Owasp Top10 FireFox

62
UCA Noviembre 2009 securitybydefault.com SbD Seguridad Web Firefox y OWASP Top10 (2010RC1) Alejandro Ramos CISSP, CISA

Transcript of Owasp Top10 FireFox

Page 1: Owasp Top10 FireFox

UCA – Noviembre 2009 securitybydefault.com

SbD

Seguridad Web

Firefox y OWASP Top10

(2010RC1)

Alejandro Ramos

CISSP, CISA

Page 2: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

• Open Web Application Security Project

• Comunidad mundial abierta (130 capítulos)

• Mejora de la seguridad de apps

• Sin ánimo de lucro

• Desarrollo de herramientas, documentación, estudios

• Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10

OWASP

http://www.owasp.org

Page 3: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Owasp TOP10 2010 (RC1)

• 10 riesgos más importantes.

• Versión anterior de 2007 (2003, 2004)

• HOT! HOT! Liberada el 13 de noviembre en OWASP AppSec DC.

• WARNING: los riesgos no solo se limitan a 10!

A1 – Injection

A2 – Cross Site Scripting (XSS)

A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object References

A5 – Cross Site Request Forgery (CSRF)

A6 – Security Misconfiguration (NEW)

A7 – Failure to Restrict URL Access

A8 – Unvalidated Redirects and Forwards (NEW)

A9 – Insecure Cryptographic Storage

A10 – Insufficient Transport Layer Protection

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Page 4: Owasp Top10 FireFox
Page 5: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

¿ Firefox?

• Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos• Multiplataforma• Motor de renderizado “Gecko”• Soporte de extensiones

Securityb

yDefault.com

Page 6: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

FFHardener 1.1

• Criptografía:

– Impide el uso del algoritmo RC4 en sesiones SSL

– Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128)

• JavaScript:

– Impide modificación del aspecto de Firefox

– Deshabilita capacidades de JS potencialmente inseguras

• Privacidad:

– Elimina el historial de navegación

– Borra la caché de paginas web visitadas

http://code.google.com/p/sbdtools/downloads/list

Page 7: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Perfiles

• Firefox admite el uso de varios perfiles

• Las extensiones consumen recursos (…demasiados…)

• Útil para no sobrecargar el navegador

• Con Firefox cerrado: Firefox –Profile (-P)

http://support.mozilla.com/es/kb/Managing+profiles

Page 9: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Page 10: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Instalación de extensiones

Page 11: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A1.- INJECTION

Page 12: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A1.- Injection

• Explota una aplicación que construye unaconsulta con los datos introducidos por elusuario sin previa validación, modificando lalógica de la aplicación.

• Mediante SQL, OS Shell, LDAP, XPATH, etc

• Muchas aplicaciones actualmente vulnerables

• Impacto: lectura/escritura completa de unabase de datos, ejecución de comandos, acceso acredenciales.

Page 13: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

SQL Inject-Me

Page 14: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Tamper Data

Page 15: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A1 – Injection - Contramedidas

• Recomendaciones

– Utilizar un API segura de validación de datos mediante parámetros

– Escapar caracteres siguiendo rutinas como ESAPI de OWASP

– Uso de listas blancas

• Referencias

– http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Page 16: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A2.- CROSS SITE SCRIPTING

(XSS)

Page 17: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A2.- Cross Site Scripting

• Inserción de código en la página generada poruna aplicación web.

• Falta de validación de datos introducidos por elusuario.

• Reflejados o almacenados en bbdd

• Impacto: permite el control total delnavegador, robo de sesiones, redirección a otraspáginas.

Page 18: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

XSS Me

Page 19: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

HackBar

Page 20: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A2 – Cross Site Scripting - Contramedidas

• Recomendaciones

– No mostrar contenido generado con los datos introducidos por el usuario.

– Codificar los datos de entrada (escapar). EjOWASP-ESAPI.

– Uso de validación mediante listas blancas.

• Referencias

– http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

Page 21: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A3.- BROKEN

AUTHENTICATION AND

SESSION MANGEMENT

Page 22: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A3.- Broken Authentication and session mangement

• Incorrecta gestión de funciones deautenticación como: recordar contraseña,desconectar, recuperar contraseña, preguntasecreta.

• Ataques de fuerza bruta, enumeración deusuarios, predicción de sesiones, etc.

• Impacto: robo de credenciales, suplantación deidentidad

Page 23: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

iMacros

Page 24: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Add ‘n’ Edit Cookies

Page 25: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

LiveHTTPHeaders

Page 26: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A3 – Broken Authentication and Session Mangement -

Contramedidas

• Recomendaciones

– Simplificar proceso de autenticación

– Uso de la sesión estándar del sistema. EjJSESSIONID

– Uso de SSL en cada vez que se transmita la sesión

• Verificaciones

– No existen herramientas automáticas.

– Verificación del certificado SSL

– Comprobación de las funciones de autenticación

– Verificar que la función “desconectar”, destruye la sesión

Page 27: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A4.- INSECURE DIRECT

OBJECT REFERENCES

Page 28: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A4.- Insecure Direct Object References

• Denominado “control de acceso en la capa depresentación”.

• No mostrar información que realmente estápublicada (mediante la falta de referencias)

• Similar a A7 (Failure to Restrict URL Access)

• Impacto: acceso a recursos confidenciales,información sensible o datos personales.

