Owasp Top10 FireFox

UCA – Noviembre 2009 securitybydefault.com

SbD

Seguridad Web

Firefox y OWASP Top10

(2010RC1)

Alejandro Ramos

CISSP, CISA

Seguridad Web OWASP y Firefox

UCA – Nov09SbD

• Open Web Application Security Project

• Comunidad mundial abierta (130 capítulos)

• Mejora de la seguridad de apps

• Sin ánimo de lucro

• Desarrollo de herramientas, documentación, estudios

• Algunos proyectos: Testing Guide, WebScarab, ESAPI, Code Review, Top10

OWASP

http://www.owasp.org

http://www.owasp.org/


UCA – Nov09SbD

Owasp TOP10 2010 (RC1)

• 10 riesgos más importantes.

• Versión anterior de 2007 (2003, 2004)

• HOT! HOT! Liberada el 13 de noviembre en OWASP AppSec DC.

• WARNING: los riesgos no solo se limitan a 10!

A1 – Injection

A2 – Cross Site Scripting (XSS)

A3 – Broken Authentication and Session Management

A4 – Insecure Direct Object References

A5 – Cross Site Request Forgery (CSRF)

A6 – Security Misconfiguration (NEW)

A7 – Failure to Restrict URL Access

A8 – Unvalidated Redirects and Forwards (NEW)

A9 – Insecure Cryptographic Storage

A10 – Insufficient Transport Layer Protection

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project


UCA – Nov09SbD

¿ Firefox?

• Navegador libre desarrollado por la Corp. Mozilla, la Fundación Mozilla y desarrolladores externos• Multiplataforma• Motor de renderizado “Gecko”• Soporte de extensiones

Securityb

yDefault.com


UCA – Nov09SbD

FFHardener 1.1

• Criptografía:

– Impide el uso del algoritmo RC4 en sesiones SSL

– Fuerza el uso de algoritmos seguros (longitud de clave superior a 64 / 128)

• JavaScript:

– Impide modificación del aspecto de Firefox

– Deshabilita capacidades de JS potencialmente inseguras

• Privacidad:

– Elimina el historial de navegación

– Borra la caché de paginas web visitadas

http://code.google.com/p/sbdtools/downloads/list

http://code.google.com/p/sbdtools/downloads/list


UCA – Nov09SbD

Perfiles

• Firefox admite el uso de varios perfiles

• Las extensiones consumen recursos (…demasiados…)

• Útil para no sobrecargar el navegador

• Con Firefox cerrado: Firefox –Profile (-P)

http://support.mozilla.com/es/kb/Managing+profiles





UCA – Nov09SbD

FireCat

• Febrero 2007: “Turning Firefox to an ethical hacking platform”

• Paquete de extensiones enfocadas al análisis de seguridad de aplicaciones web

• Compuesta por más de 40 utilidades (demasiadas…)

• Mantenida por Security-Database.com

http://www.security-database.com/toolswatch/FireCAT-1-5-released.html











UCA – Nov09SbD


UCA – Nov09SbD

Instalación de extensiones


UCA – Nov09SbD

A1.- INJECTION


UCA – Nov09SbD

A1.- Injection

• Explota una aplicación que construye unaconsulta con los datos introducidos por elusuario sin previa validación, modificando lalógica de la aplicación.

• Mediante SQL, OS Shell, LDAP, XPATH, etc

• Muchas aplicaciones actualmente vulnerables

• Impacto: lectura/escritura completa de unabase de datos, ejecución de comandos, acceso acredenciales.


UCA – Nov09SbD

SQL Inject-Me


UCA – Nov09SbD

Tamper Data


UCA – Nov09SbD

A1 – Injection - Contramedidas

• Recomendaciones

– Utilizar un API segura de validación de datos mediante parámetros

– Escapar caracteres siguiendo rutinas como ESAPI de OWASP

– Uso de listas blancas

• Referencias

– http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

http://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet


UCA – Nov09SbD

A2.- CROSS SITE SCRIPTING

(XSS)


UCA – Nov09SbD

A2.- Cross Site Scripting

• Inserción de código en la página generada poruna aplicación web.

• Falta de validación de datos introducidos por elusuario.

• Reflejados o almacenados en bbdd

• Impacto: permite el control total delnavegador, robo de sesiones, redirección a otraspáginas.


