Segurança de Aplicações Web
Posts tagged vulnerabilidades
Atenção: phishing PSP
Oct 19th
Cuidado, anda à solta mais um email de phishing da PSP. Como sempre, as boas práticas neste caso devem ser aplicadas.
Arachni – nova ferramenta de detecção de vulnerabilidades de aplicações web
Jul 16th
Aqui fica mais uma ferramenta para detecção automática de vulnerabilidades em aplicações web, desenvolvida em Ruby. Esta ferramenta chama-se Arachni.
Está ainda numa fase de desenvolvimento muito intenso, mas pode ser mais uma ferramenta importante a juntar ao rol das existentes.
Carreiras em PenTesting e Análise de Vulnerabilidades
Jun 4th
Um interessante artigo, que recomendo a quem pensa fazer uma carreira profissional na área dos Testes de Penetração e de Análise de Vulnerabilidades.
Vale a pena dar uma vista de olhos…
Jarlsberg
May 7th
Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.
O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.
O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.
Vale a pena ver.
Google Web scanner – o SkipFish
May 6th
O Google, o gigante da Internet e em que cujo o modelo de negócios assenta essencialmente sobre a distribuição de aplicações e serviços através de Web, parece finalmente ter acordado para a necessidade de ter maior nível de segurança ao nível aplicacional.
De acordo com o que o próprio Google afirma:
The safety of the Internet is of paramount importance to Google, and helping web developers build secure, reliable web applications is an important part of the equation.
Por isso mesmo, a Google disponibiliza uma ferramenta, de seu nome Skipfish, que é open-source, livre e gratuita e que pode ser usada para efectuar testes automáticos de segurança a aplicações web.
As principais características do Skipfish são:
- Velocidade: ferramenta bastante rápida, desenvolvida em C, optimizada para trabalhar com HTTP e com baixa utilização de recursos;
- Facilidade de Utilização: utiliza heurísticas avançadas que permitem o reconhecimento e adaptação a novas situações de análise;
- Lógica de segurança avançada: inclui a possibilidade de detectar ataques que resultariam em falsos negativos noutras ferramentas como por exemplo vulnerabilidades de blind injection.
- Server-side SQL injection (including blind vectors, numerical parameters)
- Explicit SQL-like syntax in GET or POST parameters
- Server-side shell command injection (including blind vectors)
- Server-side XML / XPath injection (including blind vectors)
- Format string vulnerabilities
- Integer overflow vulnerabilities
- Locations accepting HTTP PUT
- Stored and reflected XSS vectors in document body (minimal JS XSS support present)
- Stored and reflected XSS vectors via HTTP redirects
- Stored and reflected XSS vectors via HTTP header splitting
- Directory traversal (including constrained vectors)
- Assorted file POIs (server-side sources, configs, etc)
- Attacker-supplied script and CSS inclusion vectors (stored and reflected)
- External untrusted script and CSS inclusion vectors
- Mixed content problems on script and CSS resources (optional)
- Incorrect or missing MIME types on renderables
- Generic MIME types on renderables
- Incorrect or missing charsets on renderables
- Conflicting MIME / charset info on renderables
- Bad caching directives on cookie setting responses
- Directory listing bypass vectors
- Redirection to attacker-supplied URLs (stored and reflected)
- Attacker-supplied embedded content (stored and reflected)
- External untrusted embedded content
- Mixed content on non-scriptable subresources (optional)
- HTTP credentials in URLs
- Expired or not-yet-valid SSL certificates
- HTML forms with no XSRF protection
- Self-signed SSL certificates
- SSL certificate host name mismatches
- Bad caching directives on less sensitive content
OWASP Top 10 2010 lançado!!!
Apr 19th
A nova versão do OWASP Top 10 (2010) já está aí. Foi hoje lançada a mais recente versão desta lista de riscos (e não vulnerabilidades) que afectam (ou podem afectar) as aplicações Web.
Como sempre, podem descarregar a versão final do documento a partir do site da OWASP, e aproveitem para divulgar este documento – aquela que é provavelmente a mais conhecida lista de riscos de segurança em Web applications. Abaixo podem ver a press release.
Aproveito igualmente para noticiar que está em curso a tradução deste documento para português, uma iniciativa conjunta nosso chapter e do brasileiro. A vossa colaboração é bem-vinda.
