Archive for May, 2010

O estado da segurança das aplicações Web

May 11th

Posted by Carlos Serrao in OWASP | 836 views

No comments

O Ponemon Institute, devidamente patrocinado pela Imperva e pela WhiteHat Security (que estão devidamente representados na OWASP) levaram a cabo um estudo alargado sobre a Segurança de Aplicações Web.

O estudo foi conduzido com o objectivo de perceber os riscos de sites de web inseguros e como as organizações estão a lidar com as ameaças internas e externas. O estudo revela que apesar de muitas organizações terem algumas das suas aplicações críticas de negócio acessíveis através dos seus sites web, as mesmas não conseguem envolver os recursos necessários para garantir a protecção e segurança destas aplicações web que são importantes nas suas operações. Isto é particularmente preocupante se considerarmos que a camada aplicacional é um dos alvos preferidos de atacantes.

O estudo envolveu cerca de 638 empresas dos Estados Unidos e um conjunto de empresas de segurança. O estudo revela que os sites web estão em risco pelos seguintes motivos:

  • 70% dos inquiridos não acreditam que as suas organizações reservem e invistam os recursos suficientes para garantir a segurança e proteger as suas aplicações Web críticas;
  • 34% de vulnerabilidades urgentes e críticas não são resolvidas;
  • 38% acreditam que será necessário mais do que 20h de tempo de programação (em média) para resolver uma vulnerabilidade;
  • 55% dos inquiridos acreditam que os programadores estão demasiado ocupados para responderem aos problemas de segurança detectados.

É um estudo muito interessante, e com resultados igualmente interessantes.

Aconselha-se a leitura do mesmo. Aqui.


, , ,

Jarlsberg

May 7th

Posted by Carlos Serrao in OWASP | 1,078 views

No comments

Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.

O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.

O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.

Vale a pena ver.


, , , , , , , ,

Google Web scanner – o SkipFish

May 6th

Posted by Carlos Serrao in OWASP | 1,722 views

1 comment

O Google, o gigante da Internet e em que cujo o modelo de negócios assenta essencialmente sobre a distribuição de aplicações e serviços através de Web, parece finalmente ter acordado para a necessidade de ter maior nível de segurança ao nível aplicacional.

De acordo com o que o próprio Google afirma:

The safety of the Internet is of paramount importance to Google, and helping web developers build secure, reliable web applications is an important part of the equation.

Por isso mesmo, a Google disponibiliza uma ferramenta, de seu nome Skipfish, que é open-source, livre e gratuita e que pode ser usada para efectuar testes automáticos de segurança a aplicações web.

As principais características do Skipfish são:

  • Velocidade: ferramenta bastante rápida, desenvolvida em C, optimizada para trabalhar com HTTP e com baixa utilização de recursos;
  • Facilidade de Utilização: utiliza heurísticas avançadas que permitem o reconhecimento e adaptação a novas situações de análise;
  • Lógica de segurança avançada: inclui a possibilidade de detectar ataques que resultariam em falsos negativos noutras ferramentas como por exemplo vulnerabilidades de blind injection.
Entretanto aqui fica uma lista exaustiva (obrigado Nuno Teodoro) das principais funcionalidades da ferramenta:
  • Server-side SQL injection (including blind vectors, numerical parameters)
  • Explicit SQL-like syntax in GET or POST parameters
  • Server-side shell command injection (including blind vectors)
  • Server-side XML / XPath injection (including blind vectors)
  • Format string vulnerabilities
  • Integer overflow vulnerabilities
  • Locations accepting HTTP PUT
  • Stored and reflected XSS vectors in document body (minimal JS XSS support present)
  • Stored and reflected XSS vectors via HTTP redirects
  • Stored and reflected XSS vectors via HTTP header splitting
  • Directory traversal (including constrained vectors)
  • Assorted file POIs (server-side sources, configs, etc)
  • Attacker-supplied script and CSS inclusion vectors (stored and reflected)
  • External untrusted script and CSS inclusion vectors
  • Mixed content problems on script and CSS resources (optional)
  • Incorrect or missing MIME types on renderables
  • Generic MIME types on renderables
  • Incorrect or missing charsets on renderables
  • Conflicting MIME / charset info on renderables
  • Bad caching directives on cookie setting responses
  • Directory listing bypass vectors
  • Redirection to attacker-supplied URLs (stored and reflected)
  • Attacker-supplied embedded content (stored and reflected)
  • External untrusted embedded content
  • Mixed content on non-scriptable subresources (optional)
  • HTTP credentials in URLs
  • Expired or not-yet-valid SSL certificates
  • HTML forms with no XSRF protection
  • Self-signed SSL certificates
  • SSL certificate host name mismatches
  • Bad caching directives on less sensitive content


