Escolar Documentos
Profissional Documentos
Cultura Documentos
Atuao profissional
Aeronutica 2000 a 2007 CGU 2007 a 2009 Senado Federal (PRODASEN)
Referncias
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Vitali, Maycon Maia. Curso de Extenso Tecnolgica - Segurana em Web. Silva Junior, Armando Gonalves da. Cross-Site Scripting: Uma Anlise Prtica. Universidade Federal de Pernambuco. Alonso, Chema; Bordn, Rodolfo; Guzmn, Antonio; Beltrn, Marta. LDAP Injection & Blind LDAP Injection in Web Applications Amaral, Thiago Melo Stuckert do. Lio sobre injeo de SQL do projeto WebGoat. Universidade de Braslia. http://en.wikipedia.org/wiki/Session_fixation http://www.trtec.com.br/produtos/barracuda/waf_overview.php http://www.trtec.com.br/produtos/fortinet/fortiweb/ http://ha.ckers.org/xss.html http://www.webappsec.org/projects/articles/071105.shtml http://www.md5crack.com/
3
A1 Injection
Falhas de Injection (SQL, SO, LDAP) ocorrem quando dados no confiveis - que podem ser manipulados - so encaminhados diretamente ao interpretador como parte do comando ou query que ser executado. O propsito do ataque injetar e executar comandos especificados pelo atacante na aplicao vulnervel. A principal vulnerabilidade no tratar os dados antes de envi-los ao interpretador.
A1 Injection
Ex SQL: Formulrio de Login em sistema
A busca na base ser feita com os valores colocados nos campos, sem qualquer tratamento
A1 Injection
Ex SQL: Formulrio de Login em sistema
A1 Injection
Ex SQL: Formulrio de Login em sistema
A consulta vlida para todos os registros do banco de dados. Assim, o primeiro registro encontrado (geralmente o Administrador) retornado.
A1 Injection
Ex LDAP: Formulrio de Autenticao
A busca na base ser feita com os valores colocados nos campos, sem qualquer tratamento
A1 Injection
Ex LDAP: Formulrio de Autenticao
Somente o primeiro filtro (USER) avaliado pelo servidor LDAP. Assim, a consulta (&(USER=slisberger)(&)) retorna sempre verdadeiro.
10
A1 Injection
Ex LDAP: Formulrio de Autenticao
Como somente o primeiro filtro foi verificado, e o usurio slisberger existe na base, a autenticao foi vlida.
11
A1 Injection
Como verificar: Os interpretadores separam os dados no confiveis na execuo dos comandos e queries?
SQL: Bind variables e stored procedures
Verificar o cdigo em busca da comandos e queries que utilizam dados no confiveis, a fim de garantir que esses dados no podem modificar o significado dos comandos e queries Busca automatizada por meio de ferramentas especializadas
Ex: Backtrack, Nessus, OpenVAS, Acunetix
12
A1 Injection
Preveno: Utilizar uma API segura que evite o uso de interpretadores ou que fornea uma interface parametrizada Usar escape syntax para o interpretador na presena de carateres especiais Validao de entrada de dados por whitelist com canonizao (no uma defesa completa j que muitas aplicaes necessitam de carateres especiais quando da entrada de dados) Garantir o menor privilgio possvel quando da execuo Ocultar mensagens de erro Firewalls de aplicao (WAF), IDS e IPS
Prof. Andr Molina
13
14
15
17
18
Dinmica do ataque.
19
20
22
Dinmica do Ataque
23
http://www.some.site/page.html?default=French
Forma maliciosa
http://www.some.site/page.html?default=French
http://www.some.site/page.html?default=<script>alert(document.cookie)</script>
26 Prof. Andr Molina
Dinmica do Ataque
27
No persistente
https://www.owasp.org/index.php/Testing_for_Reflected_Cross_site_scripting_%28OWASP-DV001%29
DOM Based
https://www.owasp.org/index.php/Testing_for_DOM-based_Cross_site_scripting_%28OWASP-DV003%29
29
So vulnerabilidades associadas a falhas nas funes de autenticao ou de gerenciamento de sesso, que possibilitam sequestro de sesso, exposio de contas e senhas, IDs de sesso, etc. Geralmente, essas falhas esto relacionadas ao processo de logout, gerenciamento de senha, timeout, remember me, questo secreta, atualizao de conta, tokens de sesso, etc.
30
31
32
O atacante aplica um XSS e consegue obter o cookie que contm o controle da sesso.
O atacante inicia a sesso e repassa para a vtima autenticar, quando ento toma controle novamente da sesso.
33
Evitar falhas de XSS, as quais podem ser utilizadas para obter IDs de sesso. Utilizar identificadores de sesso provenientes do SSL/TLS
35
36
37
38
Uma referncia direta na URL permite que sejam utilizadas outras contas.
A anlise de cdigo da aplicao permite uma verificao rpida Testes manuais tambm auxiliam a identificar referncias diretas a objetos e se as mesmas so seguras. Obs: Ferramentas automatizadas geralmente no procuram essas falhas, pois no diferenciam o que precisa ser protegido do que no precisa.
Prof. Andr Molina
39
40
O atacante constri essa requisio e a insere em requisies de imagens em sites sob seu controle, aguardado a visita de alguma vtima autenticada no banco.
42 Prof. Andr Molina
45
46
47
A preveno requer a incluso de tokens imprevisveis no corpo ou URL de cada requisio HTTP. Tais tokens devem ser no mnimo nicos por sesso do usurio, mas tambm podem ser nicos por requisio.
prefervel incluir o token em um campo oculto, sendo enviado no corpo da requisio HTTP, evitando a incluso na URL, o que pode expor o valor
48
49
50
51
52
FIM
53