Upload
alejandro-ramos
View
3.446
Download
4
Embed Size (px)
Citation preview
UCA – Noviembre 2009 securitybydefault.com
SbD
Seguridad Web
Firefox y OWASP Top10
(2010RC1)
Alejandro Ramos
CISSP, CISA
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
• Open Web Application Security Project
• Comunidad mundial abierta (130 capítulos)
• Mejora de la seguridad de apps
• Sin ánimo de lucro
• Desarrollo de herramientas, documentación, estudios
• Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10
OWASP
http://www.owasp.org
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Owasp TOP10 2010 (RC1)
• 10 riesgos más importantes.
• Versión anterior de 2007 (2003, 2004)
• HOT! HOT! Liberada el 13 de noviembre en OWASP AppSec DC.
• WARNING: los riesgos no solo se limitan a 10!
A1 – Injection
A2 – Cross Site Scripting (XSS)
A3 – Broken Authentication and Session Management
A4 – Insecure Direct Object References
A5 – Cross Site Request Forgery (CSRF)
A6 – Security Misconfiguration (NEW)
A7 – Failure to Restrict URL Access
A8 – Unvalidated Redirects and Forwards (NEW)
A9 – Insecure Cryptographic Storage
A10 – Insufficient Transport Layer Protection
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
¿ Firefox?
• Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos• Multiplataforma• Motor de renderizado “Gecko”• Soporte de extensiones
Securityb
yDefault.com
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
FFHardener 1.1
• Criptografía:
– Impide el uso del algoritmo RC4 en sesiones SSL
– Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128)
• JavaScript:
– Impide modificación del aspecto de Firefox
– Deshabilita capacidades de JS potencialmente inseguras
• Privacidad:
– Elimina el historial de navegación
– Borra la caché de paginas web visitadas
http://code.google.com/p/sbdtools/downloads/list
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Perfiles
• Firefox admite el uso de varios perfiles
• Las extensiones consumen recursos (…demasiados…)
• Útil para no sobrecargar el navegador
• Con Firefox cerrado: Firefox –Profile (-P)
http://support.mozilla.com/es/kb/Managing+profiles
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
FireCat
• Febrero 2007: “Turning Firefox to an ethical hacking platform”
• Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web
• Compuesta por más de 40 utilidades (demasiadas…)
• Mantenida por Security-Database.com
http://www.security-database.com/toolswatch/FireCAT-1-5-released.html
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Instalación de extensiones
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A1.- INJECTION
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A1.- Injection
• Explota una aplicación que construye unaconsulta con los datos introducidos por elusuario sin previa validación, modificando lalógica de la aplicación.
• Mediante SQL, OS Shell, LDAP, XPATH, etc
• Muchas aplicaciones actualmente vulnerables
• Impacto: lectura/escritura completa de unabase de datos, ejecución de comandos, acceso acredenciales.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
SQL Inject-Me
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Tamper Data
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A1 – Injection - Contramedidas
• Recomendaciones
– Utilizar un API segura de validación de datos mediante parámetros
– Escapar caracteres siguiendo rutinas como ESAPI de OWASP
– Uso de listas blancas
• Referencias
– http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A2.- CROSS SITE SCRIPTING
(XSS)
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A2.- Cross Site Scripting
• Inserción de código en la página generada poruna aplicación web.
• Falta de validación de datos introducidos por elusuario.
• Reflejados o almacenados en bbdd
• Impacto: permite el control total delnavegador, robo de sesiones, redirección a otraspáginas.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
XSS Me
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
HackBar
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A2 – Cross Site Scripting - Contramedidas
• Recomendaciones
– No mostrar contenido generado con los datos introducidos por el usuario.
– Codificar los datos de entrada (escapar). EjOWASP-ESAPI.
– Uso de validación mediante listas blancas.
• Referencias
– http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A3.- BROKEN
AUTHENTICATION AND
SESSION MANGEMENT
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A3.- Broken Authentication and session mangement
• Incorrecta gestión de funciones deautenticación como: recordar contraseña,desconectar, recuperar contraseña, preguntasecreta.
• Ataques de fuerza bruta, enumeración deusuarios, predicción de sesiones, etc.
• Impacto: robo de credenciales, suplantación deidentidad
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
iMacros
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Add ‘n’ Edit Cookies
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
LiveHTTPHeaders
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A3 – Broken Authentication and Session Mangement -
Contramedidas
• Recomendaciones
– Simplificar proceso de autenticación
– Uso de la sesión estándar del sistema. EjJSESSIONID
– Uso de SSL en cada vez que se transmita la sesión
• Verificaciones
– No existen herramientas automáticas.
– Verificación del certificado SSL
– Comprobación de las funciones de autenticación
– Verificar que la función “desconectar”, destruye la sesión
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A4.- INSECURE DIRECT
OBJECT REFERENCES
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A4.- Insecure Direct Object References
• Denominado “control de acceso en la capa depresentación”.
