OWASP

TOP 10

Manticore labs

Bienvenidos!

Vulnerabilidades en la Web

2018

MSc. Adrián Égüez

Definición

OWASP

Open Web Application Security Project

Fuente: https://www.owasp.org/

Manticore labs

MSc. Adrián Égüez

Desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar

Comunidad

Open Source

Definición

OWASP

Open Web Application Security Project

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Presentaciones

Herramientas Estándares

Libros seguridad, revisión y desarrollo de aplicaciones

Videos

CheatSheets

Bibliotecas de Seguridad

Investigaciones

Conferencias

Listas de correo

Manticore labs

2013 al 2017

OWASP

¿Qué ha cambiado?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Nodejs 

Angular React

Microservicios
(confianza, contenedores, secretos)

Legacy Code

SPA

PWA

API

Manticore labs

2013 al 2017

OWASP

Riesgos

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

A8:2017 – Deserialización Insegura,

A4:2017 – Entidades Externas XML (XXE) 

A10:2017 – Registro y Monitoreo Insuficientes,

Manticore labs

2013 al 2017

OWASP

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Manticore labs

RISK - Riesgo en la seguridad de las aplicaciones

OWASP

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

¿Merecen atención?

Manticore labs

RISK - Riesgo en la seguridad de las aplicaciones

OWASP

¿Cuales?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Fáciles

Sin consecuencias

Dificiles

Quiebra

Manticore labs

RISK - Riesgo en la seguridad de las aplicaciones

OWASP

Riesgo

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Manticore labs

OWASP top 10

OWASP

TOP 10

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Identificar riesgos mas críticos organizaciones

En resumen (aplicarlo a su negocio)

Información sobre la probabilidad

Cada organización es única 

Información sobre el impacto técnico

Manticore labs

OWASP top 10

OWASP

TOP 10

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

A1: Inyección

A2: Perdida autenticación

A3: Exposición de datos sensibles

SQL, NoSQL LDAP

Sesiones mal implementadas

Hash / Crypto

Manticore labs

OWASP top 10

OWASP

TOP 10

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

A4: Entidades Externas XML (XXE)

A5: Pérdida de Control de Acceso

A6: Configuración de Seguridad Incorrecta

Subir y Ejecutar código 

UserAdmins

Innecesarias caracteristicas

Manticore labs

OWASP top 10

OWASP

TOP 10

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

A7: Secuencia de Comandos en Sitios Cruzados XSS

A8: Deserialización Insegura

A9: Componentes con vulnerabilidades conocidas

Ejecutar JS en HTML

Código malicioso

Librerías

Manticore labs

OWASP top 10

OWASP

TOP 10

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

A10: Registro y Monitoreo Insuficientes

Tiempo de detección 200 días

Manticore labs

A1: Inyección

OWASP

Inyección

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Son comunes / Fáciles de encontrar 

Web service / Variables de Entorno / Parámetros

Divulgación / Perdida / Corrupcioón / Denegación de acceso

E

P

D

T

Manticore labs

A1: Inyección

OWASP

Dónde

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Consultas SQL / NoSQL / LDAP / XPath / Comando S.O. / encabezados SMPT / ORM

No validar filtrar datos / Consultas dinámicas / 

Mal uso ORM / 

E

P

D

T

Manticore labs

A1: Inyección

OWASP

Herramientas de análisis

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

SAST

DAST

E

P

D

T

Manticore labs

A1: Inyección

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

E

P

D

T

 Separar los datos de los comandos y las consultas

ORM

Escape caracteres especiales

Utilice LIMIT

Manticore labs

A2: Pérdida de autenticación

OWASP

Autenticación

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Son comunes / Medios manuales

Listas de Hash o Usuario y Password conocidos

Una cuenta de administrador es lo único necesario

E

P

D

T

Manticore labs

A2: Pérdida de autenticación

OWASP

¿Es vulnerable?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Ataques de fuerza bruta

Listas credenciales conocidas

Procesos inefectivos recuperar contraseña

E

P

D

T

Multi factor / Texto plano

Manticore labs

A2: Pérdida de autenticación

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Uso de listas de contraseñas conocidas

Relleno automático de credenciales

E

P

D

T

 Tiempos de vida de las sesiones

Manticore labs

A2: Pérdida de autenticación

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Prevención contraseñas debiles

Multi Factor / No credenciales por defecto

E

P

D

T

 Tiempos de vida de las sesiones

Manticore labs

A3: Exposición de Datos Sensibles

OWASP

Datos Sensibles

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Mayor impacto / Explotabilidad variable

Man in the Middle / Ataque manual

Información personal sensible / Tarjetas de Crédito

E

P

D

T

Manticore labs

A3: Exposición de Datos Sensibles

OWASP

Necesidad de protección

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Algoritmos obsoletos, MD5, SHA1

Datos en Transito y en Almacenamiento

Rotación y gestión de claves criptográficas

E

P

D

T

¿Cifrado?

