Alejandro Ramos, profile picture
Subido porAlejandro Ramos
PDF, PPTX1,331 vistas

Owasp Top10 FireFox

El documento resume los principales riesgos de seguridad web identificados por OWASP en su Top 10 de 2010, así como extensiones para el navegador Firefox que permiten analizar y mitigar dichos riesgos. Se describen brevemente los 10 riesgos principales - inyección, XSS, gestión de sesiones, referencias directas, CSRF, configuración insegura, restricción de URL, redirecciones no validadas, almacenamiento criptográfico inseguro y protección del transporte - y se muestran ejemplos de extensiones para Firefox rel

Incrustar presentación

Descargar como PDF, PPTX
Seguridad Web Firefox y OWASP Top10 (2010RC1) Alejandro Ramos CISSP, CISA SbD UCA – Noviembre 2009 securitybydefault.com
OWASP • Open Web Application Security Project • Comunidad mundial abierta (130 capítulos) • Mejora de la seguridad de apps • Sin ánimo de lucro • Desarrollo de herramientas, documentación, estudios • Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10 http://www.owasp.org Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Owasp TOP10 2010 (RC1) A1 – Injection • 10 riesgos más A2 – Cross Site Scripting (XSS) importantes. A3 – Broken Authentication and Session Management • Versión anterior de 2007 A4 – Insecure Direct Object References (2003, 2004) A5 – Cross Site Request Forgery (CSRF) • HOT! HOT! Liberada el 13 A6 – Security Misconfiguration (NEW) de noviembre en OWASP A7 – Failure to Restrict URL Access AppSec DC. A8 – Unvalidated Redirects and Forwards (NEW) • WARNING: los riesgos no A9 – Insecure Cryptographic Storage solo se limitan a 10! A10 – Insufficient Transport Layer Protection http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Seguridad Web OWASP y Firefox UCA – Nov09 SbD
¿ Firefox? • Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos • Multiplataforma • Motor de renderizado “Gecko” • Soporte de extensiones SecuritybyDefault.com Seguridad Web OWASP y Firefox UCA – Nov09 SbD
FFHardener 1.1 • Criptografía: – Impide el uso del algoritmo RC4 en sesiones SSL – Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128) • JavaScript: – Impide modificación del aspecto de Firefox – Deshabilita capacidades de JS potencialmente inseguras • Privacidad: – Elimina el historial de navegación – Borra la caché de paginas web visitadas http://code.google.com/p/sbdtools/downloads/list Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Perfiles • Firefox admite el uso de varios perfiles • Las extensiones consumen recursos (…demasiados…) • Útil para no sobrecargar el navegador • Con Firefox cerrado: Firefox –Profile (-P) http://support.mozil la.com/es/kb/Manag ing+profiles Seguridad Web OWASP y Firefox UCA – Nov09 SbD
FireCat • Febrero 2007: “Turning Firefox to an ethical hacking platform” • Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web • Compuesta por más de 40 utilidades (demasiadas…) • Mantenida por Security-Database.com http://www.security-database.com/toolswatch/FireCAT-1-5-released.html Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Instalación de extensiones Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A1.- INJECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A1.- Injection • Explota una aplicación que construye una consulta con los datos introducidos por el usuario sin previa validación, modificando la lógica de la aplicación. • Mediante SQL, OS Shell, LDAP, XPATH, etc • Muchas aplicaciones actualmente vulnerables • Impacto: lectura/escritura completa de una base de datos, ejecución de comandos, acceso a credenciales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
SQL Inject-Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Tamper Data Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A1 – Injection - Contramedidas • Recomendaciones – Utilizar un API segura de validación de datos mediante parámetros – Escapar caracteres siguiendo rutinas como ESAPI de OWASP – Uso de listas blancas • Referencias – http://www.owasp.org/index.php/SQL_Injection _Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A2.- CROSS SITE SCRIPTING (XSS) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A2.- Cross Site Scripting • Inserción de código en la página generada por una aplicación web. • Falta de validación de datos introducidos por el usuario. • Reflejados o almacenados en bbdd • Impacto: permite el control total del navegador, robo de sesiones, redirección a otras páginas. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
