Embed Size (px)
DESCRIPTION
Apresentação sobre as ferramentas disponibilizadas pela OWASP - UBI, Covilhã, Portugal
Citation preview
Copyright © 2007 - The OWASP FoundationThis work is available under the Creative Commons SA 2.5 license
The OWASP Foundation
OWASP
http://www.owasp.org
OWASP Ferramentas & Tecnologias
Joaquim MarquesOWASP@PT
2 Abril, 2009
OWASP
OWASP
OWASP Ferramentas e Tecnologias
3
•Vulnerability Scanners•Static Analysis Tools•Fuzzing
Automated Security Verification
•Penetration Testing Tools•Code Review Tools
Manual Security Verification
•ESAPI
Security Architecture
•AppSec Libraries•ESAPI Reference Implementation•Guards and Filters
Secure Coding
•Reporting Tools
AppSec Management
•Flawed Apps•Learning Environments•Live CD•SiteGenerator
AppSec Education
OWASP 4
OWASP Ferramentas e Tecnologias
Automated Security Verification
OWASP Panter Web Assessment Studio Project: usa uma versão melhorada de SpikeProxy como motor de análise de aplicações web. O objectivo principal de Panter é combinar capacidades de teste automáticas com as manuais a fim de obter os melhores resultados.
SWFIntruder: (Swiff Intruder) ferramenta semi automática de teste e análise de aplicações Flash.
Sprajax: black box security scanner uusado para avaliar a segurança de aplicações AJAX. Ao detectar o framework em utilização, o Sprajax formula melhor os pedidos de testes e identifica potenciais vulnerabilidades.
Manual Security Verification
WebScarab : conjunto de módulos para análise de aplicações que comunicam com os protocolos HTTP e HTTPS; é uma suite de análise e avaliação de vulnerabilidades incluindo ferramentas de proxy.
CAL9000 : collecção de ferramentas de testes para browsers (Inclui XSS Attack Library, Character Encoder/Decoder, HTTP Request Generator and Response Evaluator, Testing Checklist, Automated Attack Editor …etc)
SQLiX scanner de de injecção SQL capaz de detectar e identificar este tipo de vulnerabilidade………….etc
OWASP 5
WebScarab?
OWASP Ferramentas e Tecnologias
Ferramenta idealizada para todos os que lidam com aplicações baseadas no protocolo HTTP (aplicações web)
Funcionalidades Chave Visibilidade total no protocolo Capacidade de modificar pedidos HTTP em qualquer sentido Suporta HTTPS (incl cliente certs) Audit trail persistente (facilita a revisão)
Utilização Principal Análise de segurança, debugging de Applicações Web
OWASP 6
• Fragments – extrai scripts e comentários HTML de páginas HTML tal como são vistas pelo proxy ou outros plugins.,
• Proxy – observa o tráfego HTTP(S) entre o browser e o servidor web, negociando uma conexão SSL entre o browser e o servidor Webscarab em vez de ligar simplesmente o browser ao servidor, permitindo que streams encriptadas passem através dele,
• Manual intercept – permite que o utilizador modificar pedidos e respostas HTTP(S) em tempo real, antes destes chegarem ao browser ou ao servidor,
• Beanshell – permite a execução de operações arbitrárias complexas (normalmente em Java) sobre os pedidos e respostas,
• Reveal hidden fields – permite a alteração dos campos escondidos encontrados em páginas,
• Spider – identifica novas URLs no site alvo actuando em linha de comandos,• Manual request – permite a edição e replay de pedidos anteriores ou a criação de novos
pedidos, • SessionID analysis – colecciona e analisa um número de cookies para determinar o grau
de aleatoriedade e imprevisibilidade,• Parameter fuzzer – executa a substituição automática de valores de parâmetros capazes
expor uma validação incompleta que podem originar vulnerabilidades como XSS e SQLi,• Search – permite que o utilizador manuseie expressões BeanShell de modo a identificar
conversas,• Extensions – automatiza a verificação de ficheiros que por engano/descuido na webroot (ex:
.bak, ~, etc por exemplo. /app/login.jsp verifica /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, etc),
• XSS/CRLF – plugin passivo que procura dados enviados pelo utilizador nos cabeçalhos e corpo das respostas HTTP com vista a identificar potenciais vulnerabilidades CRLF e XSS,
• ….. ,
OWASP Ferramentas e TecnologiasWebScarab - plugins
OWASP 7
WebScarab NG
OWASP Ferramentas e Tecnologias
OWASP 8
Security Architecture
OWASP Ferramentas e Tecnologias
ESAPI - OWASP Enterprise Security API (ESAPI) Project – colecção livre e aberta de métodos de segurança necessários para o desenvolvimento de aplicações web seguras (alinhamento com OWASP Top Ten; XSS, SQLi, XSRF, ….).
