Informe OWASP

7/23/2019 Informe OWASP

1/32

Titulacin de Sistemas Informticos y

Computacin

Informe Tcnico OWASP TOP 10

Autor:

Leonardo Fabin Montalvn Celi

Loja - Ecuador

Contenido1. Problemtica.................................................................................................5


2/32

2. Situacin Actual............................................................................................!

". E#tad$#tica#...................................................................................................%

&. 'rin(ulo de la Se(uridad.............................................................................)

5. *+ASP.......................................................................................................... )

5.1. ,ntroduccin...............................................................................................)

5.2. *+ASP '*P 1........................................................................................ 1

5.". Factore# de rie#(o# de #e(uridad en alicacione#...................................11

5.&. ,denti/cacin de 0ie#(o#.........................................................................11

5.5. Aruitectura de una alicacin eb. 3Cmo 4unciona...........................12

5.5.1. Aruitectura Cliente Servidor...............................................................12

5.5.2. Aruitectura or caa#.........................................................................12

5.6. *+ASP 'o 1 de 0ie#(o# de Se(uridad en Alicacione#........................1&

5.6.1. A1 7 ,n8eccin......................................................................................1&

5.6.1.1. 9e/nicin.......................................................................................... 1&

5.6.1.2. 0ie#(o#..............................................................................................1&

5.6.1.". ,macto del ataue...........................................................................1&

5.6.1.&. Etaa# del Ataue.............................................................................1&

5.6.1.5. Prevencin.........................................................................................15

5.6.2. A2 7 Prdida de Autenticacin 8 ;e#tin de Se#ione#..........................16

5.6.2.1. 9e/nicin.......................................................................................... 16

5.6.2.2. 0ie#(o#..............................................................................................16

5.6.2.". ,macto del ataue...........................................................................16

5.6.2.&. Etaa# del ataue............................................................................. 16

5.6.2.5. Prevencin.........................................................................................1!

5.6.". A" 7 Secuencia de comando# en #itio# cruSS?........................1!

5.6.".1. 9e/nicin.......................................................................................... 1!

5.6.".2. 0ie#(o#..............................................................................................1!

5.6.".". ,macto del ataue...........................................................................1%5.6.".&. Etaa# del ataue............................................................................. 1%

5.6.".5. Prevencin.........................................................................................1)

5.6.&. A& 7 0e4erencia directa in#e(ura a objeto#...........................................1)

5.6.&.1. 9e/nicin.......................................................................................... 1)

5.6.&.2. 0ie#(o#..............................................................................................1)

2


3/32

5.6.&.". ,macto del ataue...........................................................................2

5.6.&.&. Etaa# del ataue............................................................................. 2

5.6.&.5. Prevencin.........................................................................................2

5.6.5. A5 7 Con/(uracin de Se(uridad ,ncorrecta.........................................21

5.6.5.1. 9e/nicin.......................................................................................... 21

5.6.5.2. 0ie#(o#..............................................................................................21

5.6.5.". ,macto del ataue...........................................................................21

5.6.5.&. Etaa# del ataue............................................................................. 22

5.6.5.5. Prevencin.........................................................................................22

5.6.6. A6 7 E@o#icin de dato# #en#ible#......................................................22

5.6.6.1. 9e/nicin.......................................................................................... 22

5.6.6.2. 0ie#(o#..............................................................................................2"

5.6.6.". ,macto del ataue...........................................................................2"

5.6.6.&. Etaa# del ataue............................................................................. 2"

5.6.6.5. Prevencin.........................................................................................2&

5.6.!. A! 7 ,ne@i#tente Control de Acce#o a nivel de 4uncionalidade#............2&

5.6.!.1. 9e/nicin.......................................................................................... 2&

5.6.!.2. 0ie#(o#..............................................................................................2&

5.6.!.". ,macto del ataue...........................................................................2&

5.6.!.&. Etaa# del ataue............................................................................. 25

5.6.!.5. Prevencin.........................................................................................25