XSS Me Seguridad Web OWASP y Firefox UCA – Nov09 SbD
HackBar Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A2 – Cross Site Scripting - Contramedidas • Recomendaciones – No mostrar contenido generado con los datos introducidos por el usuario. – Codificar los datos de entrada (escapar). Ej OWASP-ESAPI. – Uso de validación mediante listas blancas. • Referencias – http://www.owasp.org/index.php/XSS_(Cross_S ite_Scripting)_Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A3.- BROKEN AUTHENTICATION AND SESSION MANGEMENT Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A3.- Broken Authentication and session mangement • Incorrecta gestión de funciones de autenticación como: recordar contraseña, desconectar, recuperar contraseña, pregunta secreta. • Ataques de fuerza bruta, enumeración de usuarios, predicción de sesiones, etc. • Impacto: robo de credenciales, suplantación de identidad Seguridad Web OWASP y Firefox UCA – Nov09 SbD
iMacros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Add ‘n’ Edit Cookies Seguridad Web OWASP y Firefox UCA – Nov09 SbD
LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A3 – Broken Authentication and Session Mangement - Contramedidas • Recomendaciones – Simplificar proceso de autenticación – Uso de la sesión estándar del sistema. Ej JSESSIONID – Uso de SSL en cada vez que se transmita la sesión • Verificaciones – No existen herramientas automáticas. – Verificación del certificado SSL – Comprobación de las funciones de autenticación – Verificar que la función “desconectar”, destruye la sesión Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A4.- INSECURE DIRECT OBJECT REFERENCES Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A4.- Insecure Direct Object References • Denominado “control de acceso en la capa de presentación”. • No mostrar información que realmente está publicada (mediante la falta de referencias) • Similar a A7 (Failure to Restrict URL Access) • Impacto: acceso a recursos confidenciales, información sensible o datos personales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Unlinker •También A6 Security Misconfiguration •Ejemplos aproximados …por eso de ver la extensión… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
RefControl Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A4 – Insecure Direct Object References - Contramedidas • Recomendaciones – Mapeo de valores de la URL. Ej: • &download=1 -> &download=34cb04e932 • &download=2 -> &download=48add501ef • Validaciones – Verificar que el valor es correcto – Comprobar que el usuario tiene permiso sobre el recurso – Verificar el tipo de permiso (lectura, escritura, borrado) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A5.- CROSS SITE REQUEST FORGERY Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A5.- Cross Site Request Forgery • Un usuario es engañado para pulsar sobre un enlace web. • Este ejecuta una acción en esa web utilizando las credenciales de su usuario (session, IP, dominio de windows, etc) • Impacto: común para transferencias bancarias, acceder información confidencial, cambio de los detalles de una cuenta, etcétera Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Ejemplo CSRF • Una trasferencia bancaria se realiza mediante la petición: – http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn • Si el enlace es pulsado sin autenticación, la aplicación mostrará un error. • Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A5.- Cross Site Request Forgery - Contramedidas • Recomendaciones – Añadir un token a todas las URLs que ejecuten funciones – El token ha de ser generado criptográficamente con un algoritmo seguro – ¡OJO!: el token no debe mostrarse en la cabecera “Referer” -En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn&token=adf02e764f http://www.owasp.org/index.php/CSRF_Prevention_Cheat_S heet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A6.- SECURITY MISCONFIGURATION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A6.- Security Misconfiguration • Errores en configuraciones por defecto. • Sistemas Operativos y Servicios no fortificados. • Falta de otros elementos de seguridad (firewalls, ids/ips, segmentación de red) • Impacto: acceso completo al sistema, lectura de ficheros o configuraciones. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
