Qual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código

Documentos relacionados
Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

Petter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional

Sejam bem vindos ao nosso encontro!

Cibersegurança no ambiente acadêmico. Italo Valcy Salvador BA, 27/Set/2016

SQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO

Incorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA

Lidando com Armazenamento de Dados

Monitoramento com foco em Segurança. Italo Valcy UFBA

[Digite texto] XLabs. Web App Firewall. formation Security

Pen-test de Aplicações Web: Técnicas e Ferramentas

Infraestrutura de Sítios Institucionais Utilizando Contêineres Docker

RELATÓRIOS PENTEST S

Ementa Oficial do. Curso Pentest: Técnicas de Invasão Básico

Aula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.

Gestão de Vulnerabilidades Técnicas Processos e Ferramentas

Serviços Integrados: Segmentos de mercado. Cobrança Pagamentos Folha de Pagamento Débito Automático Extrato Eletrônico

Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO

Visualização e Ações Tomadas Frente ao Ataque ao Servidor de Portais Web da UFG

Ferramenta de apoio a Segurança

Trabalho de Conclusão de Curso

Grupo de Trabalho BIS: Mecanismos para Análise de Big Data em Segurança da Informação

Ferramentas de Pentest

Chris Binnie. Novatec

Ataques a Aplicações Web

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:

SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA

segurança em aplicações web

Instituto de Ciências Matemáticas e de Computação Universidade de São Paulo

CATÁLOGO DE SERVIÇOS DE TI Versão 2.0 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO

TERMOS DE SERVIÇO ULTIMA ATUALIZAÇAO

IDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO

VULNERABILIDADES WEB v.2.2

XML-e. Uso da obrigação em seu benefício. Menu

474QU35 J1y4n y4r

Segurança em Sistemas Operacionais

Segurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas

Segurança da Informação

Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /

Especificação Técnica Sistema de Acesso

Apache Mesos para operar grandes sistemas e (micro)serviços. Diego de Oliveira Março de 2015

Entendendo a criptografia e como ela pode ser usada na prática. Italo Valcy Universidade Federal da Bahia CERT.

Solução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

EasyAzure. EasyAzure. Guia do programa. Ingram Micro Brasil. Versão 1.7

Segurança da informação

Taxonomia Comum para a Rede Nacional de CSIRTs

Karl Matthias Sean P. Kane

Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

ECXON CONTRATO DE PRESTAÇÃO DE SERVIÇOS

Apostila 4. Ameaças e Contramedidas de Segurança no Host

TECNOLOGIA DA INFORMAÇÃO

PIkit : A New Kernel-Independent Processor-Interconnect Rootkit

Aplicações Web Legadas: Avaliação e Estratégias para Gerenciamento do Risco

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

ENTREGRANDO BENEFÍCIOS PARA GRANDES EMPRESAS

Filtragem de entrada interrompe ameaças da Internet antes que eles cheguem ao seu servidor de

Redes de Computadores Da Teoria à Prática com Netkit

Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto

Hands-on: Implantação de monitoramento por Sflow

Análise de Vulnerabilidades em Aplicações WEB

Avaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0

Fonte: - Illustration by Gaich Muramatsu

Daniel Moreno. Novatec

Visão geral do Enterprise

WAF 2019 OGA N-STALKER VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES DO DIAGNÓSTICO À DEFESA. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL

Adrian Pruteanu. Novatec

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

Gestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem )

Fundamentos de Ethical Hacking EXIN. Guia de Preparação. Edição

Desenvolvimento e disponibilização de Conteúdos para a Internet

Tornando acessível a tecnologia e os melhores serviços

WAF 2019 OGA N-STALKER DO DIAGNÓSTICO À DEFESA. VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL

PORTFÓLIO DE SERVIÇOS E SOLUÇÕES. Departamento Comercial DOCUMENTO PÚBLICO RESTRIÇÃO: SEM RESTRIÇÃO

Info NEXT. Soluções Seguras e Confiáveis. Sua empresa esta preparada para o futuro?

Aula 6: Vulnerabilidades Web

Projetos. Apresentação

Curso. Liferay Desenvolvedor

SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO

ITIL INTERMEDIATE ISO RHCE

Introdução em Segurança de Redes

INFOWATCH ATTACK KILLER SECURITY AT A HIGHSPEED

Grupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017

SUPORTE ATLASSIAN 2017 SUPORTE ATLASSIAN

Configurar o LDAP como uma fonte do contato do diretório para o Jabber de Cisco usando a integração do diretório Cisco

Gerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes

Xerox FreeFlow Core, 4.0 SP3 ( ) Livro Versão 1.3 Outubro de P Xerox FreeFlow Core Guia de segurança

Kemio - Requisitos Técnicos

Transcrição:

Segurança de aplicações web como aumentar a segurança dos sites da sua organização Italo Valcy, Pedro Sampaio, Michel Peterson, Bruno Diego ETIR UFBA

Qual o cenário? Incidentes de Segurança de Desfiguração de Site Mais de 90 sites invadidos até Set/2015 Tempo médio de tratamento: 8hs (total: 720h, 4.5 meses) Sites de usuários, grupos de pesquisa, eventos, etc Vulnerabilidades conhecidas (sqli, cmd exe, auth bypass, etc) Serviço web hosting compartilhado onde o cliente é responsável pelo CMS ou software da página Equipes de desenvolvimento despreparadas ou inativas 2

Qual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código 3

Hardening de infraestrutura Objetivos: Isolamento entre sites (FS, CPU, Mem, etc) Auditoria (logging, site x user) Limitação de recursos x burst Facilitar troubleshooting Soluções: https://www.docker.com/ https://www.cloudlinux.com/... 4

