Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 101 vistas

    0x01 Owasp Peru Oscar Martinez

    Cargado por

    Eugenio Montes
    Este documento presenta la información personal y profesional de Oscar Martínez Ruiz de Castilla. Es un ingeniero electrónico con una maestría en ciencias de la computación que tiene más de 10 años de experiencia en TI. Actualmente se especializa en seguridad informática y es un experto en pruebas de penetración de aplicaciones web y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    0x01 Owasp Peru Oscar Martinez

    Cargado por

    Eugenio Montes
    101 vistas60 páginas
    Este documento presenta la información personal y profesional de Oscar Martínez Ruiz de Castilla. Es un ingeniero electrónico con una maestría en ciencias de la computación que tiene más de 10 años de experiencia en TI. Actualmente se especializa en seguridad informática y es un experto en pruebas de penetración de aplicaciones web y redes.

    Descripción original:

    owasp

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta la información personal y profesional de Oscar Martínez Ruiz de Castilla. Es un ingeniero electrónico con una maestría en ciencias de la computación que tiene más de 10 años de experiencia en TI. Actualmente se especializa en seguridad informática y es un experto en pruebas de penetración de aplicaciones web y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    101 vistas60 páginas

    0x01 Owasp Peru Oscar Martinez

    Cargado por

    Eugenio Montes
    Este documento presenta la información personal y profesional de Oscar Martínez Ruiz de Castilla. Es un ingeniero electrónico con una maestría en ciencias de la computación que tiene más de 10 años de experiencia en TI. Actualmente se especializa en seguridad informática y es un experto en pruebas de penetración de aplicaciones web y redes.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 60

    WHOAMI?

    Oscar Martnez Ruiz de Castilla


    Chalaco
    Ingeniero Electrnico
    Magister en Ciencias de la Computacin
    CISM, C)ISSO
    OSCP, C|EH, C|HFI, C)PTE, C)PTC, C)SWAE,
    C)DFE, OSEH
    y Sophos Certified Engineer
    Especialista en Seguridad Informtica
    Con ms de 10 aos de experiencia en TI
    Network / Web application penetration tester

    [email protected]
    fiery-owl.blogspot.com
    @oscar_mrdc

    Tu desarrollador/analista -> tambin defiendes!


    1. Parafraseando a Bielsa
    2. Qu dicen los bancos?
    3. Cazadores de mitos
    4. Qu dice PCI?
    5. Mecanismos de Defensa
    6. OWASP / ASVS / ESAPI (intro)

    Cuntos trabajan atacando?


    Cuntos trabajan defendiendo?
    Cuntos son analistas / programadores?
    Cuntos en QA?
    Los dems?

    El cumplimiento de PCI / NTP27001 es un


    proyecto para TI

    Soy seguro porque cumplo PCI / NTP 27001

    PCI compliance is a business issue, not a


    technology issue. There is no single technology
    solution that will make your organization PCI
    compliant. Because it is a business issue that
    affects the entire organization, PCI compliance
    calls for a multidisciplinary team including at least
    Finance, IT, and likely Internal Audit.

    6.5.1 Injection flaws, particularly SQL


    injection. Also consider OS Command
    Injection, LDAP and XPath injection flaws
    as well as other injection flaws.
    6.5.2 Buffer overflows
    6.5.3 Insecure cryptographic storage

    6.5.4 Insecure communications


    6.5.5 Improper error handling
    6.5.7 Cross-site scripting (XSS)
    6.5.8 Improper access control (such as
    insecure direct object references, failure to
    restrict URL access, directory traversal, and
    failure to restrict user access to functions).

    6.5.9 Cross-site request forgery (CSRF)


    6.5.10 Broken authentication and session
    management

    6.5.10 Broken authentication and session


    Management
    Note: Requirement 6.5.10 is a best practice
    until June 30, 2015, after which it becomes a
    requirement.

    La Realidad en Per?
    Muchos con SQLi, XSS, credenciales dbiles, etc.

