OWASP
TOP 10
Manticore labs
Bienvenidos!
Vulnerabilidades en la Web
2018
MSc. Adrián Égüez
Definición
OWASP
Open Web Application Security Project
Fuente: https://www.owasp.org/
Manticore labs
MSc. Adrián Égüez
Desarrollen, adquieran y mantengan aplicaciones y APIs en las que se pueda confiar
Comunidad
Open Source
Definición
OWASP
Open Web Application Security Project
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Presentaciones
Herramientas Estándares
Libros seguridad, revisión y desarrollo de aplicaciones
Videos
CheatSheets
Bibliotecas de Seguridad
Investigaciones
Conferencias
Listas de correo
Manticore labs
2013 al 2017
OWASP
¿Qué ha cambiado?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Nodejs
Angular React
Microservicios
(confianza, contenedores, secretos)
Legacy Code
SPA
PWA
API
Manticore labs
2013 al 2017
OWASP
Riesgos
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
A8:2017 – Deserialización Insegura,
A4:2017 – Entidades Externas XML (XXE)
A10:2017 – Registro y Monitoreo Insuficientes,
Manticore labs
2013 al 2017
OWASP
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Manticore labs
RISK - Riesgo en la seguridad de las aplicaciones
OWASP
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
¿Merecen atención?
Manticore labs
RISK - Riesgo en la seguridad de las aplicaciones
OWASP
¿Cuales?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Fáciles
Sin consecuencias
Dificiles
Quiebra
Manticore labs
RISK - Riesgo en la seguridad de las aplicaciones
OWASP
Riesgo
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Manticore labs
OWASP top 10
OWASP
TOP 10
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Identificar riesgos mas críticos organizaciones
En resumen (aplicarlo a su negocio)
Información sobre la probabilidad
Cada organización es única
Información sobre el impacto técnico
Manticore labs
OWASP top 10
OWASP
TOP 10
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
A1: Inyección
A2: Perdida autenticación
A3: Exposición de datos sensibles
SQL, NoSQL LDAP
Sesiones mal implementadas
Hash / Crypto
Manticore labs
OWASP top 10
OWASP
TOP 10
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
A4: Entidades Externas XML (XXE)
A5: Pérdida de Control de Acceso
A6: Configuración de Seguridad Incorrecta
Subir y Ejecutar código
UserAdmins
Innecesarias caracteristicas
Manticore labs
OWASP top 10
OWASP
TOP 10
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
A7: Secuencia de Comandos en Sitios Cruzados XSS
A8: Deserialización Insegura
A9: Componentes con vulnerabilidades conocidas
Ejecutar JS en HTML
Código malicioso
Librerías
Manticore labs
OWASP top 10
OWASP
TOP 10
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
A10: Registro y Monitoreo Insuficientes
Tiempo de detección 200 días
Manticore labs
A1: Inyección
OWASP
Inyección
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Son comunes / Fáciles de encontrar
Web service / Variables de Entorno / Parámetros
Divulgación / Perdida / Corrupcioón / Denegación de acceso
E
P
D
T
Manticore labs
A1: Inyección
OWASP
Dónde
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Consultas SQL / NoSQL / LDAP / XPath / Comando S.O. / encabezados SMPT / ORM
No validar filtrar datos / Consultas dinámicas /
Mal uso ORM /
E
P
D
T
Manticore labs
A1: Inyección
OWASP
Herramientas de análisis
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
SAST
DAST
E
P
D
T
Manticore labs
A1: Inyección
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
E
P
D
T
Separar los datos de los comandos y las consultas
ORM
Escape caracteres especiales
Utilice LIMIT
Manticore labs
A2: Pérdida de autenticación
OWASP
Autenticación
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Son comunes / Medios manuales
Listas de Hash o Usuario y Password conocidos
Una cuenta de administrador es lo único necesario
E
P
D
T
Manticore labs
A2: Pérdida de autenticación
OWASP
¿Es vulnerable?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Ataques de fuerza bruta
Listas credenciales conocidas
Procesos inefectivos recuperar contraseña
E
P
D
T
Multi factor / Texto plano
Manticore labs
A2: Pérdida de autenticación
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Uso de listas de contraseñas conocidas
Relleno automático de credenciales
Rotación / Contraseña único factor
E
P
D
T
Tiempos de vida de las sesiones
Manticore labs
A2: Pérdida de autenticación
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Prevención contraseñas debiles
Multi Factor / No credenciales por defecto
E
P
D
T
Tiempos de vida de las sesiones
Manticore labs
A3: Exposición de Datos Sensibles
OWASP
Datos Sensibles
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Mayor impacto / Explotabilidad variable
Man in the Middle / Ataque manual
Información personal sensible / Tarjetas de Crédito
E
P
D
T
Manticore labs
A3: Exposición de Datos Sensibles
OWASP
Necesidad de protección
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Algoritmos obsoletos, MD5, SHA1
Datos en Transito y en Almacenamiento
Rotación y gestión de claves criptográficas
E
P
D
T
¿Cifrado?