Page 29: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Unlinker

•También A6 Security Misconfiguration•Ejemplos aproximados …por eso de ver la extensión…

Page 30: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

RefControl

Page 31: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A4 – Insecure Direct Object References - Contramedidas

• Recomendaciones

– Mapeo de valores de la URL. Ej:

• &download=1 -> &download=34cb04e932

• &download=2 -> &download=48add501ef

• Validaciones

– Verificar que el valor es correcto

– Comprobar que el usuario tiene permiso sobre el recurso

– Verificar el tipo de permiso (lectura, escritura, borrado)

Page 32: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A5.- CROSS SITE REQUEST

FORGERY

Page 33: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A5.- Cross Site Request Forgery

• Un usuario es engañado para pulsar sobre unenlace web.

• Este ejecuta una acción en esa web utilizandolas credenciales de su usuario (session, IP,dominio de windows, etc)

• Impacto: común para transferencias bancarias,acceder información confidencial, cambio de losdetalles de una cuenta, etcétera

Page 34: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Ejemplo CSRF

• Una trasferencia bancaria se realiza mediante la petición:

– http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn

• Si el enlace es pulsado sin autenticación, la aplicación mostrará un error.

• Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida

Page 35: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A5.- Cross Site Request Forgery - Contramedidas

• Recomendaciones

– Añadir un token a todas las URLs que ejecuten funciones

– El token ha de ser generado criptográficamente con un algoritmo seguro

– ¡OJO!: el token no debe mostrarse en la cabecera “Referer”

-En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn&token=adf02e764f

http://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet

Page 36: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A6.- SECURITY

MISCONFIGURATION

Page 37: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A6.- Security Misconfiguration

• Errores en configuraciones por defecto.

• Sistemas Operativos y Servicios no fortificados.

• Falta de otros elementos de seguridad (firewalls,ids/ips, segmentación de red)

• Impacto: acceso completo al sistema, lecturade ficheros o configuraciones.

Page 38: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

EXIF Viewer

•Realmente “Information Leakage”, no está en Top10-2010

Pero queremos ver a ¡¡¡ Cat Schwartz !!!

Page 39: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A6.- Security Misconfiguration - Contramedidas

• Recomendaciones

– Implantar guía de seguridad (fortificación)

– Contemplar todos los elementos: ssoo, servicios, elementos de red

– Contemplar la seguridad cuando se hagan cambios en la arquitectura

• Validaciones

– Verificar configuraciones

– Chequear niveles de parcheado

Page 40: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A7.- FAILURE TO RESTRICT

URL ACCESS

Page 41: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A7.- Failure to Restrict URL Access

• Acceso a funciones de la aplicación de distintosroles:

• www.url.com/listusers.jsp (rol 1)

• www.url.com/adduser.jsp?user=aramosf (rol 2)

• Impacto: acceso a información, funciones yservicios para los que no se dispone depermisos.

• Escalada de privilegios (Usuarios anónimos azonas que requieren credenciales)

• Escalada de privilegios horizontal

Page 42: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

User-Agent Switcher

•Una demo un poco justa…

Page 43: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A7.- Failure To Restrict URL Access - Contramedidas

• Recomendaciones para cada URL:

– Verificar el rol en la sesión, pero no en un parámetro de la sesión

– No basar la seguridad en ocultar enlaces de los menús.

• Validaciones

– Comprobaciones manuales

– Verificar el acceso a ficheros no autorizados

Page 44: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A8.- UNVALIDATED

REDIRECTS AND FORWARDS

Page 45: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A8.- Unvalidated Redirects And Forwards

• Redirección de una zona de la aplicación a otramediante un parámetro de la URL.

• Si el parámetro no es validado se podría redirigiral usuario a una página externa.

• Impacto: redirección a una página de malwareo phishing.

Page 46: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

LiveHTTPHeaders

Page 47: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A8.- Unvalidated Redirects and Forwards - Contramedidas

• Recomendaciones

– Eliminar siempre que se puedan las redirecciones

– Si se usan, NO utilizar parámetros introducidos por el usuario

– En el peor de los casos: validación de los parámetros

Page 48: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A9.- INSECURE

CRYPTOGRAPHIC STORAGE

Page 49: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A9.- Insecure Cryptographic Storage

• Incorrecta identificación y gestión de lainformación sensible y donde se almacena.

• Impacto: acceso y modificación de informaciónconfidencial

Page 50: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

SWF Catcher

•Otra demo un agarradita por los pelos …

Page 51: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Decompilación y análisis de SWF

Page 52: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A9.- Insecure Cryptographic Storage - Contramedidas

• Recomendaciones

– Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad.

– Selección de un algoritmo de cifrado seguro.

• Validaciones

– Rotación de claves periódica.

– Almacén seguro de las claves.

Page 53: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A10.- INSUFFICIENT TRANSPORT

LAYER PROTECTION

Page 54: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A10.- Insufficient Transport Layer Protection

• Identificación incorrecta de los puntos desde losque se transmite información sensible: entresistemas internos, bases de datos,proveedores/clientes.

• Impacto: acceso y modificación de datossensible

Page 55: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Cookie Security Inspector

Page 56: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

A10.- Insufficient Transport Layer - Contramedidas

• Recomendaciones

– Uso de TLS en las conexiones

– Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature

– Deshabilitar algoritmos antiguos de SSL

– Gestión correcta de certificados/contraseñas

• Referencias

http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet

Page 57: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

OBTENCIÓN DE EVIDENCIAS

Page 58: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Obtención de Evidencias

• Cada hallazgo durante el análisis debe quedarregistrado y evidenciado

• Mediante capturas de pantalla

• O videos con el proceso de detección yexplotación de la vulnerabilidad.

Page 59: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

FireShot

Page 60: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

CaptureFox

Page 61: Owasp Top10 FireFox

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

Page 62: Owasp Top10 FireFox