75
THE WebSec 2016

THE WebSec

Embed Size (px)

Citation preview

Page 1: THE WebSec

THE WebSec2016

ldquoALCANCcedilAR QUALQUER OBJETIVO NA PRESENCcedilA DE ALGUM ADVERSAacuteRIOrdquo

SEGURANCcedilA

SEGURANCcedilA

POLIacuteTICA

OBJETIVOS COMUNS

MODELO DE AMEACcedilA

MECANISMO

OBJETIVO RESULTANTE

PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA

SEGURANCcedilA

SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]

ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA

MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]

SEGURANCcedilA

ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE

UM GERENCIAMENTO DE ATAQUES MANUALrdquo

RISCO VS BENEFIacuteCIO

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 2: THE WebSec

ldquoALCANCcedilAR QUALQUER OBJETIVO NA PRESENCcedilA DE ALGUM ADVERSAacuteRIOrdquo

SEGURANCcedilA

SEGURANCcedilA

POLIacuteTICA

OBJETIVOS COMUNS

MODELO DE AMEACcedilA

MECANISMO

OBJETIVO RESULTANTE

PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA

SEGURANCcedilA

SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]

ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA

MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]

SEGURANCcedilA

ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE

UM GERENCIAMENTO DE ATAQUES MANUALrdquo

RISCO VS BENEFIacuteCIO

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 3: THE WebSec

SEGURANCcedilA

POLIacuteTICA

OBJETIVOS COMUNS

MODELO DE AMEACcedilA

MECANISMO

OBJETIVO RESULTANTE

PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA

SEGURANCcedilA

SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]

ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA

MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]

SEGURANCcedilA

ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE

UM GERENCIAMENTO DE ATAQUES MANUALrdquo

RISCO VS BENEFIacuteCIO

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 4: THE WebSec

SEGURANCcedilA

SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]

ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA

MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]

SEGURANCcedilA

ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE

UM GERENCIAMENTO DE ATAQUES MANUALrdquo

RISCO VS BENEFIacuteCIO

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 5: THE WebSec

SEGURANCcedilA

ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE

UM GERENCIAMENTO DE ATAQUES MANUALrdquo

RISCO VS BENEFIacuteCIO

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 6: THE WebSec

ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo

RISCO

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 7: THE WebSec

RISCOS DE SEGURANCcedilA

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 8: THE WebSec

RISCOS DE SEGURANCcedilA

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

FaacutecilEspecifico da

Aplicaccedilatildeo

Especifico do NegoacutecioAplicaccedilatildeoMeacutedia

Difiacutecil

Generalizada

Comum

Rara

Faacutecil

Meacutedia

Difiacutecil

Severo

Moderado

Pequeno

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 9: THE WebSec

RISCO

1 INJECcedilAtildeO

2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

3 CROSS-SITE-SCRIPTING

4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO

8 CROSS-SITE-REQUEST-FORGERY

9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

TOP 10 RISCOS OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 10: THE WebSec

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Severo

OWASPOpen Web Application

Security ProjectA1 - INJECcedilAtildeO

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 11: THE WebSec

AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

PROBLEMA

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 12: THE WebSec

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS

httpexamplecomappaccountViewid= or 1=1

A1 - INJECcedilAtildeO

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 13: THE WebSec

1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA

INTERFACE PARAMETRIZADA

SOLUCcedilAtildeO

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 14: THE WebSec

SOLUCcedilAtildeO

2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE

INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM

A1 - INJECcedilAtildeOOWASP

Open Web Application Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 15: THE WebSec

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Severo

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 16: THE WebSec

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE

FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL

PROBLEMA

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 17: THE WebSec

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

OWASPOpen Web Application

Security Project

ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO

LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC

PROBLEMA

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 18: THE WebSec

OWASPOpen Web Application

Security Project

UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL

ENVIAR O LINK POR E-MAILhellip

httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 19: THE WebSec

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 20: THE WebSec

SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR

B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE

OWASPOpen Web Application

Security Project

A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 21: THE WebSec

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedia

Prevalecircncia Generalizada

Detecccedilatildeo Meacutedia

Impacto Moderado

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 22: THE WebSec

OWASPOpen Web Application

Security Project

XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS

FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO

PROBLEMA

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 23: THE WebSec

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwvulsitewelcomehtmlname=fulano

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 24: THE WebSec

OWASPOpen Web Application

Security Project

UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM

QUAISQUER FILTROS

httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt

echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt

A3 - CROSS-SITE SCRIPTING (XSS)

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 25: THE WebSec

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 26: THE WebSec

SOLUCcedilAtildeO

EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 27: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU

URL) NO QUAL OS DADOS SERAtildeO COLOCADOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 28: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS

APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS

REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 29: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A3 - CROSS-SITE SCRIPTING (XSS)

3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 30: THE WebSec

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 31: THE WebSec

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO

PROBLEMA

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 32: THE WebSec

OWASPOpen Web Application

Security Project

ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA

APLICACcedilAtildeO

Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 33: THE WebSec

SOLUCcedilAtildeO

1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 34: THE WebSec

SOLUCcedilAtildeOPOR EXEMPLO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 35: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS

2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 36: THE WebSec

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 37: THE WebSec

OWASPOpen Web Application

Security Project

CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO

PROBLEMA

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 38: THE WebSec

OWASPOpen Web Application

Security Project

O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo

alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com

senhas padratildeo e assumem o acesso do ambiente

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 39: THE WebSec

SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 40: THE WebSec

SOLUCcedilAtildeO

2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 41: THE WebSec

SOLUCcedilAtildeO

3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES

OWASPOpen Web Application

Security Project

A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 42: THE WebSec

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Difiacutecil

Prevalecircncia Rara

Detecccedilatildeo Meacutedia

Impacto Severo

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 43: THE WebSec

OWASPOpen Web Application

Security Project

A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS

PROBLEMA

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 44: THE WebSec

OWASPOpen Web Application

Security Project

Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de

rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e

sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 45: THE WebSec

SOLUCcedilAtildeO

1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 46: THE WebSec

SOLUCcedilAtildeO

2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 47: THE WebSec

SOLUCcedilAtildeO

3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 48: THE WebSec

SOLUCcedilAtildeO

4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 49: THE WebSec

SOLUCcedilAtildeO

5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS

OWASPOpen Web Application

Security Project

A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 50: THE WebSec

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Faacutecil

Prevalecircncia Comum

Detecccedilatildeo Meacutedio

Impacto Moderado

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 51: THE WebSec

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM

PROBLEMA

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 52: THE WebSec

OWASPOpen Web Application

Security Project

httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo

O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 53: THE WebSec

SOLUCcedilAtildeO

1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE

2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 54: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO

3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 55: THE WebSec

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Comum

Detecccedilatildeo Faacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 56: THE WebSec

OWASPOpen Web Application

Security Project

O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS

PROBLEMA

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 57: THE WebSec

OWASPOpen Web Application

Security Project

httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243

A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 58: THE WebSec

OWASPOpen Web Application

Security Project

ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt

COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 59: THE WebSec

OWASPOpen Web Application

Security Project

SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 60: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 61: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 62: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO

A8 - CROSS-SITE REQUEST FORGERY (CSRF)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 63: THE WebSec

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Generalizada

Detecccedilatildeo Difiacutecil

Impacto Moderado

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 64: THE WebSec

OWASPOpen Web Application

Security Project

VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES

PROBLEMA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 65: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 66: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 67: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 68: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS

A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 69: THE WebSec

OWASPOpen Web Application

Security Project

Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de

Negoacutecios

Exploraccedilatildeo Meacutedio

Prevalecircncia Rara

Detecccedilatildeo Faacutecil

Impacto Moderado

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 70: THE WebSec

OWASPOpen Web Application

Security Project

APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO

PROBLEMA

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 71: THE WebSec

OWASPOpen Web Application

Security Project

A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE

httpwwwexamplecomredirectjspurl=evilcom

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 72: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 73: THE WebSec

SOLUCcedilAtildeO

OWASPOpen Web Application

Security Project

1 SIMPLESMENTE EVITAR USAacute-LOS

2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO

3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO

A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 74: THE WebSec

THE WebSec2016

BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES

PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10

CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF

THE WebSec2016

Page 75: THE WebSec

THE WebSec2016


THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY · THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE

THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY · THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE GALLERY • THE

Documents
Scott Lake Park The Vision The Vision The Objective The Objective The Plan The Plan The Results The Results

Scott Lake Park The Vision The Vision The Objective The Objective The Plan The Plan The Results The Results

Documents
the Torah: (the Teaching, the Law) the first 5 books a.k.a. the Pentateuch the Nevi’im: the Prophets the Ketuvim: the wisdom writings The Talmud: commentaries

the Torah: (the Teaching, the Law) the first 5 books a.k.a. the Pentateuch the Nevi’im: the Prophets the Ketuvim: the wisdom writings The Talmud: commentaries

Documents
Securing Frame Communication in Browsersseclab.stanford.edu/websec/frames/post-message.pdf · Securing Frame Communication in Browsers Adam Barth ... lying on the browser’s security

