Você está na página 1de 32

OWASP TOP 10

Vulnerabilidades de Aplicaes Web

Leonardo Cavallari leonardocavalalri@gmail.com

OWASP

Marcos Aurlio Rodrigues deigratia33@gmail.com


Copyright 2007 The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.

The OWASP Foundation


http://www.owasp.org

AGENDA
Introduo Conceitos e Notcias Principais Vulnerabilidades Exploradas Exemplos Material de pesquisa

2008

2 OWASP

Introduo Conceitos e Notcias


Informao: Pode ser considerada um ativo crtico e cada vez mais valorizado em uma empresa. Segurana da Informao: Implantar mecanismos de segurana possibilitando que a organizao alcance metas e objetivos de negcios, levando em considerao as ameaas relacionadas ao uso de sistemas de informao.

2008

3 OWASP

Introduo Conceitos e Notcias


Ameaas: Agentes ou condies capazes de explorar vulnerabilidades em um ambiente colocando em risco a segurana das informaes, resultando em perda de confidencialidade, integridade e disponibilidade. Vulnerabilidades: Falha de projeto, implementao ou configurao de um
Cert.br Cartilha de Segurana

software ou sistema operacional que quando explorada por um atacante, resulta na violao da segurana de um computador.

2008

4 OWASP

Introduo Conceitos e Notcias


Ataques: Explorao bem ou mal sucedida de vulnerabilidades, que possam colocar em risco a confidencialidade, integridade e disponibilidade da informao.

2008

5 OWASP

Introduo Conceitos e Notcias


Notcias:

10% das aplicaes web esto seguras


(fonte: Imperva.com)

Relatrio indica que 90% das aplicaes para Web so vulnerveis


(fonte:IDGNOW- nov2007)

WhiteHat finds nine out of 10 websites still have serious vulnerabilities that attackers can exploit; and that there is an average of seven vulnerabilities per website.
(fonte: NetSecurity.org- maro 2008)

2008

6 OWASP

Introduo Conceitos e Notcias


OPEN WEB APPLICATION SECURITY PROJECT (OWASP):

Comunidade mundial livre e aberta empenhada em melhorar a segurana de aplicaes.


Projetos: Testing Guide Code Review Top 10 CLASP Temporadas de projetos

Participem!!!
http://www.owasp.org http://www.owasp.org/index.php/Brazilian
2008
7 OWASP

PRINCIPAIS VULNERABILIDADES
TOP 10 2007 OWASP
http://www.owasp.org/index.php/Top_10

2008

8 OWASP

Panorama TOP 10

2008

9 OWASP

PRINCIPAIS VULNERABILIDADES
1.
2. 3. 4.

5.
6. 7. 8. 9. 10.

Cross Site Scripting(XSS); Falhas de Injeo; Execuo Maliciosa de Arquivo; Referncia Insegura Direta a Objeto; Cross Site Request Forgery (CSRF); Vazamento de informaes e tratamento de erros inapropriado; Furo de autenticao e Gerncia de sesso; Armazenamento Criptogrfico Inseguro; Comunicaes Inseguras; Falha ao Restringir Acesso Urls.

2008

10 OWASP

1. Cross Site Scripting(XSS)


Descrio: Conhecido como XSS, ocorre quando uma aplicao recebe os dados do usurio e os envia de volta ao navegador sem realizar validao ou codificao dos dados. Permite execuo de cdigos/scripts arbitrrios. Conseqncias: Roubo e/ou adulterao de sesso; defacement de sites; ataques de phishing; insero de cdigo malicioso; permite ao atacante controle do navegador do usurio (utilizando malware).
2008
11 OWASP

1 . Cross Site Scripting(XSS)


Proteo:
Combinao de validao dos dados de entrada por whitelist tamanho, tipo, sintaxe e regra de negcio; No usar validao baseada em blacklist; Codificao dos dados de output

2008

12 OWASP

2. Falhas de Injeo
Descrio: Falhas de injeo de cdigos so comuns em aplicaes Web, particularmente o SQL Injection. Estas falhas ocorrem quando dados fornecidos nos campos de entrada so interpretados como parte de comandos ou consultas. Conseqncias: Permite que um atacante acesse a base de dados da aplicao e execute consultas arbitrrias

2008

13 OWASP

2. Falhas de Injeo
executeQuery("SELECT * FROM usuarios WHERE username = '" + username + "' AND senha = '" + senha + "')

Proteo:

Validao dos dados de entrada; Tratar erros da aplicao e do banco de dados Implementao Least Privilege Cuidado com as Stored Procedures

2008

14 OWASP

3. Execuo Maliciosa de Arquivo


Descrio: Muitas aplicaes permitem a utilizao de referncia a objetos externos, desde URLs ou sistemas de arquivos. Quando os dados so verificados de forma insuficiente, essa falha pode permitir que a aplicao processe ou invoque algum tipo de cdigo arbitrrio.
include $_REQUEST['filename];

Conseqncias: Execuo de cdigo remoto. Instalao remota de cdigo malicioso.


