Presentación Seguridad en Aplicaciones Web

Seguridad en Aplicaciones Web

Seguridaden

Aplicaciones Web


Fabian Portantier

Consultor en Seguridad Informática

Instructor y Escritor sobre el tema

Coordinador de la Carrera de Seguridad

www.portantier.com


Aplicaciones Web Actuales

Cada vez más complejas

Muchas tecnologías diferentes

Más críticas para el negocio


Tecnologías Web

HTML5, CSS3, JavaScript

SQL, NoSQL

PHP, Java, .Net

WebServer, S.O, Hardware


OWASP Top 10 2013


“Diez vulnerabilidadesNO requieren diez

medidas de seguridad”


Validación de Entrada

Diferenciar Datos Fiables de NoFiables

Definir los tipos de datos esperados

Validar que cumplan con los requisitos

Filtrar los datos que no los cumplan


Validación de Entrada: Datos Fiables vs NoFiables

Fiables: Totalmente controlados por la aplicación, no pueden ser manipulados por ninguna entidad externa.

NoFiables: Todos los otros datos.


Validación de Entrada:Tipos de Dato Esperados

Direcciones de eMail

Números de Teléfono

Archivos de Imagen

Texto Libre

etc...


Validación de Entrada:Filtrado de Datos

Muchas librerías disponibles

Java OWASP ESAPI

PHP Filters

Librerías propias (último recurso!)


Validación de Entrada:PHP Filters

if(filter_var($email, FILTER_VALIDATE_EMAIL)){ echo “OK”;}else{ echo “ERROR”;}


Validación de Entrada: PHP Filters

Filtros: Indican si un valor cumple con ciertos criterios (ej.: Dirección de eMail válida)

Saneadores: Modifican los valores para ajustarlos a ciertos criterios (ej.: Escapar caracteres especiales HTML)


Validación de Entrada:Vulnerabilidades Asociadas

A1: Inyección (SQL, LDAP, Comandos, etc)

A3: CrossSite Scripting (XSS)

A10: Redirecciones y Reenvíos no validados


Validación de Acciones

Verificar la integridad de los datos (y sesiones)

Verificar el acceso a los datos de la aplicación

Verificar las peticiones realizadas por los usuarios


Validación de Acciones:Integridad de Sesiones

¿Desde qué IP o zona fue iniciada?

¿Qué navegador se utilizó para iniciarla?

Expirar sesiones (y no permitir simultáneas)

Usar identificadores únicos e irrepetibles


Validación de Acciones:Acceso a Datos

Establecer un único canal de acceso a los datos

Verificar que el usuario tenga permisos de acceso


Validación de Acciones:Peticiones de Usuario

Controlar el acceso a las funciones

Comprobar permisos de usuario

Comprobar acciones “personales” (ej. PassReset)


Validación de Acciones:Vulnerabilidades Asociadas

A2: Pérdida de autentic. y gestión de sesiones

A4: Referencia directa insegura a objetos

A6: Exposición de datos sensibles

A7: Ausencia de control de acceso a funciones

A8: Falsific. de petic. en sitios cruzados (CSRF)


Gestión de Cambios

Documentar los cambios de configuración

Configurar en base a mejores prácticas

Aplicar actualizaciones a todos los componentes


Gestión de Cambios:Documentar Cambios

Pequeños cambios pueden tener grandes efectos

Es una tarea “poco feliz”, pero necesaria

Excluyente en entornos con más de un SysAdmin


Gestión de Cambios:Seguir las Mejores Prácticas

Bien probadas y documentadas

Desarrolladas por personas muy capacitadas

Facilitan la solución de problemas


Gestión de Cambios:Aplicación de Parches

Mejora la estabilidad de los sistemas

Nos protege contra vulnerabilidades conocidas

Evita que los sistemas queden obsoletos


Gestión de Cambios:Vulnerabilidades Relacionadas

A5: Configuración de Seguridad Incorrecta

A9: Uso de componentes con vulnerab conocidas


Denegación de Servicio

Simples (DoS)

Distribuídos (DDoS)

Relativamente fáciles de realizar


Denegación de Servicio


Denegación de Servicio:Infraestructuras Distribuídas


Herramientas de Auditoría

Simplifican el proceso de auditoría

Permiten reportar fácilmente a la gerencia

No requieren grandes conocimientos


Herramientas de Auditoría:Zed Attack Proxy (ZAP)

Open Source

Multiplataforma (Java)

Desarrollado por OWASP

Fácil de Utilizar

Super Potente


Herramientas de Auditoría:Zed Attack Proxy (ZAP)


Herramientas de Auditoría:Algunas de las Mejores

BurpSuite (www.portswigger.net)

Vega (www.subgraph.com)

Arachni (www.arachniscanner.com)


Filtrado Dinámico de Tráfico

Intrusion Prevention Systems (IPS)

Threat Intelligence

Web Application Firewalls


Filtrado Dinámico de TráficoIntrusion Prevention Systems

Reglas de firewall en base al tráfico habitual

Bloqueo de violaciones a los protocolos

Detección de ataques en base a firmas


Filtrado Dinámico de TráficoThreat Intelligence

Actualiza los Firewalls e IPS automáticamente

Toma como fuente ataques globales

Trabajan de forma colaborativa


Filtrado Dinámico de TráficoWeb Application Firewalls

Dedicados a las aplicaciones web

Bloquean ataques conocidos y nuevos

Fáciles de implementar (si, fáciles)


Web Application FirewallsAnálisis ZAP (On / Off)


Web Application FirewallsAnálisis Vega (On / Off)


Filtrado Dinámico de TráficoHerramientas Recomendas

Firewall: IPTables

IDS/IPS: Snort / Suricata

WAF: ModSecurity + ModEvasive

Threat Intelligence: Emerging Threats


Desarrollo Seguro

Seguridad en el proceso de desarrollo

Capacitación a los desarrolladores

Entender que es tiempo INVERTIDO


Desarrollo Seguro:OWASP Development Guide

Recurso fundamental sobre el tema

Acceso Gratuito

Version en Español


Desarrollo Seguro:Vulnerabilidades Asociadas

A1: Inyección (SQL, LDAP, Comandos, etc)A2: Pérdida de autentic. y gestión de sesionesA3: CrossSite Scripting (XSS)A4: Referencia directa insegura a objetosA6: Exposición de datos sensiblesA7: Ausencia de control de acceso a funcionesA8: Falsific. de petic. en sitios cruzados (CSRF)A10: Redirecciones y Reenvíos no validados


¿Preguntas?


MUCHAS GRACIAS!Fabian PortantierCoordinador Carrera Seguridad Informática

[email protected]

Argentina, Capital Federal(54) (011) 43280457

Todas las marcas y logos utilizados en la presentación son propiedad de sus respectivos propietarios

Documents

Presentación Seguridad en Aplicaciones Web