EXIF Viewer •Realmente “Information Leakage”, no está en Top10- 2010 Pero queremos ver a ¡¡¡ Cat Schwartz !!! Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A6.- Security Misconfiguration - Contramedidas • Recomendaciones – Implantar guía de seguridad (fortificación) – Contemplar todos los elementos: ssoo, servicios, elementos de red – Contemplar la seguridad cuando se hagan cambios en la arquitectura • Validaciones – Verificar configuraciones – Chequear niveles de parcheado Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A7.- FAILURE TO RESTRICT URL ACCESS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A7.- Failure to Restrict URL Access • Acceso a funciones de la aplicación de distintos roles: • www.url.com/listusers.jsp (rol 1) • www.url.com/adduser.jsp?user=aramosf (rol 2) • Impacto: acceso a información, funciones y servicios para los que no se dispone de permisos. • Escalada de privilegios (Usuarios anónimos a zonas que requieren credenciales) • Escalada de privilegios horizontal Seguridad Web OWASP y Firefox UCA – Nov09 SbD
User-Agent Switcher •Una demo un poco justa… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A7.- Failure To Restrict URL Access - Contramedidas • Recomendaciones para cada URL: – Verificar el rol en la sesión, pero no en un parámetro de la sesión – No basar la seguridad en ocultar enlaces de los menús. • Validaciones – Comprobaciones manuales – Verificar el acceso a ficheros no autorizados Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A8.- UNVALIDATED REDIRECTS AND FORWARDS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A8.- Unvalidated Redirects And Forwards • Redirección de una zona de la aplicación a otra mediante un parámetro de la URL. • Si el parámetro no es validado se podría redirigir al usuario a una página externa. • Impacto: redirección a una página de malware o phishing. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
LiveHTTPHeaders Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A8.- Unvalidated Redirects and Forwards - Contramedidas • Recomendaciones – Eliminar siempre que se puedan las redirecciones – Si se usan, NO utilizar parámetros introducidos por el usuario – En el peor de los casos: validación de los parámetros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A9.- INSECURE CRYPTOGRAPHIC STORAGE Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A9.- Insecure Cryptographic Storage • Incorrecta identificación y gestión de la información sensible y donde se almacena. • Impacto: acceso y modificación de información confidencial Seguridad Web OWASP y Firefox UCA – Nov09 SbD
SWF Catcher •Otra demo un agarradita por los pelos … Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Decompilación y análisis de SWF Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A9.- Insecure Cryptographic Storage - Contramedidas • Recomendaciones – Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad. – Selección de un algoritmo de cifrado seguro. • Validaciones – Rotación de claves periódica. – Almacén seguro de las claves. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A10.- INSUFFICIENT TRANSPORT LAYER PROTECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A10.- Insufficient Transport Layer Protection • Identificación incorrecta de los puntos desde los que se transmite información sensible: entre sistemas internos, bases de datos, proveedores/clientes. • Impacto: acceso y modificación de datos sensible Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Cookie Security Inspector Seguridad Web OWASP y Firefox UCA – Nov09 SbD
A10.- Insufficient Transport Layer - Contramedidas • Recomendaciones – Uso de TLS en las conexiones – Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature – Deshabilitar algoritmos antiguos de SSL – Gestión correcta de certificados/contraseñas • Referencias http://www.owasp.org/index.php/Transport_Layer_ Protection_Cheat _Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
OBTENCIÓN DE EVIDENCIAS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Obtención de Evidencias • Cada hallazgo durante el análisis debe quedar registrado y evidenciado • Mediante capturas de pantalla • O videos con el proceso de detección y explotación de la vulnerabilidad. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
FireShot Seguridad Web OWASP y Firefox UCA – Nov09 SbD
CaptureFox Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Seguridad Web OWASP y Firefox UCA – Nov09 SbD
Owasp Top10 FireFox