• No mostrar información que realmente estápublicada (mediante la falta de referencias)
• Similar a A7 (Failure to Restrict URL Access)
• Impacto: acceso a recursos confidenciales,información sensible o datos personales.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Unlinker
•También A6 Security Misconfiguration•Ejemplos aproximados …por eso de ver la extensión…
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
RefControl
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A4 – Insecure Direct Object References - Contramedidas
• Recomendaciones
– Mapeo de valores de la URL. Ej:
• &download=1 -> &download=34cb04e932
• &download=2 -> &download=48add501ef
• Validaciones
– Verificar que el valor es correcto
– Comprobar que el usuario tiene permiso sobre el recurso
– Verificar el tipo de permiso (lectura, escritura, borrado)
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A5.- CROSS SITE REQUEST
FORGERY
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A5.- Cross Site Request Forgery
• Un usuario es engañado para pulsar sobre unenlace web.
• Este ejecuta una acción en esa web utilizandolas credenciales de su usuario (session, IP,dominio de windows, etc)
• Impacto: común para transferencias bancarias,acceder información confidencial, cambio de losdetalles de una cuenta, etcétera
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Ejemplo CSRF
• Una trasferencia bancaria se realiza mediante la petición:
– http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn
• Si el enlace es pulsado sin autenticación, la aplicación mostrará un error.
• Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A5.- Cross Site Request Forgery - Contramedidas
• Recomendaciones
– Añadir un token a todas las URLs que ejecuten funciones
– El token ha de ser generado criptográficamente con un algoritmo seguro
– ¡OJO!: el token no debe mostrarse en la cabecera “Referer”
-En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn&token=adf02e764f
http://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A6.- SECURITY
MISCONFIGURATION
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A6.- Security Misconfiguration
• Errores en configuraciones por defecto.
• Sistemas Operativos y Servicios no fortificados.
• Falta de otros elementos de seguridad (firewalls,ids/ips, segmentación de red)
• Impacto: acceso completo al sistema, lecturade ficheros o configuraciones.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
EXIF Viewer
•Realmente “Information Leakage”, no está en Top10-2010
Pero queremos ver a ¡¡¡ Cat Schwartz !!!
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A6.- Security Misconfiguration - Contramedidas
• Recomendaciones
– Implantar guía de seguridad (fortificación)
– Contemplar todos los elementos: ssoo, servicios, elementos de red
– Contemplar la seguridad cuando se hagan cambios en la arquitectura
• Validaciones
– Verificar configuraciones
– Chequear niveles de parcheado
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A7.- FAILURE TO RESTRICT
URL ACCESS
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A7.- Failure to Restrict URL Access
• Acceso a funciones de la aplicación de distintosroles:
• www.url.com/listusers.jsp (rol 1)
• www.url.com/adduser.jsp?user=aramosf (rol 2)
• Impacto: acceso a información, funciones yservicios para los que no se dispone depermisos.
• Escalada de privilegios (Usuarios anónimos azonas que requieren credenciales)
• Escalada de privilegios horizontal
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
User-Agent Switcher
•Una demo un poco justa…
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A7.- Failure To Restrict URL Access - Contramedidas
• Recomendaciones para cada URL:
– Verificar el rol en la sesión, pero no en un parámetro de la sesión
– No basar la seguridad en ocultar enlaces de los menús.
• Validaciones
– Comprobaciones manuales
– Verificar el acceso a ficheros no autorizados
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A8.- UNVALIDATED
REDIRECTS AND FORWARDS
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A8.- Unvalidated Redirects And Forwards
• Redirección de una zona de la aplicación a otramediante un parámetro de la URL.
• Si el parámetro no es validado se podría redirigiral usuario a una página externa.
• Impacto: redirección a una página de malwareo phishing.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
LiveHTTPHeaders
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A8.- Unvalidated Redirects and Forwards - Contramedidas
• Recomendaciones
– Eliminar siempre que se puedan las redirecciones
– Si se usan, NO utilizar parámetros introducidos por el usuario
– En el peor de los casos: validación de los parámetros
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A9.- INSECURE
CRYPTOGRAPHIC STORAGE
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A9.- Insecure Cryptographic Storage
• Incorrecta identificación y gestión de lainformación sensible y donde se almacena.
• Impacto: acceso y modificación de informaciónconfidencial
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
SWF Catcher
•Otra demo un agarradita por los pelos …
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Decompilación y análisis de SWF
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A9.- Insecure Cryptographic Storage - Contramedidas
• Recomendaciones
– Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad.
– Selección de un algoritmo de cifrado seguro.
• Validaciones
– Rotación de claves periódica.
– Almacén seguro de las claves.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A10.- INSUFFICIENT TRANSPORT
LAYER PROTECTION
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A10.- Insufficient Transport Layer Protection
• Identificación incorrecta de los puntos desde losque se transmite información sensible: entresistemas internos, bases de datos,proveedores/clientes.
• Impacto: acceso y modificación de datossensible
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Cookie Security Inspector
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
A10.- Insufficient Transport Layer - Contramedidas
• Recomendaciones
– Uso de TLS en las conexiones
– Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature
– Deshabilitar algoritmos antiguos de SSL
– Gestión correcta de certificados/contraseñas
• Referencias
http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
OBTENCIÓN DE EVIDENCIAS
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
Obtención de Evidencias
• Cada hallazgo durante el análisis debe quedarregistrado y evidenciado
• Mediante capturas de pantalla
• O videos con el proceso de detección yexplotación de la vulnerabilidad.
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
FireShot
Seguridad Web OWASP y Firefox
UCA – Nov09SbD
CaptureFox
Seguridad Web OWASP y Firefox
UCA – Nov09SbD