b1010 formas de escribir código (in)seguro

Tamaño: px

Comenzar la demostración a partir de la página:

Download "b1010 formas de escribir código (in)seguro"

Samuel Coronel Cruz
hace 8 años
Vistas:

b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP www.segu-info.com.

1 b1010 formas de escribir código (in)seguro 1 Lic. Cristian Borghello, CISSP - MVP Temario Redes externas vs internas Bugs simples Validación de archivos XSS y SQL Injection Cookies Controles en producción Conclusiones 1

ar @seguinfo Temario Redes externas vs internas Bugs simples

2 Cuando hablamos de Seguridad, en realidad de qué hablamos? R I E S G O Superficie de ataque Remoto Restringido Local Administradores Usuarios Autenticados Anónimos 2

través de URL públicas Problemas asociados: El enemigo interno y el abuso de conocimiento

3 Redes Internas vs Externas Si sólo personal interno conoce el acceso, entonces nadie podrá acceder desde el exterior Se ingresa a Intranet, sitios de backendo de administración a través de URL públicas Problemas asociados: El enemigo interno y el abuso de conocimiento El descubrimiento fortuito de personal externo Redes Internas vs Externas 3

4 Bugs simples Encontramos un pequeño bugque podríamos resolver en un momento pero nos llevaría más tiempo implementarlo en producción que arreglarlo, así que lo dejamos así, total funciona Bugs simples Resolvemos el bugy realizamos una vaga descripción de la resolución porque resulta demasiado complicado explicarlo No detallamos los pasos para reproducir el error porque son triviales o muy complicados 4

el bugy realizamos una vaga descripción de la resolución porque resulta demasiado complicado explicarlo No

5 Bug solucionado Validaciones simples Cargo los archivos en forma dinámica en tiempo de ejecución. Qué buena idea! Falta de validación de archivos incluidos o subidos permiten la ejecución de los mismos en el servidor local o remoto Se debe validar y rechazar cualquier tipo de archivo MIME no permitido 5

Falta de validación de archivos incluidos o subidos permiten la ejecución de los

6 RFI y LFI Inyección de archivos 6

7 Validación al subir archivos Evitar RFI y LFI UrlScanpordefectobloquea: exe, bat, cmd, com, htw, ida, idq, htr, idc, printer, ini, pol, dat, etc. En PHP se puedeutilizarmod_securityy/o Suhosin Todas las validaciones se deben realizar en ambos lados: cliente y servidor 7

En PHP se puedeutilizarmod_securityy/o Suhosin Todas las validaciones se

8 XSS Cross Site Scripting Ejecuciónde códigono validadoen el clientea travésde la inyeccióndel mismo por diversos métodos XSS Cross Site Scripting 8

9 Logs de ataques Las galletitas Programar, comer y beber That s life! Las cookiespuedenser obtenidasdesdeel clientea travésde scriptssencillosy a travésde ataques XSS Si el browser soporta HTTP-Only, se puede bloquearla lecturay escriturade lascookiesen el cliente 9

scriptssencillosy a travésde ataques XSS Si el browser soporta

10 Control de Cookies Controlar la información en las cookies Implementar HTTP-Only Sin HTTP-Only Con HTTP-Only Navegadores y HTTP-Only

11 XSS y Phishing Cross Domain Request Los archivos no alcanzaron así que cargamos img, frames, forms, CSS, JS, etc. desde múltiples dominios Cross-site HTTP requests: solicitudes HTTP que se realizan desde diferentes dominios La W3C ha propuesto un nuevo estándar para controlar el Cross Domain Request Todos los navegadores lo soportan excepto Opera (por ahora) 11

desde múltiples dominios Cross-site HTTP requests: solicitudes HTTP que se realizan desde

12 X-Frame Origin Frame RIA: Rich Internet Applications Las aplicaciones no se validan porque no tienen vulnerabilidades, o las mismas no pueden explotarse 12

Dos políticas a implementar Mismoorigen:sidos sitioscompartenel mismo [protocolo:puerto] entonces tienen el mismo origen Puede ser utilizado para restringir la ejecución sólo desde dominios válidos

13 Dos políticas a implementar Mismoorigen:sidos sitioscompartenel mismo [protocolo:puerto] entonces tienen el mismo origen Puede ser utilizado para restringir la ejecución sólo desde dominios válidos SandBox:la ejecuciónse realizaen un entorno controladoy no se accede a recursosqueno han sido específicamente autorizados Los procesos son considerados de baja integridad y no puedenaccedera procesosde integridad mayor (MIC y UIPI) URL Redirect Para controlar los abandonos de mi sitio, redireccionoa sitios externos mediante un script 13

recursosqueno han sido específicamente autorizados Los procesos son considerados de baja integridad y no puedenaccedera procesosde

14 Bad URL Redirect Bad URL Redirect 14

15 Control de URL Registrar y administrar las URL del sitio Yadijequelasvalidacionesse deben hacer de ambos lados? Control de URL 15

16 SQL Injection SQL Injection Creoqueyalo dije: lasvalidacionesse deben hacer de ambos lados 16

17 SQL Injection SQL Injection 17

18 Aplicaciones para SQL Injection Desafío SQL Injection 18

Testing en producción El testinges rápido así que lo realizamos en el servidor productivo El desarrollo y el testing deben realizarse en servidores!

19 Testing en producción El testinges rápido así que lo realizamos en el servidor productivo El desarrollo y el testing deben realizarse en servidores!= producción Conclusiones y pasos a aplicar Asumir que cualquier entrada es maliciosa Validar todas las entradas Validar todas las salidas Codificar cada entrada y salida Utilizar aplicaciones para validación Validar permisos de aplicación y usuarios 19

= producción Conclusiones y pasos a aplicar Asumir que cualquier entrada es maliciosa Validar todas las

20 Finalmente: mi preferida Sin palabras Referencias Microsoft Security Development Lifecycle v Threat Analysis and Modeling (TAM) v3 FoundStone Free Tools WebGoat Otras aplicaciones vulnerables para aprender Writing Secure Code Sanitize HTML URLScan Practical Windows Sandboxing (3 partes)

ly/btpp9n Otras aplicaciones vulnerables para aprender http://bit.ly/i7ajsf Writing Secure Code http://amzn.to/aeytae Sanitize HTML http://bit.

21 Gracias! Lic. Cristian Borghello,, CISSP - MVP

Documentos relacionados

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen

Web: Ataque y Defensa. my kung fu is stronger than yours, The lone Gunmen Web: Ataque y defensa Introducción. Cross Site Scripting (XSS). SQL Injection. Programador? quien yo?. Ataques NG. Prevención.