OWASP Top 10 2010 -...

53
c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48 Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01 [email protected] I www.isecauditors.com OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web Vicente Aguilera Díaz 26/2/2010 Internet Security Auditors

Transcript of OWASP Top 10 2010 -...

Page 1: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

c. Santander, 101. Edif. A. 2º I E-08030 Barcelona (Spain) I Tel.: +34 93 305 13 18 I Fax: +34 93 278 22 48

Pº. de la Castellana, 164-166. Entlo. 1ª I E-28046 Madrid (Spain) I Tel: +34 91 788 57 78 I Fax: +34 91 788 57 01

[email protected] I www.isecauditors.com

OWASP Top 10 2010: Riesgos de seguridad en las Aplicaciones Web

Vicente Aguilera Díaz 26/2/2010

Internet Security Auditors

Page 2: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 2

OWASP Top 10 2010

¿Quién soy? Vicente Aguilera Díaz – [email protected]

CISA, CISSP, CSSLP, ITIL, CEH Instructor, ECSP Instructor, OPSA, OPST

Presidente del capítulo español de OWASP

Director del Departamento de Auditoría de Internet Security Auditors

Miembro del Consejo Técnico Asesor de la revista “Red Seguridad”

Colaborador en distintos proyectos (OWASP Testing Guide v2, WASC

Threat Classification v2, WASC Articles Project, OISSG ISSAF Project)

Ponente en congresos del sector (IGC, Hackmeeting, FIST, RedIRIS,

OWASP)

Co-organizador de las conferencias IBWAS (Ibero-American Web

Application Security)

Publicación de vulnerabilidades (Oracle, Gmail, SquirrelMail, Hastymail,

ISMail, etc.) y artículos en medios especializados (SIC, RedSeguridad,

WebAppSec, etc.)

Page 3: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 3

OWASP Top 10 2010

Agenda

1. Inversión actual en seguridad TI

2. OWASP Top 10 2010:

Actualización de los riesgos de seguridad

Revisión de la recomendaciones

3. Evasión de controles de seguridad en un entorno real:

Demostración práctica: gmailcrack

Page 4: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 4

OWASP Top 10 2010

Page 5: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 5

OWASP Top 10 2010

1. Inversión actual en seguridad TI

El grueso de la inversión actual en seguridad recae en:

¿Infraestructura o Aplicación?

Page 6: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 6

OWASP Top 10 2010

1. Inversión actual en seguridad TI

Según Gartner[1], el 90% se destina a seguridad perimetral (p.e.

firewalls)

Este hecho resulta ilógico, si pensamos en términos de:

Presupuesto de TI (network, host, applications, data)

Amenazas y riesgos de seguridad actuales

[1] http://www.continuitycentral.com/feature0555.htm

Page 7: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 7

OWASP Top 10 2010

1. Inversión actual en seguridad TI

Objetivo de los ataques

Fuente: UK Security Breach Investigations Report 2010 (7safe)

Page 8: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 8

OWASP Top 10 2010

1. Inversión actual en seguridad TI

Tipología de empresas afectadas

Fuente: 2009 Data Breach Investigations Report (Verizon Business)

Page 9: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 9

OWASP Top 10 2010

1. Inversión actual en seguridad TI

Conclusiones

La mayor parte de los atacantes son externos

Generalmente se persigue un objetivo económico

El negocio está en la web

Los sistemas de seguridad tradicionales no ofrecen protección a

nivel de aplicación

Es necesario incorporar la seguridad al SDLC, pero además…

La balanza debería equilibrarse!

Page 10: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 10

OWASP Top 10 2010

Page 11: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 11

OWASP Top 10 2010

2. OWASP Top 10 2010

Es un documento: 21 páginas

Gratuito

Los 10 riesgos más críticos

Evoluciona y se adapta

El principal objetivo es educar

Page 12: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 12

OWASP Top 10 2010

2. OWASP Top 10 2010

Enumera y describe los 10 riesgos más críticos en las

aplicaciones web

Para cada riesgo, aporta:

Descripción del mismo

Escenario de ejemplo de un ataque

Pautas para verificar si nuestra aplicación es vulnerable

Recomendaciones para prevenir dicho riesgo

Crecimiento en su aceptación:

MITRE

PCI DSS

US Defense Information Systems Agency (DISA)

US Federal Trade Commision (FTC)

y muchos más!

