Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
-
Upload
clavis-seguranca-da-informacao -
Category
Technology
-
view
6.820 -
download
4
description
Transcript of Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Impacto sobre o Negócio da Exploração Impacto sobre o Negócio da Exploração de Vulnerabilidades de injeção em de Vulnerabilidades de injeção em
Aplicações WebAplicações Web
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
$ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de segurança
• Testes de invasão em redes, sistemas e aplicações.
Agenda
Injeções
•Descrição
•Impactos
• Como se Prevenir
Injeções
Descrição
Descrição
• Ocorre quando a aplicação envia dados não tratados para algum serviço interno.
• Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.
• O que “vai ser injetado” depende da tecnologia adotada no back end.
Descrição
•Descoberta através de varreduras identificando e manipulando vetores de entrada
•Tais vetores podem ser implícitos ou explícitos
Descrição
•Representa falta de aderência com boas práticas de programação.
•Ou seja, também pode ser detectado em processos de revisão/auditoria de código.
Injeções
Impactos
Impactos
• Dependendo do tipo de injeção os danos causados podem ser de vários tipos.
• A injeção serve como porta de entrada, falhas de configuração do sistema/serviço podem agravar o problema.
Impactos
Perda ou corrupção de dados
•Instruções a banco de dados para remoção ou alteração de dados.
•Remoção, alteração ou Substituição de arquivos no servidor.
Impactos
Negação de Serviço
•Remoção de Arquivos Críticos.
•Consultas altamente custosas.
•Loops infinitos arbitrários.
•Esgotamento de Recursos.
Impactos
Falhas de autenticação
•Manipulação de Campos Condicionais.
•Uso de usuários legítimos ou bypass.
Impactos
Execução arbitrária de código
•Integração do backend com o sistema operacional.
• Comprometimento Total do Sistema.
Injeções
Como se Previnir
Como se Prevenir
• Política de uso / desenvolvimento.
• Implantação de Firewall de Aplicação.
• Monitoramento de submissões do usuário.
Conclusões
• Injeções são falhas que podem impactar em muito mais do que a aplicação.
• Boas práticas em vários níveis podem conter os impactos.
• É preciso a cooperação entre desenvolvimento, processos e infraestrutura.
Siga a Clavis
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
Muito Obrigado!Muito Obrigado!