Professional Documents
Culture Documents
Verso PT-BR
Notas
Participantes
E os seguintes voluntrios:
caro Evangelista de Torres
Carlo Marcelo Revoredo da Silva
Luiz Vieira
Suely Ramalho de Mello
Jorge Olmpia
Daniel Quinto
Mauro Risonho de Paula Assumpo
Marcelo Lopes
Caio Dias
Rodrigo Gularte
Sobre a OWASP
Prefcio
Sobre a OWASP
Copyright e Licena
Copyright 2003 2013 The OWASP Foundation
Este documento publicado sob a licena Creative Commons Attribution ShareAlike 3.0. Para qualquer
tipo de reutilizao ou distribuio, os termos deste trabalho devero ser informados.
Introduo
Bem-vindo
Bem-vindo ao OWASP Top 10 2013! Esta atualizao amplia uma das categorias da verso 2010 para ser mais abrangente,
incluindo vulnerabilidades importantes, comuns, e reordena outras com base na mudana de dados de prevalncia. Ele tambm
traz a segurana de componentes para o centro das atenes criando uma categoria especfica para este risco, tirando-o da
obscuridade das letras midas do risco A6 de 2010: Configurao Incorreta de Segurana.
O OWASP Top 10 para 2013 baseado em 8 conjuntos de dados de 7 empresas que se especializam em segurana de aplicaes,
incluindo 4 consultorias and 3 fornecedores de ferramenta/Software as a Service (1 esttica, 1 dinmica, and 1 com ambas) .
Estes dados abrangem mais de 500.000 vulnerabilidades em centenas de organizaes e milhares de aplicaes. Os itens Top 10
so selcionados e priorizados de acordo com dados de prevalncia, em combinao com estimativas do consenso da explorao,
deteco e impacto.
O objetivo principal do OWASP Top 10 educar desenvolvedores, projetistas, arquitetos, gestores e organizaes sobre as
consequncias das mais importantes vulnerabilidades de segurana de aplicaes web. O Top 10 fornece tcnicas bsicas para se
proteger contra essas reas problemticas de alto risco e tambm fornece orientao sobre onde ir a partir daqui.
Avisos
No pare nos 10. Existem centenas de problemas que podem
afetar a segurana geral de uma aplicao web como
discutido no Guia do Desenvolvedor OWASP e na Srie de
Dicas OWASP. Estas so leituras essenciais para o
desenvolvimento de aplicaes web. Orientao sobre como
encontrar, de forma efetiva, vulnerabilidades em aplicaes
web fornecida no Guia de Testes OWASP e no Guia de
Reviso de Cdigo OWASP.
Mudana constante. Este Top 10 continuar sendo alterado.
Mesmo sem alterar uma linha de cdigo da sua aplicao, ela
poder ficar vulnervel a novas falhas que so descobertas e
mtodos de ataque que so refinados. Por favor, revise a
orientao no final deste documento em Prximos Passos
para Desenvolvedores, Verificadores e Organizaes para
maiores informaes.
Pense positivo. Quando voc estiver pronto para parar de
procurar vulnerabilidades e focar no estabelecimento de
fortes controles de segurana nas suas aplicaes, OWASP
produziu o Padro de Verificao de Segurana em
Applicaes (ASVS) como um guia de verificao para as
organizaes.
Use ferramentas de forma inteligente. Vulnerabilidades de
segurana podem ser bastante complexas e enterradas em
montanhas de cdigo. Em muitos casos, a abordagem com
melhor custo-benefcio para encontrar e eliminar estas
vulnerabilidades envolver especialistas armados com boas
ferramentas.
Mude de rumo. Concentre-se em tornar a segurana parte
integral da cultura de desenvolvimento da organizao.
Encontre mais no Modelo Aberto de Maturidade e Garantia
do Software (SAMM) and the Rugged Handbook.
Agradecimentos
Obrigado Aspect Security por iniciar, liderar e atualizar o
OWASP Top 10 desde sua concepo em 2003, e a seus
autores principais: Jeff Williams and Dave Wichers.