Más contenido relacionado

PPT
Owasp Top10 Spanish
porFabio Cerullo
 
PDF
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
pormarcsegarralopez
 
PDF
OWASP
porConferencias FIST
 
PDF
Hacking web con OWASP
porzekivazquez
 
PDF
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
porInternet Security Auditors
 
PDF
Introduccion a la OWASP Guatemala
porCamilo Fernandez
 
PDF
Presentacion Guia OWASP 2014
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
PDF
Samm owasp
porSoftware Guru
 
Owasp Top10 Spanish
porFabio Cerullo
 
Seguridad OWASP en la Certificación PA-DSS de Aplicaciones de Pago
pormarcsegarralopez
 
OWASP
porConferencias FIST
 
Hacking web con OWASP
porzekivazquez
 
10 riesgos más críticos que deben afrontar las organizaciones sobre sus aplic...
porInternet Security Auditors
 
Introduccion a la OWASP Guatemala
porCamilo Fernandez
 
Presentacion Guia OWASP 2014
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Samm owasp
porSoftware Guru
 

Destacado

PPT
Evaluacion de arquitecturas
porSamis Ambrocio
 
PDF
Pruebas de Intrusión utilizando Open Source
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
PPTX
Apresentando o Windows Server 2008 R2
porRodrigo Immaginario
 
ODP
Cissp Week 24
porjemtallon
 
PDF
CISSP - TELECOM apresentada no CNASI 2013
porAdilson Da Rocha
 
PPTX
CISSP week 26
porjemtallon
 
PDF
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
porCláudio Dodt
 
ODP
CISSP Week 22
porjemtallon
 
PPT
Owasp presentacion latam tour (Ago 2011)
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
PDF
CISSP Week 7
porjemtallon
 
PDF
Slide Deck CISSP Class Session 4
porFRSecure
 
PDF
CISSP Week 6
porjemtallon
 
PPT
What’s & Why’s of Business Continuity Planning (BCP)
porCBIZ, Inc.
 
PDF
Slide Deck Class Session 8 – FRSecure CISSP Mentor Program
porFRSecure
 
PDF
Slide Deck CISSP Class Session 7
porFRSecure
 
PDF
Slide Deck Class Session 10 – FRSecure CISSP Mentor Program
porFRSecure
 
Evaluacion de arquitecturas
porSamis Ambrocio
 
Pruebas de Intrusión utilizando Open Source
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Apresentando o Windows Server 2008 R2
porRodrigo Immaginario
 
Cissp Week 24
porjemtallon
 
CISSP - TELECOM apresentada no CNASI 2013
porAdilson Da Rocha
 
CISSP week 26
porjemtallon
 
DARYUS Inovação com Segurança da Informação: Desafios de uma gestão flexível ...
porCláudio Dodt
 
CISSP Week 22
porjemtallon
 
Owasp presentacion latam tour (Ago 2011)
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
CISSP Week 7
porjemtallon
 
Slide Deck CISSP Class Session 4
porFRSecure
 
CISSP Week 6
porjemtallon
 
What’s & Why’s of Business Continuity Planning (BCP)
porCBIZ, Inc.
 
Slide Deck Class Session 8 – FRSecure CISSP Mentor Program
porFRSecure
 
Slide Deck CISSP Class Session 7
porFRSecure
 
Slide Deck Class Session 10 – FRSecure CISSP Mentor Program
porFRSecure
 

Similar a Owasp Top10 FireFox

PDF
Seguridad en servidores WEB. Modulo mod_security
porseguridadelinux
 
PPTX
Temas owasp
porFernando Solis
 
ODP
Seguridad en aplicaciones web
porJose Mato
 
PDF
From vulnerable source to shell in two hours
porOwaspMadrid Chapter
 
PDF
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
porPablo Garaizar
 
PDF
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
porNextel S.A.
 
PDF
Completo conferencia seguridad_web_software_libre_2015
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
PDF
Seguridad en el desarrollo de aplicaciones web
porJuan Eladio Sánchez Rosas
 
PDF
Seguridad Web XSS y BeEF
porJose Miguel Holguin
 
PPT
Web app attacks
porJaime Restrepo
 
PPTX
Owas top 10_2010_by_dino
porJhon Jairo Hernandez
 
PPTX
Owasp top ten 2019
porSantiago Rodríguez Paniagua
 
PPTX
Owasp top 10 2017
poryopablo
 
PDF
Vulnerabilidades en Aplicaciones Web
porAlonso Eduardo Caballero Quezada
 
PPTX
Los 7 pecados del Desarrollo Web
poracksec
 
PPTX
Más responsabilidad y seguridad en tus datos
porscr33d
 
PPTX
Sistemas de informacióhbjhbkjjhbkn Clase 3.pptx
porluisles907
 
PPT
Exposicion univ simon_bolivar
porGrupo Educativo Cepea
 
PDF
Samurai Web Testing Framework 2.0
porAlonso Eduardo Caballero Quezada
 
PPTX
Seguridad en los sistemas web
porFacultad de Ciencias y Sistemas
 
Seguridad en servidores WEB. Modulo mod_security
porseguridadelinux
 
Temas owasp
porFernando Solis
 
Seguridad en aplicaciones web
porJose Mato
 
From vulnerable source to shell in two hours
porOwaspMadrid Chapter
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
porPablo Garaizar
 
La Web como plataforma de referencia: viejos ataques y nuevas vulnerabilidades
porNextel S.A.
 
