UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa...
21
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ataques Aplicaciones WEB •Lucía Castro •Víctor Cabezas •Diana Checa
-
Upload
eberardo-poma -
Category
Documents
-
view
225 -
download
0
Transcript of UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001:2008 1 Lucía Castro- Víctor Cabezas- Diana Checa...
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1Lucía Castro- Víctor Cabezas- Diana ChecaUNIVERSIDAD ECOTEC
Ataques Aplicaciones WEB
•Lucía Castro•Víctor Cabezas•Diana Checa
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Quiénes y por qué atacan a las aplicaciones web?
Introducción:
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué motiva a un cracker?
• Notoriedad: El conocimiento que un cracker acumula es una forma de poder y prestigio
• Reto intelectual: Necesitan demostrar que posee una capacidad intelectual superior.
• Aburrimiento: Hallar una victima es a veces el resultado de no haberla buscado específicamente en un sitio en particular.
• Venganza: No es una buena política tener a uno de estos señores como enemigo.
• Dinero: La motivación de siempre.
• Profesión: Tanto ilegal como legalmente se ha convertido en una profesión altamente rentable.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Porqué atacan a las aplicaciones web
• Técnicas relativamente simples de ataque
• Anonimato
• Ubicuidad
• Incapacidad de detección de los firewalls de redes.
• Código personalizado (home made) con alto nivel de fallas
• Procesos de seguridad inmaduros
• Cambio constante, alto nivel de dinamismo
• … y por supuesto dinero.
De igual manera que el hacker tiene motivaciones específicas, hay ciertas características que refuerzan la motivación de ataque:
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Anatomía de un ataque a una aplicación web
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
¿Qué es OASP?
El Open Web Application Security Project es una organización sin fines de lucro fundada con el propósito de divulgar, detectar y crear métodos de corrección para las amenazas que aquejan a las aplicaciones web en general.
OWASP tiene capítulos alrededor del mundo:
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1. Inyección de código o de comandos.
Top Ten Most Critical Web Application Vulnerabilities – 2010
• SQL injectionSucede al insertar comandos de SQL a través de parámetros no desinfectados, en cadenas utilizadas para consultas dinámicas. h
• OS command injectionSucede al insertar caracteres especiales de secuencia (“&&” en Windows y “;” en Linux) para introducir comandos adicionales en cadenas que solicitarán ejecución de comandos de sistema operativo.
• LDAP injectionEs parecida al SQL injection y se utiliza para introducir comandos LDAP en consultas a este tipo de servicio.
• XPATH injectionParecida también al SQL injection pero con el fin de construir consultas XPATH para archivos XML
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
1. Inyección de código o de comandos.
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
9
2. Cross Site Scripting – XSS (3)
Top Ten Most Critical Web Application Vulnerabilities
Las fallas de XSS suceden cuando una aplicación toma datos no validados ni desinfectados y los envía al navegador sin la propia validación o códigos de escape. El XSS permite a los atacantes ejecutar scripts en el navegador de la victima que pueden secuestrar su sesión, modificar sitios web o redirigir al usuario a sitios web dañinos.
Esta técnica suele ser una de las más utilizadas en la actualidad para engañar a los usuarios. En combinación con el phishing y el pharming suele ser extremadamente peligrosa.
Existen varios tipos de XSS, pero sin duda todos ellos son altamente peligrosos.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Existen tres tipos de XSS conocidos:
Directo o reflejadoEs aquel que utiliza un campo o dato introducido por un usuario en un formulario para introducir código javascript que se refleja de inmediato en el proceso siguiente o resultante.
Almacenado o latenteEs aquel que introduce el código javascript en un campo de base de datos o en un cookie que puede ser mostrado en cualquier ocasión que se solicite el dato comprometido.