    Vulnerabilidades en el propio software, desarrollado por la propia empresa o un tercero


    (Lgica y cdigo fuente)

    No esta relacionada necesariamente con la plataforma (puertos 80 y 443)

    Mecanismos de Defensa

    Gestionar el acceso del usuario (a las funcionalidades y datos)


    Gestionar los datos ingresados por el usuario
    Gestionar los ataques (medidas defensivas y ofensivas)

    Gestionar el acceso del usuario (a las funcionalidades y datos)


    Autenticacin
    (formularios web, certificados, tokens, etc)
    Login, pero tambin: recuperacin de cuenta, cambio de
    contrasea, auto registro, etc.
    Manejo de sesiones
    Http no es orientado a la conexin
    Tokens de sesin, campos de formulario ocultos, etc.
    Timeout.
    Control de accesos
    Decidir si el usuario esta autorizado para usar un recurso
    El mecanismo es tan fuerte como el ms dbil de sus
    componentes

    Gestionar los datos ingresados por el usuario


    Variedad de datos: Nombres, edades, fechas, etc.
    Tipo
    Longitud
    Expresiones regulares
    Listas negras
    Listas blancas

    Gestionar los ataques (medidas defensivas y ofensivas)


    Igual ocurrirn errores -> anticiparlos:
    Manejar errores
    Try-catch, errores genricos
    Mantener logs de auditora
    Para entender que pas (requerimientos de seguridad / diseo)
    Alertas a los administradores
    Para tomar una accin inmediata y no esperar a revisar los logs
    Reaccionar a los ataques
    Terminar la sesin, bloquear al usuario, etc.

    Requerimientos de seguridad en
    Aplicaciones Web (OWASP ASVS)
    Application Security Verification Standard

    ASVS puede ser utilizado para establecer un nivel de confianza en


    la seguridad de aplicaciones web

    Beneficios de implementar seguridad en aplicaciones?

    Reduce costos de desarrollo, recuperacin ante incidentes y


    parches.
    Reduce costo de testeo de seguridad de terceros.

    Validar longitud, tipo, etc:


    import java.util.regex.Pattern;
    import java.util.regex.Matcher;
    String code= request.getParameter(code);
    String codevalid="";
    Pattern pat = Pattern.compile("[0-9]{1,2}");
    Matcher mat = pat.matcher(code);
    if (mat.matches()) {
    codevalid=code;
    } else {
    codevalid="";
    //response.sendRedirect("office2.jsp");
    }

    SQLi
    Usar sentencias SQL precompiladas:
    PreparedStatement pstmt = con.prepareStatement("update
    empleado set sueldo = ? where id_empleado = ?");
    pstmt.setDouble(1, 153833.00);
    pstmt.setInt(2, 110592);

    Codificar datos de salida:


    XSS
    Antes: <script>alert(1)</script>
    Despus: &lt;script&gt;alert&#x28;1&#x29;&lt;&#x2f;script&gt;

    Spring
    Jasypt

    Java
    Pattern
    Commons
    Validator
    Cryptix

    JCE

    xml-enc

    ACEGI

    Struts

    Write Custom
    Code
    Java URL
    Encoder
    Log4j
    JAAS

    Stinger

    BouncyCastle
    Reform

    xml-dsig

    Anti-XSS
    HDIV

    Many
    More

    Java Logging

    Standard
    Control

    NO Intuitivo, Integrado o Amigable (para el desarrollador).

    Segn las buenas prcticas en el desarrollo seguro de


    aplicaciones, se recomienda el uso de libreras APIs como
    ESAPI (Enterprise Security API - OWASP) la cual implementa una
    biblioteca de controles que facilita a los programadores a escribir
    aplicaciones web de menor riesgo.
    Las bibliotecas ESAPI estn diseadas para facilitar a los
    programadores, adaptar la seguridad en las aplicaciones web
    existentes.

    Actualmente la versin para Java EE se encuentra en la versin


    2.1.0 de Setiembre de 2013.
    Referencias:
    https://www.owasp.org/index.php/Esapi#tab=Java_EE
    https://code.google.com/p/owasp-esapi-java/

    Implementacin de Controles

    Implementacin de Controles

    Validate:
    getValidDate()
    getValidCreditCard()
    getValidSafeHTML()
    getValidInput()
    getValidNumber()
    getValidFileName()
    getValidRedirect()

    Validation
    Engine

    safeReadLine()

    User

    Controller

    Business
    Functions

    Data Layer

    Backend

    Presentation
    Layer

    Validate:

    Validation
    Engine

    getValidDate()
    getValidCreditCard()
    getValidInput()
    getValidNumber()

    getValidInput
    java.lang.String getValidInput(java.lang.String context,
    java.lang.String input,
    java.lang.String type,
    int maxLength,
    boolean allowNull)
    throws ValidationException,
    IntrusionException
    Returns canonicalized and validated input as a String. Invalid input
    will generate a descriptive ValidationException, and input that is
    clearly an attack will generate a descriptive IntrusionException.

