Upload
vudung
View
217
Download
0
Embed Size (px)
Citation preview
Segu-Info &
ArtsSEC
Introducción a
OWASP TOP Ten 2017
Segu-Info &
ArtsSEC
Quiénes
somos?
@maxisoler
Maxi Soler
@artsweb
Marcos
García
@seguinfo
Cristian Borghello
OWASP
¿Qué es
OWASP?
Open Web Application
Security Project.
ONG que proporciona
recursos gratuitos para la
comunidad.
● guías de desarrollo
seguro,
● guías de pruebas de
seguridad,
● herramientas
OWASP Top Ten
¿Qué es el
OWASP TOP
Ten?
Es un documento de los
diez riesgos de seguridad
más importantes en
aplicaciones web según la
organización OWASP.
Evolución y Diferencias
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
Comparativa 2013 vs 2017
A1
Injection
Las fallas de inyección,
tales como SQL, OS, y
LDAP, ocurren cuando datos
no confiables son enviados
a un intérprete como parte
de un comando o consulta.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A1. InjectionRecomendaciones:
● Siempre desconfiar de las entradas y salidas.
● Usar variables parametrizadas en todas las sentencias preparadas.
● Procedimientos almacenados.
● Evitar consultas dinámicas.
A2
Broken
Authentication
Las funciones relacionadas
a autenticación y gestión
de sesiones a veces se
implementan de forma
errónea, permitiendo a los
atacantes comprometer
datos sensibles y asumir
la identidad de otros
usuarios.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A2. Broken Authentication
Recomendaciones:
● Evitar exponer sesiones de usuarios.
● Transmitir datos de sesión de forma segura.
● Almacenar de forma segura las contraseñas (HASH o Cifradas)
● Utilizar un único conjunto de autenticación y gestión de sesiones fuerte.
● Leer Application Security Verification Standard (ASVS) de OWASP.
A3
Sensitive Data
Exposure
Muchas aplicaciones Web no
protegen adecuadamente
datos sensibles. Estos
requieren de métodos de
protección adicionales
tales como el cifrado y
precauciones especiales en
un intercambio de datos
con el navegador.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A3. Sensitive Data ExposureRecomendaciones:
● Jamás almacenar en texto plano.
● Jamás transmitir en texto plano.
● Utilizar algoritmos estandarizados altos.
● Generar y rotar claves de forma periódica.
● No almacenar datos sensibles innecesariamente.
A4
XML External
Entities (XXE)
Los atacantes pueden
explotar XML vulnerable si
pueden cargar XML o
incluir contenido
malicioso en un documento
XML, a través de código
vulnerable, dependencias o
integraciones.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A4. XML External Entities (XXE)
Recomendaciones:
● Validar y definir las entidades XML.
● Evitar serializar datos confidenciales.
● Actualizar los procesadores XML y bibliotecas.
● Utilizar herramientas SAST y verificaciones manuales.
A5
Broken
Access
Control
La mayoría de las
aplicaciones Web verifican
los privilegios de acceso
a nivel de función antes
de hacer visible las
funcionalidades en la
interfaz de usuario.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A5. Broken Access Control
Recomendaciones:
● Denegar de manera predeterminada.
● Implementar mecanismos de acceso único y por registro.
● Restringir la manipulación de datos de sesión.
● Deshabilitar el listado de directorios.
● Registrar errores de control de acceso.
A6
Security
Misconfigurati
on
Un atacante se aprovecha
de errores de
configuración para obtener
acceso no autorizado o
conocimiento del sistema.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A6. Security Misconfiguration
Recomendaciones:
● Actualizar software y sistema operativo.
● Deshabilitar características y funcionalidades innecesarias.
● Configurar de forma segura los frameworks de desarrollo.
● Utilizar una arquitectura fuerte de aplicación, con división de componentes.
● Manejar de forma correcta los errores.
A7
Cross-Site
Scripting
(XSS)
El atacante envía texto
que son secuencias de
comandos de ataque que
explotan el intérprete del
navegador.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A7. Cross-Site Scripting (XSS)
Recomendaciones:
● Codificar y validar todas las entradas y salidas.
● Utilizar la política de CSP (Content-Security-Policy).
● Implementar flags de Seguridad en las Cookies.
● Reutilizar librerías para proteger las aplicaciones de XSS.
● Evitar utilizar listas blancas.
A8
Insecure
Deserialization
La explotación de la
deserialización es algo
difícil, explotaciones de
estas vulnerabilidades
raramente funcionan sin
modificar el código del
exploit.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A8. Insecure Deserialization
Recomendaciones:
● No aceptar objetos serializados de fuentes no confiables.
● Aplicar restricciones estrictas durante la deserialización.
● Implementar comprobaciones de integridad en cualquier objeto serializado.
● Registrar excepciones y fallas de deserialización.
● Restringir o monitorear la conectividad de red entrante y saliente.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
Escenario #1: Un foro de PHP utiliza la serialización de objetos PHP para guardar una "super" cookie, que contiene
el ID de usuario, el rol, el hash de contraseña y otro estado del usuario:
a:4:{i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}
Un atacante cambia el objeto serializado para otorgarse privilegios de administrador:
a:4:{i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}
A8. Insecure Deserialization
A9
Using
Components
with Known
Vulnerabilities
El atacante identifica un
componente débil a través
de escaneos automáticos o
análisis manuales.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A9. Using Components with Known
Vulnerabilities
Recomendaciones:
● Identificar todos los componentes y la versión que se utilizan.
● Revisar la seguridad de los componentes en bases de datos públicas, listas de correo, etc.
● Deshabilitar funcionalidades no utilizadas.
● Escanear con frecuencia los diferentes componentes y aplicaciones.
● Establecer políticas de seguridad que regulen el uso de componentes.
A10
Insufficient
Logging &
Monitoring
La explotación de falta de
monitoreo y logging es la
base de casi todos los
incidentes importante.
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
A10. Insufficient Logging & Monitoring
Recomendaciones:
● Registrar inicios de sesión válidos, fallidos, transaccionales, entre otros.
● Supervisar registros de aplicaciones y APIs.
● Establecer un monitoreo y alerta efectiva, las actividades sospechosas sean detectadas y respondidas rápidamente.
● Determinar umbrales apropiados de alertas y procesos de escalamiento.
● Establecer o adoptar un plan de respuesta y recuperación antes incidentes.
Referencias
Introducción OWASP Top Ten 2017 - Tactical Edge @ Bogotá, Colombia
Segu-Info & ArtsSEC
OWASP Top 10 Most Critical Web Application Security Risks
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
CWE/SANS Top 25 Most Dangerous Software Errors
http://cwe.mitre.org/top25/
OWASP Testing Guide v4
https://www.owasp.org/index.php/OWASP_Testing_Project
OWASP Mutillidae II
https://sourceforge.net/projects/mutillidae/
OWASP Mutillidae II (Docker)
https://hub.docker.com/r/citizenstig/nowasp/
Burp Suite - Community Edition
https://portswigger.net/burp/communitydownload
Referencias
Preguntas?
Segu-Info &
ArtsSEC
Muchas
gracias!
@maxisoler
Maxi Soler
@artsweb
Marcos
García
@seguinfo
Cristian
Borghello