10 maiores riscos em aplicações Web

Transcrição

1 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert Novembro

2 Open Web Application Security Project (OWASP) Organização sem fins lucrativos. Desenvolve projetos na área de teste de segurança de aplicações e serviços Web. Site OWASP: Capítulo Brasília: 2

3 OWASP TOP 10 Documento de conscientização. Amplo consenso sobre as falhas de segurança. Link para o projeto - 3

4 OWASP TOP 10 A1 - FALHAS DE INJEÇÃO 4

5 O que é? Injetar código que modifica a semântica da consulta. Toda entrada é má até que se prove o contrário. Falta de validação na entrada. 5

6 Injeção de SQL Structured Query Language (SQL) Inserir SQL em uma entrada de dados. Insert/Update/Delete ou operações administrativas. 6

7 Firewall Firewall Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Databases Legacy Systems Web Services Directories Human Resrcs Billing Cenário Network Layer Application Layer HT TP request APPLICATION ATTACK HT TP response Custom Code App Server Web Server Hardened OS SQL query DB Table "SELECT * FROM Account Summary Account: accounts WHERE acct= SKU: OR 1=1-- " Acct: Acct: Acct: Acct: Aplicação apresenta um formulário para o usuário. 2. Usuário envia uma entrada maliciosa através do formulário. 3. Aplicação transmite a consulta SQL para o BD. 4. BD executa a consulta e retorna o resultado para a aplicação. 5. Aplicação apresenta o resultado para o usuário. 7

8 Injeção de SQL às cegas Mensagens genéricas. Consultas SQL retornam verdadeiro ou falso. 101 AND (SELECT ASCII(SUBSTR(first_name,1,1)) FROM user_data WHERE userid=15613) =$ -- $ = [65, 122] (Todas as letras do alfabeto). Demo: 8

9 Proteção Prepared Statements (Consultas parametrizadas). Stored Procedures. Verificar todos os dados fornecidos pelo usuário. Enterprise Security API (ESAPI) Validação no lado do cliente. 9

10 Whitelist x Blacklist Blacklist é uma lista de entradas maliciosas. Whitelist é uma lista de entradas válidas. Whitelist é a mais recomendada. Expressões regulares. 10

11 Referências The real dirty of whitelist OWASP Sqli - OWASP Sqli Proteção - OWASP Blind Sqli - OWASP Enterprise Security API- Rsnake Sqli Cheat Sheet: Outra cheat sheet

12 OWASP TOP 10 A2 - CROSS SITE SCRIPTING (XSS) 12

13 O que é? O problema: Entrada fornecida pelo usuário é inserida dinamicamente nas páginas sendo executada como código pelo navegador. Origem do termo. Existem três tipos de XSS: Não-Persistente. (Refletido) Persistente. (Armazenado) Baseado em DOM (persistente ou não) 13

14 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Cenário Persistente Atacante prepara uma armadilha, atualizando seu perfil Atacante armazena um script malicioso em uma página Web. Aplicação com a vulnerabilidade XSS 2 Vítima visita o perfil do atacante Custom Code Script roda no navegador da vítima, tendo total acesso ao DOM e cookie. 3 Script envia silenciosamente para o atacante o session cookie da vítima 14

15 Demo XSS persistente. Objetivo: Mostrar o cookie do usuário. Cookie permite o armazenamento da seção. 15

16 Impactos do XSS Sequestro de sessão de usuário. Roubo de dados sensíveis. Reescrita de página Web. Redirecionamento de página para sites falsos e/ou malware. 16

17 Proteção Fazer validação dos dados inseridos pelo usuário. Não renderizar dados digitados pelo usuário sem validação. 17

18 Referências OWASP XSS: OWASP DOM Based XSS: Artigo DOM Based XSS: Rsnake XSS Cheat Sheet: Livro XSS Attacks: Cross Site Scripting Exploits and Defense - NoScript: 18

19 OWASP TOP 10 A3 - FALHAS DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO 19

20 O que é? HTTP é um protocolo stateless. SESSION ID. Logout, gerenciamento da senha e timeouts. Complicado de implementar de maneira segura. 20

21 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Cenário 1 Usuário envia credenciais Página utiliza reescrita de url Ex: Coloca a sessão na URL 2 Custom Code 3 Usuário clica no link em um fórum 5 Atacante utiliza o JSESSIONID e toma controle da conta da vítima Atacante checa o log de e encontra o JSESSIONID da vítima 4 21