Page 13: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 13

OWASP Top 10 2010

2. OWASP Top 10 2010

Cambios destacados en esta versión (frente a 2007):

Se centra en los riesgos (no en vulnerabilidades)

Se reordena el Top 10 debido a que la metodología para

elaborar el ránking ha cambiado

Se incorporan dos elementos:

Security Misconfiguration

Unvalidated Redirect and Forwards

Se eliminan dos elementos:

Malicious File Execution

Information Leakage and Improper Error Handling

… y la maquetación del documento!

Page 14: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 14

OWASP Top 10 2010

2. OWASP Top 10 2010

Última actualización del Top 10

Page 15: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 15

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

La aplicación envía a un intérprete datos no validados

correctamente y que pueden ser manipulados por el usuario.

Posibilita

Ejecución de consultas/comandos arbitrarios en el intérprete

afectado.

Page 16: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 16

OWASP Top 10 2010

Firew

all

Hardened OS

Web Server

App Server

Fir

ew

all

Data

bases

Legacy S

yste

ms

Web S

erv

ices

Directo

ries

Hum

an R

esrc

s

Bill

ing

Custom Code

APPLICATION

ATTACK

Netw

ork

Layer

Applic

ation L

ayer

Accounts

Fin

ance

Adm

inis

tration

Tra

nsactions

Com

munic

ation

Know

ledge

Mgm

tE

-Com

merc

e

Bus. F

unctions

HTTP

request

SQL

query

DB

Table

HTTP

response

"SELECT *

FROM accounts

WHERE acct=‘’

OR 1=1--’"

1. Application presents a form to

the attacker

2. Attacker sends an attack in

the form data

3. Application forwards attack to

the database in a SQL query

Account Summary

Acct:5424-6066-2134-4334

Acct:4128-7574-3921-0192

Acct:5424-9383-2039-4029

Acct:4128-0004-1234-0293

4. Database runs query

containing attack and sends

encrypted results back to

application

5. Application decrypts data as

normal and sends results to the

user

Account:

SKU:

Page 17: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 17

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Evitar el uso de intérpretes siempre que sea posible. En caso de

resultar necesario, utilizar APIs seguras.

Validaciones de los datos de entrada: basadas en white-list para

todos los datos de entrada.

Antes de validar el dato de entrada es necesario decodificarlo y

convertirlo a su forma más simple

Seguir el principio de mínimo privilegio en las conexiones con bases

de datos y otros componentes

No utilizar consultas dinámicas, sino parametrizadas

Page 18: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 18

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

La aplicación retorna al navegador web datos no validados

correctamente y que pueden ser alterados por el usuario.

Posibilita

Secuestro de sesión, defacement, control del navegador del

usuario, etc.

Page 19: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 19

OWASP Top 10 2010

Application with

stored XSS

vulnerability

3

2

Attacker sets the trap – update my profile

Attacker enters a

malicious script into a

web page that stores

the data on the server

1

Victim views page – sees attacker profile

Script silently sends attacker Victim’s session cookie

Script runs inside

victim’s browser with

full access to the DOM

and cookies

Custom Code

Accounts

Fin

ance

Adm

inis

tration

Tra

nsactions

Com

munic

ation

Know

ledge

Mgm

tE

-Com

merc

e

Bus. F

unctions

Page 20: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 20

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Validaciones de los datos de entrada: basadas en white-list para

todos los datos de entrada.

Fuerte codificación de salida: todos los datos facilitados por el

usuario han de ser codificados antes de ser retornados al cliente.

Especificar la codificación de caracteres en cada página (por

ejemplo: ISO-8859-1 o UTF-8)

Page 21: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 21

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Deficiencias en la implementación de las funciones de

autenticación de usuarios.

Posibilita

Obtener contraseñas o IDs de sesión de otros usuarios,

suplantando su identidad.