NV
Notas da Verso
Quebra de Autenticao e Gerenciamento de Sesso aumentou sua prevalncia em nossa base de dados. Acreditamos que isto
provavelmente ocorreu porque esta rea est sendo analisada rigorosamente, e no porque mais predominante. Isso resultou na troca
de posies entre os Riscos A2 e A3.
2)
Cross-Site Request Forgery (CSRF) reduziu sua prevalncia em nossa base de dados de 2010-A5 para 2013-A8. Acreditamos que a causa
seja o fato do CSRF permanecer no OWASP Top 10 por 6 anos, e as organizaes e os frameworks de desenvolvimento concentraram-se
em reduzir significativamente o nmero de vulnerabilidades CSRF nas aplicaes.
3)
Ampliamos a Falha na Restrio de Acesso a URL do OWASP Top 10 2010 para ser mais abrangente:
+
4)
5)
2010-A8: Falha na Restrio de Acesso a URL agora 2013-A7: Falta de Funo para Controle do Nvel de Acesso cobrindo todas as
funes de controle do nvel de acesso. Existem muitas maneiras de especificar qual funo est sendo acessada, no apenas a URL.
Esta uma nova categoria criada com o agrupamento do 2010-A7 - Armazenamento Criptogrfico Inseguro e 2010-A9 - Proteo
Insuficiente no Nvel de Transporte, alm de adicionar riscos aos dados sensveis inseridos via navegador. Esta nova categoria abrange
proteo a dados sensveis (exceto controle de acesso que coberto pelos 2013-A4 e 2013-A7) a partir do momento que esses dados
so fornecidos pelo usurio, enviados e armazenados pela aplicao, e em seguida enviados novamente ao navegador.
A1 Injeo de cdigo
A1 Injeo de cdigo
Risco
Riscos de Segurana em
Aplicaes
Attack
Vectors
Security
Weaknesses
Security
Controls
Weakness
Control
Attack
Technical
Impacts
Business
Impacts
Impact
Asset
Attack
Weakness
Impact
Control
Function
Attack
Weakness
Impact
Asset
Weakness
Control
s vezes, esses caminhos so triviais para encontrar e explorar, e em outras, so extremamente difceis. Da mesma forma, o dano
causado pode ter nenhuma consequncia, ou pode acabar com o seu negcio. Para determinar o risco para a sua organizao,
voc pode avaliar a probabilidade associada a cada agente de ameaa, vetor de ataque, vulnerabilidade de segurana e combinla com uma estimativa dos impactos tcnico e no negcio da sua empresa. Juntos, esses fatores determinam o risco total.
Referncias
O OWASP Top 10 tem seu foco na identificao dos riscos mais graves para uma
ampla gama de organizaes. Para cada um destes riscos, ns fornecemos
informaes genricas sobre a probabilidade de ocorrncia e impacto tcnico
usando o esquema simples de classificao abaixo, que se baseia na metodologia
de avaliao de riscos da OWASP (OWASP Risk Rating Methodology).
OWASP
Agentes
Vetores de
de Ameaa
Ataque
Especfico
da
Aplicao
Prevalncia da
Vulnerabilidade
Deteco
Vulnerabilidade
Impactos
Tcnicos
Fcil
Generalizada
Fcil
Severo
Mdia
Comum
Mdia
Moderado
Difcil
Rara
Difcil
Pequeno
Impactos
no
Negcio
External
Especfico
do
Negcio/
Aplicao
T10
A1 Injeo
A2 Quebra de
Autenticao e
Gerenciamento de
Sesso
As falhas de Injeo, tais como injeo de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando
dados no confiavis so enviados para um interpretador como parte de um comando ou consulta. Os
dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos
indesejados ou permita o acesso a dados no autorizados.
A3 Cross-Site
Scripting (XSS)
Falhas XSS ocorrem sempre que uma aplicao recebe dados no confiveis e os envia ao navegador sem
validao ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vtima que
podem sequestrar sesses do usurio, desfigurar sites, ou redirecionar o usurio para sites maliciosos.
