1. R A F A E L B . B R I N H O S ADetectando falhas de Seguranana Web com Software Livre

2. Agenday Introduoy Segurana na Weby Processo Simplificadoy Descobertay Testes{ Comparao de ferramentasy Relatriosy Correoy Concluses 3. Introduoy Aumento do uso da Web 4. Segurana na WebCumulative count of Web application vulnerabilitiesPublished by IBM X-Force in January 2009. 5. Contornar a Segurana pode ser fcil 6. Desenvolver mecanismos seguros pode ser difcil 7. Falhas recentesLizaMoon, Epsilon... 8. Softwares Proprietriosy Preo altoy Patentesy Poucos bugs - so extensivamente testadosy Poucos falso-positivosy Atualizaes constantes do banco de dados devulnerabilidadesy Relatrios Completos 9. Software Livrey Ferramentas pequenas e independentes que no secomunicamy Mais falso-positivos e Menos IAy Bancos de dados de vulnerabilidades menosatualizadosy Poucos Relatriosy Nveis de maturidade diferentesy Alternativas melhores surgindo a cada dia 10. OWASP TOP 10 2010y Lista de falhas mais crticas encontradas em aplicaesweb:y A1: Injectiony A2: Cross-Site Scripting (XSS)y A3: Broken Authentication and Session Managementy A4: Insecure Direct Object Referencesy A5: Cross-Site Request Forgery (CSRF)y A6: Security Misconfigurationy A7: Insecure Cryptographic Storagey A8: Failure to Restrict URL Accessy A9: Insufficient Transport Layer Protectiony A10: UnvalidatedRedirects and Forwards 11. Como detect-las ou evit-las? 12. Segurana no Ciclo de Desenvolvimento deSoftware 13. Cost of Fixing Security VulnerabilitiesThe Fortify data suggested that it cost 100 times more to fix a single vulnerability in operationalsoftware than to fix it at the requirements stage. 14. Processo Simplificadoy Descobertay Testesy Relatriosy Correo 15. Descobertay Ferramentas{ nmap{ OWASP DirBuster{ Firefox Plugin Tamper Data 16. Descobertay Sites{ shodanhq{ google (google hacking database){ Yahoo Site Explore!y OSVDBy Documentosy Diagramasy Metadadosy Arquivos descompilados 17. Testes de Seguranay White Box Security Testing, Static applicationsecurity testing (SAST){ Manual Reviews + Code review toolsy Black Box Security Testing, Dynamic applicationsecurity testing (DAST){ Manual Security Testing + Automated tools 18. White Box Security Testingy Graudit um script simples e conjunto deassinaturas que permite encontrar potenciais falhasde segurana em cdigo-fonte usando o grep.y Uso: graudit /path/to/scany Suporta: asp, jsp, perl, php e python 19. JSPy request.getQueryStringy Runtime.execy getRequesty Request.GetParametery request.getParametery jsp:getPropertyy java.security.acl.acly response.sendRedirects*(.*(Request|request).*)y printStacktracey out.print(ln)?.*[Rr]equest. 20. PHPy # PHP - Databasey mysql_connects*(.*$.*)y mysql_pconnects*(.*$.*)y mysql_change_users*(.*$.*)y mysql_querys*(.*$.*)y mysql_errors*(.*$.*)y mysql_set_charsets*(.*$.*)y mysql_unbuffered_querys*(.*$.*)y pg_connects*(.*$.*)y pg_pconnects*(.*$.*)y pg_executes*(.*$.*)y pg_inserts*(.*$.*)y pg_put_lines*(.*$.*) 21. Perly # Perl xss signaturesy prints*.*$.*->param(?.*)? 22. Black Box Security Testingy w3af Andrs Riancho, em Python, boaextensibilidadey websecurify GNUCITIZEN, fcil de rodary skipfish Google, detecta vulnerabilidades menoscomuns e rpidoy nikto grande base de assinaturasy SqlMap ataques de injeo SQL, vriasfuncionalidades 23. w3afy Com nmap configura target no arquivoy ./w3af_console -s scripts/scriptosCommanding.w3afy set targetFramework jspy set targetOS unix 24. ComparaoVulnerabilidades encontradas por RiscoFerramenta Alto Mdio Baixo Informativas Tempo de execuo totalw3af 4 1 81 18 minutosWebsecurify 4 30 segundosSkipfish 8 2 20 2 horas e 26 minutos 25. Onde TreinarS.No.Vulnerable Application Platform1 SPI Dynamics (live) ASP2 Cenzic (live) PHP3 Watchfire (live) ASPX4 Acunetix 1 (live) PHP5 Acunetix 2 (live) ASP6 Acunetix 3 (live) ASP.Net7 PCTechtips Challenge (live)8 Damn Vulnerable WebApplicationPHP/MySQL9 Mutillidae PHP10 The Butterfly Security Project PHP11 Hacme Casino Ruby on Rails12 Hacme Bank 2.0 ASP.NET (2.0)13 Updated HackmeBank ASP.NET (2.0)14 Hacme Books J2EE15 Hacme Travel C++ (applicationclient-server)16 Hacme Shipping ColdFusion MX 7,MySQL17 OWASP WebGoat JAVA18 OWASP Vicnum PHP, Perl19 OWASP InsecureWebApp JAVA20 OWASP SiteGenerator ASP.NET21 Moth22 Stanford SecuriBench JAVA23 SecuriBench Micro JAVA24 BadStore Perl(CGI)25 WebMaven/Buggy Bank(very old)26 EnigmaGroup (live)27 XSS Encoding Skills x5s(Casaba Watcher)28 Google Gruyere (live)(previously Jarlsberg)29 Exploit- DB Multi-platformFonte: http://securitythoughts.wordpress.com/2010/03/22/vulnerable-web-applications-for-learning/ 26. Relatriosy Dashboard de Seguranay Mtricasy Lista de Vulnerabilidadesy Consolidar usando todos os resultados em XMLy CVSS 27. Security Dashboardy Visilibilidade Global dos Riscos de Segurana deAplicaes atravs de Mtricas especficas 28. Security DashboardYou Cant Manage What You Cant Measure 29. Security Dashboard0%7%21%3%0%42%16%0% 11%0%Vulnerabilities by OWASP TOP 10 2010 ClassificationA1: InjectionA2: Cross-Site Scripting (XSS)A3: Broken Authentication and SessionManagementA4: Insecure Direct Object ReferencesA5: Cross-Site Request Forgery (CSRF)A6: Security MisconfigurationA7: Insecure Cryptographic StorageA8: Failure to Restrict URL AccessA9: Insufficient Transport Layer Protection 30. Correoy OWASP ESAPIy NISTy 31. Conclusoy Se no tiver tempo e for rodar apenas uma w3af!y Scan portflioy Integrao contnuay Garanta as correesy Integrao de Resultadosy Gerenciamento 32. Perguntas?? 33. Refernciasy OWASP:http://www.owasp.org/index.php/Category:OWASP_Projecty NIST:http://csrc.nist.gov/publications/PubsSPs.htmly Web Application Security Consortium:http://www.webappsec.orgy Security Distros: http://securitydistro.com/security-distros/y CVSS - Common Vulnerability Scoring System:http://www.first.org/cvss/ 34. Obrigado!rafael [at] brinhosa.com.brhttp://about.me/brinhosa@brinhosa