Page 22: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 22

OWASP Top 10 2010

Custom Code

Acco

un

ts

Fin

an

ce

Ad

min

istr

ati

on

Tra

nsacti

on

s

Co

mm

un

icati

on

Kn

ow

led

ge

Mg

mt

E-C

om

merc

e

Bu

s. F

un

cti

on

s1 User sends credentials

2Site uses URL rewriting

(i.e., put session in URL)

3 User clicks on a link to

http://www.hacker.com in a forum

www.boi.com?JSESSIONID=9FA1DB9EA...

4

Hacker checks referer logs on

www.hacker.com

and finds user’s JSESSIONID5 Hacker uses JSESSIONID

and takes over victim’s

account

Page 23: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 23

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Las credenciales deben viajar por un canal seguro (SSL)

Las credenciales deben ser almacenadas en forma de hash o utilizandocifrado

Utilizar la gestión de sesiones del propio framework

No aceptar nuevos identificadores de sesión desde el usuario.

El formulario de login deben ser accedido vía HTTPs. Comenzar el procesode login desde una segunda página en la que se haya generado un nuevoID de sesión.

Cada página debe incluir la opción de logout.

Utilizar time-out por inactividad (preferiblemente de pocos minutos)

No exponer credenciales (login y/o password) o identificadores de sesión enla URL.

Verificar el password anterior al solicitar un cambio de contraseña.

Page 24: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 24

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Exposición de una referencia a un objeto interno sin los

debidos controles de seguridad.

Posibilita

Acceso a datos no autorizados.

Page 25: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 25

OWASP Top 10 2010

https://www.onlinebank.com/user?acct=6065

• Attacker notices his acct

parameter is 6065

?acct=6065

• He modifies it to a

nearby number

?acct=6066

• Attacker views the

victim’s account

information

Page 26: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 26

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Utilizar referencias indirectas. Por ejemplo:

http://www.example.com/application/file=1

Establecer un estándar a la hora de hacer referencia a objetos del

servidor:

Evitar exponer a los usuarios referencias directas a objetos

(como nombres de fichero o claves primarias)

Validar cualquier referencia a un objeto utilizado white-list.

Verificar el nivel de autorización sobre los objetos

referenciados.

Page 27: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 27

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Fuerza al navegador de la víctima (autenticada) a realizar

una petición HTTP, incluyendo la cookie de sesión u otra

información que permite autenticar al usuario.

Posibilita

Forzar acciones no deseadas por parte del usuario en la

aplicación vulnerable.

Page 28: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 28

OWASP Top 10 2010

3

2

Attacker sets the trap on some website on the internet

(or simply via an e-mail)1

While logged into vulnerable site,

victim views attacker site

Vulnerable site sees

legitimate request

from victim and

performs the action

requested

Custom Code

Acco

un

ts

Fin

an

ce

Ad

min

istr

ati

on

Tra

nsacti

on

s

Co

mm

un

icati

on

Kn

ow

led

ge

Mg

mt

E-C

om

merc

e

Bu

s. F

un

cti

on

s

Hidden <img> tag

contains attack

against vulnerable

site

Application with

CSRF vulnerability

Page 29: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 29

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Verificar que la aplicación no basa la autenticación del usuario

únicamente en credenciales o tokens transmitidos automáticamente por

el navegador.

Utilizar un token adicional, criptográficamente seguro, que no se

transmita de forma automática por el navegador (por ejemplo, campo

oculto de formulario o parámetro de URL)

Verificar que la aplicación no sufre vulnerabilidades de tipo XSS

En el acceso a datos u operativas sensibles, re-autenticar al usuario.

Aceptar únicamente el método POST para transmitir información

sensible.

Page 30: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 30

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Uso de configuraciones de seguridad deficientes o por

defecto.

Posibilita

Explotar vulnerabilidades en la aplicación, servidores

web/aplicación, u otros componentes.