Manticore labs

A3: Exposición de Datos Sensibles

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

No usar o forzar el uso de TLS / Cifradores débiles

Descifrado automático

Rotación y gestión de claves criptográficas

E

P

D

T

Encabezados web

Manticore labs

A3: Exposición de Datos Sensibles

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Definir controles para cada clasificación

Clasificar los datos procesados

No almacenar datos sensibles innecesarios / Tokenización

E

P

D

T

Cifrar / Deshabilitar el cache

Manticore labs

A4: Entidades Externas XML (XXE)

OWASP

Entidades Externas XML

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Permite especificación de una entidad externa URI Referencia y Evalúa

Explotar procesadores XML

Herramientas SAST DAST pasos manuales / Capacitar a los testers (2017)

E

P

D

T

Extracción información / Ejecución / Escanning

Manticore labs

A4: Entidades Externas XML (XXE)

OWASP

Necesidad de Protección

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Acepta XML / Carga XML / Inserta datos en un XML / Procesador

Preprocesadores SOAP / Prevention Cheatseet

E

P

D

T

SAML - XML / SSO

SOAP < 1.2 / Billion Laughs

Manticore labs

A4: Entidades Externas XML (XXE)

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Dependencias anidadas

Extraer datos del servidor

E

P

D

T

Escanear la red privada del servidor

Archivo infinito / DoS

Manticore labs

A4: Entidades Externas XML (XXE)

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Datos menos complejos (JSON) / Evitar serialización Datos confidenciales 

Actualizar bibliotecas y procesadores / SOAP > 1.2

E

P

D

T

Deshabilitar entidades externas

Whitelists / Filtrado / Sanitización

Manticore labs

A5: Perdida de Control de Acceso

OWASP

Perdida de Control

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Detectabilidad manual o automática

Común por la falta de detección automática o pruebas funcionales

E

P

D

T

Actuar cómo administradores, usuarios u otros

Manticore labs

A5: Perdida de Control de Acceso

OWASP

¿Es Vulnerable?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Usuarios con sus permisos

Modificación de URL con herramientas de ataque o conexión a API's

E

P

D

T

Cambiar el FK y obtener permisos elevados

Reproducir JWT / Acceder CORS POST PUT DELETE

Manticore labs

A5: Perdida de Control de Acceso

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Datos no validados sentencia SQL

Acceder a API's y obtener información de otras cuentas

E

P

D

T

Acceder a URLs sin tener privilegios 

Manticore labs

A5: Perdida de Control de Acceso

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Si no es público, denegar el acceso / CORS

Implementar mecanismos de acceso y control y reutilizarlo

E

P

D

T

Invalidar JWT cuando finalice la sesión.

Manticore labs

A6: Configuración de Seguridad Incorrecta

OWASP

Seguridad Incorrecta

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Acceder a vulnerabilidades no parcheadas / Cuentas por defecto / Conocer el negocio

Escaneres detectan en diferentes stacks tecnológicos configuraciones incorrectas

E

P

D

T

Acceso a algunos datos, funciones o servicios 

Manticore labs

A6: Configuración de Seguridad Incorrecta

OWASP

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Falta de Hardening / Permisos mal configurados

Habilitar características innecesarias

E

P

D

T

Cuentas por defecto y passwords predeterminadas

Mensajes demasiado informativos

¿Es vulnerable?

Manticore labs

A6: Configuración de Seguridad Incorrecta

OWASP

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Ejemplos no eliminados de servidores con vulnerabilidades de seguridad conocidas

E

P

D

T

Listado de directorios permite obtener archivos, descompilarlos y hacer reingeniería inversa

Escenarios

Manticore labs

A6: Configuración de Seguridad Incorrecta

OWASP

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Procesos seguros de instalación

E

P

D

T

Plataformas minimalistas y eliminación de funcionalidades no utilizadas

Entornos de seguridad iguales en QA Producción

Prevención

Manticore labs

A7: Cross Site Scripting XSS

OWASP

XSS

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Herramientas automatizadas y KITs de explotación gratuitos

Se encuentra en 2/3 de las aplicaciones JSP J2EE PHP ASP

E

P

D

T

XSS Reflejado / DOM / Almacenado

Robar Credenciales / Sesiones / Instalación de software

Manticore labs

A7: Cross Site Scripting XSS

OWASP

XSS

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Herramientas automatizadas y KITs de explotación gratuitos