, , , ,

Indisponibilidade do Facebook Chat

May 5th

Posted by Carlos Serrao in OWASP | 951 views

No comments

Durante uma boa parte do dia de hoje o Facebook, uma das maiores redes sociais na Web do Mundo, esteve com alguns problemas técnicos. Nomeadamente no que diz respeito ao chat on-line.

Assim, e segundo o TechCrunch, um problema de segurança permitia que um determinado utilizador pudesse visualizar as conversações on-line dos seus amigos.

Ao que parece, um controlo de privacidade implementado pelo Facebook para precisamente melhorar a segurança dos utilizadores, que lhes permitia pré-visualizar as suas configurações de privacidade, permitia este estranho funcionamento no Facebook.

Alertados para o facto, o Facebook colocou de imediato o sistema de Chat on-line em baixo, e corrigiu o problema.

Eis um caso, em que um controlo de segurança mal implementado e testado pode dar origem a um grave problema se segurança, que neste caso afectava consideravelmente a privacidade dos utilizadores da plataforma do Facebook.

Por tudo isto, nunca é demais alertar!!!!! Este tipo de plataformas de Web social são muito interessantes, mas tenham muito cuidado com o que resolvem partilhar nas mesmas. Assumam sempre o pior cenário, o que significa que aquilo que partilham pode acabar por ir para nas mãos erradas.

Aqui fica o vídeo que mostrava como funcionava esta “funcionalidade” indesejada…


, , ,

Fotocopiadoras, Faxes e afins… um potencial problema de Segurança

May 5th

Posted by Carlos Serrao in Problemas | 679 views

No comments

Tive recentemente conhecimento através da ML da comunidade de segurança de informação portuguesa, através de um email do Ralf Braga, de uma reportagem da CBS que dava conta de uma funcionalidade que a maior parte das máquinas fotocopiadoras, faxes e multifunções mais modernas (especialmente aquelas que foram fabricadas depois de 2000) que constitui um grave problema de segurança.

Aparentemente todos estas máquinas vêm equipadas com um disco rígido que armazena grande parte das cópias, faxes e emails enviados pelas máquinas ao longo do seu tempo de vida útil. Até aqui tudo bem, trata-se de um mecanismo que permite facilitar a operação das mesmas.

O verdadeiro problema começa quando estas máquinas ficam obsoletas, e são depois vendidas para outros mercados (usados, por exemplo) em que ao novo comprador é oferecida a possibilidade de visualizar a informação do antigo dono (e de terceiros) que ainda está contida nos discos rígidos das mesmas. Este problema só não é mais grave porque a maior parte dos novos donos também não sabe desta característica das mesmas e como tal não a sabe explorar.

Enfim, fica o alerta feito. É preciso ter a certeza que o disco rígido destas máquinas está absolutamente limpo antes de se desfazerem das mesmas.

A reportagem da CBS é impressionante e mostra três exemplos em que foi possível aceder a informação pessoal de muitas pessoas (alguma desta informação muito crítica) usando esta “funcionalidade”.

, , , , ,