Mais um motivo para virem pessoalmente conhecer este documento um pouco melhor na próxima quarta-feira.
FOR IMMEDIATE RELEASE:
OWASP TOP 10 FOR 2010 RELEASED
Will You Help Us Reach Every Web Developer in the World?
Columbia, MD 4/19/2010 —
Since 2003, application security researchers and experts from all over the world at the Open Web Application Security Project (OWASP) have carefully monitored the state of web application security and produced an awareness document that is acknowledged and relied on by organizations worldwide, including the PCI, DOD, FTC, and countless others.
Today, OWASP has released an updated report capturing the top ten risks associated with the use of web applications in an enterprise. This colorful 22 page report is packed with examples and details that explain these risks to software developers, managers, and anyone interested in the future of web security. Everything at OWASP is free and open to everyone, and you can download the latest OWASP Top 10 report for free at:
http://www.owasp.org/index.php/Top_10
Dave Wichers, OWASP Board member and COO of Aspect Security, has managed the project since its inception. “This year we have revamped the Top 10 to make it clear that we are talking about risks, not just vulnerabilities. Attempts to prioritize vulnerabilities without context just don’t make sense. You can’t make proper business decisions without understanding the threat and impact to your business.” This new focus on risks is intended to lead organizations to more mature understanding and management of application security across their organization.
The time has come to get application security awareness out of the security community and directly to the people who need to know it most. This year, our audacious goal is to get the OWASP Top 10 into the hands ofevery web developer in the world – but we need your help. We ask anyone reading this; would you be willing to do one simple thing to help protect the future of the Internet? If you know people who write code for the web, could you forward them the OWASP Top 10 and ask them kindly…
—————————————————
Are you familiar with all of the risks in the OWASP Top 10?
Will you make a commitment today to protect your code against the OWASP Top 10?
—————————————————
For too long, many organizations have relied exclusively on an occasional scan or penetration test to gain assurance for their internal and external web applications. This approach is expensive and doesn’t provide much in the way of coverage. Like other types of security, application security requires a risk management program that provides visibility across the entire portfolio and strategic controls to improve security. If your organization is ready to tackle application security, there are dozens of free books, tools, projects, forums, mailing lists, and more at OWASP. You can also join one of over 180 local chapters worldwide or attend our high quality and inexpensive AppSec conferences.
The OWASP Top 10 for 2010 are:
A1: Injection
A2: Cross-Site Scripting (XSS)
A3: Broken Authentication and Session Management
A4: Insecure Direct Object References
A5: Cross-Site Request Forgery (CSRF)
A6: Security Misconfiguration
A7: Insecure Cryptographic Storage
A8: Failure to Restrict URL Access
A9: Insufficient Transport Layer Protection
A10: Unvalidated Redirects and Forwards
The 2010 update is based on more sources of web application vulnerability information than the previous versions were when determining the new Top 10. It also presents this information in a more concise, compelling, and consumable manner, and includes strong references to the many new openly available resources that can help address each issue, particularly OWASP’s new Enterprise Security API (ESAPI) andApplication Security Verification Standard (ASVS) projects.
ABOUT OWASP
The Open Web Application Security Project (OWASP) is a worldwide free and open community focused on improving the security of application software. Our mission is to make application security visible, so that people and organizations can make informed decisions about true application security risks. Everyone is free to participate in OWASP and all of our materials are available under a free and open software license. The OWASP Foundation is a 501c3 not-for-profit charitable organization that ensures the ongoing availability and support for our work from our members: Individuals, Organizational Supporters & Accredited University Supporters.
Interviews: Jeff Williams – OWASP Chair and Top 10 Project Founder (jeff.williams@owasp.,org)
Interviews: Dave Wichers – OWASP Board Member and Top 10 Project Lead (dave.wichers@owasp.org)
Contact: Lorna Alamri – Connections Committee (lorna.alamri@owasp.org)
Company Name: Open Web Application Security Project (OWASP)
Web site address: http://www.owasp.org
Europa vulnerável a ciber-ataques? Ficção ou Realidade?
Mar 22nd
Realidade… a mais pura das realidades.
O alerta vem agora da Câmara dos Lordes, que num relatório designado por “Protecting Europe Against Large-Scale Cyber-Attacks – Report with Evidence“, vem alertar Bruxelas para as políticas falhadas em matéria de criação de defesas online que protejam a União Europeia.