A4 Referncia
Insegura e Direta a
Objetos
Uma referncia insegura e direta a um objeto ocorre quando um programador expe uma referncia
implementao interna de um objeto, como um arquivo, diretrio, ou registro da base de dados. Sem a
verificao do controle de acesso ou outra proteo, os atacantes podem manipular estas referncias para
acessar dados no-autorizados.
A5 Configurao
Incorreta de
Segurana
Uma boa segurana exige a definio de uma configurao segura e implementada na aplicao,
frameworks, servidor de aplicao, servidor web, banco de dados e plataforma. Todas essas configuraes
devem ser definidas, implementadas e mantidas, j que geralmente a configurao padro insegura.
Adicionalmente, o software deve ser mantido atualizado.
A6 Exposio de
Dados Sensveis
Muitas aplicaes web no protegem devidamente os dados sensveis, tais como cartes de crdito, IDs
fiscais e credenciais de autenticao. Os atacantes podem roubar ou modificar esses dados desprotegidos
com o propsito de realizar fraudes de cartes de crdito, roubo de identidade, ou outros crimes. Os dados
sensveis merecem proteo extra como criptografia no armazenamento ou em trnsito, bem como
precaues especiais quando trafegadas pelo navegador.
A7 Falta de
Funo para
Controle do Nvel
de Acesso
A maioria das aplicaes web verificam os direitos de acesso em nvel de funo antes de tornar essa
funcionalidade visvel na interface do usurio. No entanto, as aplicaes precisam executar as mesmas
verificaes de controle de acesso no servidor quando cada funo invocada. Se estas requisies no
forem verificadas, os atacantes sero capazes de forjar as requisies, com o propsito de acessar a
funcionalidade sem autorizao adequada.
A8 Cross-Site
Request Forgery
(CSRF)
Um ataque CSRF fora a vtima que possui uma sesso ativa em um navegador a enviar uma requisio
HTTP forjada, incluindo o cookie da sesso da vtima e qualquer outra informao de autenticao includa
na sesso, a uma aplicao web vulnervel. Esta falha permite ao atacante forar o navegador da vtima a
criar requisies que a aplicao vulnervel aceite como requisies legtimas realizadas pela vtima.
A9 Utilizao de
Componentes
Vulnerveis
Conhecidos
Componentes, tais como bibliotecas, frameworks, e outros mdulos de software quase sempre so
executados com privilgios elevados. Se um componente vulnervel explorado, um ataque pode causar
srias perdas de dados ou o comprometimento do servidor. As aplicaes que utilizam componentes com
vulnerabilidades conhecidas podem minar as suas defesas e permitir uma gama de possveis ataques e
impactos.
A10
Redirecionamentos
e Encaminhamentos Invlidos
Aplicaes web frequentemente redirecionam e encaminham usurios para outras pginas e sites, e usam
dados no confiveis para determinar as pginas de destino. Sem uma validao adequada, os atacantes
podem redirecionar as vtimas para sites de phishing ou malware, ou usar encaminhamentos para acessar
pginas no autorizadas.
A1
Agentes de Ameaa
Injeo
Vetores
de Ataque
Especfico da
Aplicao
Explorao
FCIL
Vulnerabilidades
de Segurana
Prevalncia
COMUM
Deteco
MDIA
Impactos
Tcnicos
Impactos
no Negcio
Impacto
SEVERO
Especfico do
Negcio / Aplicao
Considere o valor de
negcio dos dados
afetados e a plataforma
de execuo do
interpretador. Todos os
dados podem ser
roubados, modificados,
ou excludos. A sua
reputao poderia ser
afetada?
Estou vulnervel?
2.
3.
Referncias
OWASP
Externas
CWE Entry 77 on Command Injection
CWE Entry 89 on SQL Injection
CWE Entry 564 on Hibernate Injection
A2
Agentes de Ameaa
Quebra de Autenticao e
Gerenciamento de Sesso
Vetores
de Ataque
Especfico da
Aplicao
Explorao
MDIA
Considere atacantes
externos annimos,
ou mesmo usurios
autenticados, que
podem tentar roubar
contas de outros
usurios. Considere
tambm usurios
internos que desejam
disfarar suas aes.
