webgoat como ferramenta de aprendizado
TRANSCRIPT
Copyright © 2004 - The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundationhttp://www.owasp.org
OWASP - WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web
Luiz Vieira ∴OWASP Rio de Janeiro
HackProofing
2OWASP
Quem sou eu?
3OWASP
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4OWASP
O código faz parte do perímetro de segurança
Fire
wa
ll
Hardened OS
Web Server
App Server
Fire
wa
ll
Da
tab
as
es
Le
ga
cy S
ys
tem
s
We
b S
erv
ice
s
Dir
ec
tori
es
Hu
ma
n R
es
rcs
Bil
lin
g
Custom Developed
Application CodeAPPLICATION
ATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional
Ne
two
rk L
aye
rA
pp
lic
ati
on
La
ye
r
O seu perímetro de segurança possui buracos enormes na camada
aplicacional
OWASP 5
O que é o OWASP?
Open Web Application Security ProjectOrganização sem fins lucrativos, orientada para esforço
voluntário Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros
OWASP 6
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
OWASP 7
Publicações OWASP – OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para aplicações web
OWASP 8
Publicações OWASP - OWASP Top 10
Top 10 (versão 2013)A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards
OWASP 9
Software OWASP - WebGoat
WebGoatEssencialmente é uma aplicação de treino
Oferece Uma ferramenta educacional usada para ensinar e aprender sobre
segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino– Fácil de usar
– Ilustra cenários credíveis
– Ensina ataques realistas e soluções viáveis
OWASP 10
Software OWASP - WebGoat
WebGoat – O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar
OWASP 11
Vamos conhecer alguns “bugs”…
OWASP 12
SQL Injection
XML Injection
XSS
CSRF
Session Fixation
Session Hijacking
Vamos conhecer alguns “bugs”…
13OWASP
14OWASP
Obrigado pela sua atenção!
https://www.owasp.org/index.php/Rio_de_Janeiro
http://hackproofing.blogspot.com
http://www.hackproofing.com.br (em breve)