SEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA

Transcrição

1 SEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA

2 APLICAÇÕES DESKTOP VERSUS WEB Quais são as diferenças do ponto de vista da segurança

3 APLICAÇÕES DESKTOP VERSUS WEB Em uma aplicação desktop, na pior das hipóteses sempre podemos desmontá-la e ver/modificar seu conjunto de instruções Diassembler Linguagem de baixo nível Criação de cracks Uma aplicação Web exibe somente uma interface (fachada) para suas funcionalidades Não temos real acesso a aplicação, pois ela é executada em um servidor... push dword -11 call _GetStdHandle@4 mov [handle], eax ; WriteConsole(handle, &msg[0], 13, &written, 0) push dword 0 push written push dword 13 push msg push dword [handle]...

4 COMO ESTÃO OS ATAQUES PELO MUNDO (ataques DDOs)

5 COMO PODEMOS ATACAR UM SISTEMA?

6 COMO PODEMOS ATACAR UM SISTEMA Os ataques podem utilizar abordagens extremamente simples Falhas grosseiras de software podem ser exploradas Engenharia social Vazamento de informações

7 O SISTEMA É SEGURO Muitos sistemas hoje utilizam um método de criptografia como SSL(TLS) para evitar interceptação dos dados. SSL Secure Socket Layer TLS Transport Layer Security

8 O SISTEMA É SEGURO Aplicar SSL corretamente pode ser considerada uma medida suficiente?

9 FALHAS DE SEGURANÇA COMUNS SEGUNDO S. DAFYDD E PINTO M. Broken authentication (62%): fazer o bypass de sistemas de login, ataques de força bruta, ataques de dicionário, Broken access controls (71%): a aplicação não consegue proteger suas funcionalidades ou seus dados de acesso indevido. SQL injection (32%): injeção de comandos arbitrários no banco de dados Cross-site scripting (94%): atacar os usuários da aplicação ao invés da aplicação em si. Obs.: Os valores se referem ao tipo de problemas encontrados em uma amostragem contendo mais de 100 aplicações

10 FALHAS DE SEGURANÇA COMUNS SEGUNDO S. DAFYDD E PINTO M. Information leakage (78%): a aplicação vaza dados sensíveis de alguma forma. Ex.: através de uma exceção não devidamente tratada Cross-site request forgery (92%): Uma aplicação pode induzir o usuário a realizar ações que ele não queria/deveria. Ex.: Um site malicioso visitado pelo usuário pode tomar controle da aplicação

11

12 O SISTEMA É SEGURO Quais dos cenários comuns de ataque listados poderia ser evitado utilizando-se um sistema de criptografia SSL?

13 O SISTEMA É SEGURO Quais dos cenários comuns de ataque listados poderia ser evitado utilizando-se um sistema de criptografia SSL? Apesar de aumentar a segurança da transmissão de dados, o SSL não garante qualquer dos ataques listados sejam realizados

14 O SISTEMA É SEGURO SSL protege a transmissão dos dados, evitando interceptação. SSL não protegerá contra ataques diretos ao servidor ou aos componentes da aplicação, como são a maioria dos ataques.

15 O USUÁRIO PODE SUBMETER ENTRADAS ARBITRÁRIAS Entradas de usuário são uma das grandes causadoras de falhas de segurança O usuário está fora do escopo da aplicação A aplicação deve partir do princípio que qualquer entrada pode conter conteúdo malicioso Devem ser tomadas medidas para garantir que a entrada não comprometa a aplicação

16 O USUÁRIO PODE SUBMETER ENTRADAS ARBITRÁRIAS ALGUMAS PROBLEMÁTICAS O usuário pode interferir com qualquer dado transmitido entre ele e o servidor Request Parameters, cookies, headers http, Qualquer método de validação implementado do lado do cliente pode facilmente ser contornado Usuários podem enviar requests em qualquer ordem e enviar parâmetros a qualquer momento O usuário pode enviar um parâmetro em um momento diferente do esperado pela aplicação, ou mais de uma vez, ou não enviar um parâmetro esperado Os usuários não estão restritos ao uso de um Navegador Web Pode-se utilizar qualquer tipo de aplicativo para enviar requests maliciosas que não seriam esperadas de um navegador

17 ALGUNS ATAQUES CLÁSSICOS BASEADOS A ENTRADA DE DADOS Mudar o preço de um produto transmitido em um campo do tipo hidden para fazer uma compra por um preço menor. Modificar um cookie para obter acesso a sessão de outro usuário Deixar de submeter um parâmetro esperado pela aplicação para gerar uma falha de lógica Alterar entradas que serão processadas pelo backend para injetar uma SQL maliciosa SQL Injection

18 VAMOS À DIVERSÃO Encontre quantas falhas de segurança puder no Google-Gruyere Aplicação do tipo Sandbox Tente não utilizar ajuda da internet Dica: instale ferramentas para lhe auxiliar na busca pelas vulnerabilidades Firebug para Firefox Wireshark