O documento discute as principais ameaças à segurança da informação como injeções e cross-site scripting (XSS). Ele fornece exemplos de códigos vulneráveis e explorações, além de recomendações para prevenção como validação de entrada e saída. O documento também descreve o que são ambientes controlados como wargames e como eles podem ser usados para treinamento e pesquisa em segurança da informação.

1. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados. Atacando (e protegendo) aplicações web Rafael Soares Ferreira Clavis Segurança da Informação [email_address]

3. Pentester

4. Incident Handler

5. Hacker Ético

6. Instrutor e Palestrante

7. • Injeções OWASP Top 10 2010 - A1 OWASP Top 10 2007 - A2 • Cross Site Scripting (XSS) OWASP Top 10 2010 - A2 OWASP Top 10 2007 - A1 Principais Ameaças

8. • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Injeções Principais Ameaças

9. SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; <form method=&quot;post&quot; action=&quot;http://SITE/login.php&quot;> <input name=&quot;nome&quot; type=&quot;text&quot; id=&quot;nome&quot;> <input name=&quot;senha&quot; type=&quot;password&quot; id=&quot;senha&quot;> </form> Client-Side: Server-Side: Principais Ameaças Injeções - Exemplos

10. ' OR 'a'='a SELECT id FROM usuarios WHERE nome = '$nome' AND senha = ' ' OR 'a'='a ' ; Client-Side: O Exploit! Server-Side: Principais Ameaças Injeções - Exemplos

11. Principais Ameaças Injeções - Exemplos Código PHP: $query = &quot;SELECT * FROM usuarios WHERE username = '&quot; . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’ +OR+‘1’=‘1’--’ AND passwd=‘a’

12. Principais Ameaças Injeções - Exemplos Código Java: String query = &quot;SELECT * FROM usuarios WHERE username = '&quot; + req.getParameter(&quot;usr&quot;) + &quot;' and passwd = '&quot; + req.getParameter(&quot;pwd&quot;) +&quot;'&quot;; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘ admin’--’ AND passwd=‘a’

13. www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Principais Ameaças Injeções - Exemplos

14. • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Principais Ameaças Injeções - Exemplos

15. Código: $dominio = param(‘dominio'); $nslookup = &quot;/usr/bin/nslookup&quot;; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Principais Ameaças Injeções - Exemplos

16. Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Principais Ameaças Injeções - Exemplos

18. • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Cross-Site Scripting (XSS) Principais Ameaças

19. Principais Ameaças Cross-Site Scripting (XSS)

20. • Persistente • Não Persistente Tipos: Principais Ameaças Cross-Site Scripting (XSS)

21. • Persistente Dados enviados sem tratamento para usuários Principais Ameaças Cross-Site Scripting (XSS)

22. Principais Ameaças Cross-Site Scripting (XSS)

23. • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Principais Ameaças Cross-Site Scripting (XSS)

24. Principais Ameaças Cross-Site Scripting (XSS)

25. • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.”; ?> • Requisição index.php?name=<script>alert(1)</script> Principais Ameaças Cross-Site Scripting (XSS)

28. Cross-Site Request Forgery (CSRF)

29. Falhas de Configuração

31. Canal Inseguro

32. Redirecionamentos Não-Validados

40. Dúvidas? Perguntas? Críticas? Sugestões?

41. Fim... Muito Obrigado! Rafael Soares Ferreira [email_address] @rafaelsferreira