5.6.%. A% 7 Fal#i/cacin de Peticione# en Sitio# Cru


4/32

5.6.1. A1 7 0edireccione# 8 reenv$o# no vlido#...........................................2%

5.6.1.1. 9e/nicin..........................................................................................2%

5.6.1.2. 0ie#(o#..............................................................................................2%

5.6.1.". ,macto del ataue...........................................................................2)

5.6.1.&. Etaa# del ataue.............................................................................2)

5.6.1.5. Prevencin.........................................................................................2)

5.!. Controle# del 'o 1 de *+ASP...............................................................2)

5.%. Conclu#ione#........................................................................................... "

5.). 0ecomendacione#...................................................................................."

5.1. iblio(ra4$a........................................................................................... "1

1. Problemtica

En la actualidad (Milano, 2007) la seguridad no es tomada en cuenta durante el proceso

de desarrollo de aplicaciones web, por lo general la seguridad es tomada en cuenta en la

&


5/32

ltima etapa del ciclo de vida del desarrollo de un sistema (SDL !)" En la #igura !, se

pude observar el ciclo de vida del desarrollo de sistema, mientras $ue en la #igura 2, se

indica la curva del costo de implementar seguridad en las ltimas %ases del SDL, es

decir mientras m&s nos demoremos en implementar la seguridad m&s costoso ser&"

Figura 1.Etapas del SDL

Fuente:'omada de ('utorialspoint"com, n"d")

Figura 2. urva de ostos de la mplementacin de Seguridad

Fuente: 'omada de (Milano, 2007)

*ero cuales son los principales motivos por lo $ue no se toma en cuenta la

implementacin de la seguridad, para (Milano, 2007), los principales mitos son+

1 S!C "System e#elopment !ife Cycle$%&='utorial#oint.comD n.d.? ciclo

de vida del de#arrollo de #i#tema# o #o4tareD e# un 4rameorD donde #e

e#eci/can la# tarea# o actividade# ue #e deben reali


6/32

La seguridad de la aplicacin es responsabilidad del programador"

adie sabe cmo %unciona, por ende, no la van a atacar"

Si no se encontraron vulnerabilidades -asta a-ora.

/ nadie le interesara atacar nuestra aplicacin"

La aplicacin es segura por$ue corre detr&s de un %irewall"

La aplicacin es segura por$ue usa encriptacin"

Si no corre como /dministrator 1 root, no %unciona"

Si, ese %eature ($ue es inseguro) viene -abilitado por de%ault, pero el administrador

lo puede des-abilitar" o -a manera de e3plotarla"

o -a tiempo para incluir seguridad"

4ecolectando en puntos principales, la problem&tica de la no implementacin de la

seguridad se debe a+

Muc-os de los desarrolladores 1o lderes de proectos no consideran importante

incluir la seguridad, creen $ue no aporta ningn valor" 4esolver las vulnerabilidades antes de la e5ecucin de un proecto se toma como

un proceso costoso e innecesario" El ob5etivo principal es la %uncionalidad sin tomar en cuenta aspectos de seguridad"

'iempos cortos para desarrollos 1o proectos"

La seguridad en aplicaciones no se ve como una inversin sino como un costo

impuesto por la necesidad de cumplir las normas reglamentos" Mala comunicacin entre el e$uipo o departamentos involucrados, en un ambiente

de desarrollo de aplicaciones, se pueden encontrar problemas gra%icados en la

#igura 6"

Figura 3. Mala comunicacin entre e$uipos

Fuente:'omada de (n%oinnova, n"d")

6


7/32

2. Situacin Actual

En la sociedad tecnolgica actual, los riesgos de $ue nuestros sistemas o aplicaciones

web sean atacados por -acers, por no tener una implementacin de seguridad robusta

se vuelve cada ve8 m&s comn, pero $ue -acen los -acers con nuestros sistemas+

!" *rincipalmente los -acer 1 researc-ers, encuentra vulnerabilidades o debilidades

en el so%tware"2" uando encuentra una vulnerabilidad, no importa en $u9 plata%orma (:indows,