22 Demo A aplicação não implementa o SESSION ID de forma aleatória. O atacante utiliza um ataque força bruta para descobrir um SESSION ID válido. 22

23 Proteção Autenticação deve ser simples, centralizada e padronizada. Utilize SSL para proteger credenciais e session id`s. Verifique o certificado SSL. Examine todas as funções relacionadas à autenticação. Verifique se o logout realmente destrói a sessão. 23

24 Referências OWASP Authentication Cheat_Sheet- ESAPI Authenticator API- Common Weakness Enumeration (CWE) CWE Entry 287 on Improper Authenticationhttp://goo.gl/VVKY0 24

25 OWASP TOP 10 A4 - REFERÊNCIA DIRETA INSEGURA AOS OBJETOS 25

26 O que é? O acesso direto a um objeto não é verificado. Exemplo: Modificar permissao para admin. 26

27 Demo O atacante nota que seu parametro acct é Ele modifica o número para O atacante acessa informações da conta de outro usuário. 27

28 Erros comuns Listar apenas objetos que o usuário possui acesso, sem reforçar uma validação no acesso dos objetos os quais ele não possui acesso. Esconder em campos ocultos as referências dos objetos e não reforçar a autorização de acesso. Impacto típico: Acesso a arquivos não autorizados. 28

29 Proteção Validação de referência direta Verifique se o valor do parâmetro está formatado apropriadamente. Verifique se o usuário tem permissão de acesso ao objeto referenciado. Verifique se o usuário possui permissão ao modo de acesso (leitura, escrita, alteração e exclusão). 29

30 Referências ESAPI Access Control API- Application Security Verification Standard (ASVS) ASVS requirements area for Access Control (V4)- CWE Entry 639 on Insecure Direct Object Referenceshttp://goo.gl/ACOdx CWE Entry 22 on Path Traversal- 30

31 OWASP TOP 10 A5 - CROSS SITE REQUEST FORGERY (CSRF) 31

32 O que é? Atacante forja uma requisição de um usuário já autenticado. Navegador da vítima é forçado a executar uma ação sem seu consentimento. Impactos típicos: acesso a informações sensíveis, modificação de dados da conta. 32

33 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Demo 1 Atacante cria uma armadilha em um site ou Esconde em uma tag <img> um ataque contra uma aplicação vulnerável Aplicação com uma vulnerabilidade CSRF 2 Quando logada no site vulnerável, a vítima visita o site do atacante Custom Code 3 A tag <img> carregada pelo navegador envia uma requisição GET incluíndo as credenciais para a aplicação vulnerável O aplicação vulnerável recebe a requisição legítima da vítima e executa o comando da requisição 33

34 Proteção Requerer uma segunda autenticação para funções sensíveis (captcha, tabela de senhas, geolocation). Adicionar um token secreto sensível a requisição. Armazenar um token simples em cada sessão e o armazenar em cada formulário ou link. 34

35 Referências Curso sobre CSRF- OWASP CSRF Proteção- OWASP CSRFTester-CSRF Testing Tool- ESAPI HTTPUtilitiesClass with AntiCSRFTokenshttp://goo.gl/3Cq0t Evitar ataques de CSRF em java por Lucas Ferreirahttp://goo.gl/AjrDv 35

36 OWASP TOP 10 A6 - CONFIGURAÇÃO INAPROPRIADA DE SEGURANÇA 36

37 O que é? Ocorre quando páginas do sistema estão disponíveis para serem acessadas por qualquer usuário. Exemplo: O usuário tenta acessar urls padrões de páginas de configuração. 37

38 Proteção Verifique a configuração de todo o sistema, se há versões de bibliotecas desatualizadas. Analise os efeitos dos patches inseridos no seu ambiente. 38

39 Referências OWASP Development Guide: Chapter on Configuration ASVS requirements area for Security Configuration (V12) CWE Entry 2 on Environmental Security Flaws CIS Security Configuration Guides/Benchmarks 39

40 OWASP TOP 10 A7 - ARMAZENAMENTO INSEGURO - CRIPTOGRAFIA 40

41 O que é? Armazenar informação sensível de forma insegura. Quais são as informações sensíveis? Aonde armazená-las? Estão protegidas em todos os lugares? Conhecer as premissas de segurança do protocolo. 41

42 Impacto Típico Atacantes podem acessar informações sensíveis. Atacantes extraem informações secretas para utilizar em outros ataques. Perda de credibilidade da empresa. 42