Completo conferencia seguridad_web_software_libre_2015
porSecurinf.com Seguridad Informatica - Tecnoweb2.com
 
Seguridad en el desarrollo de aplicaciones web
porJuan Eladio Sánchez Rosas
 
Seguridad Web XSS y BeEF
porJose Miguel Holguin
 
Web app attacks
porJaime Restrepo
 
Owas top 10_2010_by_dino
porJhon Jairo Hernandez
 
Owasp top ten 2019
porSantiago Rodríguez Paniagua
 
Owasp top 10 2017
poryopablo
 
Vulnerabilidades en Aplicaciones Web
porAlonso Eduardo Caballero Quezada
 
Los 7 pecados del Desarrollo Web
poracksec
 
Más responsabilidad y seguridad en tus datos
porscr33d
 
Sistemas de informacióhbjhbkjjhbkn Clase 3.pptx
porluisles907
 
Exposicion univ simon_bolivar
porGrupo Educativo Cepea
 
Samurai Web Testing Framework 2.0
porAlonso Eduardo Caballero Quezada
 
Seguridad en los sistemas web
porFacultad de Ciencias y Sistemas
 

Más de Alejandro Ramos

PDF
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
porAlejandro Ramos
 
PDF
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
porAlejandro Ramos
 
PDF
Cookies y otras tecnologías de monitorización en internet
porAlejandro Ramos
 
PDF
Ejemplos de seguridad en aplicaciones moviles (IOS)
porAlejandro Ramos
 
PPTX
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
porAlejandro Ramos
 
PDF
Te pique lo que te pique, analiza un SQLite
porAlejandro Ramos
 
PDF
Shodab
porAlejandro Ramos
 
PDF
Forense en windows - Resolución Reto I de Dragonjar
porAlejandro Ramos
 
PPTX
Análisis forense en linux - Compromised Linux Server
porAlejandro Ramos
 
PDF
Advanced password cracking
porAlejandro Ramos
 
PDF
Seguridad en PDF: Adobe ¬¬
porAlejandro Ramos
 
PDF
Wargame
porAlejandro Ramos
 
PDF
Jornada de ciberdefensa stuxnet
porAlejandro Ramos
 
PDF
Resolución de concursos de la NoConName 2010 v1.0
porAlejandro Ramos
 
PDF
Pentest curso de verano - valencia 2010
porAlejandro Ramos
 
PDF
Seguridad en PDF - Adobe ¬¬
porAlejandro Ramos
 
PDF
Rooted2010 Otp
porAlejandro Ramos
 
PDF
Fist - Negocio Pirateria
porAlejandro Ramos
 
PDF
Seguridad en Bluetooth
porAlejandro Ramos
 
PDF
DNI-E
porAlejandro Ramos
 
Cookies y privacidad, tocino y velocidad - sh3llcon (Enero 2015)
porAlejandro Ramos
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
porAlejandro Ramos
 
Cookies y otras tecnologías de monitorización en internet
porAlejandro Ramos
 
Ejemplos de seguridad en aplicaciones moviles (IOS)
porAlejandro Ramos
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
porAlejandro Ramos
 
