Cabeçalhos de Segurança HTTP. Ismael Gonçalves Mar/2017

Tamanho: px

Começar a partir da página:

Download "Cabeçalhos de Segurança HTTP. Ismael Gonçalves Mar/2017 https://sharingsec.blogspot.com"

Natália Farinha Batista
6 Há anos
Visualizações:

1 Cabeçalhos de Segurança HTTP Ismael Gonçalves Mar/2017

2 Agenda Quem sou eu Cabeçalhos de Segurança HTTP HTTP Strict Transport Security (HSTS) HTTP Public Key Pins (HPKP) X-Frame-Options X-XSS-Protection Content Security Policy (CSP) Set-Cookie Options X-Content-Type-Options Referrer-Policy Conclusão Referências

3 Quem sou eu Consultor Sênior de Segurança 10 anos de trabalhos voltados à segurança de aplicações Contribuidor OWASP (Capítulo Brasília, Top Ten Cheatsheet, OWASP Testing Guide) Praticante da revelação de vulnerabilidades de forma responsável (!) Voluntário ISC2 para questões do CISSP Pesquisador independente

4 Cabeçalhos de Segurança HTTP Evolução modelo de segurança Proteção do canal de comunicação Segurança do lado do cliente Aplicação de políticas de segurança no navegador

5 Requisição típica HTTP GET / HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/ (KHTML, like Gecko) Chrome/ Mobile Safari/ Host: Accept: */* HTTP/ OK Date: Fri, 17 Mar :45:30 GMT Server: Apache/2.2.8 (Ubuntu) DAV/2 X-Powered-By: PHP/ ubuntu5.10 Content-Length: 891 Content-Type: text/html

6 Requisição típica HTTP GET / HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/ (KHTML, like Gecko) Chrome/ Mobile Safari/ Host: Accept: */* HTTP/ OK Date: Fri, 17 Mar :45:30 GMT Server: Apache/2.2.8 (Ubuntu) DAV/2 X-Powered-By: PHP/ ubuntu5.10 Content-Length: 891 Content-Type: text/html X-Frame-Options: DENY Strict-Transport-Security: max-age= ; includesubdomains; preload

7 HTTP Strict Transport Security (HSTS) Strict-Transport-Security: max-age=<expire-time> Strict-Transport-Security: max-age=<expire-time>; includesubdomains Strict-Transport-Security: max-age=<expire-time>; preload

8 Tráfego típico sítio com HTTP/HTTPS GET / HTTP/1.0 Host: Moved Permantenly Content-Length: 0 Location: GET / HTTP/1.0 Host:

9 SSLStrip GET Resposta HTML modificada e em texto claro GET Resposta HTML

10 Suporte HSTS

11 HSTS debaixo dos panos

12 HSTS - Considerações - Aplicável para sites que suportam todo seu conteúdo via HTTPS - Dificuldade de implantação L7 routing - Lista preload SEMPRE inclui subdomínios - Remoção pode demorar meses, via atualização do browser - Mitiga ataques SSLStrip e potencialmente, SSLStrip2 com preload + subdomains - Proteção contra ataques MITM com Certificados inválidos

13 HTTP Public Key Pins (HPKP) Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; includesubdomains Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; report-uri=<reporturi>

14 Resposta válida cabeçalhos HPKP HTTP/ OK Server: GitHub.com Status: 200 OK Strict-Transport-Security: max-age= ; includesubdomains; preload Public-Key-Pins: max-age= ; pinsha256="woiwryiovna9ihabcirsc7xhjliys9vwugoiud4pb18="; pinsha256="rrm1dgqndfscjxbthky16vi1obolcgffn/yohi/y+ho="; pinsha256="k2v657xbsove1pqrwoshsw3bsgt2vziqz5k+59snqws="; pinsha256="k87owbwm9uzfyddvdfoxl+8lpnyoub2ptgtn0fv6g2q="; pinsha256="iqbnnbeifuhj+8x6x8xlgh01v9ic5/v3irqlnffc7v4="; pinsha256="iie1vxtl7hzamf+/pvpr9xzt80kqxdzej+zducb3uj0="; pinsha256="lvrigejrqfzurezawuj8wie2gyhmrw5q06lspmnox7a="; includesubdomains Vary: Accept-Encoding X-Served-By: d d8c44f09604b862e979767a X-GitHub-Request-Id: B36F2320:987D:E88A2AC:5741D913

15 Suporte Public Key Pins

16 HTTP Public Key Pins - Considerações - Requer maturidade - Modo report-only (Public-Key-Pins-Report-Only)? - Mitiga MITM? - CA interna? - Suporte Chrome/Firefox (até o momento)

17 Curiosidades (HSTS, HPKP, Pinning estático) - Pinning estatícos (Chromium.org) - atic.json - Google, Facebook, Twitter, Dropbox, Yahoo, Tor - +23k domínios utilizando HSTS pre-load domínios.br

