IBM Rational AppScan - Varredura de Segurança
Transcrição
IBM Rational AppScan - Varredura de Segurança
® IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web © 2007 IBM Corporation IBM Software Group | Rational software Verdades Alarmantes “Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions.” Jon Oltsik – Enterprise Strategy Group “Up to 21,000 loan clients may have had data exposed” Marcella Bombardieri, Globe Staff/August 24, 2006 “Personal information stolen from 2.2 million active-duty members of the military, the government said…” New York Times/June 7, 2006 “Hacker may have stolen personal identifiable information for 26,000 employees..” ComputerWorld, June 22, 2006 2 1 IBM Software Group | Rational software A verdade alarmante Estudo realizado com 200 empresas brasileiras afirma que 67,5% sofreram algum tipo de ataque nos últimos 12 meses (ISS) Principal problema de segurança: Usuários podem submeter dados de entrada arbitrários Principais sinais de problemas: Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão (Módulo) Imaturidade em segurança Desenvolvimento in-house Percepção de simplicidade Restrições de recursos e tempo Mau uso de tecnologias Justiça Federal do Pará condena 65 hackers “...os condenados acessavam de forma fraudulenta as contas-correntes e de poupança de outras pessoas. As quadrilhas deram prejuízo a instituições como Caixa Econômica Federal (CEF), Banco do Brasil, Banco Itaú e Banco do Estado de Goiás.” Redação Terra, 17 de julho de 2007 3 IBM Software Group | Rational software Alta Prioridade da Segurança de Aplicações Aplicações Web são o alvo número 1 dos hackers: 75% dos ataques no nível de aplicação (Gartner) XSS and SQL Injection são as vulnerabilidades número 1 e 2 (Mitre) A Maioria dos sites é vulnerável: 90% são vulneráveis a ataques na camada de aplicação (Watchfire) 78% percent of easily exploitable vulnerabilities affected Web applications (Symantec) 80% das organizações enfrentará incidentes de segurança até 2010 (Gartner) Aplicações Web tem alto valor para os hackers: Dados pessoais, financeiros, identidade, etc Governança se baseia em atendimento a padrões de conformidade Payment Card Industry (PCI) Standards, GLBA, HIPPA, ISO, SOX Políticas internas 4 2 IBM Software Group | Rational software Custo de Falhas na Segurança da Informação Imagem afetada: Má propaganda Perda de Dados Confidencias Condenações Judiciais Insucesso em Auditorias Indenizações Redução do Valor de Ações 5 IBM Software Group | Rational software Inserindo a Segurança no Cliclo de Vida Guiar a o desenvolvimento para garantir a segurança Developers Developers Garantir que as vulnerabilidades foram sanadas Developers Prover os testadores e desenvolvedores com habilidade de detectar e remediar falhas 6 3 IBM Software Group | Rational software Arquitetura de Uma Aplicação Web Típica Aplicação rodando aqui Dados sensíveis aqui Internet Internet Firewall Client Tier (Browser) SSL (Presentation) App Server (Business Logic) Database Data Tier Middle Tier 7 IBM Software Group | Rational software Defesas da Rede para as Aplicações Web Firewall Intrusion Detection System Intrusion Prevention System ! " Application Firewall # "$ 8 4 IBM Software Group | Rational software O mito: “Nosso site é seguro!” % +! % , - ) % & ' * . ( 9 IBM Software Group | Rational software A Realidade: os esforços estão desbalanceados < 5 1 ( 5 1 895 % * 675 ;95 4 :75 ! / 0 2 1 % * % * ! 3! 10 5 IBM Software Group | Rational software Onde estão as vulnerabilidades? '+* ( . - Client-Side Custom Web Services Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 11 IBM Software Group | Rational software OWASP e lista OWASP Top 10 Open Web Application Security Project – an open organization dedicated to fight insecure software “The OWASP Top Ten document represents a broad consensus about what the most critical web application security flaws are” We will use the Top 10 list to cover some of the most common security issues in web applications 12 6 IBM Software Group | Rational software The OWASP Top 10 list Application Threat Negative Impact Example Impact Cross Site scripting Identity Theft, Sensitive Information Leakage, … Hackers can impersonate legitimate users, and control their accounts. Injection Flaws Attacker can manipulate queries to the DB / LDAP / Other system Hackers can access backend database information, alter it or steal it. Malicious File Execution Execute shell commands on server, up to full control Site modified to transfer all interactions to the hacker. Insecure Direct Object Reference Attacker can access sensitive files and resources Web application returns contents of sensitive file (instead of harmless one) Cross-Site Request Forgery Attacker can invoke “blind” actions on web applications, impersonating as a trusted user Blind requests to bank account transfer money to hacker Information Leakage and Improper Error Handling Attackers can gain detailed system information Malicious system reconnaissance may assist in developing further attacks Broken Authentication & Session Management Session tokens not guarded or invalidated properly Hacker can “force” session token on victim; session tokens can be stolen after logout Insecure Cryptographic Storage Weak encryption techniques may lead to broken encryption Confidential information (SSN, Credit Cards) can be decrypted by malicious users Insecure Communications Sensitive info sent unencrypted over insecure channel Unencrypted credentials “sniffed” and used by hacker to impersonate user Failure to Restrict URL Access Hacker can access unauthorized resources Hacker can forcefully browse and access a page past the login page 13 IBM Software Group | Rational software Demonstração.... SQL Injection Cross-site Scripting 14 7 IBM Software Group | Rational software SQL Injection User input inserted into SQL Command: Get product details by id: Hack: send param id with value - ! ! Resulting executed SQL: ! ! All products returned 15 IBM Software Group | Rational software Cross Site Scripting – The Exploit Process Evil.org 1) Link modificado enviado para o cliente 5) Evil.org usa a informação para se passar pelo cliente 4) script envia identificação e sessão do cliente sem pedir permissão User bank.com 2) Cliente envia script como dado 3) script/dado retorna enviado pelo site do banco 16 8 IBM Software Group | Rational software Explorando “Cross-Site Scripting” Se alguém conseguir você fazer rodar um script malicioso, ele pode… Roubar seus cookies (sua identificação) Rastrear cada ação que você realizar no seu navegador Redirecionar você para um “phising site” Modificar o conteúdo de qualquer página Explorar outras vulnerabilidades ao navegar e controlar sua máquina 17 IBM Software Group | Rational software Watchfire in the Rational Portfolio BUSINESS SOFTWARE QUALITY SOLUTIONS Test Change Defects Rational RequisitePro Rational ClearQuest Rational ClearQuest Rational ClearQuest Test Automation Developer Test Rational PurifyPlus Rational Test RealTime Functional Test Security and Compliance Test Rational Functional Tester Plus Automated Manual Rational Rational Functional Tester Manual Tester AppScan Performance Test Rational Performance Tester OPERATOINS DEVELOPMENT Test and Change Management Requirements WebXM Rational Robot Quality Metrics = -* . 4 4 18 9 IBM Software Group | Rational software AppScan What is it? AppScan is an automated tool used to perform vulnerability assessments on Web Applications Why do I need it? To simplify finding and fixing web application security problems What does it do? Scans web applications, finds security issues and reports on them in an actionable fashion Who uses it? Security Auditors – main users today QA engineers – when the auditors become the bottle neck Developers – to find issues as early as possible (most efficient) 19 IBM Software Group | Rational software Como o Appscan Trabalha ! > > 4 4 20 10 IBM Software Group | Rational software O que o IBM Rational AppScan testa? Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 21 IBM Software Group | Rational software Indo além da detecção de problemas 22 11 IBM Software Group | Rational software Como o IBM Rational AppScan funciona? Aborda a aplicação como uma caixa-preta Escaneia e gera um mapa de toda a aplicação Determina os vetores de ataque baseado nas políticas de teste Testes são enviados por requisições HTTP modificadas e as respostas são avaliadas de acordo com as regras % * +.. 4 / +.. 4 23 IBM Software Group | Rational software Demonstração.... IBM Rational AppScan Standard Edition 24 12 IBM Software Group | Rational software Pergunte-se a si mesmo... O que os desenvolvedores e testadores da minha organização sabem sobre segurança da informação? Eles têm meios de prevenir vulnerabilidades? Apesar de nosso investimento em segurança de rede, será que realmente estamos seguros? Ainda que esteja seguro hoje, tenho como garantir que não haverá falhas de segurança no futuro? 25 IBM Software Group | Rational software 26 13 IBM Software Group | Rational software 27 14
Documentos relacionados
Marco Bravo - Diretor de Software Group IBM Brasil
Time de Desenvolvimento Rational Software Utilizando ferramentas Rational para o Desenvolvimento de Rational Utilizado por
Leia maisQuero saber mais Quero saber mais
Security, Vulnerability and Fraud Management Análisede Vulnerabilidades,Análisede Aplicativos,Testes de Intrusão, Forense Computacional,Outsourcingde Segurança da Informação.
Leia mais