Te pique lo que te pique, analiza un SQLite
porAlejandro Ramos
 
Shodab
porAlejandro Ramos
 
Forense en windows - Resolución Reto I de Dragonjar
porAlejandro Ramos
 
Análisis forense en linux - Compromised Linux Server
porAlejandro Ramos
 
Advanced password cracking
porAlejandro Ramos
 
Seguridad en PDF: Adobe ¬¬
porAlejandro Ramos
 
Wargame
porAlejandro Ramos
 
Jornada de ciberdefensa stuxnet
porAlejandro Ramos
 
Resolución de concursos de la NoConName 2010 v1.0
porAlejandro Ramos
 
Pentest curso de verano - valencia 2010
porAlejandro Ramos
 
Seguridad en PDF - Adobe ¬¬
porAlejandro Ramos
 
Rooted2010 Otp
porAlejandro Ramos
 
Fist - Negocio Pirateria
porAlejandro Ramos
 
Seguridad en Bluetooth
porAlejandro Ramos
 
DNI-E
porAlejandro Ramos
 

Owasp Top10 FireFox

  • 1.
    Seguridad Web Firefox y OWASP Top10 (2010RC1) Alejandro Ramos CISSP, CISA SbD UCA – Noviembre 2009 securitybydefault.com
  • 2.
    OWASP • OpenWeb Application Security Project • Comunidad mundial abierta (130 capítulos) • Mejora de la seguridad de apps • Sin ánimo de lucro • Desarrollo de herramientas, documentación, estudios • Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10 http://www.owasp.org Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 3.
    Owasp TOP10 2010(RC1) A1 – Injection • 10 riesgos más A2 – Cross Site Scripting (XSS) importantes. A3 – Broken Authentication and Session Management • Versión anterior de 2007 A4 – Insecure Direct Object References (2003, 2004) A5 – Cross Site Request Forgery (CSRF) • HOT! HOT! Liberada el 13 A6 – Security Misconfiguration (NEW) de noviembre en OWASP A7 – Failure to Restrict URL Access AppSec DC. A8 – Unvalidated Redirects and Forwards (NEW) • WARNING: los riesgos no A9 – Insecure Cryptographic Storage solo se limitan a 10! A10 – Insufficient Transport Layer Protection http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 5.
    ¿ Firefox? • Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos • Multiplataforma • Motor de renderizado “Gecko” • Soporte de extensiones SecuritybyDefault.com Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 6.
    FFHardener 1.1 •Criptografía: – Impide el uso del algoritmo RC4 en sesiones SSL – Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128) • JavaScript: – Impide modificación del aspecto de Firefox – Deshabilita capacidades de JS potencialmente inseguras • Privacidad: – Elimina el historial de navegación – Borra la caché de paginas web visitadas http://code.google.com/p/sbdtools/downloads/list Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 7.
    Perfiles • Firefox admite el uso de varios perfiles • Las extensiones consumen recursos (…demasiados…) • Útil para no sobrecargar el navegador • Con Firefox cerrado: Firefox –Profile (-P) http://support.mozil la.com/es/kb/Manag ing+profiles Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 8.
    FireCat •Febrero 2007: “Turning Firefox to an ethical hacking platform” • Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web • Compuesta por más de 40 utilidades (demasiadas…) • Mantenida por Security-Database.com http://www.security-database.com/toolswatch/FireCAT-1-5-released.html Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 9.
    Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 10.
    Instalación de extensiones SeguridadWeb OWASP y Firefox UCA – Nov09 SbD
  • 11.
    A1.- INJECTION Seguridad WebOWASP y Firefox UCA – Nov09 SbD
  • 12.
    A1.- Injection • Explota una aplicación que construye una consulta con los datos introducidos por el usuario sin previa validación, modificando la lógica de la aplicación. • Mediante SQL, OS Shell, LDAP, XPATH, etc • Muchas aplicaciones actualmente vulnerables • Impacto: lectura/escritura completa de una base de datos, ejecución de comandos, acceso a credenciales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 13.
    SQL Inject-Me Seguridad WebOWASP y Firefox UCA – Nov09 SbD
  • 14.
    Tamper Data Seguridad WebOWASP y Firefox UCA – Nov09 SbD
  • 15.
    A1 – Injection- Contramedidas • Recomendaciones – Utilizar un API segura de validación de datos mediante parámetros – Escapar caracteres siguiendo rutinas como ESAPI de OWASP – Uso de listas blancas • Referencias – http://www.owasp.org/index.php/SQL_Injection _Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 16.
    A2.- CROSS SITESCRIPTING (XSS) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 17.
    A2.- Cross SiteScripting • Inserción de código en la página generada por una aplicación web. • Falta de validación de datos introducidos por el usuario. • Reflejados o almacenados en bbdd • Impacto: permite el control total del navegador, robo de sesiones, redirección a otras páginas. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 18.
