V SEGINFO - “Auditoria de Aplicações Web”

Click here to load reader

  • date post

    09-Jun-2015
  • Category

    Documents

  • view

    1.434
  • download

    0

Embed Size (px)

description

Rafael Soares Ferreira (Clavis Segurança da Informação)

Transcript of V SEGINFO - “Auditoria de Aplicações Web”

  • 1. Auditoria de Seguranaem Aplicaes WebRafael Soares FerreiraDiretor de Resposta a Incidentes e Auditorias Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados.

2. IntroduoCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 3. Utilizao Comrcio Eletrnico Mdias Sociais Internet Banking Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 4. Benefcios Sempre disponvel Necessita apenas do uso de um browser Independe de plataformaCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 5. Aspectos Bsicos de Segurana No confiar em cdigo/dados/entradas externos; Validar todos os dados (inclusive internos); No existe segurana Client-Side Prever e tratar os erros;Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 6. Testes de SeguranaCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 7. Exposio de Informao Spiders, Crawlers e Robots Sites de Busca Fingerprinting Mensagens de erro Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 8. Configuraes e Manuteno SSL / TLS Infra estrutura Extenso de Arquivos Arquivos no referenciados Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 9. Autenticao Transporte de Credenciais Fora Bruta Bypass Lembrete e Recuperao de Senha CAPTCHA Encerramento de Sesso Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 10. Gerenciamento de Sesses Cookies Exposio de Variveis Roubo/Sequestro de SessoCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 11. Autorizao Path Traversal Escalada de Privilgio Lgica de Validao Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 12. Validao de Dados Criptografia e Codificao Cross-site scripting (XSS) Injeo de Cdigo Buffer OverflowCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 13. Negao de Servio SQL Wildcards Contador fornecido por usurio Escrita em disco sem tratamentoCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 14. FerramentasCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 15. Scanners Nessus Nikto W3AF Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 16. Proxies WebScarab RatProxy Burpsuite Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 17. Principais Ameaas Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 18. Cross Site Scripting (XSS)A aplicao envia ao browser dados fornecidos pelousurio sem o devido tratamento.Pode ocasionar execuo de cdigo arbitrrio nobrowser da vtima, roubo de sesso, alterao desites e at downloads de artefatos maliciosos.Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 19. Injeo de CdigoDados enviados pelos usurios so tratados pelaaplicao sem nenhum tipo de validao.Possibilita a execuo de instrues diferentes dasesperadas pela aplicao. Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 20. Incluso Remota de Arquivos (RFI)O usurio pode passar parmetros para aplicaoque consistem em nome de arquivos parareferncia ou upload.Possibilita a insero de arquivos maliciosos nocontexto da aplicao. Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 21. Referncia direta a objetosExposio de referncias a objetos eimplementaes internas da aplicao.Possibilita a referncia direta a tais objetos epossvel bypass do controle de autenticao. Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 22. Vazamento de InformaoExposio inadvertida de informaes sobre aaplicao e o servidor que a hospeda.Possibilita a obteno de informaes sensveispara elaborao de ataques contra a aplicao.Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 23. Gerenciamento de SessesProteo de tokens, chaves e/ou identificadores desesso feita de maneira insuficiente.Possibilita captura de credenciais e roubo desesso.Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 24. Canais de ComunicaoExposio de dados sensveis na comunicao entreservidores e clientes.Possibilita a captura de informaes trocadas entreo cliente e a aplicao podendo culminar em roubodeinformaes sensveis e credenciais.Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 25. Estudo de CasoCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 26. Client-Side:Server-Side:SELECT id FROM usuarios WHERE nome = $nome AND senha = $senha; Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 27. Client-Side: O Exploit! OR a=aServer-Side:SELECT id FROM usuarios WHERE nome = $nome AND senha =OR a=a; Copyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 28. www.seginfo.com.brTraduzida a partir da Tirinha Exploits of a mom do xkcdCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 29. Referncias[documento] Guia para Auditorias de Aplicaes web -OWASP Testing Guidehttp://www.owasp.org/index.php/OWASP_Testing_Project[ferramenta] Aplicao para aprendizado - WebGoathttp://www.owasp.org/index.php/Category:OWASP_WebGoat_Project[vdeos] Solues do WebGoathttp://yehg.net/lab/pr0js/training/webgoat.phpCopyright 2010 Clavis Segurana da Informao. Todos os direitos reservados. 30. Fim... Muito Obrigado!Rafael Soares [email protected] 2010 Clavis Segurana da Informao. Todos os direitos reservados.