Publicado el 18 de Junio del 2017
1.097 visualizaciones desde el 18 de Junio del 2017
4,1 MB
38 paginas
Creado hace 17a (01/04/2008)
Restricción y evidencia en la Web 2.0
Miguel Suárez / Alfredo Reino
Symantec Iberia
Modelo de Negocio de Hoy
Web 2.0
Symantec 2008
2
Modelo de Negocio del Cybercrimen
Web 2.0
Symantec 2008
3
Los escenarios Ruso y Chino
Web 2.0
Symantec 2008
4
Informe de Amenazas en Internet
Incremento de la profesionalización y comercialización de los
atacantes.
Ejemplo: Uso de toolkits para phishing toolkits y MPack
Web 2.0
Symantec 2008
5
Informe de Amenazas en Internet
Los atacantes intentan comprometer entidades confiables como
Web sites conocidos para atacar indirectamente
Este período acaba con menos bots activos lo que indica que los
ataques tradicionales parecen ser menos efectivos que antes
Web 2.0
Symantec 2008
6
Los incidentes de seguridad modernos
• En el pasado cercano (y todavía en el presente), los incidentes de
seguridad son visibles. Incluso sin mecanismos de detección
– Virus
– Bromas
– Troyanos
– Gusanos (Flash-worms, Warhol-worms)
Web 2.0
Symantec 2008
7
Los incidentes de seguridad modernos
• Actualmente, la tendencia ha cambiado debido a:
– Aumento en complejidad de la tecnología
– Mayor número de “canales” de distribución/propagación
• Email, Web 2.0 / AJAX, Blogs, Twitter, Social Networks, SOAP, RSS, etc.
– Cambios en la motivación de los atacantes
Notoriedad y Fama
Afán de Conocimiento
Retos Personales / Grupo
Web 2.0
Symantec 2008
8
€
Evolución de la Web
Static HTML,
CGI
JavaScript,
Active Server
Pages
Flash,
Google,
MySpace
AJAX (’01),
Gmail (’04)
Princ. 90s
Mitad 90s
Final 90s
Princ. 2k
Evolución, Estandarización, Popularización de Tecnologías
WEB 2.0
• Totalmente interactiva
• Contenido generado por el propio usuario (blogs, wikis, etc.)
• Networking “Social”
• Plug-ins, extensiones, BHOs
• Aplicaciones online/offline en el cliente (Google desktop)
Web 2.0
Symantec 2008
9
Web 2.0
de manera colectiva
forman la próxima
generación de Internet – un
“Web 2.0 es un conjunto de
tendencias económicas,
sociales y tecnológicas que
medio distintivo, más
maduro y caracterizado por
una total participación del
usuario, más abierto y con
mucho impacto en la red.”
Fuente: O’Reilly
Web 2.0
Symantec 2008
10
Arquitectura web 2.0
Cliente
Presentación: HTML & CSS
Java script
Objetos XHR
Servidor
Base de datos
Recursos de aplicación
Servidor de aplicación
Transporte HTTP
Servidor web
XML/HTML
Web 2.0
Symantec 2008
11
Infraestructura
Cliente
Servidor
Web
Servidor de
aplicaciones
BBDD
Sonda
Sonda
Web 2.0
Symantec 2008
12
Vulnerabilidades
Código de APIs
Control de acceso: autorización y autenticación
Protocolos y algoritmos criptográficos
Validación de datos de entrada
Log y auditoría de la actividad
Sincronización de tiempos
Software base de soporte
•
•
•
•
•
•
•
• Gestión de errores
• Gestión de sesiones
Web 2.0
Symantec 2008
13
Vulnerabilidades
ASP.NET Misconfiguration: Creating Debug Binary
ASP.NET Misconfiguration: Missing Custom Error Handling
ASP.NET Misconfiguration: Password in Configuration File
Access control enforced by presentation layer
Accidental leaking of sensitive information through data queries
Accidental leaking of sensitive information through error messages
Accidental leaking of sensitive information through sent data
Addition of data-structure sentinel
Algorithmic Complexity
Allowing External Setting Manipulation
Allowing password aging
Alternate Channel Race Condition
Alternate Encoding
Assigning instead of comparing
Authentication Bypass by Alternate Path/Channel
Authentication Bypass by Primary Weakness
Authentication Bypass via Assumed-Immutable Data
Authentication Error
Authentication Logic Error
Authentication bypass by alternate name
Authentication bypass by spoofing
Behavioral Change
Behavioral Discrepancy Infoleak
Behavioral problems
Buffer Overflow
Buffer over-read
Buffer overflow
Buffer under-read
Buffer underwrite
Bundling Issues
Byte/Object Code
CRLF Injection
Capture-replay
Case Sensitivity (lowercase, uppercase, mixed case)
Catch NullPointerException
Channel and Path Errors
Cleansing, Canonicalization, and Comparison Errors
Code Correctness: Call to System.gc()
Code Correctness: Call to Thread.run()
Code Correctness: Class Does Not Implement Cloneable
Code Correctness: Double-Checked Locking
Code Correctness: Erroneous String Compare
Code Correctness: Erroneous finalize() Method
Code Correctness: Misspelled Method Name
Code Correctness: null Argument to equals()
Collapse of Data into Unsafe Value
Common Special Element Manipulations
Comparing classes by name
Comparing instead of assigning
Comprehensive list of Threats to Authentication Procedures and Data
Context Switching Race Condition
Covert timing channel
Web 2.0
Symantec 2008
14
Ataques
Absolute Path Traversal
Account lockout attack