Atacante usa
vazamentos ou falhas
nas funes de
autenticao ou
gerenciamento de
sesso (por exemplo,
contas expostas,
senhas, IDs de sesso)
para assumir a
identidade de outro
usurio.
Vulnerabilidades
de Segurana
Prevalncia
GENERALIZADA
Deteco
MDIA
Os desenvolvedores frequentemente
implementam a autenticao e gerenciamento
de sesso em suas aplicaes de forma
personalizada, mas a implementao correta
difcil. Como resultado, esses esquemas
personalizados frequentemente possuem
falhas em reas do sistema como logout,
gesto de senhas, tempo de expirao,
"lembrar senha", pergunta secreta, atualizar
conta, etc. Algumas vezes, encontrar essas
falhas pode ser difcil j que cada
implementao nica.
Impactos
Tcnicos
Impactos
no Negcio
Impacto
SEVERO
Especfico do
Negcio / Aplicao
Considere o valor de
negcio dos dados ou
funes da aplicao
afetados. Tambm
considere o impacto
no negcio atravs da
exposio pblica da
vulnerabilidade.
Estou vulnervel?
Referncias
OWASP
http://example.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSK
HCJUN2JV?dest=Hawaii
Um usurio autenticado do site quer deixar seus amigos saberem
sobre a venda. Ele envia um e-mail do link acima sem saber que com
isso tambm est enviando a sua ID da sesso. Quando seus amigos
utilizarem o link, iro usar sua sesso e carto de crdito.
Cenrio # 2: O tempo de expirao da aplicao no est definido
corretamente. O usurio utiliza um computador pblico para acessar
o site. Em vez de selecionar logout o usurio simplesmente fecha a
aba do navegador e vai embora. O atacante usa o mesmo navegador
uma hora mais tarde, e esse navegador ainda est autenticado.
Cenrio # 3: Atacante interno ou externo ganha acesso ao banco de
dados de senhas do sistema. Senhas de usurios no esto utilizando hash, expondo assim todas as senhas dos usurios ao atacante.
1.
2.
b)
Externas
CWE Entry 287 on Improper Authentication
CWE Entry 384 on Session Fixation
A3
Agentes de Ameaa
Especfico da
Aplicao
Explorao
MDIA
Os atacantes enviam
ataques de script
baseado em texto que
exploram o
interpretador no
navegador. Quase
qualquer fonte de dados
pode ser um vetor de
ataque, incluindo fontes
internas como dados do
banco de dados.
Vulnerabilidades
de Segurana
Prevalncia
MUITO DIFUNDIDA
Deteco
FCIL
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Atacantes podem
executar scripts no
navegador da vtima
para sequestrar sesses
do usurio, desfigurar
web sites, inserir
contedo hostil,
redirecionar usurios,
seqestrar o navegador
usando malware, etc.
Considere o valor do
negcio do sistema
afetado e todos os dados
que processa.
Tambm considere o
impacto no negcio da
exposio pblica da
vulnerabilidade.
Estou vulnervel?
Tecnologias Web 2.0, como Ajax, tornam o XSS muito mais difcil de
detectar via ferramentas automatizadas.
Referncias
OWASP
Externas
CWE Entry 79 on Cross-Site Scripting
A4
Agentes de Ameaa
Especfico da
Aplicao
Explorao
FCIL
O atacante, que um
usurio autorizado do
sistema,
simplesmente muda o
valor de um
parmetro que se
refere diretamente a
um objeto do sistema
por outro objeto que
o usurio no est
autorizado. O acesso
concedido?
Vulnerabilidades
de Segurana
Prevalncia
COMUM
Deteco
FCIL
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Considere o valor de
negcio dos dados
expostos.
Tambm considere o
impacto ao negcio da
exposio pblica da
vulnerabilidade.
Estou vulnervel?
2.
Referncias
OWASP
1.
2.
