Baixar para ler offline
Carregado porMarcelo Fleury
Desenvolvimento seguro
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
Desenvolvimento seguro
- 1.
- 2. 2 Conceitos importantes O ProtocoloHTTP (RFC 2616, 2617, 2660) ● TCP/IP (RFC 793/791) ● Header X Payload ● Métodos: GET, POST, HEAD, PUT, DELETE, CONNECT, TRACE, OPTIONS ● Stateles X Stateful ● Keep-alive X Connection: Close
- 3. 3 Conceitos importantes O ProtocoloHTTP: Códigos de status ● 1xx - Códigos informativos. ● 2xx - Operações realizadas com sucesso. ● 3xx - Redirecionamento. ● 4xx - Requisições errôneas por parte do cliente. ● 5xx - Respostas errôneas por parte do servidor, diante de requisições aparentemente válidas.
- 4. 4 Conceitos importantes O ProtocoloHTTP: Requisição
- 5. 6 Conceitos importantes O ProtocoloHTTP ● IETF – RFCs... ● IANA – Status code ● SOAP(RFC 4227) x RESTful ● Client side X Server side
- 6. 7 Conceitos importantes Criptografia ● Simétrica ●Assimétrica ● Funções de hash ● SSL/TLS(RFC 6101/5246) -> HSTS(RFC 6797)! ● x.509 (RFC 5280)
- 7.
- 8. 9 Conceitos importantes Criptografia ● JCA/JCE/JSSE/BouncyCastle ● OpenSSL ● GnuPG
- 9. 10 Conceitos importantes Autenticação eautorização ● ACLs ● Whitelists ● Blacklists
- 10. 11 Conceitos importantes Modelos deacesso ● RBAC ● DAC ● MAC
- 11.
- 12. 13 Conceitos importantes Autenticações ● SGBD ●LDAP ● Kerberos
- 13. 14 Conceitos importantes Outras formasde autenticação e autorização ● OTP ● Duplo fator ● Biométrica ● OpenID ● Oauth ● SAML ● WS-Security
- 14. 15 Conceitos importantes Criando eaplicando patches ● Diff ● diff bug.java sem_bug.java > patch_bug.java ● Patch ● patch -p0 bug.java < patch_bug.java
- 15. 16 ● Blackhats XWhitehats ● Legislação (Lei 12737/2012) ● Comunidade e mercado Segurança Ofensiva
- 16. 17 XSS - Cross-SiteScripting ● Client side ● Server side ● Causa ● Consequência
- 17. 18 XSS - Cross-SiteScripting ● Refletido ● Residente ● DOM Based ● XST - Cross-Site Tracing ● XSHM - Cross-Site History Manipulation
- 18. 19 CSRF - Cross-SiteRequest Forgery ● Client side ● Server side ● Causa ● Consequência
- 19. 20 CSRF - Cross-SiteRequest Forgery ● Comum ● JSON/JSONP Hijacking ● ClickJacking ● StrokeJacking ● SOP - Same Origin Policy (XMLHttpRequest/CORS)
- 20. 21 Insecure Cookie Handling ●Client side ● Server side ● Causa ● Consequência
- 21. 22 SQLi – SqlInjection ● Server side ● Causa ● Consequência
- 22. 23 SQLi – SqlInjection ● Comum ● Union Inband ● Batched ● Blind ● Error Based
- 23. 24 LDAP Injection ● Serverside ● Causa ● Consequência
- 24. 25 • XPATH Injection •XDOS Segurança Ofensiva
- 25.
- 26. 27 Segurança Ofensiva ● Falhas deconfiguração
- 27. 28 • RFI –Remote File Inclusion • LFI - Local File Inclusion Segurança Ofensiva
- 28. 29 • RCE –Remote Code Execution • RCE – Remote Command Execution Segurança Ofensiva
- 29. 30 • Unrestricted FileUpload Segurança Ofensiva
- 30. 31 • Web Crawlers SegurançaOfensiva
- 31. 32 • Local FileDisclosure/Download Segurança Ofensiva
- 32. 33 • Session Fixation •Session Hijacking Segurança Ofensiva
- 33. 34 Segurança Ofensiva • Corrupção dememória ● Integer/Stack/Heap overflow ● Format Strings ● Race Condition ● Memory Leaks
- 34. 35 • HTML 5 •Brute Force • MITM - Man In The Middle • Shared Hosts Segurança Ofensiva
- 35. 36 Livro Covert Java(JavaSecreto) ● Descompilando classes ● Ofuscação e desenfuscação ● Reflexão ● JVM Internals ● Hooks ● Código nativo ● Muito mais...