UCA – Nov09SbD

XSS Me


UCA – Nov09SbD

HackBar


UCA – Nov09SbD

A2 – Cross Site Scripting - Contramedidas

• Recomendaciones

– No mostrar contenido generado con los datos introducidos por el usuario.

– Codificar los datos de entrada (escapar). EjOWASP-ESAPI.

– Uso de validación mediante listas blancas.

• Referencias

– http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

http://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet


UCA – Nov09SbD

A3.- BROKEN

AUTHENTICATION AND

SESSION MANGEMENT


UCA – Nov09SbD

A3.- Broken Authentication and session mangement

• Incorrecta gestión de funciones deautenticación como: recordar contraseña,desconectar, recuperar contraseña, preguntasecreta.

• Ataques de fuerza bruta, enumeración deusuarios, predicción de sesiones, etc.

• Impacto: robo de credenciales, suplantación deidentidad


UCA – Nov09SbD

iMacros


UCA – Nov09SbD

Add ‘n’ Edit Cookies


UCA – Nov09SbD

LiveHTTPHeaders


UCA – Nov09SbD

A3 – Broken Authentication and Session Mangement -

Contramedidas

• Recomendaciones

– Simplificar proceso de autenticación

– Uso de la sesión estándar del sistema. EjJSESSIONID

– Uso de SSL en cada vez que se transmita la sesión

• Verificaciones

– No existen herramientas automáticas.

– Verificación del certificado SSL

– Comprobación de las funciones de autenticación

– Verificar que la función “desconectar”, destruye la sesión


UCA – Nov09SbD

A4.- INSECURE DIRECT

OBJECT REFERENCES


UCA – Nov09SbD

A4.- Insecure Direct Object References

• Denominado “control de acceso en la capa depresentación”.

• No mostrar información que realmente estápublicada (mediante la falta de referencias)

• Similar a A7 (Failure to Restrict URL Access)

• Impacto: acceso a recursos confidenciales,información sensible o datos personales.


UCA – Nov09SbD

Unlinker

•También A6 Security Misconfiguration•Ejemplos aproximados …por eso de ver la extensión…


UCA – Nov09SbD

RefControl


UCA – Nov09SbD

A4 – Insecure Direct Object References - Contramedidas

• Recomendaciones

– Mapeo de valores de la URL. Ej:

• &download=1 -> &download=34cb04e932

• &download=2 -> &download=48add501ef

• Validaciones

– Verificar que el valor es correcto

– Comprobar que el usuario tiene permiso sobre el recurso

– Verificar el tipo de permiso (lectura, escritura, borrado)


UCA – Nov09SbD

A5.- CROSS SITE REQUEST

FORGERY


UCA – Nov09SbD

A5.- Cross Site Request Forgery

• Un usuario es engañado para pulsar sobre unenlace web.

• Este ejecuta una acción en esa web utilizandolas credenciales de su usuario (session, IP,dominio de windows, etc)

• Impacto: común para transferencias bancarias,acceder información confidencial, cambio de losdetalles de una cuenta, etcétera


UCA – Nov09SbD

Ejemplo CSRF

• Una trasferencia bancaria se realiza mediante la petición:

– http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn

• Si el enlace es pulsado sin autenticación, la aplicación mostrará un error.

• Mediante el envío del enlace a un usuario de “banco.com” por correo, este realizará la transferencia ya que su sesión es válida

http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn

http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn


UCA – Nov09SbD

A5.- Cross Site Request Forgery - Contramedidas

• Recomendaciones

– Añadir un token a todas las URLs que ejecuten funciones

– El token ha de ser generado criptográficamente con un algoritmo seguro

– ¡OJO!: el token no debe mostrarse en la cabecera “Referer”

-En el ejemplo atenrior: http://www.banco.com/transfer.jsp?cuenta_destino=xxxx&cantidad=nnn&token=adf02e764f

http://www.owasp.org/index.php/CSRF_Prevention_Cheat_Sheet




UCA – Nov09SbD

A6.- SECURITY

MISCONFIGURATION


UCA – Nov09SbD

A6.- Security Misconfiguration

• Errores en configuraciones por defecto.

• Sistemas Operativos y Servicios no fortificados.

• Falta de otros elementos de seguridad (firewalls,ids/ips, segmentación de red)

• Impacto: acceso completo al sistema, lecturade ficheros o configuraciones.


UCA – Nov09SbD

EXIF Viewer

•Realmente “Information Leakage”, no está en Top10-2010

Pero queremos ver a ¡¡¡ Cat Schwartz !!!