Externas
CWE Entry 639 on Insecure Direct Object References
CWE Entry 22 on Path Traversal (um exemplo de um ataque de
Referncia Direta a Objeto)
A5
Agentes de Ameaa
Configurao Incorreta de
Segurana
Vetores
de Ataque
Especfico da
Aplicao
Explorao
FCIL
Considere atacantes
externos annimos,
bem como usurios
com suas prprias
contas que podem
tentar comprometer o
sistema. Considere
tambm algum
internamente
querendo disfarar
suas aes.
Atacante acessa
contas padro,
pginas no utilizadas,
falhas no corrigidas,
arquivos e diretrios
desprotegidos, etc,
para obter acesso no
autorizado ou
conhecimento do
sistema.
Vulnerabilidades
de Segurana
Prevalncia
COMUM
Deteco
FCIL
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Estou vulnervel?
Referncias
OWASP
OWASP Development Guide: Chapter on Configuration
OWASP Code Review Guide: Chapter on Error Handling
OWASP Testing Guide: Configuration Management
OWASP Testing Guide: Testing for Error Codes
OWASP Top 10 2004 - Insecure Configuration Management
Para requisitos adicionais nesta rea, veja ASVS requirements
area for Security Configuration (V12).
Externas
PC Magazine Article on Web Server Hardening
CWE Entry 2 on Environmental Security Flaws
CIS Security Configuration Guides/Benchmarks
A6
Agentes de Ameaa
Especfico da
Aplicao
Explorao
DIFCIL
Os atacantes
normalmente no
quebram diretamente a
criptografia. Eles
exploram de outra forma,
como roubar chaves,
aplicar ataques do tipo
man-in-the-middle, ou
roubar dados em texto
claro fora do servidor,
enquanto transitam, ou a
partir do navegador do
usurio.
Vulnerabilidades
de Segurana
Prevalncia
RARA
Deteco
MDIA
Impactos
Tcnicos
Impactos
no Negcio
Impacto
SEVERO
Especfico do
Negcio / Aplicao
A falha
frequentemente
compromete todos os
dados que deveriam
ter sido protegidos.
Normalmente, essas
informaes incluem
dados sensveis tais
como registros
mdicos, credenciais
de acesso, dados
pessoais, cartes de
crdito, etc.
Considere o valor de
negcio dos dados
perdidos e o impacto
para sua reputao.
Qual a sua
responsabilidade legal
se estes dados forem
expostos? Considere
tambm os danos
sua reputao.
Estou vulnervel?
1.
2.
3.
4.
5.
Referncias
A7
Agentes de Ameaa
Especfico da
Aplicao
Qualquer um com
acesso rede pode
enviar uma requisio
para a sua aplicao.
Usurios annimos
poderiam acessar funcionalidades privadas
ou usurios normais
acessarem uma
funo privilegiada?
Vulnerabilidades
de Segurana
Explorao
FCIL
O atacante, que um
usurio autorizado no
sistema, simplesmente
muda a URL ou um
parmetro para uma
funo privilegiada. O
acesso concedido?
Usurios annimos
podem acessar funes
privadas que no so
protegidas.
Prevalncia
COMUM
Deteco
MDIO
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Estou Vulnervel?
Considere o valor de
negcio das funes
expostas e os dados
que elas processam.
Tambm considere o
impacto para sua
reputao se essa
vulnerabilidade se
tornar pblica.
1.
2.
1.
3.
2.
3.
NOTA: Muitas das aplicaes web no mostram links e botes para funes
no autorizadas, mas esse "controle de acesso na camada de apresentao"
na verdade no fornece proteo. Voc tambm deve implementar
verificaes na lgica do controlador ou do negcio.
Referncias
OWASP
OWASP Top 10-2007 on Failure to Restrict URL Access
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo
Externas
CWE Entry 285 on Improper Access Control (Authorization)
A8
Agentes de Ameaa
Especfico da
Aplicao
Explorao
MDIO
Considere qualquer
pessoa que possa
carregar contedo nos
navegadores dos
usurios, e assim
for-los a fazer uma
requisio para seu
site. Qualquer site ou
outro servio html
que usurios acessam
pode fazer isso.