Manticore labs
A3: Exposición de Datos Sensibles
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
No usar o forzar el uso de TLS / Cifradores débiles
Descifrado automático
Rotación y gestión de claves criptográficas
E
P
D
T
Encabezados web
Manticore labs
A3: Exposición de Datos Sensibles
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Definir controles para cada clasificación
Clasificar los datos procesados
No almacenar datos sensibles innecesarios / Tokenización
E
P
D
T
Cifrar / Deshabilitar el cache
Manticore labs
A4: Entidades Externas XML (XXE)
OWASP
Entidades Externas XML
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Permite especificación de una entidad externa URI Referencia y Evalúa
Explotar procesadores XML
E
P
D
T
Extracción información / Ejecución / Escanning
Manticore labs
A4: Entidades Externas XML (XXE)
OWASP
Necesidad de Protección
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Acepta XML / Carga XML / Inserta datos en un XML / Procesador
Preprocesadores SOAP / Prevention Cheatseet
E
P
D
T
SAML - XML / SSO
SOAP < 1.2 / Billion Laughs
Manticore labs
A4: Entidades Externas XML (XXE)
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Dependencias anidadas
Extraer datos del servidor
E
P
D
T
Escanear la red privada del servidor
Archivo infinito / DoS
Manticore labs
A4: Entidades Externas XML (XXE)
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Datos menos complejos (JSON) / Evitar serialización Datos confidenciales
Actualizar bibliotecas y procesadores / SOAP > 1.2
E
P
D
T
Deshabilitar entidades externas
Whitelists / Filtrado / Sanitización
Manticore labs
A5: Perdida de Control de Acceso
OWASP
Perdida de Control
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Detectabilidad manual o automática
Común por la falta de detección automática o pruebas funcionales
E
P
D
T
Actuar cómo administradores, usuarios u otros
Manticore labs
A5: Perdida de Control de Acceso
OWASP
¿Es Vulnerable?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Usuarios con sus permisos
Modificación de URL con herramientas de ataque o conexión a API's
E
P
D
T
Cambiar el FK y obtener permisos elevados
Reproducir JWT / Acceder CORS POST PUT DELETE
Manticore labs
A5: Perdida de Control de Acceso
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Datos no validados sentencia SQL
Acceder a API's y obtener información de otras cuentas
E
P
D
T
Acceder a URLs sin tener privilegios
Manticore labs
A5: Perdida de Control de Acceso
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Si no es público, denegar el acceso / CORS
Implementar mecanismos de acceso y control y reutilizarlo
E
P
D
T
Invalidar JWT cuando finalice la sesión.
Manticore labs
A6: Configuración de Seguridad Incorrecta
OWASP
Seguridad Incorrecta
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Acceder a vulnerabilidades no parcheadas / Cuentas por defecto / Conocer el negocio
Escaneres detectan en diferentes stacks tecnológicos configuraciones incorrectas
E
P
D
T
Acceso a algunos datos, funciones o servicios
Manticore labs
A6: Configuración de Seguridad Incorrecta
OWASP
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Falta de Hardening / Permisos mal configurados
Habilitar características innecesarias
E
P
D
T
Cuentas por defecto y passwords predeterminadas
Mensajes demasiado informativos
¿Es vulnerable?
