EVITANDO O TOP 10 VULNERABILIDADES DA OWASP

2. QUEBRA DE AUTENTICAO E GERENCIAMENTO DE SESSO

2.1.

SOBRE A VULNERABILIDADE:

Atravs da ineficiente proteo apropriada nas credenciais de acesso e

no gerenciamento de sesses, os atacantes atravs das falhas de segurana
existentes conseguem comprometer senhas, chaves ou tokens de sesses
assumindo assim a identidade de outros usurios.
Deficincia no processo de autenticao e gerenciamento de sesso
so alguns dos principais problemas de segurana que no so
facilmente identificados em tempo de programao. (Alfredo Santos,
2008). LIVRO

Nos ataques explorados por essa vulnerabilidade, os agentes mal

intencionados utilizam da possibilidade de manipular um valor de autenticao
vlido alterando o mesmo por outro valor de autenticao tambm vlido,
porm de outro usurio, conseguindo assim obter privilgios sem autorizao.
Um exemplo bsico que pode exemplificar o contedo descrito acima
ocorre quando o ID (identificao) envia via get ao servidor, nesse caso a
identificao do usurio reescrita tambm na url do site, podendo assim o
atacante alterar o seu valor sendo assim autenticado.
Portanto, a autenticao e o gerenciamento de sesses podem ser
considerados como um fator de extrema importncia para a segurana das
aplicaes web.
Os

principais

vulnerabilidade

esto

erros

que

contribuem

relacionados com

para

falhas de

ocorrncia

dessa

implementao

no

fechamento de sesses, expirao de sesses, continuar conectado mesmo

aps solicitao de logout, dentre outros.

2.2.

PROTEO:

2.2.1. CONFIGURANDO AUTENTICAO

Para que a aplicao web esteja devidamente protegida contra quebra

de autenticao e gerenciamento de sesso necessrio autenticar de forma
correta os usurios e maximizar a proteo de suas credenciais que esto
associadas.
O princpio fundamental para se proteger dessa vulnerabilidade no
armazenar as senhas dos usurios - nem mesmo criptografadas - e sim
armazenar apenas o hash + salt das senhas.
Um hash uma funo que cria uma representao para um
determinado contedo, utilizando para isso um algoritmo de codificao
(atentando-se que se deve utilizar um algoritmo seguro e menos conhecido) e o
salt uma funo que permite embaralhar o hash gerado. Assim, possvel
armazenar a senha do usurio de forma codificada, destacando que a partir do
hash+salt gerado no possvel obter a senha original criada inicialmente.
Referencia: M.M.J.STEVES (pdf: On Collisions for MD5 - M.M.J. Stevens)
Existem outros requisitos que so fundamentais para aumentar a
segurana na autenticao dos usurios, dentre eles podemos destacar:

Definir um nmero mximo de tentativas de autenticao;

Executar os controladores de execuo do lado servidor;

Registrar todas as informaes sobre autenticao;

Blindar os controles de autenticao contra cdigo malicioso;

Fazer com que falhas de autenticao ocorram de maneira

segura, evitando exposies de cdigos;

2.2.2. CONFIGURANDO SESSES

Referencia: AppSecBR2009_VAfonso_AGregio_PGeus
E Livro: How to Break Software Por Mike Andrews, James Whittaker A.
No gerenciamento de sesses, uma questo fundamental est
relacionada na definio das configuraes de segurana voltadas para o
tempo limite para sesses desconectadas, ativas e ociosas que iro
permanecer no servidor.
Para as sesses ativas ou ociosas recomendado que ao atingir o
tempo limite definido, o usurio seja desconectado da sesso sendo necessrio
novamente realizar a sua autenticao para prosseguir com o servio ou ento
que a sesso seja encerrada imediatamente, neste caso a mesma excluda
do servidor e qualquer recurso que tenha sido inicializado finalizado
imediatamente. Para as sesses desconectadas, a sesso deve ser finalizada
permanentemente do servidor e sua execuo finalizada.
preciso tambm sempre verificar a autenticidade da sesso quando
ocorrer alteraes de login ou reconexo; impossibilitar que o mesmo login
esteja conectado em mais de uma sesso; utilizar mecanismos como o
captcha que minimize ataques automatizados e de fora bruta; evitar as
requisies via get, utilizando de preferncia o mtodo post; verificar se os
cookies que contenham valores de sesses vlidos e seguros.

4. REFERNCIA INSEGURA E DIRETA A OBJETOS

4.1.

SOBRE A VULNERABILIDADE

Essa vulnerabilidade ocorre quando existem falhas no desenvolvimento

da aplicao acarretando na exposio ou referncia a um de seus objetos
internos, como por exemplo, informaes sobre sua estrutura ou configuraes,
normalmente apresentadas atravs de erros ou url do lado cliente.

Frequentemente, estas referncias apontam para arquivos do sistema e

banco de dados, mas qualquer aplicao exposta pode estar vulnervel.
(OWASP, 2007)
Atravs da exposio desse tipo informao, atacantes conseguem
manipular os valores dos parmetros, conseguindo assim violar o controle de
acesso existente, acessando assim informaes sigilosas e os contedos dos
arquivos de diretrio.
Exemplo: Imagine que um usurio acesse um diretrio x atravs da url
www.teste.com/objeto01.doc; o atacante atravs desses dados poder
manipular o caminho tentando acessar outros documentos existentes, como o
objeto02.doc, adquirindo acesso sem permisso esse objeto.

4.2.

PROTEO

A principal proteo a ser aplicado para evitar a falha de referncia

insegura e direta a objetos evitar que contedos, principalmente, internos da
aplicao sejam expostos aos usurios e aplicar medidas de controle e
verificao de acesso aos objetos que necessitam sofrer referncias.

http://www.securityartwork.es/2010/03/30/owasp-top-10-iv-referenciadirecta-a-objetos-insegura/

How to Break Software Site

Livro: http://translate.google.com.br/translate?hl=ptBR&sl=en&u=http://books.google.com/books/about/How_to_Break_Web_Soft
ware.html%3Fid%3DzEWvS-sTiNUC&prev=/search%3Fq%3DHow%2Bto
%2BBreak%2BWeb%2BSoftware%26client%3Dfirefox-a%26hs%3D8f0%26rls
%3Dorg.mozilla:pt-BR:official

http://prezi.com/_we_frvmdmpd/apresentacao-final-seguranca-ti-usareste-/

http://araguaia.ufmt.br/curso/CURSOS_AVANCADOS/INTERNET_AVANC
ADA/seg.html#titulo5

LiVRO ------------------------------------------------Refncias: Quem mexeu no meu sistema?

Autor: Alfredo Santos

Link Livro: http://books.google.com.br/books?

id=ndgRZ0notxgC&pg=PA85&lpg=PA85&dq=Quebra+de+Autentica
%C3%A7%C3%A3o+e+Gerenciamento+de+Sess
%C3%A3o&source=bl&ots=2ciEUgVrsB&sig=6OISPZRDPob6C0G8hlusXHvO7w&hl=ptBR&sa=X&ei=BINVUqDnKJDc8wTxx4GACg&ved=0CDMQ6AEwAQ#v=onepa
ge&q=Quebra%20de%20Autentica%C3%A7%C3%A3o%20e
%20Gerenciamento%20de%20Sess%C3%A3o&f=false