O atacante forja
requisies HTTP
falsas e engana uma
vitima submetendo-a
a um ataque atravs
de tags de imagem,
XSS, ou inmeras
outras tcnicas. Se o
usurio estiver
autenticado, o ataque
bem sucedido.
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Os atacantes podem
enganar suas fazendo
com que executem
operaes de mudana
de estado que a vtima
est autorizada a
realizar, por ex.,
atualizando detalhes da
sua conta, comprando,
deslogando ou at
mesmo efetuando
login.
Considere o valor de
negcio dos dados ou
funes afetadas da
aplicao. Imagine
no ter a certeza se os
usurios tem a
inteno de realizar
tais aes.
Vulnerabilidades
de Segurana
Prevalncia
COMUM
Deteco
FCIL
Considere o impacto
na sua reputao.
Estou vulnervel?
2.
3.
Referncias
OWASP
http://exemplo.com/app/transferirFundos?quantia=1500
&contaDestino=4673243243
Com isso, o atacante constri uma requisio que ir transferir
dinheiro da conta da vtima para a conta do atacante, e ento
incorpora este ataque em uma requisio armazenada em uma
imagem ou iframe em vrios sites sob o controle do atacante:
<img src="http://exemplo.com/app/transferirFundos?
quantia=1500&contaDestino=contaAtacante#
width="0" height="0" />
Se a vtima visitar qualquer um dos sites do atacante enquanto
estiver autenticado em exemplo.com, essas requisies forjadas iro
incluir automaticamente informaes de sesso do usurio,
autorizando o pedido do atacante.
Externas
CWE Entry 352 on CSRF
A9
Agentes de Ameaa
Utilizao de Componentes
Vulnerveis Conhecidos
Vetores
de Ataque
Especfico da
Aplicao
Explorao
MDIO
Alguns componentes
vulnerveis (por exemplo,
bibliotecas de framework)
podem ser identificadas e
exploradas com ferramentas automatizadas, expandindo o leque de agentes de
ameaa incluindo, alm de
atacantes direcionados,
atores caticos.
O atacante identifica um
componente vulnervel
atravs de varredura ou
anlise manual. Ele
personaliza o exploit
conforme necessrio e
executa o ataque. Isso se
torna mais difcil se o componente usado est mais
profundo na aplicao.
Vulnerabilidades
de Segurana
Prevalncia
GENERALIZADA
Deteco
DIFCIL
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
A gama completa de
vulnerabilidades
possvel, incluindo
injeo, falha no
controle de acesso, XSS,
etc. O impacto poderia
variar do mnimo ao
completo
comprometimento do
servidor e dos dados.
Estou vulnervel?
3)
4)
Identificar todos os componentes e as verses que voc est utilizando, incluindo todas as dependncias. (ex., verses dos plugins).
Monitorar a segurana desses componentes em banco de dados
pblicos, listas de e-mail de projetos e segurana, e mant-los
atualizados.
Estabelecer polticas de segurana que definam o uso do
componente, assim como exigir certas prticas de
desenvolvimento de software, passando em testes de segurana, e
licenas aceitveis.
Quando apropriado, considere a adio de invlucros de segurana em torno dos componentes para desabilitar funcionalidades
no utilizadas e/ou proteger falhas ou aspectos vulnerveis do
componente.
Referncias
OWASP
Externas
Open Source Software Security
Addressing Security Concerns in Open Source Components
Example Mass Assignment Vulnerability that was fixed in
ActiveRecord, a Ruby on Rails GEM
A10
Agentes de Ameaa
Redirecionamentos e
Encaminhamentos Invlidos
Vetores
de Ataque
Especfico da
Aplicao
Explorao
MDIA
Considere quem
possa enganar
seus usurios para
que enviem uma
solicitao ao seu
site. Qualquer site
ou feed HTML que
seus usurios
utilizam poderia
fazer isso.
Vulnerabilidades
de Segurana
Prevalncia
RARA
Deteco
FCIL
Impactos
Tcnicos
Impactos
no Negcio
Impacto
MODERADO
Especfico do
Negcio / Aplicao
Tais redirecionamentos
podem tentar instalar
malware ou enganar
vtimas para que
divulguem suas senhas
ou outras informaes
sensveis.