- 36. 37 Segurança em Camadas ●MVC ● Segregação de função ● Privilegio mínimo sempre ● Execução mínima sempre ● Tenha em mente as perguntas corretas ● Sempre desconfie das respostas! "No one can guarantee 100% security. But we can work toward 100% risk acceptance." Bruce Schneier
- 37. 38 • Como debugar •Filtragem de dados • Tokens • Captchas • Hardening • Aplicações de segurança Segurança Defensiva
- 38. 39 Debugging ● O Hacker ●O desafio ● Abordagem linear X Insights exponenciais
- 39. 40 Debugging ● Firebug ● Logs,profiling jmx, print/exit ● Tcpdump/wireshark/valgrind ● Gdb/strace/ltrace ● /var/log/*
- 40. 41 Filtragem de dados Sanitizaçãode dados ● Por tipo ● Por tamanho ● Por range ● Realização de quotes escapes
- 41. 42 Filtragem de dados Sanitizaçãode dados... ● REGEX – Expressões regulares ● XSD – XML Schema ● Regras de negocio podem ajudar
- 42. 43 Filtragem de dados ●API Filter ● Trabalhando com exceptions ● extends Exception ● try/catch ● throw
- 43. 44 Filtragem de dados ●Você deve se preocupar com ● Entrada de dados ● Saída de dados
- 44. 45 Filtragem de dados Trabalhandocom diretórios ● Proteja-se de path traversal, RFI e LFI ● Utilize métodos para manuseio de diretórios/arquivos ● Utilize constantes que definem os diretórios absolutos da sua aplicação ● Utilize um método que retorne o separador de diretórios do SO(/ ou ) ● Um simples switch/case pode ajudar muito
- 45. 46 Filtragem de dados Executandocomandos ● Procure evitar, mas se for necessário então: ● Sanitize os dados de entrada, neste caso, regex pode ajudar muito. ● Utilize metodos para em uma string: – Escapar qualquer tentativa de injeção de comando: “;” “&&”... – Escapar qualquer tentativa de injeção de argumentos
- 46. 47 Cuidado especial comSGBDs ● Desconfie de métodos de escape baseados em encoding padrão e que não estão nativos no banco de dados ● Sanitize os dados ● Utilize sempre prepared statements Filtragem de dados
- 47. 48 Tokens ● Identificação deusuários e/ou recursos ● Formulários ● Downloads de arquivos
- 48. 49 Captchas ● O objetivo ●Imagens ● Sons
- 49. 50 Hardening ● Evitar problemasde configuração e fortificar as mesmas ● Configurações do servidor de aplicação ● Configurações SGBD ● Configurações do sistema operacional ● Configurações da infraestrutura envolvida(firewalls...)
- 50. 51 Aplicações de segurança ●Firewalls ● NIDS ● HIDS ● WAF ● SIEM ● VPN ● DEBUGS TOOLS
- 51. 52 Manter-se atualizado ● Checagemperiódica de integridade ● Politicas e metodologias ● Manter-se atualizado
- 52. 53 Checagem periódica deintegridade ● Arquivos ● Repositórios com o GIT podem te ajudar ● Binários ● Integração continua com o Jenkins também ajuda ● Módulos do kernel ● Tripware/ossec/aide ● Chkrootkit/rkhunter
- 53. 54 Politicas e metodologias Segurançada informação em geral ● PCI-DSS ● ISO/IEC 2700* ● SOX ● Bacen 3380 ● NIST SP 800-115 ● ISSAF
- 54. 55 Politicas e metodologias Backups ●Estrategia ● Diário, Semanal, Mensal, Semestral, Anual... ● Mecanismo ● Full, diferencial, incremental ● Ferramentas FOSS ● Bacula, amanda, rsync, tar/gzip/bzip/ftp, shellscript
- 55. 56 Politicas e metodologias Senhas ●Os meios de autenticação ● Criptografia durante a autenticação e autorização – Certificação digital ● Escolha dos algorítimos criptográficos utilizados ● Politicas de acesso ● Qualidade das senhas ● OpenLDAP/PPOLICY
- 56. 57 Modelos para desenvolvimentode software seguro SDL Microsoft OpenSAMM
- 57. 58 Manter-se atualizado ● SOC/ CSIRT ● Pentests ● Softwares ● Honeypots ● Comunidades ● H2HC, OWASP, DEFCON/BLACKHAT, PHRACK ● Checklists