La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.

Publicada porAbrahán Cristo Modificado hace 9 años

Presentaciones similares

Presentación del tema: "TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA."— Transcripción de la presentación:

1 TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA

2 AGENTES DE AMENAZA Considerar los tipos de usuarios en su sistema. ¿Existen usuarios que tengan únicamente acceso parcial a determinados tipos de datos del sistema?

3 REFERENCIA DIRECTA INSEGURA A OBJETOS Una referencia directa a objetos ocurre cuando un desarrollador expone una referencia a un objeto de implementación interno, tal como un fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra protección, los atacantes pueden manipular estas referencias para acceder datos no autorizados.

4 EXPLOTACION FACIL Un atacante, como usuario autorizado en el sistema, simplemente modifica el valor de un parámetro que se refiere directamente a un objeto del sistema a otro objeto para el que el usuario no se encuentra autorizado.? ¿Se concede el acceso.

5 DEFICIENCIAS DE SEGURIDAD Normalmente, las aplicaciones utilizan el nombre o clave actual de un objeto cuando se generan las páginas web. Las aplicaciones no siempre verifican que el usuario tiene autorización sobre el objetivo. Esto resulta en una vulnerabilidad de referencia de objetos directos inseguros. Los auditores pueden manipular fácilmente los valores del parámetro para detectar estas vulnerabilidades y un análisis de código mostraría rápidamente si la autorización se verifica correctamente.

6 IMPACTOS TECNICOS IMPACTOS MODERADO Dichas vulnerabilidades pueden comprometer Toda la información que pueda ser referida por parámetros. A menos que el espacio de nombres resulte escaso, para un atacante resulta sencillo acceder a todos los datos disponibles de ese tipo.

7 IMPACTO DE NEGOCIO Considerar el valor de negocio de los datos afectados. También considere el impacto en el negocio la exposición pública de la vulnerabilidad.

8 S OY VULNERABLE La mejor manera de poder comprobar si una aplicación es vulnerable a referencias inseguras a objetos es verificar que todas las referencias a objetos tienen las protecciones apropiadas. Para conseguir esto, considerar: 1.para referencias directas a recursos restringidos, la aplicación necesitaría verificar si el usuario está autorizado a acceder al recurso en concreto que solicita. 2. si la referencia es una referencia indirecta, la correspondencia con la referencia directa debe ser limitada a valores autorizados para el usuario en concreto. Un análisis del código de la aplicación serviría para verificar rápidamente si dichas propuestas se implementan con seguridad. También es efectivo realizar comprobaciones para identificar referencias a objetos directos y si estos son seguros. Normalmente las herramientas automáticas no detectan este tipo vulnerabilidades porque no son capaces de reconocer cuales necesitan protección o cuales son seguros o inseguros.

9 C OMO EVITARLO Prevenir referencias inseguras a objetos directos requiere seleccionar una manera de proteger los objetos accesibles por cada usuario (por ejemplo, identificadores de objeto, nombres de fichero): 1. Utilizar referencias indirectas por usuario o sesión. Esto evitaría que los atacantes accedieren directamente a recursos no autorizados. Por ejemplo, en vez de utilizar la clave del recurso de base de datos, se podría utilizar una lista de 6 recursos que utilizase los números del 1 al 6 para indicar cuál es el valor elegido por el usuario. La aplicación tendría que realizar la correlación entre la referencia indirecta con la clave de la base de datos correspondiente en el servidor. ESAPI de OWASP incluye relaciones tanto secuenciales como aleatorias de referencias de acceso que los desarrolladores pueden utilizar para eliminar las referencias directas a objetos. 2. Comprobar el acceso. Cada uso de una referencia directa a un objeto de una fuente que no es de confianza debe incluir una comprobación de control de acceso para asegurar que el usuario está autorizado a acceder al objeto solicitado.

10 EJEMPLOS El atacante cuenta de que su Cuenta parámetro es 6065 ? Cuenta = 6065 Se modifica a un número cercano ? Cuenta = 6066 El atacante considera que la víctima de la cuenta información

11 RECOMENDACIONES  Utilizar referencias indirectas. Por ejemplo: http://www.example.com/application/file=1  Establecer un estándar a la hora de hacer referencia a objetos del servidor:  Evitar exponer a los usuarios referencias directas a objetos (como nombres de fichero o claves primarias)  Validar cualquier referencia a un objeto utilizado white- list.  Verificar el nivel de autorización sobre los objetos referenciados.

Descargar ppt "TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA."

Presentaciones similares

Realización de Tests de Autoevaluación. Normas para los Tests Sólo se permite realizar el test 1 vez. Las claves de acceso identifican tanto el usuario.

Realización de Tests de Autoevaluación. Normas para los Tests Sólo se permite realizar el test 1 vez. Las claves de acceso identifican tanto el usuario.
Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.

Madrid, junio de 2009 Seguridad en bases de datos: SQL Server 2005 y Oracle 10g.
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
Arquitecturas de BD Modelo ANSI/SPARC

Arquitecturas de BD Modelo ANSI/SPARC
Sistema operativo Componentes de un sistema operativo

Sistema operativo Componentes de un sistema operativo
INVESTIGACION INFORMATICA AVANZADA

INVESTIGACION INFORMATICA AVANZADA
Aprendizaje de Microsoft® Access® 2010

Aprendizaje de Microsoft® Access® 2010
Tema: Técnicas Básicas Excel (III) Trucos, opciones y personalización de Excel Índice: 1 Vínculos absolutos y relativos, conectando datos de Excel con.

Tema: Técnicas Básicas Excel (III) Trucos, opciones y personalización de Excel Índice: 1 Vínculos absolutos y relativos, conectando datos de Excel con.
Problemas asociados a DHCP. Seguridad.

Problemas asociados a DHCP. Seguridad.
¿QUÉ SON LAS BASES DE DATOS?

¿QUÉ SON LAS BASES DE DATOS?
M.C.E. Ana María Felipe Redondo

M.C.E. Ana María Felipe Redondo
Diseño de la Herramienta Informática

Diseño de la Herramienta Informática
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.

INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
Medición, Análisis y Mejora

Medición, Análisis y Mejora
12.4 Seguridad de los archivos del sistema

12.4 Seguridad de los archivos del sistema
Planificación de la Información.

Planificación de la Información.
Si usted visita directamente el sitio nuskin

Si usted visita directamente el sitio nuskin
Realización de Exámenes de Módulo. Normas para los Tests Sólo se permite realizar el test 2 veces. Las claves de acceso identifican tanto el usuario como.

Realización de Exámenes de Módulo. Normas para los Tests Sólo se permite realizar el test 2 veces. Las claves de acceso identifican tanto el usuario como.
Controlde acceso mediante sesiones índice 1. Introducción 2. Comenzar sesión Control de acceso mediante sesiones 3. Estructura de página 4. Autentificación.

Controlde acceso mediante sesiones índice 1. Introducción 2. Comenzar sesión Control de acceso mediante sesiones 3. Estructura de página 4. Autentificación.
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS

Presentaciones similares

Anuncios Google