Encaminhamentos
Detectar redirecionamentos invlidos fcil. inseguros podem
Procure por aqueles onde voc pode definir a permitir contornar os
URL completa. Encaminhamen-tos invlidos
controles de acesso.
so mais difceis, pois eles tm como alvo
pginas internas.
Considere o valor de
negcio da
manuteno da
confiana de seus.
E se eles forem
infectados por
malware?
E se atacantes
puderem acessar
funes que deveriam
ser somente internas?
Estou vulnervel?
1.
2.
3.
Referncias
OWASP
OWASP Article on Open Redirects
ESAPI SecurityWrapperResponse sendRedirect() method
http://www.example.com/redirect.jsp?url=evil.com
Cenrio #2: A aplicao usa encaminhamentos para rotear
requisies entre partes diferentes do site. Para facilitar,
algumas pginas usam um parmetro para indicar onde o
usurio deve ser enviado se a transao for efetuada com
sucesso. Neste caso, o atacante cria uma URL que ir passar
pela verificao de controle de acesso e encaminh-lo para
uma funcionalidade administrativa que o atacante no teria
autorizao para acess-la.
http://www.example.com/boring.jsp?fwd=admin.jsp
Externas
CWE Entry 601 on Open Redirects
WASC Article on URL Redirector Abuse
Google blog article on the dangers of open redirects
OWASP Top 10 for .NET article on Unvalidated Redirects and
Forwards
+D
Requisitos de
Segurana de
Aplicaes
Para desenvolver uma aplicao web segura necessrio definir o que significa segurana para
essa aplicao. O OWASP recomenda usar o Padro de Verificao de Segurana de Aplicaes
(ASVS) como guia para configurar os requisitos de segurana da(s) sua(s) aplicao(es). Se
estiver terceirizando, considerar o Anexo do Contrato de Software Seguro do OWASP.
Arquitetura
de Segurana
de Aplicaes
Ao invs de adicionar segurana a suas aplicaes, muito mais econmico projetar a segurana
desde o princpio. O OWASP recomenda O Guia do Desenvolvedor OWASP e as Dicas de
Preveno do OWASP como pontos de partida para projetar segurana desde o incio.
Controles de
Segurana
Padronizados
Segurana do
Ciclo de Vida do
Desenvolvimento
Para melhorar o processo que a sua organizao segue ao desenvolver aplicaes, o OWASP
recomenda o Modelo de Maturidade de Garantia do Software (SAMM). Este modelo ajuda a
organizao a formular e implementar estratgias para segurana de software customizadas para
os riscos especficos que a organizao enfrenta.
Educao em
Segurana de
Aplicaes
Numerosos recursos adicionais do OWASP esto disponveis. Visite a Pgina de Projetos OWASP, l esto listados todos os
projetos OWASP, organizados por tipo de verso dos projetos (Release Quality, Beta, ou Alfa). A maioria dos recursos OWASP
est disponvel na pgina de wiki, e muitos documentos do OWASP podem ser solicitados em formato Impresso ou eBook.
+V
Organize-se
Para verificar a segurana da aplicao web que voc desenvolveu, ou de uma aplicao que esteja considerando adquirir, o
OWASP recomenda verificar o cdigo fonte da mesma (se disponvel), bem como testar a aplicao. O OWASP recomenda
combinar a reviso de segurana do cdigo com o teste de invaso sempre que possvel, pois isto permite aproveitar as
vantagens das duas tcnicas, aliado ao fato que as duas se complementam. As ferramentas para ajudar no processo de
verificao podem melhorar a eficincia e a eficcia de um analista experiente. As ferramentas de verificao do OWASP so
focadas em ajudar o especialista a ser mais eficaz, ao invs de simplesmente automatizar o processo de anlise.