43 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Cenário 1 Vítima entra com o número do cartão de crédito em um formulário Custom Code 4 Um desenvolvedor malicioso rouba o número de vários cartões de crédito Log files Ocorre um erro na aplicação e o número do cartão de crédito do 2 Os logs são acessíveis pelos desenvolvedores da aplicação por propósitos de depuração de erros 3 usuário é armazenado no log 43

44 Proteção Identifique todos os dados sensíveis. Identifique o lugar aonde os dados serão armazenados. Use algoritmos fortes e bem conhecidos. Gerencie corretamente as chaves. 44

45 Referências ESAPI EncryptorAPI - OWASP Development Guide: Chapter on Cryptography - OWASP Code Review Guide: Chapter on Cryptography - CWE Entry 310 on Cryptographic Issues

46 OWASP TOP 10 A8 - FALHA DE RESTRIÇÃO DE ACESSO À URL 46

47 O que é? Algumas páginas não fazem verificação de acesso. Complemento da vulnerabilidade A4 - Referência direta insegura aos objetos 47

48 Cenário Um usuário comum loga no sistema e modificando uma url de uma página, consegue acessá-la como se fosse o administrador

49 Proteção Para cada URL: Restrinja o acesso para usuários autenticados (se não for público). Aplique regras baseadas em permissões. Desabilite o acesso de usuários não autenticados a páginas que contenham logs, configurações e outros. 49

50 Referências OWASP Development Guide: Chapter on Authorization - OWASP Article on Forced Browsing - CWE Entry 285 on Improper Access Control (Authorization)

51 OWASP TOP 10 A9 - PROTEÇÃO INSUFICIENTE NA CAMADA DE TRANSPORTE 51

52 O que é? Transmissão de dados sensíveis de forma insegura. Firesheep 52

53 Demo Vítima externa Custom Code Backend Systems Parceiro de negócio 1 Um atacante externo rouba credenciais e dados da rede externa Atacante externo 2 Empregados Um atacante interno rouba credenciais e dados da rede interna Atacante interno 53

54 Proteção Usar SSL/TLS em todas as conexões com dados sensíveis. Assinar mensagens antes de transmiti-las. Gerenciar chaves corretamente. Verificar certificados SSL antes de usá-los. (origem, autoassinados) 54

55 Referências Firesheep - Blacksheep - HTTPS Everywhere - OWASP Proteção na Camada de Transporte

56 OWASP TOP 10 A10 - ENCAMINHAMENTO E REDIRECIONAMENTO SEM VALIDAÇÃO 56

57 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Redirecionamento sem validação 1 Atacante envia um para sua vítima From: Serviços internos Subject: Sua restituição de impostos Nossos registros mostram que o senhor possui impostos a restituir, por favor clique aqui. 3 A aplicação redireciona a vítima 2 A vítima clica e o endereço possue um parâmetro sem validação Custom Code A requisição envia para o site vulnerável o parâmetro, sem ser validado. Redirecionando a vítima para o site do atacante. & &dest= 4 Evil Site Evil site instala um malware na vítima 57

58 Encaminhamento sem validação 1 O atacante envia um ataque para uma página vulnerável 2 A aplicação autoriza a requisição A página requisitada possui acesso a uma área restrita. E o atacante consegui ser encaminhado para esta página, burlando o controle de acesso. Filtro public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 3 Falha a autorização do encaminhamento e o atacante burla o controle de acesso. public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... 58

59 Proteção Use encaminhamento e redirecionamento, somente quando necessário. Caso use, não permita que o usuário defina destino na URL. Valide cada parâmetro para garantir sua corretude e permissão de acesso. 59

60 Referências OWASP Article on Open Redirects - ESAPI SecurityWrapperResponsesendRedirect() method - CWE Entry 601 on Open Redirects - WASC Article on URL Redirector Abuse

61 2007 x 2010 OWASP Top (Previous) OWASP Top (New) A2 Injection Flaws A1 Injection A1 Cross Site Scripting (XSS) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T A10 Insecure Configuration Management> A8 Insecure Cryptographic Storage = = + A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Insecure Cryptographic Storage A10 Failure to Restrict URL Access A8 Failure to Restrict URL Access A9 Insecure Communications <not in T > A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards (NEW) A3 Malicious File Execution <dropped from T > A6 Information Leakage and Improper Error Handling <dropped from T > =

62 Perguntas? Obrigado! Apoio: 62