    XSS Me Seguridad WebOWASP y Firefox UCA – Nov09 SbD
  • 19.
    HackBar Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 20.
    A2 – CrossSite Scripting - Contramedidas • Recomendaciones – No mostrar contenido generado con los datos introducidos por el usuario. – Codificar los datos de entrada (escapar). Ej OWASP-ESAPI. – Uso de validación mediante listas blancas. • Referencias – http://www.owasp.org/index.php/XSS_(Cross_S ite_Scripting)_Prevention_Cheat_Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 21.
    A3.- BROKEN AUTHENTICATION AND SESSION MANGEMENT Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 22.
    A3.- Broken Authenticationand session mangement • Incorrecta gestión de funciones de autenticación como: recordar contraseña, desconectar, recuperar contraseña, pregunta secreta. • Ataques de fuerza bruta, enumeración de usuarios, predicción de sesiones, etc. • Impacto: robo de credenciales, suplantación de identidad Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 23.
    iMacros Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 24.
    Add ‘n’ EditCookies Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 25.
    LiveHTTPHeaders Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 26.
    A3 – BrokenAuthentication and Session Mangement - Contramedidas • Recomendaciones – Simplificar proceso de autenticación – Uso de la sesión estándar del sistema. Ej JSESSIONID – Uso de SSL en cada vez que se transmita la sesión • Verificaciones – No existen herramientas automáticas. – Verificación del certificado SSL – Comprobación de las funciones de autenticación – Verificar que la función “desconectar”, destruye la sesión Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 27.
    A4.- INSECURE DIRECT OBJECT REFERENCES Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 28.
    A4.- Insecure DirectObject References • Denominado “control de acceso en la capa de presentación”. • No mostrar información que realmente está publicada (mediante la falta de referencias) • Similar a A7 (Failure to Restrict URL Access) • Impacto: acceso a recursos confidenciales, información sensible o datos personales. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 29.
    Unlinker •TambiénA6 Security Misconfiguration •Ejemplos aproximados …por eso de ver la extensión… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 30.
    RefControl Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 31.
    A4 – InsecureDirect Object References - Contramedidas • Recomendaciones – Mapeo de valores de la URL. Ej: • &download=1 -> &download=34cb04e932 • &download=2 -> &download=48add501ef • Validaciones – Verificar que el valor es correcto – Comprobar que el usuario tiene permiso sobre el recurso – Verificar el tipo de permiso (lectura, escritura, borrado) Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 32.
    A5.- CROSS SITEREQUEST FORGERY Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 33.
    A5.- Cross SiteRequest Forgery • Un usuario es engañado para pulsar sobre un enlace web. • Este ejecuta una acción en esa web utilizando las credenciales de su usuario (session, IP, dominio de windows, etc) • Impacto: común para transferencias bancarias, acceder información confidencial, cambio de los detalles de una cuenta, etcétera Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 34.
    Ejemplo CSRF •Una trasferencia bancaria se realiza mediante la petición: – http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn • Si el enlace es pulsado sin autenticación, la aplicación mostrará un error. • Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 35.
    A5.- Cross SiteRequest Forgery - Contramedidas • Recomendaciones – Añadir un token a todas las URLs que ejecuten funciones – El token ha de ser generado criptográficamente con un algoritmo seguro – ¡OJO!: el token no debe mostrarse en la cabecera “Referer” -En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_desti no=xxxx&cantidad=nnn&token=adf02e764f http://www.owasp.org/index.php/CSRF_Prevention_Cheat_S heet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 36.
    A6.- SECURITY MISCONFIGURATION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 37.
    A6.- Security Misconfiguration • Errores en configuraciones por defecto. • Sistemas Operativos y Servicios no fortificados. • Falta de otros elementos de seguridad (firewalls, ids/ips, segmentación de red) • Impacto: acceso completo al sistema, lectura de ficheros o configuraciones. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 38.
