OWASP Top 10 – 2010 Los Diez Riesgos más importantes en Aplicaciones Web Miguel Guirao Linux+, GCIH, ITIL OWASP México mguirao@gusly.org.

Slides:



Advertisements
Presentaciones similares
Presentación – Web Attack
Advertisements

1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
1 | Web Attacks Documentación – Web Attack. 2 | Web Attacks Seguridad en Aplicaciones Web Protocolo HTTP Vulnerabilidad XSS Vulnerabilidad CSRF Path Traversal.
Mónica Acosta Yeison Ceballos Carlos Rodallega
Internet y tecnologías web
CUPS Configuración y Uso de Paquetes de Software
Algunos tips en Seguridad ASP.NET 2.0
Jorge de Nova Segundo UD4: Instalación y administración de servicios Web Seguridad del protocolo HTTP.
Delitos Informáticos.
SEGURIDAD EN INTERNET EQUIPO No. 1 TELECOMUNICACIONES II Seguridad de Redes Seguridad de Redes Protección al proceso mediante el cual la información es.
Servidores Web Capítulo 2.
Seguridad en aplicaciones Web con Microsoft ASP.NET
O Acerca de OWASP Derechos de Autor y Licencia
Introducción a servidores
Servidores Windows Http Ftp …
Instalación y configuración de los servicios Web.
Web Attacks Mauren Alies Maria Isabel Serrano Sergio Garcia
Copyright © - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.
ADMINISTRACION DE REDES SECUENCIA DE COMANDOS EN SITIOS CRUZADOS(XSS)
OWASP TOP 10 Los diez riesgos más importantes en aplicaciones web
DIRECT ACCESS.
Índice Introducción: - Fraud Modus Operandi Detección:
"java del lado del servidor" Servlet y JSP Java Server Pages.
INGENIERÍA DE SISTEMAS E INFORMÁTICA TEMA: ANÁLISIS DE LAS APLICACIONES WEB DE LA SUPERINTENDENCIA DE BANCOS Y SEGUROS, UTILIZANDO LAS RECOMENDACIONES.
WINDOWS AZURE CONNECT.
28 de junio, Primero – Aclaremos el Nombre FOPE – Forefront Online Protection for Exchange Previamente FOSE Forma parte de Exchange Hosted Services:
Seguridad y Privacidad
YII (Yes It Is!) – Php Framework
66.69 Criptografía y Seguridad Informática 1er. Cuatrimestre 2011
Instalación del lector ebrary basado en Java. Resumen 1.Identifique la persona de contacto técnico de la institución 2.Confirme los requisitos de la red.
Mecanismo de petición y respuesta Prof. Manuel Blázquez Ochando
Seguridad del protocolo HTTP
ADMINISTRACION DE REDES TEMA REDIRECCIONES Y REENVÍOS NO VALIDADOS
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
ADMINISTRACION DE REDES SECUNECIA DE COMANDOS EN SITIOS CRUZADOS(XSS) DIEGO ALEXANDER MADRID DUQUE GABRIEL ANDRES AGUIRRE JARAMILLO INSTITUTO TECNOLOGICO.
JOSE FERNANDO MORA CARDONA Administración de redes - CTMA SENA 2012 FALLAS DE RESTRICCIÓN DE ACCESO A URL.
Los Diez Riesgos Más Importantes en Aplicaciones WEB Top A1-Inyección Oscar William Monsalve Luis Alberto Suarez Jorge Eliecer Betancur Diana Marcela.
The OWASP Foundation OWASP AppSec Aguascalientes 2010 Guía de Desarrollo Seguro Francisco Aldrete Miembro de OWASP capítulo Aguascalientes.
 Permiten suplantar la información de un usuario determinado.  Se obteniene cuenta de administración para sabotear controles de autorización y registro.
OWASP - A6 Open Web Application Security Project Riesgo por: Configuración Defectuosa de Seguridad Guillermo David Vélez Álvarez C.C. 71' 763,346.
(In)Seguridad en la Web
TRABAJO DE SISTEMAS R EFERENCIA D IRECTA I NSEGURA A O BJETOS REALIZADO POR : DEISY MOSQUERA KARINA CHAVERRA.
Diego Pastor Ralde. Client-side Vulnerabilities  Web Browsers  Office Software  Clients  Media Players.
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
BASE DE DATOS EN LA WEB.
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB Lucía Castro Víctor.
Aplicaciones Web M.C. Jorge Eduardo Ibarra Esquer
Instalación y Configuración Inicial del Sistema
UD 1: “Adopción de pautas de seguridad informática” Análisis de las principales vulnerabilidades de un sistema informático. Luis Alfonso Sánchez Brazales.
WAF Web Application Firewalls
Implementando autenticación SSO y federación en los servicios de UBA.
Introducción a ataques de tipo inyección: Inyección SQL
Administración de políticas de seguridad. -Seguro por diseño - Seguro por defecto - Seguro en implementación - Seguro en comunicaciones Iniciativa Trustworthy.
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López 24/09/ Adrián de la Torre López.
Seguridad del protocolo HTTP:
Punto 4 – Configuración de un Servidor Web Juan Luis Cano.
Punto 6 – Seguridad en el protocolo HTTP Juan Luis Cano.
Análisis de las principales vulnerabilidades de un sistema informático. Gabriel Montañés León.
SEGURIDAD EN SERVIDORES WEB
Copyright 2007 © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP.
Técnicas de cifrado. Clave pública y clave privada:
Secuencia de Comandos en Sitios Cruzados XSS
Taller de Inteligencia de Negocios SQL Server Integration Services SSIS Semana 2.
• SQL Server Integration Services SSIS
Norman SecureSurf Proteja a los usuarios cuando navegan por Internet.
A NÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO Luis Villalta Márquez.
OWASP APPSEC RIO DE LA PLATA dcotelo13
Taller de Inteligencia de Negocios SQL Server Integration Services SSIS Sesión 2.
Transcripción de la presentación:

OWASP Top 10 – 2010 Los Diez Riesgos más importantes en Aplicaciones Web Miguel Guirao Linux+, GCIH, ITIL OWASP México mguirao@gusly.org

¿Que ha cambiado?

Metodologia de Valoración 1 2 3 Ejemplo de Inyección 1.66 valoración de riesgo

OWASP Top Diez (Edición 2010) The red ones are the new ones. http://www.owasp.org/index.php/Top_10

OWASP Top Diez (Edición 2010) The red ones are the new ones. http://www.owasp.org/index.php/Top_10

A1 – Inyección

A1 – Inyección 7

Inyección SQL – Ilustrado Account: SKU: Account: SKU: "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" Account Summary Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 Respuesta HTTP   Tabla DB   SolicitudHTTP  SQL query Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Application Layer Databases Legacy Systems Web Services Directories Human Resrcs Billing APPLICATION ATTACK Custom Code 1. La aplicación presenta una forma al atacante 2. El atacante envía un ataque a traves de los datos de la forma App Server 3. La aplicación reenvía el ataque a la base de datos por medio de una consulta SQL Web Server Hardened OS 4. La base de datos ejecuta la consulta que contiene el ataque y envía los resultados cifrados a la aplicación Network Layer Firewall Firewall 5. La aplicación descifra los datos como normales y envía los resultados al usuario

A2 – Secuencia de Comandos en Sitios Cruzados (XSS)

A2 –Secuencia de Comandos en Sitios Cruzados (XSS) 10

XSS Ilustrado 1 Atacante coloca la trampa – actualiza perfil App con vuln. XSS almacenado Atacante ingresa script malicioso en sitio web que guarda los datos en el servidor Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 2 La victima consulta la página – ve el perfil del atacante El script se ejecuta en el browser de la victima con acceso completo al DOM y cookies 3 Silenciosamente el script envía las cookies de sesión de la victima

A3 – Perdida de Autenticación y Gestión de Sesiones

A3 – Perdida de Autenticación y Gestión de Sesiones 13

Perdida de Autenticación Ilustrado 1 Usuario envía credenciales Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions www.boi.com?JSESSIONID=9FA1DB9EA... El sitio usa reescritura de URL (coloca la sesión en el URL) 2 3 Usuario da click en un link a http://www.hacker.com en un foro Hacker verifica las bitacoras de referencia en www.hacker.com y encuentra la JSESSIONID del usuario 4 5 Hacker usa JSESSIONID y se apodera de la cuenta de la victima

A4 – Referencia Directa Insegura a Objetos

A4 – Referencia Directa Insegura a Objetos 16

Referencia Directa Insegura a Objetos Ilustrado Atacante se da cuenta que su parametro acct es 6065 ?acct=6065 Lo modifica a un número cercano ?acct=6066 Atacante ve la información de la cuenta de la victima https://www.onlinebank.com/user?acct=6065

A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF)

A5 – Falsificación de Peticiones en Sitios Cruzados (CSRF) 19

Patrón de la Vulnerabilidad CSRF El Problema Los navegadores web incluyen automaticamente las credenciales en cada consulta Aún para consultas generadas por una forma, script, o imagen en otro sitio Todos los sitios que emplean unicamente en credenciales automaticas son vulnerables! (y la gran mayoria de los sitios son así) Credenciales Enviadas Automaticamente Cookies de sesión Encabezado basico de autenticación Dirección IP Certificados SSL de lado del cliente Autenticación de dominio Windows