Padronizando o Processo de Verificao da Segurana em Aplicaes Web: Para ajudar as organizaes a desenvolver
consistncia e um nvel definido de rigor ao avaliar a segurana de aplicaes web, OWASP criou o Padro de Verificao de
Segurana de Aplicaes (ASVS). Este documento define um padro mnimo de verificao para testar a segurana de aplicaes
web. OWASP recomenda usar o ASVS no apenas para saber o que procurar quando for verificar a segurana da aplicao, mas
tambm para saber quais tcnicas so mais apropriadas, e para ajudar a definir e selecionar o nvel de rigor dessa verificao. O
OWASP tambm recomenda usar o ASVS para ajudar a definir e selecionar os tipos de servios de verificao de terceiros, se for
contratar este servio.
Conjunto de Ferramentas de Verificao: O Projeto OWASP Live CD compilou algumas das melhores ferramentas abertas de
segurana em um ambiente nico ou em uma mquina virtual (VM). Desenvolvedores web, responsveis pelos testes e
profissionais de segurana podem dar partida no seu sistema usando o CD ou executando a mquina virtual para acessar um
conjunto completo de testes de segurana. No necessrio instalar ou configurar nada para usar as ferramentas do CD.
Reviso de Cdigo
+O
Iniciando
Abordagem
de Portfolio
Baseada em
Risco
Ativar com
uma
fundao
slida
Estabelecer um conjunto de politicas e normas que sejam uma base para segurana de aplicaes a
ser seguida por todas as equipes de desenvolvimento.
Definir um conjunto comum de controles de segurana reutilizveis que complementem as polticas e
normas, contendo orientaes de uso para as fases de projeto e desenvolvimento.
Estabelecer um currculo de formao em segurana de aplicaes obrigatrio e direcionado s
diversas funes de desenvolvimento e tpicos existentes.
Integrar
Segurana
aos
Processos
Existentes
Oferecer
Visibilidade
para a
Gerncia
Gerenciar usando mtricas. Efetuar melhorias e decises de investimento baseadas nas mtricas e
anlises dos dados capturados. Mtricas incluem aderncia s atividades e prticas seguras,
vulnerabilidades introduzidas, vulnerabilidades mitigadas, abrangncia da aplicao, densidade de
defeitos por contagem de tipo e instncia, etc.
Analisar dados das atividades de implementao e verificao procurando por causas raiz e padres
de vulnerabilidade com o fim de conduzir as melhorias estratgica e sistematicamente em toda a
empresa.
+R
Agentes de Ameaa
Especfico da
Aplicao
Vetores
de Ataque
Explorao
MDIA
Vulnerabilidades
de Segurana
Impactos
Tcnicos
MUITO DIFUNDIDA
Deteco
FCIL
Impacto
MODERADO
Prevalncia
Impactos
no Negcio
Especfico do
Negcio/
Aplicao
+F
RISCO
Agentes de
Ameaa
Vulnerabilidades
de Segurana
Vetores de
Ataque
Impactos
Tcnicos
Explorao
Prevalncia
Deteco
Impacto
Impactos
no Negcio
A1-Injeo
Especfico Apl.
FCIL
COMUM
MDIA
SEVERO
Especfico Apl.
A2-Autenticao
Especfico Apl.
MDIA
GENERALIZADA
MDIA
SEVERO
Especfico Apl.
A3-XSS
Especfico Apl.
MDIA
MUITO DIFUNDIDA
FCIL
MODERADO
Especfico Apl.
A4-Ref. Insegura
Especfico Apl.
FCIL
COMUM
FCIL
MODERADO
Especfico Apl.
A5-Conf. Incorreta
Especfico Apl.
FCIL
COMUM
FCIL
MODERADO
Especfico Apl.
A6-Exp. de Dados
Especfico Apl.
DIFCIL
RARA
MDIA
SEVERO
Especfico Apl.
A7-Cont. Acesso
Especfico Apl.
FCIL
COMUM
MDIA
MODERADO
Especfico Apl.
A8-CSRF
Especfico Apl.
MDIA
COMUM
FCIL
MODERADO
Especfico Apl.
A9-Comp. Vulner.
Especfico Apl.
MDIA
GENERALIZADA
DIFCIL
MODERADO
Especfico Apl.
A10-Redirecion.
Especfico Apl.
MDIA
RARA
FCIL
MODERADO
Especfico Apl.