    Parameters:
    context - A descriptive name of the parameter that you are
    validating (e.g., LoginPage_UsernameField). This value is used by
    any logging or error handling that is done with respect to the value
    passed in.
    input - The actual user input data to validate.
    type - The regular expression name that maps to the actual regular
    expression from "ESAPI.properties".
    maxLength - The maximum post-canonicalized String length
    allowed.
    allowNull - If allowNull is true then an input that is NULL or an
    empty string will be legal. If allowNull is false then NULL or an
    empty String will throw a ValidationException.
    Returns:
    The canonicalized user input.

    Validator:
    Para validar los datos de entrada ingresados por el usuario:
    String validatedFirstName =
    ESAPI.validator().getValidInput("FirstName",
    myForm.getFirstName(), "FirstNameRegex", 255, false);
    String cleanComment =
    ESAPI.validator().getValidInput("comment",
    request.getParameter("comment"), "CommentRegex", 300, false);

    validation rules in the .esapi\validation.properties file

    Decoding

    Codecs:

    Engine

    HTML Entity Codec


    Percent Codec
    JavaScript Codec
    VBScript Codec

    Validation

    CSS Codec

    Engine

    User

    Controller

    Business
    Functions

    Data Layer

    Backend

    Presentatio
    nLayer
    Encode:

    Encode:

    encodeForHTML()
    encodeForHTMLAttribute(
    )
    encodeForJavaScript()
    encodeForCSS()
    encodeForURL()

    Encoding
    Encoding
    Engine

    Engine

    encodeForSQL()
    encodeForLDAP()
    encodeForXML()
    encodeForXPath()
    encodeForOS()

    encodeForHTML
    java.lang.String encodeForHTML(java.lang.String input)
    Encode data for use in HTML using HTML entity encoding
    Note that the following characters: 00-08, 0B-0C, 0E-1F, and 7F-9F
    cannot be used in HTML.
    Parameters:
    input - the text to encode for HTML
    Returns:
    input encoded for HTML

    Encoder:
    Para codificar los datos de salida:
    String safeOutput =
    ESAPI.encoder().encodeForHTML( cleanComment );

    User

    Controller

    Business
    Functions

    Data Layer

    Backend

    Presentation
    Layer

    ESAPI

    Quota
    Exceeded
    Authen
    tication
    Users

    Loggin
    g
    Log Intrusion
    Event

    Intrusio
    n
    Detecti
    on

    Logout User, Lock Account

    Tailorable
    Quotas

    EnterpriseSecurityException is the base class for all security


    related exceptions.
    All EnterpriseSecurityExceptions have two messages, one for the
    user and one for the log file.
    Method Summary
    getLogMessage()
    Returns a message that is safe to display in logs, but
    probably not to users
    getUserMessage()
    Returns message meant for display to users Note that if you
    are unsure of what set this message, it would probably be a good
    idea to encode this message before displaying it to the end user.
    Codificar tambin los datos enviados a los logs!

    User

    Controller

    Business
    Functions

    Backend

    Data Layer

    PresentationLa
    yer

    Crypto:

    Encryptor

    encrypt() / decrypt()
    hash()
    seal() / unseal()
    sign()
    verifySeal()
    verifySignature()

    encrypt
    CipherText encrypt(PlainText plaintext)
    throws EncryptionException
    Encrypts the provided plaintext bytes using the cipher
    transformation specified by the property
    Encryptor.CipherTransformation and the master encryption key as
    specified by the property Encryptor.MasterKey as defined in the
    ESAPI.properties file.
    This method is preferred over encrypt(String) because it also
    allows encrypting of general byte streams rather than simply
    strings and also because it returns a CipherText object and thus
    supports cipher modes that require an Initialization Vector (IV),
    such as Cipher Block Chaining (CBC).

    Parameters:
    plaintext - The PlainText to be encrypted.
    Returns:
    the CipherText object from which the raw ciphertext, the IV, the
    cipher transformation, and many other aspects about the
    encryption detail may be extracted.

    También podría gustarte