Linu3, ;ni3,


8/32

Figura 4. 4esultados /ta$ues a la Seguridad

Fuente:'omado de (Arum%ield, 20!=)

4. Tringulo de la Seguridad

H*or $u9 se representa como un tri&nguloI (Aats-oun, n"d"), en la #igura >, si se

comien8a en el centro se mueve el punto -acia la seguridad, se est& moviendo m&s

le5os de la %uncionalidad la usabilidad" Si se mueve el punto -acia la ;sabilidad, se est&

ale5ando de la Seguridad de la #uncionalidad" En pocas palabras, a medida $ue

aumenta la seguridad, la %uncionalidad del sistema la %acilidad de uso disminucin"

Figura . 'ri&ngulo de la Seguridad

Fuente:'omado de (Aats-oun, n"d")

%


9/32

on todas las amena8as a la seguridad $ue e3isten en nuestro mundo digital, es un

desa%o, proporcionar una seguridad adecuada a los datos la red interna" La pregunta

$ue a menudo los clientes %ormulan es JHEstamos -aciendo lo su%icienteIJ Siempre -a

algo m&s $ue puede -acer" o -a mecanismo su%iciente para proteger sus datos red"

La seguridad se logra me5or a trav9s de un en%o$ue por capas" El nmero de capas

e3-austividad de cada capa son una cuestin de grados se debe discutir de manera

recurrente"

. !"ASP

.1. #ntroduccin

Despu9s de anali8ar las estadsticas en el punto 6, determinamos $ue el so%tware

inseguro est& a%ectando a los sectores de+ %inan8as, salud, de%ensa, energa" En el mundo

actual donde las in%raestructuras digitales, se -acen cada ve8 m&s comple5as suman sus

nodos de cone3iones, la implementacin de la seguridad en las aplicaciones aumenta

e3ponencialmente" on el ob5etivo de crear una conciencia a nivel mundial de la

importancia de la implementacin de la seguridad en las aplicaciones de las

organi8aciones, se -a creado el proecto 'op !0 de


10/32

20!0 con el 20!6, con la di%erencia $ue los escenarios de amena8as para la seguridad de

aplicaciones cambian constantemente"

Figura &. 'op !0 de


11/32

Fuente: 'omado de (


12/32

Figura ./r$uitectura liente Servidor

Fuente:'omado de (:ii n%orm&tica de la ;'#SM, 20!2)

..2. Ar,uitectura 'or ca'as

'ambi9n conocida como /r$uitectura de tres capasN, esta ar$uitectura permite de%inir un

modelo de dise?o en capas, $ue pueden estar %sicamente distribuidas, es decir $ue los

componentes de una capa slo pueden -acer re%erencia a componentes en capas

inmediatamente in%eriores" Este patrn es importante por$ue simpli%ica la comprensin

la organi8acin del desarrollo de sistemas comple5os, reduciendo las dependencias de

%orma $ue las capas m&s ba5as no son conscientes de ningn detalle o inter%a8 de las

superiores" /dem&s, permite identi%icar $u9 componentes se puede reutili8arse,

proporciona una estructura $ue nos auda a tomar decisiones sobre $u9 partes comprar

$u9 partes construir"

La aplicacin se divide en tres capas lgicas distintas, cada una de ellas con un grupo de

inter%aces per%ectamente de%inido"

La primera capa se denomina ca'a de 'resentacin normalmente consiste en una

inter%a8 gr&%ica de usuario de algn tipo"

La capa intermedia, o capa de empresa, consiste en la a'licacin o lgica de em'resa,

La tercera capa, la ca'a de datos, contiene los datos necesarios para la aplicacin"

La capa intermedia (lgica de aplicacin) es b&sicamente el cdigo al $ue recurre la capa

de presentacin para recuperar los datos deseados" La capa de presentacin recibe

entonces los datos los %ormatea para su presentacin" En la #igura !0, se pude observar

la ar$uitectura en capas"

12


13/32

Figura 1$./r$uitectura en apas

Fuente: 'omado de (Ecu4ed, n"d")

