AGENDA. Mejorando la Seguridad en Aplicaciones Web. Introducción. La Web Promesas y Amenazas. Asegurando la Red y el Servidor de Web

Transcripción

1 Universidad ORT Uruguay Mejorando la Seguridad en Aplicaciones Web Ing. Cecilia Belletti Ing. Angel Caffa, MSc Ing. Isaac Rodríguez IntegraTICs 7 de diciembre, 2006 AGENDA Introducción La Web Promesas y Amenazas Asegurando la Red y el Servidor de Web Conclusiones Preguntas Mejorando la Seguridad en Aplicaciones Web Caffa, Belletti, Rodríguez Defacing, Hacking, Pishing, Ingeniería Social... Mejorando la Seguridad en Aplicaciones Web Caffa, Belletti, Rodríguez Cuándo, Cómo, Dónde.. 1

2 [Seguridad Web] vs [Web Server Seguro] Crecimiento B2B... Cómo lo define el Usuario? Cómo lo define la Empresa? Cómo lo define el Proveedor del Servidor? 2

3 3

4 El Cliente Web Amenazas al Cliente Web Virus Controles ActiveX Spyware Applets Java Browser Hijacking Robo de Cookies Ingeniería Social XSS (Cross Site Script) 4

5 Amenazas al Cliente Web ROBO DE COOKIES Internet Explorer 5.01 (Mayo 2000) Amenazas al Cliente Web XSS Cross Site Scripting Contramedidas Cliente Web El Transporte.. 5

6 Amenazas a Nivel de Red Recolección de Información Sniffing Spoofing Recolección de Info HTTP FingerPrint El error 404, en Apache reporta "Not Found," mientras que en Microsoft IIS/5.0 reporta "Object Not Found. Apache # telnet target1.com 80 Trying target1.com... Connected to target1.com. Escape character is '^]'. HEAD /non-existent-file.txt HTTP/1.0 HTTP/ Not Found Microsoft-IIS/ # telnet target2.com 80 Trying target2.com... Connected to target2.com. Escape character is '^]'. HEAD /non-existent-file.txt HTTP/1.0 HTTP/ Object Not Found Server Recolección de Info Google "inurl:cgi-bin/printenv" Servidor Web, Base de Datos 6

7 Amenazas a Nivel del Servidor Web Autenticación Autorización Robo de Sesión Ejecución de Código Arbitrario Recolección de Información Maleware (Virus, Worms, Troyanos) Elevación de Privilegios Ataques por Validación de Entrada Contramedidas Contramedidas a Nivel del Servidor Web Firewall a nivel de Aplicación = Proxy Contramedidas a Nivel del Servidor Web MOD_SECURITY APACHE Es un módulo que agrega IDS & IPS en el Web Server. Debido a que esta entre el Cliente y el App. Server, puede denegar requests maliciosos. ( 7

8 Contramedidas a Nivel del Servidor Web Contramedidas a Nivel del Servidor Web CARACTERÍSTICAS Filtrado de Peticiones: Utilizando regexp, se pueden eliminar las peticiones entrantes. Anti Evasión: Elimina Múltiples barras. Elimina directorios referenciados por si mismos. Tratamiento de \ y de / Decodificación URL. Comprensión a nivel fino del protocolo HTTP, se #Controlo el Campo Nombre del Formulario para que no sea puede examinar un formulario especifico de una mayor a 6 caracteres, #protección contra pagina en particular. #Buffer Overflow, si nuestro parámetro "nombre" esvulnerable. Análisis Post Payload: Intercepta y analiza el contenido enviado con POST Byte range Verification: Detecta y Bloquea Shell codes Audit Logging: Audita peticiones para análisis forense. #Con esta directiva indicamos la versión del Servidor Web. SecServerSignature "Microsoft II$/1.0" SecServerResponseToken Off # Aquí evitaremos ataques simples de XSS SecFilter "<(. \n)+>" SecFilter "<[[:space:]]*script" #SQL Injection SecFilter "delete[[:space:]]+from" SecFilter "insert[[:space:]]+into" SecFilter "select.+from" SecFilter ".*['%;\"]+.* SecFilterSelective ARG_nombre ".{6,}" "redirect: #Regla que controla la respuesta del servidor web, #supongamos que hay un error en #el código de la aplicación que nos da el famoso error del SQLServer SecFilterSelective OUTPUT "ODBC SQL Server Driver redirect: Contramedidas a Nivel del Servidor Web Honeypot + Proxy Amenazas al Servidor de Base de Datos SQL Injection DoS Acceso externo no autorizado Password Cracking Red Bloqueo de puertos SQL Aplicación Web Privilegios de cuentas Validación de entradas Network Eavesdropping Configuración Privilegios de usuarios 8

9 SQL Injection SQL Injection Ejemplo: SELECT <lista de atributos> FROM <lista de tablas> WHERE atributo = seguro@ort.edu.uy ; SELECT <lista de atributos> FROM <lista de tablas> WHERE atributo = pepe OR a = a ; Ejemplo: SELECT <lista de atributos> FROM <lista de tablas> WHERE atributo = pepe AND 1 = (SELECT COUNT(*) FROM tabla);-- ; SELECT <lista de atributos> FROM <lista de tablas> WHERE atributo = pepe ; DROP TABLE tabla;-- ; Contramedidas <input type="hidden" name="w0003mnuusr" value=""/> <input type="hidden" name="w0003sucurscod" value="0"/> <input type="hidden" name="w0003sucursnom" value=""/> <input type="hidden" name="w0003emprnom" value=""/> Validación de entradas Caracteres de escape para caracteres que tienen significado especial en SQL Bound Parameters Privilegios de los usuarios de la BD limitados Cifrado de datos sensibles Configuración de los reportes de error 9

10 Contramedidas Sentencia s = connection.createstatement() ResultSet rs = s.executequery( SELECT atributo1 FROM tabla WHERE atributo2 = + campoform); SentenciaPreparada sp = connection.preparestatement( SELECT atributo1 FROM tabla WHERE atributo2 =? ); Sp.setString(1, campoform); ResultSet rs = sp.executequery(); CONCLUSIONES La WEB Promesas y Amenazas MUCHAS GRACIAS!! Mejorando la Seguridad en Aplicaciones Web Caffa, Belletti, Rodríguez 10