Segurança de Aplicações Web
Posts tagged google
Jarlsberg
May 7th
Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.
O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.
O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.
Vale a pena ver.
Google Web scanner – o SkipFish
May 6th
O Google, o gigante da Internet e em que cujo o modelo de negócios assenta essencialmente sobre a distribuição de aplicações e serviços através de Web, parece finalmente ter acordado para a necessidade de ter maior nível de segurança ao nível aplicacional.
De acordo com o que o próprio Google afirma:
The safety of the Internet is of paramount importance to Google, and helping web developers build secure, reliable web applications is an important part of the equation.
Por isso mesmo, a Google disponibiliza uma ferramenta, de seu nome Skipfish, que é open-source, livre e gratuita e que pode ser usada para efectuar testes automáticos de segurança a aplicações web.
As principais características do Skipfish são:
- Velocidade: ferramenta bastante rápida, desenvolvida em C, optimizada para trabalhar com HTTP e com baixa utilização de recursos;
- Facilidade de Utilização: utiliza heurísticas avançadas que permitem o reconhecimento e adaptação a novas situações de análise;
- Lógica de segurança avançada: inclui a possibilidade de detectar ataques que resultariam em falsos negativos noutras ferramentas como por exemplo vulnerabilidades de blind injection.
- Server-side SQL injection (including blind vectors, numerical parameters)
- Explicit SQL-like syntax in GET or POST parameters
- Server-side shell command injection (including blind vectors)
- Server-side XML / XPath injection (including blind vectors)
- Format string vulnerabilities
- Integer overflow vulnerabilities
- Locations accepting HTTP PUT
- Stored and reflected XSS vectors in document body (minimal JS XSS support present)
- Stored and reflected XSS vectors via HTTP redirects
- Stored and reflected XSS vectors via HTTP header splitting
- Directory traversal (including constrained vectors)
- Assorted file POIs (server-side sources, configs, etc)
- Attacker-supplied script and CSS inclusion vectors (stored and reflected)
- External untrusted script and CSS inclusion vectors
- Mixed content problems on script and CSS resources (optional)
- Incorrect or missing MIME types on renderables
- Generic MIME types on renderables
- Incorrect or missing charsets on renderables
- Conflicting MIME / charset info on renderables
- Bad caching directives on cookie setting responses
- Directory listing bypass vectors
- Redirection to attacker-supplied URLs (stored and reflected)
- Attacker-supplied embedded content (stored and reflected)
- External untrusted embedded content
- Mixed content on non-scriptable subresources (optional)
- HTTP credentials in URLs
- Expired or not-yet-valid SSL certificates
- HTML forms with no XSRF protection
- Self-signed SSL certificates
- SSL certificate host name mismatches
- Bad caching directives on less sensitive content
Google altera a sua política na China
Jan 12th
Primeiro foi o Twitter que tinha sido atacado. Depois foi a vez do Baidu (motor de busca Google para a China) também ter sido alvo de um ciber-ataque. Estes ataque partiram de um grupo designado por Iranian Cyber Army (que na sua tradução para português significa o Exército Iraniano do Ciberespaço).
Parece-me assim que está dado o mote sobre como serão travadas as batalhas no futuro. Através de um terminal de computador a atacar as infra-estruturas de tecnologia de informação e comunicação de um inimigo remoto, dependente das mesmas.
Agora, numa acção sem precedentes a Google resolve encerrar as suas operações na China, algo que me motiva acima de tudo surpresa. Pode ler-se no blog oficial da Google, toda a história com maior detalhe, mas em traços muito gerais o que se passou foi o seguinte.
Em meados de Dezembro do ano passado a Google tinha sido vítima, assim como outras organizações (presumo que o Twitter esteja neste rol) de um ataque informático originário na China (GhostNet). Outro facto surpreendente é que a Google verificou que houve uma tentativa (sem sucesso) de aceder às contas de Gmail de activistas de direitos humanos chineses. Por outro lado, a Google conseguiu igualmente confirmar que existiram acessos não autorizados a contas Gmail (através de esquemas de spam e de phishing) de diversos cidadãos dos EUA, UE e da China, conhecidos pela sua luta pelos direitos humanos na China.
Posto isto, e visto que o que está em causa não são apenas ataque informáticos “normais”, mas sim tentativas claramente direccionadas de obter informação mais detalhada sobre activistas que lutam por melhores condições humanas e políticas na China, a Google vai alterar a sua política na China, e vai deixar de filtrar conteúdos no seu motor de busca como acontecia até então. Coloca-se o pior cenário, que consiste no encerramento de todas e quaisquer operações na China.
Não deixa de ser curioso o facto de que possivelmente (e conseguimos ler isso nas entrelinhas do texto que a Google escreve) o estado Chinês usar ataques informáticos contra empresas, governos, e cidadãos em qualquer parte do Mundo, violando a sua privacidade, como uma forma de manter a sua política atroz de controlar a voz do seu próprio povo, que parece ganhar tom contra um regime opressor.
Parece que a Google viu isso… e vai tomar a única acção possível.
Problemas de Segurança no Google Docs
Apr 1st
Apesar de ser uma excelente ferramenta de produtividade e de partilha de documentos, e de ser suportado pelo gigante de software e de aplicação web, que dá pelo nome de Google, o Google Docs não está isento de falhas de software.
Recentemente um consultor de segurança descobriu um conjunto de vulnerabilidades de segurança na aplicação Google Docs, mais concretamente, três vulnerabilidades:
- Quando se introduz uma imagem num documento protegido, a mesma é carregada num servidor, a que mesmo pessoas sem acesso ao ficheiro, podem aceder à imagem, visualizá-la e descarregá-la;
- Em segundo lugar, se se partilhar um documento com um diagrama, a pessoa com quem se partilhou o documento pode ter acesso a todas as versões desse mesmo diagrama, para além da que está no documento partilhado;
- A terceira vulnerabilidade descoberta tem que ver com as permissões de acesso ao documento. Se retirar a permissão a uma pessoa para aceder aos seus documentos, este podem, em alguns casos, ter acesso posterior aos documentos sem o conhecimento do dono do mesmo.
O nível de gravidade das duas primeiras vulnerabilidades é consideravelmente baixo. No entanto, a terceira vulnarabilidade, a persistir, é uma vulnerabilidade muito séria que compromete a integridade de todo o Google Docs.
Entretanto a Google já se manifestou sobre estes problemas.