    EXIF Viewer •Realmente “Information Leakage”, no está en Top10- 2010 Pero queremos ver a ¡¡¡ Cat Schwartz !!! Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 39.
    A6.- Security Misconfiguration- Contramedidas • Recomendaciones – Implantar guía de seguridad (fortificación) – Contemplar todos los elementos: ssoo, servicios, elementos de red – Contemplar la seguridad cuando se hagan cambios en la arquitectura • Validaciones – Verificar configuraciones – Chequear niveles de parcheado Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 40.
    A7.- FAILURE TORESTRICT URL ACCESS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 41.
    A7.- Failure toRestrict URL Access • Acceso a funciones de la aplicación de distintos roles: • www.url.com/listusers.jsp (rol 1) • www.url.com/adduser.jsp?user=aramosf (rol 2) • Impacto: acceso a información, funciones y servicios para los que no se dispone de permisos. • Escalada de privilegios (Usuarios anónimos a zonas que requieren credenciales) • Escalada de privilegios horizontal Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 42.
    User-Agent Switcher •Una demo un poco justa… Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 43.
    A7.- Failure ToRestrict URL Access - Contramedidas • Recomendaciones para cada URL: – Verificar el rol en la sesión, pero no en un parámetro de la sesión – No basar la seguridad en ocultar enlaces de los menús. • Validaciones – Comprobaciones manuales – Verificar el acceso a ficheros no autorizados Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 44.
    A8.- UNVALIDATED REDIRECTS AND FORWARDS Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 45.
    A8.- Unvalidated RedirectsAnd Forwards • Redirección de una zona de la aplicación a otra mediante un parámetro de la URL. • Si el parámetro no es validado se podría redirigir al usuario a una página externa. • Impacto: redirección a una página de malware o phishing. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 46.
    LiveHTTPHeaders Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 47.
    A8.- Unvalidated Redirectsand Forwards - Contramedidas • Recomendaciones – Eliminar siempre que se puedan las redirecciones – Si se usan, NO utilizar parámetros introducidos por el usuario – En el peor de los casos: validación de los parámetros Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 48.
    A9.- INSECURE CRYPTOGRAPHIC STORAGE Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 49.
    A9.- Insecure CryptographicStorage • Incorrecta identificación y gestión de la información sensible y donde se almacena. • Impacto: acceso y modificación de información confidencial Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 50.
    SWF Catcher •Otra demo un agarradita por los pelos … Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 51.
    Decompilación y análisisde SWF Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 52.
    A9.- Insecure CryptographicStorage - Contramedidas • Recomendaciones – Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad. – Selección de un algoritmo de cifrado seguro. • Validaciones – Rotación de claves periódica. – Almacén seguro de las claves. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 53.
    A10.- INSUFFICIENT TRANSPORT LAYER PROTECTION Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 54.
    A10.- Insufficient TransportLayer Protection • Identificación incorrecta de los puntos desde los que se transmite información sensible: entre sistemas internos, bases de datos, proveedores/clientes. • Impacto: acceso y modificación de datos sensible Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 55.
    Cookie Security Inspector SeguridadWeb OWASP y Firefox UCA – Nov09 SbD
  • 56.
    A10.- Insufficient TransportLayer - Contramedidas • Recomendaciones – Uso de TLS en las conexiones – Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature – Deshabilitar algoritmos antiguos de SSL – Gestión correcta de certificados/contraseñas • Referencias http://www.owasp.org/index.php/Transport_Layer_ Protection_Cheat _Sheet Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 57.
    OBTENCIÓN DE EVIDENCIAS SeguridadWeb OWASP y Firefox UCA – Nov09 SbD
  • 58.
    Obtención de Evidencias • Cada hallazgo durante el análisis debe quedar registrado y evidenciado • Mediante capturas de pantalla • O videos con el proceso de detección y explotación de la vulnerabilidad. Seguridad Web OWASP y Firefox UCA – Nov09 SbD
  • 59.
    FireShot Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 60.
    CaptureFox Seguridad Web OWASPy Firefox UCA – Nov09 SbD
  • 61.
    Seguridad Web OWASPy Firefox UCA – Nov09 SbD