Securing Frame Communication in Browsersseclab.stanford.edu/websec/frames/post-message.pdf · Securing Frame Communication in Browsers Adam Barth ... lying on the browser’s security

Documents
More attacks on Clientserikpoll/websec/slides/websec6.pdf · myth reality 3 [Peter Steiner,1993] Welcome user29. (IP address: 131.174.16.131) RU Nijmegen, NL; male german

More attacks on Clientserikpoll/websec/slides/websec6.pdf · myth reality 3 [Peter Steiner,1993] Welcome user29. (IP address: 131.174.16.131) RU Nijmegen, NL; male german

Documents
Towards a Formal Foundation of Web Securitydawnsong/papers/2010 websec-csf10.pdf · stronger attackers who can control the network and/or leverage sites designed to display user-supplied

Towards a Formal Foundation of Web Securitydawnsong/papers/2010 websec-csf10.pdf · stronger attackers who can control the network and/or leverage sites designed to display user-supplied

Documents
The Soul of Man The definition of the soul The definition of the soul The value of the soul The value of the soul The effects on the soul The effects on

The Soul of Man The definition of the soul The definition of the soul The value of the soul The value of the soul The effects on the soul The effects on

Documents
email: contrasting(damore/websec/slides2015/email-spam1.1.pdf · • don't click "delete me" o may validate your email address o OK with known senders spam March 2013 . HTMLimages1

email: contrasting(damore/websec/slides2015/email-spam1.1.pdf · • don't click "delete me" o may validate your email address o OK with known senders spam March 2013 . HTMLimages1

Documents
June 21 National Indigenous Acknowledgement …...THE BUTTERFLY THE HAWK THE MOON THE SMUDGE CEREMONY THE THE FROG THE KINGFISHER THE RAVEN THE THE HUMMINGBIRD THE ORCA THE SUN THE

June 21 National Indigenous Acknowledgement …...THE BUTTERFLY THE HAWK THE MOON THE SMUDGE CEREMONY THE THE FROG THE KINGFISHER THE RAVEN THE THE HUMMINGBIRD THE ORCA THE SUN THE

Documents
SIGURNOST WEB APLIKACIJA - sigurnost.zemris.fer.hrsigurnost.zemris.fer.hr/ns/websec/2006_kozina/files/Sigurnost Web aplikacija.pdf · predstavljaju prijetnje za Web aplikacije, te

SIGURNOST WEB APLIKACIJA - sigurnost.zemris.fer.hrsigurnost.zemris.fer.hr/ns/websec/2006_kozina/files/Sigurnost Web aplikacija.pdf · predstavljaju prijetnje za Web aplikacije, te

Documents
The Visionary The Thinker The Giver The Protector The Inspirer The Idealist The Scientist The Guardian The Duty Fulfiller The Nurturer The Caregiver The

The Visionary The Thinker The Giver The Protector The Inspirer The Idealist The Scientist The Guardian The Duty Fulfiller The Nurturer The Caregiver The

Documents
Jorge WebSec - WordCamp Málaga 2013 · Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa Jorge Websec Autor del blog

Jorge WebSec - WordCamp Málaga 2013 · Socio fundador de QuantiKa14 Fundador del FSI Creador del proyecto WordPressa Jorge Websec Autor del blog

Documents
Aplicativo WEBSEC® Banxico8DCA7432-6547-A...Aplicativo WEBSEC® Banxico(WEBSEC®) 7 Para agregar el documento electrónico que requiere cifrar se debe pulsar el botón “Elegir”,

Aplicativo WEBSEC® Banxico8DCA7432-6547-A...Aplicativo WEBSEC® Banxico(WEBSEC®) 7 Para agregar el documento electrónico que requiere cifrar se debe pulsar el botón “Elegir”,

Documents
DIPLOMSKI RAD br. 1685 Automatizirano određivanje vrste ...sigurnost.zemris.fer.hr/ns/websec/2007_kozina/files/diplomski_rad.pdf · DIPLOMSKI RAD br. 1685 Automatizirano određivanje

DIPLOMSKI RAD br. 1685 Automatizirano određivanje vrste ...sigurnost.zemris.fer.hr/ns/websec/2007_kozina/files/diplomski_rad.pdf · DIPLOMSKI RAD br. 1685 Automatizirano određivanje

Documents
Sba WebSec Dg

Sba WebSec Dg

Documents
15-websec · Title: 15-websec.ppt Author: Marco Cova Created Date: 11/29/2010 11:09:14 AM

15-websec · Title: 15-websec.ppt Author: Marco Cova Created Date: 11/29/2010 11:09:14 AM