Page 31: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 31

OWASP Top 10 2010

Hardened OS

Web Server

App Server

Framework

App Configuration

Custom Code

Accounts

Fin

ance

Adm

inis

tration

Tra

nsactions

Com

munic

ation

Know

ledge M

gm

t

E-C

om

merc

e

Bus. F

unctions

Test Servers

QA Servers

Source Control

Development

Database

Insider

Page 32: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 32

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Uso de guías de securización.

Mantener actualizadas todas las plataformas.

Analizar las implicaciones de los cambios realizados en las

plataformas.

Page 33: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 33

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Ausencia de controles de autenticación/autorización en el

acceso a recursos privados.

Posibilita

Acceso no autorizado a recursos privados.

Page 34: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 34

OWASP Top 10 2010

• Attacker notices the URL

indicates his role

/user/getAccounts

• He modifies it to another

directory (role)

/admin/getAccounts, or

/manager/getAccounts

• Attacker views more accounts

than just their own

https://www.onlinebank.com/user/getAccountshttps://www.onlinebank.com/user/getAccounts

Page 35: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 35

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Disponer de una matriz de roles y funciones de la aplicación, como

parte del diseño de la aplicación.

La aplicación debe verificar el control de acceso en cada petición.

Llevar a cabo pentests (tests de intrusión) tras el despliegue de la

aplicación

No basar la seguridad en la ofuscación

Denegar el acceso a tipos de ficheros que la aplicación no debería

servir. Basar la validación en una white-list (por ejemplo: .html, .pdf,

.jsp)

Page 36: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 36

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Uso de datos no validados correctamente para realizar

redirecciones a otros recursos.

Posibilita

Redirigir a los usuarios a sitios de phishing o malware, o

acceso a recursos no autorizados.

Page 37: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 37

OWASP Top 10 2010

3

2

Attacker sends attack to victim via email or webpage

From: Internal Revenue Service

Subject: Your Unclaimed Tax

Refund

Our records show you have an

unclaimed federal tax refund.

Please click here to initiate your

claim.

1

Request sent to

vulnerable site, including

attacker’s destination site

as parameter. Redirect

sends victim to attacker

site

Custom Code

Acco

un

ts

Fin

an

ce

Ad

min

istr

ati

on

Tra

ns

acti

on

s

Co

mm

un

icati

on

Kn

ow

led

ge

Mg

mt

E-C

om

merc

e

Bu

s. F

un

cti

on

s

4

Victim clicks link containing unvalidated parameter

Evil Site

http://www.irs.gov/taxrefund/claim.jsp?year=2006& … &dest=www.evilsite.com

Page 38: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 38

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Intentar evitar el uso de redirecciones.

No utilizar parámetros que puedan ser manipulados por el

usuario como parte de la URL, o verificar cada parámetro

para verificar que es válido y autorizado para el usuario

Validar la URL después de haberla “calculado”.

Page 39: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 39

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Datos sensibles no protegidos con el cifrado adecuado.

Posibilita

Fraude con tarjetas de crédito, suplantación de identidades,

etc.

Page 40: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 40

OWASP Top 10 2010

Custom Code

Ac

co

un

ts

Fin

an

ce

Ad

min

istr

ati

on

Tra

ns

ac

tio

ns

Co

mm

un

ica

tio

nK

no

wle

dg

e

Mg

mt

E-C

om

me

rce

Bu

s. F

un

cti

on

s1Victim enters credit

card number in form

2Error handler logs CC

details because

merchant gateway is

unavailable

4 Malicious insider

steals 4 million

credit card

numbers

Log files

3Logs are accessible to

all members of IT staff

for debugging purposes

Page 41: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 41

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Verificar que todo lo que debiera ser cifrado realmente lo está.

No crear algoritmos criptográficos. Usar únicamente algoritmos públicos

reconocidos (como AES, RSA, y SHA-256)

No utilizar algoritmos considerados débiles (como MD5 o SHA1)

Nunca transmitir claves privadas por canales inseguros

Verificar que las credenciales de toda la infraestructura (como base de

datos) se encuentran correctamente securizadas (permisos del sistema

de ficheros, cifrado, etc.)

No almacenar información innecesaria. Por ejemplo, según PCI DSS

nunca se debe almacenar el número CVV asociado a la tarjeta de

crédito.

