Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web

Transcrição

1 IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web 2007 IBM Corporation Verdades Alarmantes Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions. Jon Oltsik Enterprise Strategy Group Up to 21,000 loan clients may have had data exposed Marcella Bombardieri, Globe Staff/August 24, 2006 Personal information stolen from 2.2 million active-duty members of the military, the government said New York Times/June 7, 2006 Hacker may have stolen personal identifiable information for 26,000 employees.. ComputerWorld, June 22,

2 A verdade alarmante Estudo realizado com 200 empresas brasileiras afirma que 67,5% sofreram algum tipo de ataque nos últimos 12 meses (ISS) Principal problema de segurança: Usuários podem submeter dados de entrada arbitrários Principais sinais de problemas: Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão (Módulo) Imaturidade em segurança Desenvolvimento in-house Percepção de simplicidade Restrições de recursos e tempo Mau uso de tecnologias Justiça Federal do Pará condena 65 hackers...os condenados acessavam de forma fraudulenta as contas-correntes e de poupança de outras pessoas. As quadrilhas deram prejuízo a instituições como Caixa Econômica Federal (CEF), Banco do Brasil, Banco Itaú e Banco do Estado de Goiás. Redação Terra, 17 de julho de Alta Prioridade da Segurança de Aplicações Aplicações Web são o alvo número 1 dos hackers: 75% dos ataques no nível de aplicação (Gartner) XSS and SQL Injection são as vulnerabilidades número 1 e 2 (Mitre) A Maioria dos sites é vulnerável: 90% são vulneráveis a ataques na camada de aplicação (Watchfire) 78% percent of easily exploitable vulnerabilities affected Web applications (Symantec) 80% das organizações enfrentará incidentes de segurança até 2010 (Gartner) Aplicações Web tem alto valor para os hackers: Dados pessoais, financeiros, identidade, etc Governança se baseia em atendimento a padrões de conformidade Payment Card Industry (PCI) Standards, GLBA, HIPPA, ISO, SOX Políticas internas 4 2

3 Custo de Falhas na Segurança da Informação Imagem afetada: Má propaganda Perda de Dados Confidencias Condenações Judiciais Insucesso em Auditorias Indenizações Redução do Valor de Ações 5 Inserindo a Segurança no Cliclo de Vida Developers Guiar a o desenvolvimento para garantir a segurança Developers Garantir que as vulnerabilidades foram sanadas Developers Prover os testadores e desenvolvedores com habilidade de detectar e remediar falhas 6 3

4 Arquitetura de Uma Aplicação Web Típica Aplicação rodando aqui Dados sensíveis aqui Internet Firewall Client Tier (Browser) SSL (Presentation) Middle Tier App Server (Business Logic) Database Data Tier 7 Defesas da Rede para as Aplicações Web Firewall Intrusion Detection System Intrusion Prevention System Application Firewall!"# "$ 8 4

5 O mito: Nosso site é seguro! %+! %, -. %&'( )* 9 A Realidade: os esforços estão desbalanceados < 5 1( 5 1 %* ;95 :75 4! / 0 1 %* 2%*!3! 10 5

6 Onde estão as vulnerabilidades? * '( +.- Client-Side Custom Web Services Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 11 OWASP e lista OWASP Top 10 Open Web Application Security Project an open organization dedicated to fight insecure software The OWASP Top Ten document represents a broad consensus about what the most critical web application security flaws are We will use the Top 10 list to cover some of the most common security issues in web applications 12 6

7 The OWASP Top 10 list Application Threat Negative Impact Example Impact Cross Site scripting Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross-Site Request Forgery Information Leakage and Improper Error Handling Broken Authentication & Session Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access Identity Theft, Sensitive Information Leakage, Attacker can manipulate queries to the DB / LDAP / Other system Execute shell commands on server, up to full control Attacker can access sensitive files and resources Attacker can invoke blind actions on web applications, impersonating as a trusted user Attackers can gain detailed system information Session tokens not guarded or invalidated properly Weak encryption techniques may lead to broken encryption Sensitive info sent unencrypted over insecure channel Hacker can access unauthorized resources Hackers can impersonate legitimate users, and control their accounts. Hackers can access backend database information, alter it or steal it. Site modified to transfer all interactions to the hacker. Web application returns contents of sensitive file (instead of harmless one) Blind requests to bank account transfer money to hacker Malicious system reconnaissance may assist in developing further attacks Hacker can force session token on victim; session tokens can be stolen after logout Confidential information (SSN, Credit Cards) can be decrypted by malicious users Unencrypted credentials sniffed and used by hacker to impersonate user Hacker can forcefully browse and access a page past the login page 13 Demonstração... SQL Injection Cross-site Scripting 14 7

8 SQL Injection User input inserted into SQL Command: Get product details by id: Hack: send param id with value -!! Resulting executed SQL:!! All products returned 15 Cross Site Scripting The Exploit Process Evil.org 1) Link modificado enviado para o cliente 4) script envia identificação e sessão do cliente sem pedir permissão 5) Evil.org usa a informação para se passar pelo cliente User 2) Cliente envia script como dado bank.com 3) script/dado retorna enviado pelo site do banco 16 8

9 Explorando Cross-Site Scripting Se alguém conseguir você fazer rodar um script malicioso, ele pode Roubar seus cookies (sua identificação) Rastrear cada ação que você realizar no seu navegador Redirecionar você para um phising site Modificar o conteúdo de qualquer página Explorar outras vulnerabilidades ao navegar e controlar sua máquina 17 Watchfire in the Rational Portfolio BUSINESS SOFTWARE QUALITY SOLUTIONS Test and Change Management Requirements Test Change Defects Rational RequisitePro Rational ClearQuest Rational ClearQuest Rational ClearQuest DEVELOPMENT Developer Test Rational PurifyPlus Rational Test RealTime Test Automation Functional Test Rational Functional Tester Plus Automated Manual Rational Rational Functional Tester Manual Tester Security and Compliance Test AppScan WebXM Performance Test Rational Performance Tester OPERATOINS Rational Robot Quality Metrics =-*

10 AppScan What is it? AppScan is an automated tool used to perform vulnerability assessments on Web Applications Why do I need it? To simplify finding and fixing web application security problems What does it do? Scans web applications, finds security issues and reports on them in an actionable fashion Who uses it? Security Auditors main users today QA engineers when the auditors become the bottle neck Developers to find issues as early as possible (most efficient) 19 Como o Appscan Trabalha! >

11 O que o IBM Rational AppScan testa? Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 21 Indo além da detecção de problemas 22 11

12 Como o IBM Rational AppScan funciona? Aborda a aplicação como uma caixa-preta Escaneia e gera um mapa de toda a aplicação Determina os vetores de ataque baseado nas políticas de teste Testes são enviados por requisições HTTP modificadas e as respostas são avaliadas de acordo com as regras +..4/ %* Demonstração... IBM Rational AppScan Standard Edition 24 12

13 Pergunte-se a si mesmo... O que os desenvolvedores e testadores da minha organização sabem sobre segurança da informação? Eles têm meios de prevenir vulnerabilidades? Apesar de nosso investimento em segurança de rede, será que realmente estamos seguros? Ainda que esteja seguro hoje, tenho como garantir que não haverá falhas de segurança no futuro?

14 27 14