.&. !"ASP To' 1$ de *iesgos de Seguridad en A'licaciones

Los nombres en los riesgos en el 'op !0 de


14/32

Figura 11. 4iesgos de las necciones

Fuente:'omado de (


15/32

Figura 12. Demostracin ata$ue por neccin

Fuente: 'omado de (Martne8 O Espino8a, n"d")

.&.1.. Preencin

;sar /* seguras, la cual evite el uso de int9rpretes por completo"

Evitar el uso del int9rprete utili8ando procedimientos almacenados o consultas

parame tri8adas" Escapar de caracteres especiales utili8ando /*s como


16/32

.&.2.2. *iesgos.

En la #igura !6, se identi%ica los riesgos por *9rdida de /utenticacin"

Figura 13. 4iesgos de la *9rdida de /utenticacin Pestin de Sesiones

Fuente:'omado de (


17/32

Figura 14. Demostracin ata$ue por *9rdida de /utenticacin Pestin de Sesiones


.&.2.. Preencin

*roveer a los desarrolladores un con5unto de controles de autenti%icacin gestin

de sesiones %uertes de%inidos en el /pplication Securit Qeri%ication Standard

(/SQS) de


18/32

Figura 1. 4iesgos RSS

Fuente:'omado de (


19/32

.&.3.. Preencin.

;tili8ar t9cnicas de codi%icacin (codi%icar datos no con%iables basados en 'ML)

Qalidacin de la JLista AlancaJ (Qalidar la longitud, %ormato, caracteres de los

datos)

;tili8ar bibliotecas de auto saniti8acin=

(/ntuSam de


20/32

.&.4.3. #m'acto del ata,ue.

Dic-as vulnerabilidades pueden comprometer toda la in%ormacin $ue pueda ser re%erida

por par&metros" / menos $ue el espacio de nombres resulte escaso, para un atacante

resulta sencillo acceder a todos los datos disponibles de este tipo"

.&.4.4. Eta'as del ata,ue.

*ara e5ecutar un ata$ue por re%erencia directa insegura a ob5etos, los -acer -acen lo

siguiente, como se ilustra en la #igura !G"

Figura 1+. Demostracin ata$ue por re%erencia directa insegura a ob5etos"


!" El atacante identi%ica su nmero de cuenta" En la #igura !G, se pude observar $ue

el nmero de cuenta es el @0@>"2" El atacante modi%ica a un nmero parecido" IacctT@0@@"6" El atacante visuali8a los datos de la cuenta de la vctima"

.&.4.. Preencin.

;tili8ar re%erencias indirectas por usuario o sesin"(Evita $ue los atacantes

accedan directamente a recursos no autori8ados) omprobar el acceso" (omprueba $ue el usuario est& autori8ado a acceder al

ob5eto solicitado)

2


21/32

.&.. A /on)iguracin de Seguridad #ncorrecta.

.&..1. e)inicin.

;na buena seguridad re$uiere tener una con%iguracin segura, de%inida e implementada

para la aplicacin, servidor de aplicaciones, servidor web, base de datos, plata%orma, etc"'odas estas con%iguraciones deben ser de%inidas, implementadas, mantenidas a $ue

por lo general no son seguras por de%ecto" Esto inclue mantener todo el so%tware

actuali8ado, incluidas las libreras de cdigo utili8adas por la aplicacin"

.&..2. *iesgos.

En la #igura !B, se identi%ica los riesgos por con%iguracin de seguridad incorrecta"

Figura 1. 4iesgos por con%iguracin de seguridad incorrecta

Fuente:'omado de (


22/32

.&..4. Eta'as del ata,ue.

Figura 2$.Demostracin ata$ue por con%iguracin de seguridad incorrecta


.&... Preencin.

;n proceso r&pido, %&cil repetible de %ortalecimiento para obtener un entorno

apropiadamente asegurado" *rocesos para mantener desplegar las nuevas actuali8aciones parc-es de

so%tware" /r$uitectura robusta de aplicaciones"

Escanear reali8ar auditoras peridicamente para detectar %allos de con%iguracin

o parc-es obsoletos"

.&.&. A& E


23/32

.&.&.2. *iesgos.