Hardening de infraestrutura Objetivos: Isolamento entre sites (FS, CPU, Mem, etc) Auditoria (logging, site x user) Limitação de recursos x burst Facilitar troubleshooting Soluções: https://www.docker.com/ https://www.cloudlinux.com/... Escolhemos o CL pela rapidez de deploy inicial, mas (planejamos) vamos migrar para docker em breve. 5

CloudLinux Requer RHEL ou CentOS Sec Updates complementar CageFS Kernel modificado com LVE Mod_hostlimits (apache) 6

Lightweight Virtual Environment (LVE) Tecnologia de Kernel para limitação de recursos (CPU, Processos, Memory, IO) Similar ao cgroups, similar à containers Usa escalomento baseado em fair-sched (ex: limite de recursos de CPU por porcentagem) Ao receber a requisição, o apache identifica o usuário do site e executa a requisição no LVE Permite mudança (autorizada) de LVE sobre demanda Ferramentas de gerencia: lveps, lvetop, lveinfo, lvechart 7

CageFS Sistema de arquivos do CL para isolamento de sites /proc particular /home restrito /etc/{passwd, shadow, etc} restrito Apenas binários sem SUID serão acessíveis (acl) Proteção contra ataques de links simbólicos Diferente de SymlinksIfOwnerMatch Seletores de interpretador (PHP, Ruby, Python) 8

Burst Objetivo: Aumentar os recursos do site sobre demanda Como? Integração com zabbix (monitoramento com lvetop + burst com lvectl, inc e dec) /etc/zabbix/scripts/check_load.sh /etc/zabbix/scripts/resource_burst.sh Atuação automática (max 3 vezes) 9

Firewall de aplicação Objetivo: Proteção contra ataques conhecidos (sqli, xss, bruteforce, etc.) Virtual patching Troubleshooting Como? R: WAF, mas qual? Modsecurity, Ironbee, Naxsi, Zorp, Imperva 10

Firewall de aplicação WAF: intercepta, analisa e filtra mensagens enviadas ao servidor web (HTTP), independente da aplicação 11

Firewall de aplicação Proposta: Regras OWASP Core Rule Set 12

Mod-security Inspeção Tipos de Bloqueio: Bloqueio Imediato O evento é bloqueado na primeira regra acionada. Anomaly Score O evento será bloqueado se uma quantidade suficiente de regras seja acionada. 13

Mod-security Inspeção Bloqueio imediato: SecRule ARGS "(select where group order by union)" "phase:2,t:urldecodeuni,block,msg:'sql Injection Attack',id:'959070'" 14

Mod-security Inspeção Anomaly Score SecRule TX:SQLI_SELECT_STATEMENT "@containsword select" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT "@containsword where" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT "@contains order by" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT "@containsword union" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT_COUNT "@ge 3" "phase:2,block,msg:'sql SELECT Statement Anomaly Detection Alert'" 15

Bloqueio 16 16

Logs, Lots of Logs Modsecurity Audit Logs: visualização com WAF-FLE 17 17

Estatísticas Testes no ambiente UFBA: Amostra de 2187 requisições Sendo 650 de ataques SQL Injection conhecidos Infra com mais de 300 sites Configuração: Modo de bloqueio imediato Regras OWASP Core Rule Set Resultados: 1300 eventos bloqueados 60% de falsos positivos 717 10% de falsos Negativos 67 587 Ataques legítimos bloqueados 18

Estatísticas Testes no ambiente UFBA: Amostra de 2187 requisições Sendo 650 de ataques SQL Injection conhecidos Infra com mais de 300 sites Configuração: Modo anomaly + Bloqueio imediato Regras OWASP Core Rule Set + Customização scores Resultados: 681 eventos bloqueados 5% de falsos positivos 31 2% de falsos Negativos 7 643 Ataques legítimos bloqueados 19

Análise estática de código RIPS (PHP) http://rips-scanner.sourceforge.net/ Find Security Bugs / Find Bugs + Sonar (Java) http://h3xstream.github.io/find-sec-bugs/ Outros: https://security.web.cern.ch/security/recommendations/en/co de_tools.shtml https://www.owasp.org/index.php/static_code_analysis#tools 20

Análise estática de código O que é? Busca padrões de código fonte sujeito a falhas (bugs de segurança) Teste white-box Complexo e custoso Pode trazer resultados bem interessantes, mas também falsos positivos 21

Exemplos 22

Exemplos 23

Pentest de aplicações Mesmo com todos esses controles, suas aplicações web podem não ser 100% seguras Realização de testes de intrusão: Metodologia de testes e validação dos controles de segurança da aplicação 24

Como fazemos Atualmente ainda é um modelo em desenvolvimento Testes sobre demanda em aplicações chave Uso de ferramentas (w3af, owasp zap, nikto, openvas, nmap, sqlmap) Google hacking (google, bing, etc) Conhecimento e criatividade dos analistas TODO: estabelecer processo de testes de intrusão em aplicações web 25

O que já encontramos Falhas comuns (sqli, L/R file inclusion, xss, etc.) Bypass do mecanismo de autenticação (funções ocultas) Armazenamento inseguro de senhas Falhas no mecanismo de recuperação de senha Injeção de código LDAP Falta de controle contra brute-force Problemas com Autorização. 26

Conclusões Falhas de segurança em aplicações web são comuns e altamente impactantes para a organização Não existe uma ferramenta ou mecanismo que sozinho proteja a instituição contra falhas Combinando as tecnologias apresentadas, é possível aumentar a segurança do ambiente e reduzir os custos (financeiros e de reputação) É preciso trabalhar também nas pessoas, na cultura de desenvolvimento e aprovisionamento de software! 27

Dúvidas? Italo Valcy <italovalcy@ufba.br>

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback