API. CIBERSEG de enero Madrid

Transcripción

1 API CIBERSEG de enero Madrid

2 YO? Simón Roses Femerling Licenciado en Informática (Suffolk University), Postgrado E-Commerce (Harvard University) y Executive MBA (IE Business School) Fundador & CEO, VULNEX Ex: Microsoft, Beca del DARPA Cyber Fast Track (CFT) para investigar sobre seguridad en el ciclo de desarrollo de software Ponente: Black Hat, RSA, HITB, OWASP, AppSec USA, SOURCE, DeepSec, TECHNET, CCN STIC CEH, CISSP & CSSLP

3 OBJETIVOS DE LA CHARLA Introducción al REST Iniciación al REST Pentesting

4 AGENDA 1. Introducción 2. REST Pentesting 3. Un poco de acción! 4. Conclusiones

5

6 1. EVOLUCIÓN WEB

7 1. APPLICATION PROGRAMMING INTERFACE (API)

8 1. SERVICIOS WEB SOAP (Simple Object Access Protocol) Mensajes XML WSDL (Web Services Description Language) describe formato WS REST (Representional State Transfer) Recursos nombres: CRUD JSON

9 1. SOAP VS. REST

10 REPRESENTATIONAL STATE TRANSFER (REST) Estilo de arquitectura software, no un protocolo cliente/servidor sin estado operaciones bien definidas (CRUD) sintaxis universal Transferencia_de_Estado_Representa cional

11 REPRESENTATIONAL STATE TRANSFER (REST) REST Métodos HTTP Respuesta Sin Estado GET, POST, PUT, DELETE XML JSON

12

13 2. RETOS DEL REST PENTESTING No existe un estándar en REST como WSDL para SOAP Swagger: Web Application Description Language (WADL) REST utiliza parámetros en el URL Web: GET REST: GET

14 2. CÓMO ENCONTRAR EL API? Visitar la web/documentación disponible Estándares? Ingeniería inversa app/software

15 2. CLIENTES REST Advanced REST Client (Chrome) POSTMAN SOAPUI Simple Requests simple-requests-api-tester/ id ?mt=8

16 2. RECURSOS OWASP API Security Project (Top 10 API) OWASP_API_Security_Project OWASP REST Security Cheat Sheet REST_Security_Cheat_Sheet OWASP REST Assessment Cheat Sheet REST_Assessment_Cheat_Sheet OWASP Web Service Security Testing Cheat Sheet Web_Service_Security_Testing_Cheat_Sheet WS-Attacks

17 2. HERRAMIENTAS Escáneres comerciales HTTPie Web Proxies: Zap, Burp Proxy Scripting kung-fu

18 2. FUZZING Syntribos, An Automated API Security Testing Tool syntribos Fuzzapi

19 2. AUDITORÍA REST Caja Blanca vs Caja Negra Solicitar Documentación Estándares: WSDL, Swagger, WADL, Información del API Proceso autenticación Cabeceras HTTP necesarias Modelo de Amenazas

20 2. ALGUNOS FALLOS COMUNES Autenticación y Autorización Límites de peticiones Mensajes de errores Manipulación de los métodos HTTP Inyección SQL Información en Tránsito/Reposo Tokens (expiración, reutilizar, predecibles, etc.)

21 2. HACKING SEGURO / LAB Mutillidae mutillidae/ Hackazon, modern vulnerable web app Damn Vulnerable Web Services dvws

22 2. DVWS

23

24 3. CASOS 1) Enumeración 2) SANS Holiday Hack 2016 CTF 3) Fuzzing

25 3. 1) ENUMERACIÓN SOAP Ficheros WSDL REST Sin estándar definido Swagger (swagger.json)

26 3. 1) ENUMERACIÓN SOAP / WSDL

27 3. 1) ENUMERACIÓN BURP WSDL

28 3. 1) ENUMERACIÓN REST I

29 3. 1) ENUMERACIÓN REST II

30 3. 1) ENUMERACIÓN REST III

31 3. 2) SANS HOLIDAY HACK 2016 CTF - I

32 3. 2) SANS HOLIDAY HACK 2016 CTF - II

33 3. 2) SANS HOLIDAY HACK 2016 CTF - III

34 3. 2) SANS HOLIDAY HACK 2016 CTF - IV

35 3. 2) SANS HOLIDAY HACK 2016 CTF - V

36 3. 2) SANS HOLIDAY HACK 2016 CTF - VI

37 3. 2) SANS HOLIDAY HACK 2016 CTF - VII

38 3. 3) FUZZING I

39 3. 3) FUZZING II

40 3. 3) FUZZING III

41 3. 3) FUZZING IV

42 3. 3) FUZZING V

43

44 4. CONCLUSIONES REST es la tendencia, cada día más API disponibles Las herramientas mejoran, pero sigue siendo un proceso manual

45 4. HACKERS LOVE BUG BOUNTIES WP-API: Wordpress API ($50- $500) Twilio: cloud comunications ($500- $2000+) Circle Mobile: Send & Receive Money ($50- $1000)

46 4. BUG CROWD: 2016 STATE OF BUG BOUNTY

47 Q&A Gracias! Cervezas y copas