Testes de Segurança em Aplicações Web para
WebDesigners
Quem sou eu?
• Arthur Paixão• 5 Anos de experiência na área de segurança da informação.• Certificações:
EC-CSA (EcCouncil Certified Security Analyst) EC-CHFI (EcCouncil Computer Hacking Forensic Investigator)
• Diversos cursos de especialização na área:
INTEL, Fundação Bradesco, DragonJAR, Offensive Security, EC-Council
• Atualmente trabalho:Consultor de Segurança e Pentester: Equipe de Resposta a Tratamento de
Incidentes de Segurança (CSIRT)
Desenvolvedor: Java, Flex, PL-SQL, Oracle Forms (6i & 10g)
Páginas são adulterada todos os dias...
Páginas são adulterada todos os dias...
Onde há risco em segurança?
Infraestrutura
Usuários
Aplicações WEB
Porquê segurança de aplicações é prioridade?
Aplicações web são o foco número 1 dos hackers:• 75% dos ataques acontecem na camada da aplicação. (Gartner)
A maior parte das páginas web estão vulneráveis:• 90% dos sites são vulneráveis à ataques na aplicação.
(Watchfire)• 78% das vulnerabilidades facilmente exploráveis afetam
aplicações Web. (Symantec)• 80% das organizações irão experimentar um incidente em
segurança de aplicações até 2014. (Gartner)
Porquê segurança de aplicações é prioridade?
Aplicações web são alvos de alto valor para hackers:• Dados de clientes, cartão de crédito, roubo de identidade,
fraude, etc.• No Brasil 13% das empresas que sofreram ataques tiveram
prejuízos que ultrapassam R$ 1 Milhão. (Módulo)• Estudo realizado com 200 empresas brasileiras afirma que
67,5% sofreram algum tipo de ataque nos últimos 12 meses. (ISS)
• Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia.
Que tipo de prejuízo posso ter?
Vulnerabilidades de software podem ter um escopo muito maior do que o do próprio software.
• O software e sua informação associada.• O sistema operacional dos servidores associados.• A base de dados do backend.• Outras aplicações em um ambiente
compartilhado.• O sistema do usuário.• Outros softwares com os quais o
usuário interage.
Porque existem CMS’s?
Devido à Comodidade:• Desde a criação dos primeiros CMS, o
pensamento de ter um padrão de desenvolvimento e a comodidade de não ter de reescrever toda a base estrutural dos código agitou a web.
• Não há precisão quanto a números, porém é certo que os CMS já são utilizados por milhões de websites em todo o mundo, com repositórios espalhados pelos continentes e novos plugins sendo desenvolvidos diariamente.
Sim, mais e o KIKO??
E qual a semelhança entre eles?
JOOMLALinux Foundation
Nikon Instruments
Mitsubishi Venezuela
Olympus
Porsche
TNA Wrestling
Vodafone
Times Square
Yamaha
West Coast Paintball
WORDPRESSLive Messenger
Yahoo
Sony
Samsung
Mozilla Firefox
CNN
Flickr
Ebay
Globo.com
Ford
O Barato pode sair caro...
• De que vale ter um site muito barato se o site está sempre atacado ou fora do ar ?
• De que vale o site ser muito caro se as empresas não tem lucros com os sites ?
Então é tudo uma maravilha?
A falta de atualização das plataformas pode acarretar na perda de todo o trabalho que o usuário teve para a criação do conteúdo, além da perda das personalizações.
Quais são os CMS’s mais atacados?
Onde me informo sobre as vulnerabilidades?
http://www.wordpressexploit.com/
Onde me informo sobre as vulnerabilidades?
http://www.intelligentexploit.com/
Onde me informo sobre as vulnerabilidades?
http://packetstormsecurity.org/files/tags/exploit/
Muito cuidado com os plugins !!
• Apesar de muitos dos plugins serem seguros, principalmente aqueles que são hospedados nos repositórios oficiais das comunidades, é necessário tomar cuidado na utilização dos mesmos.
Ferramenta de Apoio[ Joomscan ]
Ferramenta de Apoio[ WPScann ]
Vamos trocar uma idéia!
• Os CMS abertos não são limitados?
• Os sites com CMS abertos são melhores do que com código próprio?
• Com os CMS abertos consegue-se uma grande produtividade?
Vamos trocar uma idéia!
• Só por ter um site feito em joomla, wordpress ou outro cms quer dizer que o site é mau ?
• Pode-se usar um CMS aberto e depois desenvolver o que o cliente precisar?
Sem lenga-lenga o segredo é um só!
• Mantenha seu CMS constantemente atualizado.• Esconda a versão utilizada no CMS.• Verifique a procedência dos plugins.• Mantenha se informado sobre novas falhas de
segurança.
Conclusão!
• Lembrando que CMS é uma comodidade ao usuário e desenvolvedores de plantão, porém não é uma garantida que somente por atualizar seu CMS você estará totalmente seguro, recomendamos sempre a utilização de um backups de seus arquivos importantes para uma eventual falha que possa acontecer, em outro lado manter o mesmo sempre atualizado não é tarefa tão difícil quanto parece, basta ficar sempre antenado a novas atualizações que possa aparecer em comunidade e sites oficiais, que você já estará fazendo 99% do esforço necessário para sua segurança.
Agradecimentos!
[email protected]/arthur.paixaotwitter.com.br/arthurpaixao