DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope Patrocinadores DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
Agenda Segurança Aplicações Web Cenários Web 2.0 Cenários AJAX Ataques Soluções & Boas Práticas Segurança Aplicacional Motivação Tão importante como a segurança de servidores e de rede Foco na equipa de desenvolvimento HTTPs, Firewalls, Anti Vírus & HotFixes são imprescindíveis, mas não garantem a segurança aplicacional 75% dos ataques informáticos exploram falhas aplicacionais Gartner Group Web 2.0 Hoje Web 2.0 Isto para dizer que Grande usabilidade Combinação crescente de conteúdos Orientação a serviços: Mash-Ups, Gadgets Grande dependência de recursos OnLine Tabbed browsing Controlo do PC já não é objectivo primordial de um ataque Recursos online são cada vez mais apetitosos Milhões de utilizadores Diversidade de recursos valiosos This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
AJAX Segurança- o que traz de novo? AJAX Segurança- o que traz de novo? (Não esquecendo os problemas tradicionais: sql injection, xss, etc!) Massificação XMLHTTP (nativo!) Multi Threading Controlo total de pedidos HTTP Exposição de Web Services aumenta Evolução/Estudo de JavaScript XMLHTTP também é ferramenta de ataque! Ataques AJAX O que é? Explora relação de confiança de um site nos seus utilizadores Realmente simples mas devastador! Pouco divulgado This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
O problema Realidade A maioria dos sites pode ser explorada! Potencial imenso: ataque ips internos configuração de routers, impressoras, qualquer endpoint http standard que possa ser automatizado! MySpace Sammy Worm XSS, XSRF, XMLHTTP Bypass de Tokens 1M Utilizadores/ 24 Horas podia ter sido muito pior! Yahoo Webmail Yamanner Soluções Conclusão Referer Header ViewStateUserKey Tokens CAPTCHAs A mínima falha XSS derrota grande parte destas defesas! Aplicações AJAX Seguras Segurança aplicações web tradicionais! +Boas práticas AJAX Atenção novos ataques Web 2.0 Worms, CSRF This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
Resources/Recursos Úteis Resources/Recursos Úteis Joe Stagner AJAX Security Webcasts http://blogs.msdn.com/joestagner/archive/2007/01/12/upcomingajax-security-webcasts.aspx WhiteHat Security http://www.whitehatsec.com/ Improving Web Application Security: Threats and Countermeasures http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnnetsec/html/threatcounter.asp Web Application Security Lab http://ha.ckers.org/ OWASP (.NET) http://owasp.net/default.aspx Web Application Security Consortium http://webappsec.org/ Related Sessions/Participe Noutras Sessões SEC006 : Publicação Segura de Aplicações com o Intelligent Application Gateway 2007: Análise Técnica Detalhada Dia 22, 11:15 Related Sessions/Participe Noutras Sessões DEV025 : Segurança na Windows Communication Foundation: objectivos, modelos, padrões e pontos de extensão Dia 22, 17:00 DEVHOL02 : Core Features of Windows Cardspace Dia 22, 17:00 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
Pergunte aos Especialistas Obtenha Respostas às Suas Questões Dia 21, 16:00-17:00 Questionário de Avaliação Passatempo! Complete o questionário de avaliação e devolva-o no balcão da recepção. Habilite-se a ganhar uma Xbox 360 por dia! DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6