Page 42: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 42

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Descripción

Comunicaciones sensibles viajan por un canal no cifrado.

Posibilita

Acceso a información sensible mediante la captura del

tráfico.

Page 43: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 43

OWASP Top 10 2010

Custom Code

Employees

Business PartnersExternal Victim

Backend Systems

External Attacker

1

External attacker

steals credentials

and data off

network

2

Internal attacker

steals credentials

and data from

internal network

Internal Attacker

Page 44: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 44

OWASP Top 10 2010

2. OWASP Top 10 2010: Riesgos

Recomendaciones

Utilizar SSL en cualquier comunicación autenticada o al transmitir

información sensible (credenciales, datos de tarjetas, información

personal, etc.)

Verificar que la comunicación entre componentes (por ejemplo,

servidor web y base de datos) también utiliza un canal seguro.

Según el requerimiento 4 de PCI DSS hay que proteger los datos

que se transmiten sobre las tarjetas de crédito.

Page 45: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 45

OWASP Top 10 2010

Page 46: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 46

OWASP Top 10 2010

3. Evasión de controles de seguridad en un entorno

real:

Gmail dispone de un gran número de controles de seguridad

Bloqueo de IP origen

Bloqueo de la cuenta al detectar actividad sospechosa

CAPTCHA

Detección de accesos concurrentes

y muchos más!

¿Es posible automatizar el proceso de

autenticación de usuarios?

password cracking

Page 47: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 47

OWASP Top 10 2010

3. Evasión de controles de seguridad en un entorno

real:

Veamos qué deficiencias existen…

Nota: El equipo de seguridad de Google fue notificado de

estas deficiencias en 2009, pero desestimó aplicar cualquier

medida correctora debido a que consideraban suficientes sus

actuales mecanismos de protección.

Page 48: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 48

OWASP Top 10 2010

3. Evasión de controles de seguridad en un entorno

real:

Conozcamos gmailcrack, la implementación práctica que

explota dichas deficiencias

Page 49: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 49

OWASP Top 10 2010

3. Evasión de controles de seguridad en un entorno

real:

gmailcrack en acción…

Page 50: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 50

OWASP Top 10 2010

Referencias

UK Security Breach Investigations Report

http://www.7safe.com/breach_report/Breach_report_2010.pdf

2009 Data Breach Investigations Report

http://www.verizonbusiness.com/resources/security/reports/2009

_databreach_rp.pdf

OWASP Top 10 2010 rc1

http://www.owasp.org/index.php/File:OWASP_T10_-

_2010_rc1.pdf

Internet Security Auditors Security Advisories

http://www.isecauditors.com/es/advisories.html#2009-008

Page 51: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 51

OWASP Top 10 2010

Referencias

The Economics of Finding and Fixing Vulnerabilities in Distributed

Systems

http://1raindrop.typepad.com/1_raindrop/2008/11/the-

economics-of-finding-and-fixing-vulnerabilities-in-distributed-

systems-.html

Page 52: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 52

OWASP Top 10 2010

?dudas / comentarios / sugerencias

Gracias!

Page 53: OWASP Top 10 2010 - vicenteaguileradiaz.comvicenteaguileradiaz.com/pdf/OWASP_Top_10_2010-FIST-20100226.pdf · OWASP Top 10 2010 2. OWASP Top 10 2010: Riesgos Recomendaciones Evitar

© I n t e r n e t S e c u r i t y A u d i t o r s • B a r c e l o n a • 2 6 F e b r e r o 2 0 1 0 • P. 53

OWASP Top 10 2010

Su Seguridad es Nuestro Éxito

Vicente Aguilera DíazDirector Departamento Auditoría

Internet Security [email protected]

c/ Santander, 101. Edif. A. 2º

E-08030 Barcelona (Spain)

Tel.: +34 93 305 13 18

Fax: +34 93 278 22 48

Pº. de la Castellana, 164-166. Entlo. 1ª

E-28046 Madrid (Spain)

Tel.: +34 91 788 57 78

Fax: +34 91 788 57 01

www.isecauditors.com