Alternate XSS Syntax
Argument Injection or Modification
Asymmetric resource consumption (amplification)Blind SQL Injection
Blind XPath Injection
Brute force attack
Buffer overflow attack
CSRF
Cache Poisoning
Code Injection
Command Injection
Comment Element
Cross Site Tracing
Cross-Site Request Forgery
Cross-User Defacement
Cross-site-scripting
Cryptanalysis
Custom Special Character Injection
Direct Dynamic Code Evaluation ('Eval Injection')
Direct Static Code Injection
Double Encoding
Forced browsing
Format string attack
Full Path Disclosure
HTTP Request Smuggling
HTTP Response Splitting
Integer Overflows/Underflows
LDAP injection
Man-in-the-middle attack
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Man-in-the-middle attack
Mobile code: invoking untrusted mobile code
Mobile code: non-final public field
Mobile code: object hijack
Network Eavesdropping
One-Click Attack
Overflow Binary Resource File
Parameter Delimiter
Path Manipulation
Path Traversal
Phishing
Relative Path Traversal
Repudiation Attack
Resource Injection
Reviewing code for XSS issues
SQL Injection
Server-Side Includes (SSI) Injection
Session fixation
Session hijacking attack
Setting Manipulation
Special Element Injection
Spyware
Traffic flood
Trojan Horse
Unicode Encoding
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
• Web Parameter Tampering
XPATH Injection
XSRF
XSS in error pages
XSS using Script Via Encoded URI Schemes
XSS using Script in Attributes
•
•
•
•
•
Web 2.0
Symantec 2008
15
Ataques
Cross--site scripting
site scripting
Cross
•
•
•
Ejecución de código JavaScript malicioso en el navegador del usuario
Se propaga mediante su inclusión en mensajes de correo electrónico o
en servidores web (por ejemplo en blogs)
Para el envío remoto de información utilizan
–
<img src=”http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search”>
Embedded HTML Tags
–
–
JavaScript y Document Object Model
img[0].src = http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search;
XmlHttpRequest
var req = new XMLHttpRequest();
req.open('GET', ' http://www.google.com/search?hl=en&q=symantec+security&btnG=Google+Search', true);
req.onreadystatechange = function () {
if (req.readyState == 4) {
alert(req.responseText);
}
};
req.send(null);
Web 2.0
Symantec 2008
16
Ataques
Inyeccióónn de de ccóódigodigo
Inyecci
•
•
El objetivo es la infraestructura de servidor
Busca normalmente el acceso indebido o la denegación del servicio
–
– Modificación de argumentos
–
XPATH injection
XML Poisoning
Interceptacióónn
Interceptaci
•
•
Interceptación de tráfico sensible
Redirección de sesiones
–
– Man in the middle
Sniffing
–
Web 2.0
Symantec 2008
17
Ataques
Cliente
Presentación: HTML & CSS
Java script
Objetos XHR
Transporte HTTP
Inyeccióónn
Inyecci
Servidor
Base de datos
Recursos de aplicación
Servidor de aplicación
Servidor web
Servidor de
aplicaciones
Web
XSSXSS
Sonda
BBDD
XSSXSS
Interceptacióónn
Interceptaci
Sonda
Web 2.0
Symantec 2008
18
Restricción. Contramedidas
preventivas
• Mejora de la Seguridad de los Clientes Web
– Mayor calidad
– Mejores y más eficientes mecanismos de seguridad
– Mayor control del usuario sobre conexiones
– Mejor control de acceso a terceros dominios
– Mayor visibilidad y control del usuario sobre conexiones en
background
Web 2.0
Symantec 2008
19
Restricción. Contramedidas
preventivas
• Mejora de la Seguridad de las Aplicaciones Web 2.0
– Mayor calidad del código y las prácticas de desarrollo
– Evitar la existencia de vulnerabilidades de:
Inyección de SQL
•
• Cross-Site Scripting (XSS)
• Vulnerabilidades de Formato de Cadenas
• Vulnerabilidades de Enumeración
– Autenticación y autorización
– Cifrado de información
Web 2.0
Symantec 2008
20
Restricción - Contramedidas
detectivas
• Detección de actividad anómala en el cliente
– Sistemas Ant-Fraude, Anti-Phishing
– Firewalls personales
– Host IDS en el cliente
• Detección de actividad anómala en la red
– Network IDS
• Detección de Actividad Anómala en la Aplicación
– Mecanismos de detección integrados en las aplicaciones
Web 2.0
Symantec 2008
21
La evidencia - El cliente
• “Histórico” del navegador web
– Sólo se registra la conexión inicial a una página, no las llamadas
realizadas por el código client-side (XMLHTTPRequest), por lo
que no es de demasiada utilidad.
• “Cookies” en el navegador web
– Evidencia de conexión a un “tercero” malicioso
Web 2.0
Symantec 2008
22
La evidencia - El cliente
• Logs de firewalls personales
– Dependiendo de la configuración, puede contener información
sobre cada una de las conexiones TCP y UDP realizadas por el
cliente.
• Logs de firewalls intermedios y perimetrales
– Información sobre conexiones TCP y UDP realizadas por el
cliente.
• Logs de proxies de salida
– Contiene evidencia de las conexiones r
Comentarios de: Restricción y evidencia Web 2.0 (0)
No hay comentarios