Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.

1. Impacto sobre o Negócio da ExploraçãoImpacto sobre o Negócio da Exploração
de Vulnerabilidades de injeção emde Vulnerabilidades de injeção em
Aplicações WebAplicações Web
Henrique SoaresHenrique Soares
Analista de SegurançaAnalista de Segurança

2. $ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de
segurança
• Testes de invasão em redes, sistemas e
aplicações.

3. Agenda
Injeções
•Descrição
•Impactos
• Como se Prevenir

4. Injeções
Descrição

5. Descrição
• Ocorre quando a aplicação envia dados
não tratados para algum serviço interno.
• Pode ser feita via SQL, LDAP, Xpath,
comandos de sistema operacional,
argumentos de programas, etc.
• O que “vai ser injetado” depende da
tecnologia adotada no back end.

6. Descrição
•Descoberta através de varreduras
identificando e manipulando vetores de
entrada
•Tais vetores podem ser implícitos ou
explícitos

7. Descrição
•Representa falta de aderência com boas
práticas de programação.
•Ou seja, também pode ser detectado em
processos de revisão/auditoria de código.

8. Injeções
Impactos

9. Impactos
• Dependendo do tipo de injeção os danos
causados podem ser de vários tipos.
• A injeção serve como porta de entrada, falhas
de configuração do sistema/serviço podem
agravar o problema.

10. Impactos
Perda ou corrupção de dados
•Instruções a banco de dados para remoção ou
alteração de dados.
•Remoção, alteração ou Substituição de
arquivos no servidor.

11. Impactos
Negação de Serviço
•Remoção de Arquivos Críticos.
•Consultas altamente custosas.
•Loops infinitos arbitrários.
•Esgotamento de Recursos.

12. Impactos
Falhas de autenticação
•Manipulação de Campos Condicionais.
•Uso de usuários legítimos ou bypass.

13. Impactos
Execução arbitrária de código
•Integração do backend com o sistema
operacional.
• Comprometimento Total do Sistema.

14. Injeções
Como se Previnir

15. Como se Prevenir
• Política de uso / desenvolvimento.
• Implantação de Firewall de Aplicação.
• Monitoramento de submissões do usuário.

16. Conclusões
• Injeções são falhas que podem impactar em
muito mais do que a aplicação.
• Boas práticas em vários níveis podem conter
os impactos.
• É preciso a cooperação entre
desenvolvimento, processos e infraestrutura.

17. Siga a Clavis

18. Henrique SoaresHenrique Soares
Analista de SegurançaAnalista de Segurança
Muito Obrigado!Muito Obrigado!