Introducción al análisis automático de la seguridad de aplicaciones web

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Introducción al análisis automático de la seguridad de aplicaciones web"

Magdalena Torres Juárez
hace 8 años
Vistas:

1 Introducción al análisis automático de la seguridad de aplicaciones web 22 de octubre de

2 Contenidos Vulnerabilidades de seguridad en aplicaciones web Herramientas para el análisis de vulnerabilidades Cuál es la mejor? Basado en el TFM de don Juan Ramón Bermejo Higuera, en Octubre de

3 In computer security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance. 3

4 Vulnerabilidades de seguridad en aplicaciones web OWASP (Open Web Application Security Proyect) Top Ten 4

5 Vulnerabilidades de seguridad en aplicaciones web 5

6 Vulnerabilidades de seguridad en aplicaciones web Métricas más comunes Porcentaje de cada tipo de vulnerabilidad encontrada con todos los tipos de análisis utilizados. Porcentaje de cada tipo de vulnerabilidad encontrada con cada tipo de análisis utilizado. Porcentaje de vulnerabilidades por grados de criticidad globales y por cada tipo de análisis. Porcentaje de cada tipo de vulnerabilidad por cada tipo de lenguaje de programación en cada tipo de análisis utilizado y de forma global. Porcentaje de sitios web donde se ha encontrado una determinada vulnerabilidad. Porcentaje de vulnerabilidades por tipo procedencia del software (internamente desarrollado, open source, externo ) globales y por cada tipo de análisis. Densidades de defectos por vulnerabilidades y tipos de lenguajes. Porcentaje de vulnerabilidades por tipo de industria (financiera, defensa ) 6

Porcentaje de cada tipo de vulnerabilidad por cada tipo de lenguaje de programación en cada tipo de análisis utilizado y de forma global.

7 Vulnerabilidades de seguridad en aplicaciones web Estadísticas vul. WASC Whitebox & Blackbox. 7

8 Vulnerabilidades de seguridad en aplicaciones web WASC % de probabilidad de detección blackbox/whitebox 8

9 Vulnerabilidades de seguridad en aplicaciones web 1 SQL Injection 2 Logic Flaws 3 Authorization bypass 4 XSS 5 Authentication bypass 6 Vulnerable third party software 7 Session Handling 8 CSRF 9 Information leakage 10 Source code disclosure 7% 7% 5% 26% 8% 3% 13% 11% 13% 7% Ranking de vulnerabilidades detectadas 2010 (TRUSTWARE SPIDER LABS) 9

7 Session Handling 8 CSRF 9 Information leakage 10 Source code disclosure 7% 7% 5%

10 Vulnerabilidades de seguridad en aplicaciones web Vulnerabilidades detectadas INFORME 3 VERACODE 10

11 Vulnerabilidades de seguridad en aplicaciones web Vulnerabilidades detectadas por tipo de lenguaje. INFORME 3 VERACODE 11

12 Vulnerabilidades de seguridad en aplicaciones web Coste de la corrección de vulnerabilidades Secure Coding. The State of the Practice. Authors Mark G. Graff, Kenneth R. van Wyk. O`Reilly, June 2003, ISBN:

The State of the Practice. Authors Mark G.

13 Conclusiones 1- Las aplicaciones web contienen muchas vulnerabilidades de seguridad 2- Vale la pena intentar detectarlas antes de poner la aplicación en operación 13

14 Herramientas para el análisis de vulnerabilidades Modelo SLDC adaptado 14

15 Herramientas para el análisis de vulnerabilidades Definiciones Verdadero positivo: vulnerabilidad detectada que existe realmente Falso positivo: vulnerabilidad detectada que no existe realmente Verdadero negativo: vulnerabilidad no detectada que realmente no existe Falso negativo: vulnerabilidad no detectada que realmente existe Qué es más relevante: falso positivo o falso negativo? 15

existe realmente Verdadero negativo: vulnerabilidad no detectada que realmente no existe Falso

16 Herramientas para el análisis de vulnerabilidades - HERRAMIENTAS DE ANÁLISIS ESTÁTICO (SAST) Herramientas de análisis de código fuente Herramientas de análisis de código ejecutable - HERRAMIENTAS DE ANÁLISIS DINÁMICO (DAST y RAST) Scanners automáticos de vulnerabilidades de aplicaciones web - HERRAMIENTAS DE ANÁLISIS HIBRIDO Combinar análisis SAST y DAST. Combinar análisis SAST y RAST. Combinar análisis SAST, DAST y RAST. 16

DINÁMICO (DAST y RAST) Scanners automáticos de vulnerabilidades de aplicaciones web - HERRAMIENTAS DE

17 Herramientas SAST de código fuente - Toman como entrada el código fuente y lo trasforman, generando representaciones intermedias o modelos del código fuente, según el caso y a continuación lo analizan contra una serie de reglas definidas 17

intermedias o modelos del código fuente, según el caso y a

18 Herramientas SAST Pueden realizar algunos o todos estos análisis: - Análisis léxico, sintáctico y semántico como cualquier compilador. - Análisis intraprocedural o local (dentro de cada función) del flujo de control y de los datos. - Análisis global o interprocedural de llamadas entre funciones y flujo de los datos. Comprueban todo el código a fondo y coherentemente Una vez se tienen los resultados, análisis de falsos positivos 18

- Análisis intraprocedural o local (dentro de cada función) del flujo de control y de los datos.

19 Herramientas DAST Esquema de funcionamiento de un scanner de vulnerabilidades 19

20 Herramientas RAST - Actúan directamente sobre el código ejecutable y el entorno de ejecución de los procesos, observando incluso sus variables en memoria y su estado, y también las peticiones que se hacen a la aplicación web y las respuestas que se reciben. - Esto permite detectar vulnerabilidades en los campos de entrada a la aplicación de forma concreta se sigue el funcionamiento de la aplicación porque en tiempo real - Pueden incidir en el rendimiento de la aplicación 20

21 Herramientas RAST - Una vez detectada la vulnerabilidad hay herramientas que pueden tomar una de las tres acciones siguientes: - Generar un informe, después de la detección sin más - Bloquear el intento de ataque - Sanear la petición maligna a la aplicación web, corrigiendo los valores de entrada a la aplicación 21

22 Herramientas Híbridas SAST-RAST [Artho et Bi. 2005] 22

23 Cuál es la mejor herramienta? Veracode SAST vs. DASD. 23

24 Cuál es la mejor herramienta? Muchas comparaciones! Pero pocas completas y seguras 1- Seleccionar una determinada metodología 2- Seleccionar benchmarks, casos de test específicos, contra los que se ejecutan las herramientas 3- Seleccionar las herramientas objeto de la evaluación 4- Ejecutar las herramientas contra los benchmarks seleccionados 5- Seleccionar las métricas a emplear en la medición de resultados 6- Medir los resultados 7- Analizar y comparar los resultados 24

25 SAMATE Metodología y benchmarks 25

26 SAMATE Define: - Los requerimientos funcionales que debe reunir toda herramienta de análisis de código - Conjuntos de vulnerabilidades. En este caso se adaptan a las categorías de vulnerabilidades de aplicaciones web más importantes - Variaciones de la complejidad del código 26

27 SAMATE Requerimientos funcionales Identificar un conjunto seleccionado de vulnerabilidades de software en código fuente. Informar sobre cada vulnerabilidad encontrada, de que tipo es y donde está localizada. No tener demasiados falsos positivos. Producir un informe compatible con el de otras herramientas. Permitir que las vulnerabilidades puedan ser suprimidas por el usuario. Usar nombres estándar para las clases de vulnerabilidades. 27

28 SAMATE Conjunto de vulnerabilidades 28

29 SAMATE Benchmarks elegidos: SAMATE juliet 2010 Test Suite que contiene casos de test, que cubren un amplio abanico de vulnerabilidades de seguridad Con cada caso de test viene una función con una vulnerabilidad concreta y una (1), tres (3) ó 5 (cinco) versiones de la función, dependiendo del caso con distintas formas de corrección de la vulnerabilidad validando directamente en la fuente de entrada a la aplicación (source) ó donde específicamente se produce la vulnerabilidad (sink) Para cada vulnerabilidad se proporcionan versiones de casos de test para distintas complejidades de código Para cada tipo de complejidad de código existen diferentes versiones de casos de test con diferentes tipos de fuente de entrada como por ejemplo conexiones tcpip, entrada por consola, base de datos, fichero, cookies, parámetros de entrada de peticiones, etc. 29

30 Selección de herramientas 30

31 Selección de herramientas - Se seleccionan 4 herramientas comerciales (una de ellas de análisis de código ejecutable, veracode SaaS) y 2 de open source (una de ellas de análisis de código ejecutable, findbugs). - HP FORTIFY 360 v SCA. v CHECKMARX CxEnterprise v KLOCWORK INSIGHT (SOLO JAVA v v011) - VERACODE saas - LAPSE+ (open source) - FINDBUGS v (open source) 31

32 Métricas que se aplican - Número y porcentaje de verdaderos positivos TP (detecciones correctas). - Número y porcentaje de falsos positivos FP (detección sin error). - Número de vulnerabilidades para las que la herramienta no está diseñada. - Precisión. Proporción de TP respecto al total de detecciones: TP / TP + FP. - Recall. Proporción de TP respecto al total de vulnerabilidades que existen en el código. TP / Total de Vulnerabilidades. - F-measure. Normalización de Precisión y recall. 2 x precisión x recall / precisión + recall - Correlaciones de resultados entre herramientas, para ver resultados combinados. 32

33 Resultados 33

34 Resultados 34

35 Resultados 35

36 Resultados 36

37 Resultados 37

38 Conclusiones La principal conclusión es que el uso de las herramientas estáticas de código fuente y ejecutable es muy importante dentro del nuevo esquema de SDLC propuesto. Se logran porcentajes muy altos de detección de vulnerabilidades llegando en algún caso a superar el 80% de forma aislada El número de falsos positivos, alto en general, en cuatro casos más del 50%, hay que reducirlo realizando auditoría posterior de los resultados o comprobando su veracidad con otras herramientas de las vistas. La auditoría posterior es generalmente bien tenida en cuenta, con facilidades de trace del error, por todas las herramientas excepto por FINDBUGS. Este hecho implica la realización de una auditoría posterior para erradicarlos o utilizar otras herramientas combinándolas. 38

39 Alguna pregunta?, Dpto. Ingeniería Eléctrica Electrónica y de Control 39

Documentos relacionados

Curso: (62612) Diseño de aplicaciones seguras

Curso: (62612) Diseño de aplicaciones seguras Fernando Tricas García Departamento de Informática e Ingeniería de Sistemas Universidad de Zaragoza http://webdiis.unizar.es/~ftricas/ http://moodle.unizar.es/