Você está na página 1de 22

(In)Segurança em Aplicações Web

Marcelo Mendes Marinho
mmarinho@br.ibm.com

Thiago Canozzo Lahr
tclahr@br.ibm.com

Agenda
• • • • Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades O Mito: Nosso site está seguro?
– Arquitetura básica de segurança – Proteções para o ambiente web

• •

A Realidade: Segurança e gastos estão desequilibrados Demonstrações
– Cross Site Scripting (XSS) – SQL Injection (Injection Flaws) – Cross Site Request Forgery (CSRF)

IBM Rational AppScan
– Segurança: parte do Ciclo de Vida do Software – Como funciona o IBM Rational AppScan – Menos Custo, Mais Cobertura

Porque segurança de aplicações é prioridade? • Aplicações web são o foco número 1 dos hackers: – 75% dos ataques acontecem na camada da aplicação (Gartner) • A maior parte das páginas web estão vulneráveis: – – 90% dos sites são vulneráveis à ataques na aplicação (Watchfire) 78% das vulnerabilidades facilmente exploráveis afetam aplicações Web (Symantec) 80% das organizações irão experimentar um incidente em segurança de aplicações até 2010 (Gartner) – • No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão (Módulo) Estudo realizado com 200 empresas brasileiras afirma que 67. roubo de identidade. etc.5% sofreram algum tipo de ataque nos últimos 12 meses (ISS) – Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia • Aplicações web são alvos de alto valor para hackers: – Dados de clientes. cartão de crédito. fraude. • .

Principais causas de vulnerabilidades Principal problema de segurança Usuários podem submeter dados de entrada arbitrários • Principais sinais de problemas: – – – – – Imaturidade em segurança Desenvolvimento in-house Percepção de simplicidade Restrições de recursos e tempo Mau uso de tecnologias .

O Mito: Nosso site está seguro? Nós temos firewalls Nós fazemos auditoria de segurança 1 vez por semestre Nós utilizamos network scanners .

Arquitetura básica de segurança Desktop Firewall e Antivirus Transporte Criptografia SSL Rede Firewall IDS / IPS Aplicações Web Firewall de Aplicação Firewall de Aplicação .

Proteções para o ambiente web • Sistema Operacional – Scanners de host Servidores Web – Scanners de rede • Banco de Dados – Scanners de banco / rede • Aplicações Web – Scanners de aplicações web (caixa preta) – Scanners de código fonte (caixa branca) Nenhum deles olha para a lógica da aplicação • .

A Realidade: Segurança e gastos estão desequilibrados Segurança % de Ataques Aplicações Web Gastos % (US$ Dollars) 10% 10% 75% 75% 90% 90% Rede Servidor 25% 25% 75% 2/3 de todos os ataques são direcionados à camada de aplicação web de todas as aplicações web estão vulneráveis .

É assim que uma aplicação parece para um hacker X-Site Scripting Malicious File Execution Injection Flaws Cross Site Request Forgery Insecure Direct Object Reference .

Demonstrações .

#1 – Cross Site Scripting (XSS) • O que é? – Script malicioso ecoado de volta. embutido no código HTML retornado de um site confiável • Quais são as implicações? – Sequestro de sessões – Atacantes podem executar scripts no navegador da vítima – Conteúdo da pagina comprometido – Introduzir worms .

com utiliza as Informações de sessão para fingir ser o usuário 4) O script envia informações de sessão e cookies sem que o usuário perceba usuário (linux vmware) altoromutual.com (outro notebook) 2) O usuário envia o script como dados 3) O script é executado pelo browser .#1 – Cross Site Scripting (XSS) evilsite.com é enviado ao usuário por E-mail ou HTTP 5) evilsite.com (meu notebook) 1) O Link para o altoromutual.

• Hacker: – envia o parâmetro id com o valor ‘ or ‘1’=‘1 • Como é executado o comando no servidor: – select * from products where id=‘’ or ‘1’=‘1’ • Quais são os resultados? – Todos os produtos são exibidos .#2 – SQL Injection (Injection Flaws) • O que é? – Entrada do usuário inserida em comandos SQL – Informação maliciosa fornecida pelo atacante engana o interpretador • Buscar os detalhes do produto por ID: – select * from products where id=‘$REQUEST[“id”]’.

como cookies e sessões – Possibilidade de executar transações entre sites os quais o usuário esteja autenticado – Risco se agrava quando o tempo de expiração de sessão é muito longo .#3 – Cross Site Request Forgery (CSRF) • O que é? – Transmite e executa comandos maliciosos entre sites sem que o usuário perceba • Quais são as implicações? – Roubo de informações do usuário.

IBM Rational AppScan .

será que realmente estamos seguros? • Ainda que esteja seguro hoje. • O que os desenvolvedores e testadores da minha organização sabem sobre segurança da informação? • Eles têm meios de prevenir vulnerabilidades? • Apesar de nosso investimento em segurança de rede. tenho como garantir que não haverá falhas de segurança no futuro? ...Pergunte-se.

Qualidade e Conformidade de Segurança. Qualidade e Conformidade de Aplicações WEB Aplicações WEB .Introduzindo IBM Rational AppScan Soluções para testes de vulnerabilidade e conformidade de aplicações Web ajuda a empresa a reduzir riscos e custos associados à falhas de segurança e inconformidades Security Privacy Quality Standards Compliance Segurança.

Segurança: Parte do Cliclo de Vida SDLC Código Build QA Segurança Guiar a o desenvolvimento para garantir a segurança Produção Developers Developers Garantir que as vulnerabilidades foram sanadas Developers Prover os testadores e desenvolvedores com habilidade de detectar e remediar falhas .

O que o AppScan testa? Web Applications Third-party Components AppScan Web Server Configuration Web Server Database Applications Operating System Network .

Demonstração .

Menos Custo. Mais Cobertura Segurança Externa Internal Tática Custo por Aplicação Testada Operacionalizada Estrategicamente 0% 25% 50% 75% 100% Cobertura das Aplicações .

iss.watchfire.com ISS Internet Security Systems – http://www. – http://www.org Watchfire Web Site: referências.Muito Obrigado! SEGURANÇA NÃO É UM EVENTO ÚNICO • OWASP: How to build.net • • .owasp. white-papers. design and test the security of web applications and web services. demonstrações e trials – http://www.