18 X-Frame-Options X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM

19 Clickjacking Attack

20 Suporte X-Frame-Options

21 X-Frame-Options - Considerações - Seu site necessita ser aberto por outro em um frame? - Não suporta mais de um domínio em allow-from - CSP 2 frame-ancestor - Mitiga clickjacking

22 X-XSS-Protection X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block

23 Cross-Site-Scritping (XSS) Attack

24 Suporte X-XSS-Protection

25 X-XSS-Protection - Considerações - Proteção apenas contra XSS Refletido - Não suportado pelo Firefox - Problemas com o filtro XSS

26 Content Security Policy (CSP) Content-Security-Policy: <policy>; <policy>

27 Content Security Policy (CSP)

28 Exemplo CSP Resposta Content-Security-Policy: script-src 'nonce-7ts2mkrwrgdmy1/r72jidq==' 'unsafe-eval' 'self'; frame-ancestors 'self'; font-src data: 'self'; media-src blob: 'self'; connect-src 'self'; style-src 'unsafe-inline' 'self'; object-src default-src 'self'; frame-src twitter: 'self' img-src data: blob: 'self'; report-uri Set-Cookie: fm=0; Expires=Tue, 28 Mar :35:01 UTC; Path=/; Domain=.twitter.com; Secure; HTTPOnly Strict-Transport-Security: max-age= X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block

29 Suporte Content Security Policy (CSP)

30 Content Security Policy (CSP) - considerações - Dificuldade de implementação, remoção de scripts in line <html> <head> <script>var msg = javascript inline ; alert(msg);</script> </head> <body>ola!</body></html> - Unsafe-inline, Unsafe-eval pode minar o esforço - Proteção contra XSS (Reflected/Stored), mas definitiva? - Proteção contra clickjacking - Não suportado por todos os browsers

31 Set-Cookie (cookie options) Set-Cookie: <key>=<value>; Expires=<expiryDate>; Secure; HttpOnly; SameSite=<strict/lax>

32 Set-Cookie (cookie options) HttpOnly Cookie não acessível via Javascript Secure Evita envio de cookie em canal não criptografado SameSite Previne envio do cookie em requisições cross-site

33 CSRF

34 Set-Cookie (cookie options) - considerações - Secure and HttpOnly - Proteção contra captura de cookies em texto claro - Possível redução de impacto XSS roubo de sessão - SameSite Suportado apenas pelo Chrome - Ainda em draft - Fornece uma boa proteção contra CSRF/XSSI - Lax utilizado com métodos HTTP seguros - Pode prejudicar navegação?

35 X-Content-Type-Options X-Content-Type-Options: nosniff;

36 X-Content-Type-Options - considerações - Suportado por todos os browsers populares, exceto Safari - Mitiga ataques de MIME confusion - Servidor web deve retornar MIME corretos para uso do cabeçalho

37 Referrer-Policy Referrer-Policy: <diretiva> Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Referrer-Policy: strict-origin Referrer-Policy: strict-origin-when-cross-origin Referrer-Policy: unsafe-url

38 Referrer-Policy Policy Document Navigation to Referrer no-referrer any domain or path no referrer no-referrer-when-downgrade no-referrer-when-downgrade no-referrer-when-downgrade no referrer origin any domain or path origin-when-cross-origin origin-when-cross-origin origin-when-cross-origin same-origin same-origin no referrer strict-origin strict-origin no referrer strict-origin any domain or path strict-origin-when-cross-origin strict-origin-when-cross-origin strict-origin-when-cross-origin no referrer unsafe-url any domain or path

39 Suporte Referrer-Policy

40 Referrer-Policy - considerações - Ainda em desenvolvimento - Suporte ainda limitado (Firefox e algumas funcionalidades Chrome) - Lida com questões de privacidade Referer:

41 Ferramenta para testes dos cabeçalhos ab=technical_resources

42 Conclusões - Cabeçalhos de segurança podem melhorar a segurança e privacidade de seus usuários - Fazem parte de estratégia de defesa em camadas - Alguns apresentam armadilhas e requerem maturidade - Requerem controles adicionais - Níveis de suporte diferente entre navegadores

43 Referências The Tagled Web - A Guide to Security Modern Web Applications, Michael Zalewski

Documentos relacionados

Camada de Aplicação. Redes Industriais Prof. Rone Ilídio

Camada de Aplicação. Redes Industriais Prof. Rone Ilídio Camada de Aplicação Redes Industriais Prof. Rone Ilídio Itens do Livro Redes de Computadores e a Internet, Kurose 5ª edição 2 Camada de Aplicação 2.1 Princípios de aplicações de rede 2.1.1 Arquiteturas