DOM XSS o del tercer tipoEs el menos común y más complejo de realizar y depende de la utilización del URL en código javascript por parte del programador
2. Cross Site Scripting – XSS
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2. Cross Site Scripting – XSS
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2. Cross Site Scripting – XSS
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
2. Cross Site Scripting – XSS
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
14
3. Autentificación rota y manejo de sesión mal implementado
Top Ten Most Critical Web Application Vulnerabilities – 2010
Las funciones relacionadas con la autentificación y el control de sesión muchas veces no son implementadas correctamente, permitiendo a los atacantes comprometer claves de acceso, llaves de control y “tokens” de sesión, permitiéndoles asumir las identidades de las victimas.
Se estima que en la actualidad una aplicación de banca en línea segura debe manejar entre 4 a 5 factores de autentificación de los cuales uno de ellos debe permitir que el usuario verifique la validez de la aplicación y otro debe ser externo a la misma.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
3. Autentificación rota y manejo de sesión mal implementado
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
3. Autentificación rota y manejo de sesión mal implementado
Top Ten Most Critical Web Application Vulnerabilities – 2010
¿Es su aplicación vulnerable a este tipo de vulnerabilidades?
•¿Están las credenciales del usuario protegidas usando “hashing” o cifrado? •¿Pueden las credenciales ser “adivinadas” o sobre escritas debido a manejo de las funciones de cuenta débiles? (ej. creación de cuentas, cambio de password, recuperación de password, Id de sesión débil).•¿Están los IDs de sesión expuestos en el URL?•¿Son los IDs de sesión vulnerables a ataques de fijación de sesión?•¿Puede el usuario hacer logout cuando sale del sistema?•¿Su aplicación implementa timeout?•¿Implementa su aplicación algún control de ToL (Time of Life)•¿Se rotan los IDs de sesión una vies que el usuario hace Login exitosamente?•¿Envía los passwords solamente a través de TSL o SSL?
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
3. Autentificación rota y manejo de sesión mal implementado
Top Ten Most Critical Web Application Vulnerabilities – 2010
Posibles soluciones (1):
Implemente una política de password fuerte como por ejemplo:
•Un largo de mínimo de 8 caracteres.•Al menos un caracter en mayúsculas (A-Z).•Al menos un dígito (0-9).•Al menos un carácter especial (@#%&!).•No acepte más de 3 caracteres idénticos seguidos (111, eee).•No acepte secuencias simples de teclado (qwerty, asdfgh, zxcvb).
Las soluciones javascript no son apropiadas a nivel de validación de input, pero un control indicador de la fuerza de la clave al momento de crearla puede ser de gran ayuda. En este caso usted debe decidir si recibir o no la clave proporcionada con una segunda validación del lado del servidor.
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
3. Autentificación rota y manejo de sesión mal implementado
Top Ten Most Critical Web Application Vulnerabilities – 2010
Posibles soluciones (2):
Maneje adecuadamente las respuestas de error de acceso.
Respuestas indebidas:
•“Acceso no autorizado: clave de usuario errónea"
•“Acceso no autorizado: Identificador de usuario inválido”
•“Acceso no autorizado: Cuenta de usuario bloqueada"
•“Acceso no autorizado: Este usuario no está activo”
•Cualquier otra respuesta que muestre al atacante que ha fallado en el procedimiento de ingreso.
Respuesta correcta:•“Acceso no autorizado: Los datos proporcionados no son válidos”
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
19
5. Cross Site Request Forgery (CRSF).
Top Ten Most Critical Web Application Vulnerabilities – 2010
Un Ataque de CRSF también conocido como XSRF, fuerza al usuario/navegador "logueado y validado" de la victima a mandar un “HTTP request“ forjado, a una aplicación web vulnerable a este tipo de ataque.
Esto permite al atacante forzar al navegador de la victima para acometer daños o estafas que la aplicación atribuye a un usuario legítimo.
Quizás esta es una de las vulnerabilidades llamada a ser la más importante en los próximos años. Se le conoce como el gigante dormido del OWASP top 10
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
5. Cross Site Request Forgery (CRSF).
Top Ten Most Critical Web Application Vulnerabilities – 2010
UN
IVE
RS
IDA
D T
EC
NO
LÓ
GIC
A E
CO
TE
C. IS
O 9001:2008
Muchas gracias por su atención…