Arquitectura ESAPI é muito simples; conjunto de colecções de classes que encapsulam as operações chave de segurança que a maioria das aplicações precisa.
Os Toolkits ESAPI são desenhados para solucionar automaticamente um conjunto variado de questões de segurança tornando essas mesmas questões imperceptíveis para os programadores. ESAPI está desenhado para facilitar a implementação de segurança não só nas aplicações existentes mas também noutras em desenvolvimento.
ESAPI Toolkits : Java EE - available. .NET - under development. PHP - under development.
OWASP
OWASP Top Ten
A1. Cross Site Scripting (XSS)
A2. Injection Flaws
A3. Malicious File Execution
A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF)A6. Leakage and Improper Error Handling A7. Broken Authentication and Sessions
A8. Insecure Cryptographic Storage
A9. Insecure Communications
A10. Failure to Restrict URL Access
OWASP ESAPI
Validator, Encoder
Encoder
HTTPUtilities (Safe Upload)
AccessReferenceMap, AccessController
User (CSRF Token)
EnterpriseSecurityException, HTTPUtils
Authenticator, User, HTTPUtils
Encryptor
HTTPUtilities (Secure Cookie, Channel)
AccessController
9
Security Architecture
OWASP 10
Security Architecture
Dream – ter todos os controlos de segurança que o programador necessita
StandardCentralizadosOrganizadosIntegradosAlta QualidadeIntuitivos
Testados
Frameworks e ESAPI Frameworks - já têm alguma segurança
Controlos estão em falta, incompletos, ou incorrectos
ESAPI não é uma framework É uma colecção de blocos de segurança
“abertos” Desenhada para ajudar a corrigir problemas de
segurança em aplicações existentes. ESAPI Framework Integration Project
Permuta de boas práticas na integração Alguns projectos já o adoptam ex: Struts
OWASP 11
OWASP Ferramentas e Tecnologias
Secure Coding
Validation Filters – (Stinger for J2EE, filters for PHP)
filtros genéricos que os utilizadores podem usar nas suas aplicações.
OWASP AntiSamy Java Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing.OWASP AntiSamy .NET Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing.
OWASP 12
AppSec Education
OWASP Ferramentas e Tecnologias
WebGoat (aplicação deliberadamente insegura) aplicação J2EE da OWASP orientada para o ensino de segurança aplicacional.
Ferrramenta interactiva de treino e benchmarking onde os utilizadores podem aprender acerca da segurança aplicacional num ambiente seguro e legal.
Estruturada em lições os utilizadores podem aplicar os seus conhecimentos sobre uma questão de segurança explorando uma vulnerabilidade real (ex: simulação o utilizador poderá utilizar a técnica do SQL injection para roubar informação confidencial).
A aplicação simula um ambiente de ensino realista dando aos utilizadores dicas e código que assiste/explica a lição.
• Cross-site Scripting (XSS) • Access Control • Thread Safety • Hidden Form Field Manipulation • Parameter Manipulation • Weak Session Cookies • Blind SQL Injection
• Numeric SQL Injection • String SQL Injection • Web Services • Fail Open Authentication • Dangers of HTML Comments • ... etc!
Cerca de 30 lições, :
OWASP 13
OWASP Ferramentas e Tecnologias
OWASP 14
OWASP Ferramentas e TecnologiasSuite de ferramentas (25) – Live CD (drive virtual VMWare)
O projecto tem vários objectivos em vista:
Actuar como uma espécie de “montra” para as ferramentas e documentação OWASP, Fornecer as melhores ferramentas abertas de segurança aplicacional num pacote, Assegurar que as ferramentas fornecidas são simples de utilizar, Continuar a adicionar documentação e ferramentas ao OWASP Live CD, Continuar a documentar a forma de utilização destas ferramentas e como foram criadas.
OWASP 15
OWASP Ferramentas e Tecnologias
Ethical Hacking
OWASP
Perguntas e Respostas
16