2008
15 OWASP

3. Execuo Maliciosa de Arquivo


Proteo:
No permitir que usurios possam definir nomes de arquivos armazenados no servidor Implantar mecanismos de validao Adicionar regras de proteo no firewall (prevenindo que os servidores acessem conexes a sites Web externos);

2008

16 OWASP

4. Referncia Insegura a Objeto Direto


Descrio: Ocorre quando um objeto referenciado de forma direta, sem utilizar qualquer tipo de proteo. Objeto neste caso pode ser entendido como um arquivo de sistema ou banco de dados, diretrios ou chaves, utilizadas em URLs ou como parmetros de formulrio. www.teste.com/files/arquivo1.pdf Conseqncias: Alterao de contedo de variveis. Acesso a informaes sigilosas como diretrio e contedos de arquivos.
17 OWASP

2008

4. Referncia Insegura a Objeto Direto


Proteo:

Evitar a exposio de objetos privados a usurios finais; Validar qualquer entrada que referencie objetos privados; Verificar os nveis de autorizao de acesso aos objetos. www.teste.com/files.php?id=10

2008

18 OWASP

5. Cross Site Request Forgery (CSRF)


Descrio:
O ataque consiste em forar a vtima logada no sistema a enviar requisies a uma aplicao vulnervel, realizando operaes sem o conhecimento da vtima. Conseqncias: Aes realizadas com a participao da vtima porm sem seu conhecimento.

2008

19 OWASP

5. Cross Site Request Forgery (CSRF)


Proteo:
Certifique-se de que no h vulnerabilidades XSS em sua aplicao; Gerao de token (session ID) de forma randmica; Para transaes sensveis, implementar medidas de segurana de forma que cada pgina seja autenticada; No utilizar mtodo GET para realizar requisies (URL) de dados sensveis ou realizar transaes.

2008

20 OWASP

6. Vazamento de informaes e tratamento de erros inapropriado


Descrio:
Essa falha permite que informaes como configurao, tecnologia utilizada e tarefas internas sejam expostas

Conseqncias: O atacante pode utilizar essas informaes para preparar um ataque mais preciso.

2008

21 OWASP

6. Vazamento de informaes e tratamento de erros inapropriado


Proteo: Durante o desenvolvimento da aplicao necessrio certificar se todas as mensagens de erros esto sendo tratadas corretamente; Desabilitar ou limitar mensagem de erro detalhada; Criar mensagens genricas para serem retornadas quando ocorrer um erro na aplicao.

2008

22 OWASP

7. Furo de autenticao e Gerncia de sesso


Descrio: Autenticao apropriada e gerenciamento de sesso so mecanismos crticos para a segurana de aplicaes Web. Apesar disso, comum encontrar falhas nesses mecanismos, que podem colocar em risco as credenciais utilizadas pelos usurios ou Session IDs (tokens). Conseqncias: Burlando os mecanismos de autenticao e de gerenciamento possvel ter acesso privilegiado na aplicao: Acesso no-autorizado Roubo de sesso
2008
23 OWASP

7. Furo de autenticao e Gerncia de sesso


Proteo:
No aceitar identificadores de sesso pr-definidos ou que possam ser reutilizados. Eliminar ou invalidar os cookies de sesso aps a utilizao; Utilizar mecanismos de validao apropriada, levando em considerao nmero de fatores e a complexidade exigida nos campos de entrada da aplicao. Verificar se as funes de logout e timeout foram implementadas corretamente; No permitir que arquivos de logs armazenem credenciais de acesso e session ID.

2008

24 OWASP

8. Armazenamento Criptogrfico Inseguro


Descrio: Falhas de implementao de mecanismos de criptografia podem colocar em risco as informaes armazenadas. Podem ser consideradas vulnerabilidades: a utilizao de cifragem fraca, tamanho de chave criptogrfica inadequado ou erros ao utilizar cifragem forte. Conseqncias: Um atacante pode aproveitar essa vulnerabilidade e tentar obter acesso aos contedos de dados sensveis aplicao.

2008

25 OWASP

8. Armazenamento Criptogrfico Inseguro


Proteo:

Utilizar algoritmos reconhecidos: No implemente seus algortmos em produo;

No utilizar algoritmos fracos: RC3, RC4, MD5; Nunca transmitir chaves por canais inseguros; Certificar que dados criptografados armazenados em discos no possam facilmente decriptados.

2008

26 OWASP

9. Comunicaes Inseguras
Descrio: Informaes sensveis devem ser transmitidas em canais seguros utilizando SSL/TLS. Caso contrrio, sero enviadas em texto plano e podem ser capturadas por pessoas malintencionadas. Conseqncias: Um atacante pode utilizar um sniffer e obter acesso a cookies/sessionID, credenciais e outras informaes crticas ao negcio.

2008

27 OWASP

9. Comunicaes Inseguras
Proteo: Utilizar SSL para conexes que utilizem mecanismo de autenticao ou transmitam dados sensveis; Certificar que a comunicao na infra-estrutura interna est sendo feita de maneira correta.

2008

28 OWASP

10. Falha ao Restringir Acesso Urls


Descrio: Essa falha permite que usurios no autorizados acessem pginas restritas da aplicao. Conseqncias:

Caso um mecanismo de controle de acesso no seja implementado de forma adequada, possvel que um usurio tenha acesso a pginas ou informaes que no deveriam ser permitidas.

2008

29 OWASP

10. Falha ao Restringir Acesso Urls


Proteo: Implementar controles de acessos, adequados a lgica de negcio e funes da aplicao; Realizar testes de penetrao; Bloquear acesso a tipos de arquivos que no so utilizados pela aplicao; No utilizar tcnicas de URL ou campos escondidos para proteger a aplicao.

2008

30 OWASP

Material de Estudo
Alguns sites que contm material de estudo: OWASP. org www.owasp.org Foudstone www.foudstone.com; CWE cwe.mitre.org WASC Threat Classification www.webappsec.org; Ha.ckers ha.ckers.org Fortify www.fortify.com

Top Ten http://www.owasp.org/index.php/Top_10_2007

2008

31 OWASP

Obrigado pela ateno!


Leonardo Cavallari leonardo@evaltec.com.br
Marcos Aurlio Rodrigues mrodrigues@brc.com.br

E-VAL Tecnologia www.evaltec.com.br

BRconnection www.brc.com.br

OWASP