Manticore labs
A6: Configuración de Seguridad Incorrecta
OWASP
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Ejemplos no eliminados de servidores con vulnerabilidades de seguridad conocidas
E
P
D
T
Listado de directorios permite obtener archivos, descompilarlos y hacer reingeniería inversa
Escenarios
Manticore labs
A6: Configuración de Seguridad Incorrecta
OWASP
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Procesos seguros de instalación
E
P
D
T
Plataformas minimalistas y eliminación de funcionalidades no utilizadas
Entornos de seguridad iguales en QA Producción
Prevención
Manticore labs
A7: Cross Site Scripting XSS
OWASP
XSS
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Herramientas automatizadas y KITs de explotación gratuitos
Se encuentra en 2/3 de las aplicaciones JSP J2EE PHP ASP
E
P
D
T
XSS Reflejado / DOM / Almacenado
Robar Credenciales / Sesiones / Instalación de software
Manticore labs
A7: Cross Site Scripting XSS
OWASP
XSS
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Herramientas automatizadas y KITs de explotación gratuitos
Se encuentra en 2/3 de las aplicaciones JSP J2EE PHP ASP
E
P
D
T
XSS Reflejado / DOM / Almacenado
Robar Credenciales / Sesiones / Instalación de software
Manticore labs
A7: Cross Site Scripting XSS
OWASP
Es vulnerable
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Reflejado app utiliza datos sin válidar transforman JS o HTML
E
P
D
T
Contenido dinámico controlable por el atacante
Almacenado app almacena datos proporcionados por el usuario
Manticore labs
A7: Cross Site Scripting XSS
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Datos no confiables en la construcción de HTML
E
P
D
T
Enviar sesiones a otros servidores / Keyloggers
Apropiación de la cuenta / Evasión autenticación factor múltiple / troyanos
Manticore labs
A7: Cross Site Scripting XSS
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Frameworks seguros
E
P
D
T
Manticore labs
A8: Deserialización Insegura
OWASP
Deserialización
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Explotabilidad es difícil porque no siempre funcionan sin cambios al código fuente
Está en el TOP 10 por una encuesta / Descubre con ayuda manual
E
P
D
T
Ejecución remota de código
Manticore labs
A8: Deserialización Insegura
OWASP
¿Es vulnerable?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Deserializar objetos de un atacante
Cambiar comportamiento de una aplicación con código remoto
E
P
D
T
Modifica estructuras de datos
RPC / IPC / Web Services / Brokers de Mensajes / Caching / Persistencia
Manticore labs
A8: Deserialización Insegura
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Serializar estado del usuario y pasarlos en ambos sentidos
Super cookie con ID ROL etc.
E
P
D
T
Manticore labs
A8: Deserialización Insegura
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
NO ACEPTAR OBJETOS SERIALIZADOS
Firmas digitales
E
P
D
T
Cumplimiento estricto de verificación de tipo de dato
Registrar excepciones de serialización
Manticore labs
A9: Uso de componentes con vulnerabilidades conocidas
OWASP
Vulnerabilidades Conocidas
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Sencillo exploits conocidos, otros requieren esfuerzo considerable
Muy difundidos, puede usar analizadores como retire.js
E
P
D
T
Depende de la vulnerabilidad
Manticore labs
A9: Uso de componentes con vulnerabilidades conocidas
OWASP
¿Es vulnerable?
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Desconocimiento de los componentes que se utiliza
Software sin soporte o desactualizado / Sin parches o actualizaciones / Aplicación parches mensual trimestral
E
P
D
T
Falta de análisis de componentes ni de boletines de seguridad
Manticore labs
A9: Uso de componentes con vulnerabilidades conocidas
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Mismos privilegios que la aplicación, fallas en impactos serios
EJ: Struts
E
P
D
T
Dispositivos IoT difíciles de actualizar
Manticore labs
A9: Uso de componentes con vulnerabilidades conocidas
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Eliminación archivos innecesarios
Inventario de versiones de componentes Dependency Check
E
P
D
T
Monitorear fuentes de vulnerabilidades / Componentes de orígenes oficiales
Manticore labs
A10: Registro y Monitoreo Insuficientes
OWASP
Monitoreo
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Es la base de casi todos los grandes incidentes
Atacantes dependen de esto
E
P
D
T
Registrar lo suficiente / Exploración de vulnerabilidades
Examinar los registros después de pruebas de penetración
Manticore labs
A10: Registro y Monitoreo Insuficientes
OWASP
Monitoreo
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Inicios de sesión / Fallos de sesión / Transacciones de alto valor
Registros poco claros / Inadecuados / En absoluto
E
P
D
T
No generar alertas con herramientas de Hackeo
APIs no monitoreadas
Manticore labs
A10: Registro y Monitoreo Insuficientes
OWASP
Escenarios
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Pequeñas brechas pueden llevar a grandes brechas por falta de monitoreo y alertas
Escanear usuarios por contraseñas por defecto
E
P
D
T
Detección de malware no monitoreado
Manticore labs
A10: Registro y Monitoreo Insuficientes
OWASP
Prevención
Fuente: https://www.owasp.org/
MSc. Adrián Égüez
Registrar eventos importantes
Alertar transacciones de alto impacto
E
P
D
T
Trazas de Auditoría en transacciones de alto valor
Gestión de Monitoreo y Alerta Efectivos / Respuesta o Plan de Recuperación de Incidentes
Manticore labs
Créditos
OWASP
- Capacitaciones
- Consultorias
- Desarrollo Web
- Desarrollo Móvil
- Marketing Digital
MSc. Adrián Égüez
Manticore labs