Se encuentra en 2/3 de las aplicaciones JSP J2EE PHP ASP

E

P

D

T

XSS Reflejado / DOM / Almacenado

Robar Credenciales / Sesiones / Instalación de software

Manticore labs

A7: Cross Site Scripting XSS

OWASP

Es vulnerable

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Reflejado app utiliza datos sin válidar transforman JS o HTML

E

P

D

T

Contenido dinámico controlable por el atacante

Almacenado app almacena datos proporcionados por el usuario

Manticore labs

A7: Cross Site Scripting XSS

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Datos no confiables en la construcción de HTML

E

P

D

T

Enviar sesiones a otros servidores / Keyloggers

Apropiación de la cuenta / Evasión autenticación factor múltiple / troyanos

Manticore labs

A7: Cross Site Scripting XSS

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Frameworks seguros

E

P

D

T

Manticore labs

A8: Deserialización Insegura

OWASP

Deserialización

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Explotabilidad es difícil porque no siempre funcionan sin cambios al código fuente

Está en el TOP 10 por una encuesta / Descubre con ayuda manual

E

P

D

T

Ejecución remota de código

Manticore labs

A8: Deserialización Insegura

OWASP

¿Es vulnerable?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Deserializar objetos de un atacante

Cambiar comportamiento de una aplicación con código remoto

E

P

D

T

Modifica estructuras de datos

RPC / IPC / Web Services / Brokers de Mensajes / Caching / Persistencia

Manticore labs

A8: Deserialización Insegura

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Serializar estado del usuario y pasarlos en ambos sentidos

Super cookie con ID ROL etc.

E

P

D

T

Manticore labs

A8: Deserialización Insegura

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

NO ACEPTAR OBJETOS SERIALIZADOS

Firmas digitales

E

P

D

T

Cumplimiento estricto de verificación de tipo de dato

Registrar excepciones de serialización

Manticore labs

A9: Uso de componentes con vulnerabilidades conocidas

OWASP

Vulnerabilidades Conocidas

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Sencillo exploits conocidos, otros requieren esfuerzo considerable

Muy difundidos, puede usar analizadores como retire.js

E

P

D

T

Depende de la vulnerabilidad

Manticore labs

A9: Uso de componentes con vulnerabilidades conocidas

OWASP

¿Es vulnerable?

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Desconocimiento de los componentes que se utiliza

Software sin soporte o desactualizado / Sin parches o actualizaciones / Aplicación parches mensual trimestral

E

P

D

T

Falta de análisis de componentes ni de boletines de seguridad

Manticore labs

A9: Uso de componentes con vulnerabilidades conocidas

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Mismos privilegios que la aplicación, fallas en impactos serios

EJ: Struts

E

P

D

T

Dispositivos IoT difíciles de actualizar

Manticore labs

A9: Uso de componentes con vulnerabilidades conocidas

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Eliminación archivos innecesarios

Inventario de versiones de componentes Dependency Check

E

P

D

T

Monitorear fuentes de vulnerabilidades / Componentes de orígenes oficiales

Manticore labs

A10: Registro y Monitoreo Insuficientes

OWASP

Monitoreo

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Es la base de casi todos los grandes incidentes 

Atacantes dependen de esto

E

P

D

T

Registrar lo suficiente / Exploración de vulnerabilidades

Examinar los registros después de pruebas de penetración

Manticore labs

A10: Registro y Monitoreo Insuficientes

OWASP

Monitoreo

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Inicios de sesión / Fallos de sesión / Transacciones de alto valor

Registros poco claros / Inadecuados / En absoluto

E

P

D

T

No generar alertas con herramientas de Hackeo

APIs no monitoreadas

Manticore labs

A10: Registro y Monitoreo Insuficientes

OWASP

Escenarios

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Pequeñas brechas pueden llevar a grandes brechas por falta de monitoreo y alertas

Escanear usuarios por contraseñas por defecto

E

P

D

T

Detección de malware no monitoreado

Manticore labs

A10: Registro y Monitoreo Insuficientes

OWASP

Prevención

Fuente: https://www.owasp.org/

MSc. Adrián Égüez

Registrar eventos importantes

Alertar transacciones de alto impacto

E

P

D

T

Trazas de Auditoría en transacciones de alto valor

Gestión de Monitoreo y Alerta Efectivos / Respuesta o Plan de Recuperación de Incidentes

Manticore labs

Créditos

OWASP

  • Capacitaciones
  • Consultorias
  • Desarrollo Web
  • Desarrollo Móvil
  • Marketing Digital

MSc. Adrián Égüez

Manticore labs

Owasp top 10 Greenetics Manticore 2018

By Adrian Eguez

Owasp top 10 Greenetics Manticore 2018

Vulnerabilidades en la Web

  • 1,318