Documents
Kfew DAYTONA GAZETTENEWS5TSufdcimages.uflib.ufl.edu/UF/00/07/58/95/00336/00056.pdfKfew fes and the time well the the the the who the hest the the the the over far the never the the

Kfew DAYTONA GAZETTENEWS5TSufdcimages.uflib.ufl.edu/UF/00/07/58/95/00336/00056.pdfKfew fes and the time well the the the the who the hest the the the the over far the never the the

Documents
ulab.edu.bd · include the Santali, the Munaari, the Ho, the Kherwari, the Savara, the Korku, the Mundari, the Kharia, the Birhor, the Gadaba, the Bhumij, the Turi, the Asuri, the

ulab.edu.bd · include the Santali, the Munaari, the Ho, the Kherwari, the Savara, the Korku, the Mundari, the Kharia, the Birhor, the Gadaba, the Bhumij, the Turi, the Asuri, the

Documents
hertfordshireplayers.files.wordpress.com · GEOFF DE ROUX DENIS BUTCHER DEREK DAY MIKE JORDAN GEORGE BLEE MARYAM RODWAY GEORGIE DOVER The The The The The The The The The The The The

hertfordshireplayers.files.wordpress.com · GEOFF DE ROUX DENIS BUTCHER DEREK DAY MIKE JORDAN GEORGE BLEE MARYAM RODWAY GEORGIE DOVER The The The The The The The The The The The The

Documents
 · The hand joints The chest The breast The heart The liver The lungs The gall The stomach The navel The bladder The kidneys The buttocks The spleen

 · The hand joints The chest The breast The heart The liver The lungs The gall The stomach The navel The bladder The kidneys The buttocks The spleen

Documents
Beware of Finer-Grained Originsseclab.stanford.edu/websec/origins/fgo.pdfgrained origins” using the library import and data export features of browsers. We discuss several approaches

Beware of Finer-Grained Originsseclab.stanford.edu/websec/origins/fgo.pdfgrained origins” using the library import and data export features of browsers. We discuss several approaches

Documents
Vulnerability Factors in New Web Applications: …seclab.stanford.edu/websec/scannerPaper.pdfbox Web application vulnerability scanners, Acunetix WVS, HP WebInspect, IBM AppScan, and

Vulnerability Factors in New Web Applications: …seclab.stanford.edu/websec/scannerPaper.pdfbox Web application vulnerability scanners, Acunetix WVS, HP WebInspect, IBM AppScan, and

Documents
Jorge WebSec - WordCamp Málaga 2013...Hardening en Wordpress Jorge WebSec. || WORDPRESSA 2 ¿Quién soy yo?

Jorge WebSec - WordCamp Málaga 2013...Hardening en Wordpress Jorge WebSec. || WORDPRESSA 2 ¿Quién soy yo?

Documents
“I am The Way The Truth and The Life” John 14:6 The Way, The Truth and The Life. The Way, The Truth and The Life. The Way, The Truth and The Life. The

“I am The Way The Truth and The Life” John 14:6 The Way, The Truth and The Life. The Way, The Truth and The Life. The Way, The Truth and The Life. The

Documents
Erik Poll Radboud University Nijmegenerikpoll/websec/slides/websec1.pdf · the web.) These are called web apps or HTML5 apps, as opposed to native apps. Advantages of web apps: •

Erik Poll Radboud University Nijmegenerikpoll/websec/slides/websec1.pdf · the web.) These are called web apps or HTML5 apps, as opposed to native apps. Advantages of web apps: •

Documents
The house. The mentor. The archive. Christian Kieckens 12 ... · 3 The house. The mentor. The archive. Christian Kieckens The design of the exhibition The house. The mentor. The archive

The house. The mentor. The archive. Christian Kieckens 12 ... · 3 The house. The mentor. The archive. Christian Kieckens The design of the exhibition The house. The mentor. The archive

Documents
The Forensics Files. Overview Overview The Topic The Topic The Sides The Sides The Judge The Judge The Speeches The Speeches The Format The

The Forensics Files. Overview Overview The Topic The Topic The Sides The Sides The Judge The Judge The Speeches The Speeches The Format The

Documents
Пиерализи О компании · the history the history the history the history the history the history the history the history the history th e history the history the

Пиерализи О компании · the history the history the history the history the history the history the history the history the history th e history the history the

Documents
The Inexperienced 19 The Stressed The Careless The Disorganized The Industrious The Newcomer The Overcautious The Home

The Inexperienced 19 The Stressed The Careless The Disorganized The Industrious The Newcomer The Overcautious The Home

Documents
The No The Don’t The No The Don’t The Yes The Do

The No The Don’t The No The Don’t The Yes The Do

Documents