


Principais Ameaças



● Algoritmos fortes

● Chaves diferenciadas

● Política de criação, armazenamento e troca de chaves

● OWASPCryptographic_Storage_Cheat_Sheet


Principais Ameaças



● Exposição do nível de privilégio

● Camada de apresentação e / ou tráfego legítimo

● É possível forçar outros níveis (admin, manager, etc)

Falha na Restrição de Acesso à URLs

Principais Ameaças



● Restrição de acesso em várias camadas

● Bloqueie requisições à tipos não autorizados de arquivos (configurações, logs, fontes, etc.)

Falha na Restrição de Acesso à URLs

Principais Ameaças



• A internet é pública e hostil

• Dados podem ser (e serão!) capturados

• Utilize criptografia

• Visualização / modificação informações

Canal Inseguro

Principais Ameaças



• Certificado Digital

• Confidencialidade e Auntenticidade

• Algoritmos seguros

• OWASPTransport_Layer_Protection_Cheat_Sheet

Canal Inseguro

Principais Ameaças



• Requisição forjada com instrução de redirecionamento

• Aplicação não valida o parâmetro e redireciona a vítima para site malicioso

Redirecionamentos Não-Validados

Principais Ameaças



• Se possível, evite “redirects” e “forwards”

● Caso seja necessário, não envolva parâmetros fornecidos pelo usuário

● Utilize whitelists

Redirecionamentos Não-Validados

Principais Ameaças



Dúvidas?

Perguntas?

Críticas?

Sugestões?



Fim...

Muito Obrigado!

Rafael Soares Ferreira

[email protected]

@rafaelsferreira

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Technology

Transcript of Principais ameças à Aplicações Web - Como explorá-las e como se proteger.