En la #igura 2!, se identi%ica los riesgos por e3posicin de datos sensibles"

Figura 21. 4iesgos por e3posicin de datos sensibles"

Fuente:'omado de (


24/32

.&.&.. Preencin.

i%rar los datos sensibles almacenados o en tr&%ico"

o almacenar datos sensibles innecesarios"

/plicar algoritmos de ci%rados robustos estandari8ados"

Dise?ar algoritmos para proteger las claves"

Des-abilitar el autocompletar en los %ormularios $ue recogen datos sensibles"

.&.(. A( #ne


25/32

.&.(.3. #m'acto del ata,ue.

Estas vulnerabilidades permiten el acceso no autori8ado de los atacantes a %unciones del

sistema" Las %unciones administrativas son un ob5etivo clave de este tipo de ata$ues"

.&.(.4. Eta'as del ata,ue.

Figura 24. Demostracin ata$ue por ine3istente control de acceso a nivel de %uncionalidades


!" Los atacantes identi%ican $ue la ;4L indica su per%il 1user1get/ccounts"2" Los atacantes modi%ican la ;4L apuntando a otro per%il 1admin1get/ccounts o

manager1get/ccounts"6" Los atacantes visuali8an otros per%iles"

.&.(.. Preencin.

El proceso para la gestin de accesos permisos deberan ser actuali8able

auditable %&cilmente" La implementacin del mecanismo debera negar todo acceso por de%ecto"

Si la %uncionalidad %orma parte de un wor%low, veri%icar asegurarse $ue las

condiciones del %lu5o se encuentren en el estado apropiado para permitir acceso"

.&.+. A+ Falsi)icacin de Peticiones en Sitios /ru7ados 8/SF*

.&.+.1. e)inicin.

;n ata$ue S4# obliga al navegador de una vctima autenticada, enviar una peticin

''* %alsi%icada, incluendo la sesin del usuario cual$uier otra in%ormacin de

25


26/32

autenticacin incluida autom&ticamente, a una aplicacin web vulnerable" Esto permite al

atacante %or8ar al navegador de la vctima, para generar pedidos $ue la aplicacin

vulnerable piense $ue son peticiones legtimas provenientes de la vctima"

.&.+.2. *iesgos.

En la #igura 2>, se identi%ica los riesgos por S#4"

Figura 2. 4iesgos por S#4"

Fuente:'omado de (


27/32

.&.+.4. Eta'as del ata,ue.

Figura 2&. Demostracin ata$ue S#4"


.&.+.. Preencin.

ncluir un toen nico en el campo oculto, para $ue el valor del campo se enve en

el cuerpo de la solicitud ''*" El toen nico tambi9n puede ir incluido en la ;4L, o un par&metro de la misma"

Qolverse a autenticar para comprobar $ue se trata de un usuario legtimo"

.&.. A =so de /om'onentes con >ulnerabilidades /onocidas.

.&..1. e)inicin.

/lgunos componentes tales como las libreras, %ramewors otros mdulos de so%tware

casi siempre %uncionan con todos los privilegios" Si se ataca un componente vulnerable

esto podra %acilitar la intrusin en el servidor o una perdida seria de datos" Las

aplicaciones $ue utilicen componentes con vulnerabilidades conocidas debilitan las

de%ensas de la aplicacin permiten ampliar el rango de posibles ata$ues e impactos"

.&..2. *iesgos.

En la #igura 27, se identi%ica los riesgos por el uso de componentes con vulnerabilidades

conocidas"

2!


28/32

Figura 2(. 4iesgos por uso de componentes con vulnerabilidades conocidas"

Fuente:'omado de ( on%iguracin de Seguridad

ncorrecta" #igura 20"

.&... Preencin.

denti%icar todos los componentes la versin $ue est&n ocupando"

4evisar la seguridad del componente mantenerlos actuali8ados"

Establecer polticas de seguridad sobre el uso de componentes"

/gregar capas de seguridad alrededor del componente"

.&.1$. A1$ *edirecciones % reenos no lidos.