Não tem sido por falta de intervenção de entidades especializadas em segurança de informação, que têm vindo a alertar os governos para estes mesmos perigos. Um destes exemplos é o caso da OWASP, que tem feito consecutivos esforços para envolver alguns elementos com responsabilidades governativas na Europa, sem grande sucesso. Em 2008, tivemos um SUMMIT EU da OWASP no Algarve em que tentamos convidar pessoas responsáveis do governo a estarem presentes, sem resultados. No ano passado, em 2009, no IBWAS’09 em Madrid, tentamos igualmente fazê-lo, mais uma vez sem sucesso. Será que em 2010, no IBWAS’10 em Lisboa, vamos conseguir finalmente?
Em 2009, e mesmo sem a presença de representantes governamentais, a OWASP aprovou e emitiu um conjunto de recomendações para os Governos em termos de ciber-segurança. Estas recomendações/medidas podem ser consultadas aqui.
Parece continuar a existir nesta área um completo desconhecimento das ameaças e das suas reais consequências. Este novo relatório vem precisamente alertar para elas. É altura de tomar medidas sérias e começar desde já a abordar esta questão da ciber-segurança como uma questão central e de estratégia Europeia. Os nossos parceiros do outro lado do Oceano Atlântico já o fazem… para quando o mesmo na Europa?
Nesta questão, a sabedoria popular está absolutamente correcta: “o pior cego é aquele que não quer ver”.
Mutillidae: a OWASP Top 10 em PHP
Mar 21st
Quem lê o que eu tenho escrito por aqui, quer em algumas revistas em que tenho tido a oportunidade de escrever umas coisas, pode verificar facilmente que apresento como um dos principais motivos para a insegurança das aplicações web, a falta de formação.
A falta de formação, ou a formação deficiente de quem tem que desenvolver aplicações web-based, pode levar ao desenvolvimento de aplicações que, apesar de poderem ser excelentes do ponto de vista funcional, são péssimas do ponto de vista da segurança.
Acho por isso que a formação de programadores que desenvolvem aplicações para a web, deve conter forçosamente uma componente muito séria de segurança aplicacional. Os programadores devem compreender que aquilo que fazem a nível do código-fonte de uma determinada aplicação, afecta directamente a segurança da mesma.
A OWASP possui uma excelente ferramenta de apoio a esta formação. Esta ferramenta dá pelo nome de WebGoat, e foi desenvolvida com o objectivo de ser propositadamente insegura e vulnerável de forma a demonstrar as principais vulnerabilidades em aplicações web, e mostrando ainda de forma exaustiva e educativa, como as mesmas funcionam, quais os erros que lhes deram origem e qual o impacto na aplicação em causa. O WebGoat foi desenvolvido em Java e a pensar nos programadores de aplicações Java (J2EE).
O WebGoat é um excelente recurso de formação nesta área, mas não é o único. Existem muitos mais. Para quem desenvolve aplicações em PHP, um excelente recurso é a Mutillidae. A Mutillidae é composta por um conjunto de scripts desenvolvidos em PHP que implementam a OWASP Top 10.
O principal objectivo desta ferramenta é o de demonstrar de uma forma fácil os principais ataques a aplicações web e que vêm reportados no OWASP Top 10. Mas à semelhança do que acontecia com o WebGoat, não é o único recurso. Podem igualmente encontrar aqui uma lista de excelentes ferramentas com o objectivo de ajudar na formação de quem faz desenvolvimento para a Web e que necessita perceber um pouco mais sobre a segurança das mesmas.
Parece-me que existem cada vez menos desculpas sobre o desconhecimento de vulnerabilidades ou para a falta de formação sobre a forma como as eliminar das diversas aplicações web desenvolvidas.
Skipfish
Mar 20th
Aqui fica uma ferramenta para testes automáticos de aplicações web,desenvolvida pela Google, que pode ajudar a determinar a resolver algumas vulnerabilidades em aplicações web: skipfish.
XSS demo para roubar passwords no Firefox
Mar 16th
E aqui fica uma demo sobre como usar Cross Site Scripting (XSS) para roubar passwords do gestor de passwords do Firefox (aliás, técnicas semelhantes podem ser usadas para o Internet Explorer, Safari, Chrome, Opera e outros).
Mais um motivo para não usar a opção de deixar que o browser memorize as passwords por nós.