CSRF Ilustrado Atacante coloca la trampa en algún sitio de Internet (o incluso vía e-mail) 1 App con la vulnerabilidad CSRF La etiqueta oculta <img> contiene el ataque contra el sitio vulnerable Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Mientras está firmado en el sitio vulnerable, la victima consulta el sitio del atacante 2 3 El sitio vulnerable ve la consulta legitima de la victima y ejecuta la acción solicitada La etiqueta <img> cargada por el navegador – envía la solicitud GET (incluyendo credenciales) al sitio vulnerable

A6 – Defectuosa Configuración de Seguridad

A6 – Defectuosa Configuración de Seguridad 23

Defectuosa Configuración de Seguridad Ilustrado Database Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OS Insider Test Servers Source Control

A7 – Almacenamiento Criptográfico Inseguro

A7 – Almacenamiento Criptográfico Inseguro 26

Almacenamiento Criptográfico Inseguro Ilustrado Victima ingresa número de TDC en la forma 1 Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Log files 4 El atacante malicioso se rroba 4 millones de números de TDC 2 El manejador de errores registra en la bitacora el número de TDC porque el sistema del vendedor no está disponible 3 Las bitacoras son accesibles por todos los miembros del staff de TI para propositos de correción de errores

A8 – Falla de Restricción de Acceso a URL

A8 – Falla de Restricción de Acceso a URL 29

Falla de Restricción de Acceso a URL Ilustrado Atacante nota que el URL indica su rol /user/getAccounts Lo modifica a otro directorio (rol) /admin/getAccounts, o /manager/getAccounts Atacante consulta más cuentas que solo la propia

A9 – Protección Insuficiente en la Capa de Transporte

A9 – Protección Insuficiente en la Capa de Transporte 32

Protección Insuficiente en la Capa de Transporte Ilustrado Socios de Negocio Victima Externa Custom Code Backend Systems Empleados 2 1 Atacante externo roba las credenciales y datos de la red Atacante interno roba las credenciales y datos de la red Atacante Externo Atacante Interno

A10 – Redirecciones y reenvíos no validados

A10 – Redirecciones y reenvíos no validados

Redirecciones no validados Ilustrado 1 Atacante envía el ataque a la victima a traves de un sitio o email De: Secretaría de Hacienda Tema: Su Retorno de Impuestos No Reclamados Nuestros registros indican que no ha reclamado el regreso de sus impuestos. De click aquí para iniciar el tramite. 3 Aplicación redirecciona a la victima al sitio del atacante Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions La victima da clic en el enlace que contiene parametros no validados 2 Solicitud enviada al sitio vulnerable, incluyendo el sitio destino del atacante como un parametro. El redireccionamiento envía a la victima al sitio del atacante. Evil Site 4 El sitio malicioso instala malware en la victima, o busca información privada con phishing http://www.irs.gov/taxrefund/claim.jsp?year=2006& … &dest=www.evilsite.com

Reenvíos no validados Ilustrado 1 Atacante envía ataque a la página vulnerable a la cual tiene acceso La solicitud enviada a la página vulnerable a la cual el usuario tiene acceso. El reenvío toma al usuario directamente a la página privada, pasando por alto los controles de acceso. public void sensitiveMethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here. ... } catch ( ... 2 Aplicación autoriza la solicitud, la cual continua a la página vulnerable Filtro 3 La página de reenvío falla en validar el parametro, enviando al atacante a una página no autorizada, pasando por alto los controles de acceso public void doPost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getParameter( "dest" ) ); ... request.getRequestDispatcher( target ).forward(request, response); } catch ( ...

Resumén: ¿Cómo solucionamos estos problemas? Desarrollemos Código Seguro Sigamos las mejores practicas en la Guía para Construir Aplicaciones Web Seguras de OWASP http://www.owasp.org/index.php/Guide Utilicemos el Estandar de Verificación de la Seguridad de Aplicaciones de OWASP como una guía de lo que una aplicación requiere para ser segura http://www.owasp.org/index.php/ASVS Utilicemos componentes de seguridad estandar que encajen en tu organización Utilicemos ESAPI de OWASP como una base para nuestros compoenentes estandar http://www.owasp.org/index.php/ESAPI Auditemos nuestras aplicaciones Que un equipo experno audite nuestra aplicación Revicemos nosotros mismos nuestras aplicaciones siguiendo los lineamientos de OWASP Guía de Auditoria de Código de OWASP: http://www.owasp.org/index.php/Code_Review_Guide Guía de Pruebas de OWASP: http://www.owasp.org/index.php/Testing_Guide

Reconocimientos Documento Original Dave Wichers COO, Aspect Security OWASP Board Member dave.wichers@aspectsecurity.com dave.wichers@owasp.org Adaptación y Traducción al Español Mtro. Miguel Guirao, MGTI, Linux+, GCIH, ITIL OWASP Capitulo México mguirao@gusly.org

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.