UCA – Nov09SbD

A6.- Security Misconfiguration - Contramedidas

• Recomendaciones

– Implantar guía de seguridad (fortificación)

– Contemplar todos los elementos: ssoo, servicios, elementos de red

– Contemplar la seguridad cuando se hagan cambios en la arquitectura

• Validaciones

– Verificar configuraciones

– Chequear niveles de parcheado


UCA – Nov09SbD

A7.- FAILURE TO RESTRICT

URL ACCESS


UCA – Nov09SbD

A7.- Failure to Restrict URL Access

• Acceso a funciones de la aplicación de distintosroles:

• www.url.com/listusers.jsp (rol 1)

• www.url.com/adduser.jsp?user=aramosf (rol 2)

• Impacto: acceso a información, funciones yservicios para los que no se dispone depermisos.

• Escalada de privilegios (Usuarios anónimos azonas que requieren credenciales)

• Escalada de privilegios horizontal

http://www.url.com/listusers.jsp








http://www.url.com/adduser.jsp?user=aramosf









UCA – Nov09SbD

User-Agent Switcher

•Una demo un poco justa…


UCA – Nov09SbD

A7.- Failure To Restrict URL Access - Contramedidas

• Recomendaciones para cada URL:

– Verificar el rol en la sesión, pero no en un parámetro de la sesión

– No basar la seguridad en ocultar enlaces de los menús.

• Validaciones

– Comprobaciones manuales

– Verificar el acceso a ficheros no autorizados


UCA – Nov09SbD

A8.- UNVALIDATED

REDIRECTS AND FORWARDS


UCA – Nov09SbD

A8.- Unvalidated Redirects And Forwards

• Redirección de una zona de la aplicación a otramediante un parámetro de la URL.

• Si el parámetro no es validado se podría redirigiral usuario a una página externa.

• Impacto: redirección a una página de malwareo phishing.


UCA – Nov09SbD

LiveHTTPHeaders


UCA – Nov09SbD

A8.- Unvalidated Redirects and Forwards - Contramedidas

• Recomendaciones

– Eliminar siempre que se puedan las redirecciones

– Si se usan, NO utilizar parámetros introducidos por el usuario

– En el peor de los casos: validación de los parámetros


UCA – Nov09SbD

A9.- INSECURE

CRYPTOGRAPHIC STORAGE


UCA – Nov09SbD

A9.- Insecure Cryptographic Storage

• Incorrecta identificación y gestión de lainformación sensible y donde se almacena.

• Impacto: acceso y modificación de informaciónconfidencial


UCA – Nov09SbD

SWF Catcher

•Otra demo un agarradita por los pelos …


UCA – Nov09SbD

Decompilación y análisis de SWF


UCA – Nov09SbD

A9.- Insecure Cryptographic Storage - Contramedidas

• Recomendaciones

– Uso de cifrado en todos los elementos sensibles: registros, ficheros, directorios, copias de seguridad.

– Selección de un algoritmo de cifrado seguro.

• Validaciones

– Rotación de claves periódica.

– Almacén seguro de las claves.


UCA – Nov09SbD

A10.- INSUFFICIENT TRANSPORT

LAYER PROTECTION


UCA – Nov09SbD

A10.- Insufficient Transport Layer Protection

• Identificación incorrecta de los puntos desde losque se transmite información sensible: entresistemas internos, bases de datos,proveedores/clientes.

• Impacto: acceso y modificación de datossensible


UCA – Nov09SbD

Cookie Security Inspector


UCA – Nov09SbD

A10.- Insufficient Transport Layer - Contramedidas

• Recomendaciones

– Uso de TLS en las conexiones

– Cifrado y firmado de mensajes antes de su transmisión: XML-Encryption / XML-Signature

– Deshabilitar algoritmos antiguos de SSL

– Gestión correcta de certificados/contraseñas

• Referencias

http://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet






UCA – Nov09SbD

OBTENCIÓN DE EVIDENCIAS


UCA – Nov09SbD

Obtención de Evidencias

• Cada hallazgo durante el análisis debe quedarregistrado y evidenciado

• Mediante capturas de pantalla

• O videos con el proceso de detección yexplotación de la vulnerabilidad.


UCA – Nov09SbD

FireShot


UCA – Nov09SbD

CaptureFox


UCA – Nov09SbD

Owasp Top10 FireFox

Technology