.&.1$.1. e)inicin.

Las aplicaciones web %recuentemente redirigen reenvan a los usuarios -acia otras

p&ginas o sitios web, utili8an datos no con%iables para determinar la p&gina de destino"

Sin una validacin apropiada, los atacantes pueden redirigir a las vctimas -acia sitios de

p-is-ing o malware, o utili8ar reenvos para acceder p&ginas no autori8adas"

2%


29/32

.&.1$.2. *iesgos.

En la #igura 2G, se identi%ica los riesgos por redirecciones reenvos no v&lidos"

Figura 2+. 4iesgos por redirecciones reenvos no v&lidos"

Fuente:'omado de (


30/32

.&.1$.4. Eta'as del ata,ue.

Figura 2. Demostracin ata$ue por redirecciones reenvos no v&lidos"


.&.1$.. Preencin.

Evitar el uso de redirecciones reenvos"

Si se utili8a, no involucrar par&metros manipulables por el usuario para de%inir el

destino" Si los par&metros de destino no pueden ser evitados, asegrese $ue el valor

suministrado sea v&lido autori8ado para el usuario"

.(. /ontroles del To' 1$ de !"ASP

Los controles del 'op !0 de " Establecer controles para la identidad autenticacin"@" *roteccin privacidad de datos"7" mplementar logging, mane5o de errores deteccin de intrusiones"G" mplementar caractersticas de seguridad libreras de seguridad"B" ncluir re$uerimientos espec%icos del usuario"

"


31/32

!0" ncluir seguridad en el dise?o la ar$uitectura"

.+. /onclusiones.

ingn modelo o metodologa ser& per%ecta"

La Pestin de 4iesgos es clave para racionali8ar el es%uer8o"

o es conveniente remediar las amena8as cuando a se -an materiali8ado (t9cnicas

detectivas, o a trav9s de -erramientas automati8adas de seguridad) lo $ue incurre en

elevados costos, en cambio $ue identi%icarlas tempranamente a trav9s de t9cnicas

preventivas es m&s costoUe%ectivo"

.. *ecomendaciones.

o esperar seguridad por parte de los usuarios, descon%iar siempre en los datos

ingresados por parte de ellos"

/doptar una metodologa para el ciclo de vida de desarrollo de so%tware seguro,

incorpor&ndola la seguridad en cada %ase del desarrollo"

Las organi8aciones deben adoptar buenas pr&cticas o est&ndares para la codi%icacin

segura, de manera $ue se prevengan las %allas $ue son introducidas con las aplicaciones"

Educacin, capacitacin, entrenamiento concienti8acin a las partes involucradas en el

desarrollo como t9cnica preventiva para proporcionar los conocimientos para escribir

cdigo seguro"

/ctuali8acin continua de conocimientos de desarrolladores sobre t9cnicas nuevas

emergentes"

.1$. ?ibliogra)a

at#GounD +. =n.d.?. 'Ge Securit8D Functionalit8 and #abilit8 trian(le. I

Linolo(8. 0etrieved June 11D 215D 4rom

Gtt:HH.linolo(8u#a.comHblo(H21&H%H2%HtGe-#ecurit8-4unctionalit8-and-

u#abilit8-trian(le

rum/eldD C. =21&?. Beri


32/32

Ecu0ed. =n.d.?. Aruitectura de tre# nivele#. 0etrieved June 11D 215D 4rom

Gtt:[email protected]#nivele#

,n4oinnova. =n.d.?. Pro(ramadore# B#. 9i#eNadore# B#. Admini#tradore# de

Pro8ecto O E#acio 9i(ital. 0etrieved June 11D 215D 4rom

Gtt:HHin4oinnova.netH211H%Hro(ramadore#-v#-di#eadore#-v#-admini#tradore#-de-ro8ectoH

Mart$ne

Informe OWASP

Documents

Transcript of Informe OWASP