IBM Rational AppScan - Varredura de Segurança

Transcrição

®
IBM Software Group
Expandindo a Prática de Teste:
Análise de Vulnerabilidade em Aplicativos Web
© 2007 IBM Corporation
IBM Software Group | Rational software
Verdades Alarmantes
“Approximately 100 million Americans have been informed that they have suffered
a security breach so this problem has reached epidemic proportions.”
Jon Oltsik – Enterprise Strategy Group
“Up to 21,000 loan clients may have had data exposed”
Marcella Bombardieri, Globe Staff/August 24, 2006
“Personal information stolen from 2.2 million active-duty members of the military,
the government said…”
New York Times/June 7, 2006
“Hacker may have stolen personal identifiable information for 26,000 employees..”
ComputerWorld, June 22, 2006
2
1
A verdade alarmante
Estudo realizado com 200 empresas
brasileiras afirma que 67,5% sofreram algum
tipo de ataque nos últimos 12 meses (ISS)
Principal problema de segurança: Usuários
podem submeter dados de entrada arbitrários
Principais sinais de problemas:
Instituições financeiras nacionais têm sofrido até
100 ataques frustrados por dia
No Brasil 13% das empresas que sofreram
ataques tiveram prejuízos que ultrapassam
R$ 1 Milhão (Módulo)
Imaturidade em segurança
Desenvolvimento in-house
Percepção de simplicidade
Restrições de recursos e tempo
Mau uso de tecnologias
Justiça Federal do Pará condena 65
hackers
“...os condenados acessavam de forma
fraudulenta as contas-correntes e de
poupança de outras pessoas. As
quadrilhas deram prejuízo a instituições
como Caixa Econômica Federal (CEF),
Banco do Brasil, Banco Itaú e Banco do
Estado de Goiás.”
Redação Terra, 17 de julho de 2007
3
Alta Prioridade da Segurança de Aplicações
Aplicações Web são o alvo número 1 dos hackers:
75% dos ataques no nível de aplicação (Gartner)
XSS and SQL Injection são as vulnerabilidades
número 1 e 2 (Mitre)
A Maioria dos sites é vulnerável:
90% são vulneráveis a ataques na camada de aplicação
(Watchfire)
78% percent of easily exploitable vulnerabilities affected Web
applications (Symantec)
80% das organizações enfrentará incidentes de segurança até
2010 (Gartner)
Aplicações Web tem alto valor para os hackers:
Dados pessoais, financeiros, identidade, etc
Governança se baseia em atendimento a padrões de
conformidade
Payment Card Industry (PCI) Standards, GLBA, HIPPA, ISO,
SOX
Políticas internas
4
2
Custo de Falhas na Segurança da Informação
Imagem afetada: Má propaganda
Perda de Dados Confidencias
Condenações Judiciais
Insucesso em Auditorias
Indenizações
Redução do Valor de Ações
5
Inserindo a Segurança no Cliclo de Vida
Guiar a o
desenvolvimento
para garantir a
segurança
Developers
Developers
Garantir que as
vulnerabilidades
foram sanadas
Developers
Prover os testadores e
desenvolvedores com habilidade
de detectar e remediar falhas
6
3
Arquitetura de Uma Aplicação Web Típica
Aplicação
rodando aqui
Dados
sensíveis
aqui
Internet
Internet
Firewall
Client Tier
(Browser)
SSL
(Presentation)
App Server
(Business
Logic)
Database
Data Tier
Middle Tier
7
Defesas da Rede para as Aplicações Web
Firewall
Intrusion
Detection
System
Intrusion
Prevention
System
!
"
Application
Firewall
#
"$
8
4
O mito: “Nosso site é seguro!”
% +!
%
,
-
)
% & '
*
.
(
9
A Realidade: os esforços estão desbalanceados
<
5
1
(
5
1
895
% *
675
;95
4
:75
!
/
0
2
1
% *
% *
!
3!
10
5
Onde estão as vulnerabilidades?
'+* (
. -
Client-Side
Custom
Web Services
Web Applications
Third-party Components
Web Server Configuration
Web Server
Database
Applications
Operating System
Network
11
OWASP e lista OWASP Top 10
Open Web Application Security Project – an open organization dedicated to
fight insecure software
“The OWASP Top Ten document represents a broad consensus about what
the most critical web application security flaws are”
We will use the Top 10 list to cover some of the most common security issues
in web applications
12
6
The OWASP Top 10 list
Application Threat
Negative Impact
Example Impact
Cross Site scripting
Identity Theft, Sensitive Information
Leakage, …
Hackers can impersonate legitimate users, and
control their accounts.
Injection Flaws
Attacker can manipulate queries to the
DB / LDAP / Other system
Hackers can access backend database
information, alter it or steal it.
Malicious File Execution
Execute shell commands on server, up
to full control
Site modified to transfer all interactions to the
hacker.
Insecure Direct Object
Reference
Attacker can access sensitive files and
resources
Web application returns contents of sensitive file
(instead of harmless one)
Cross-Site Request Forgery
Attacker can invoke “blind” actions on
web applications, impersonating as a
trusted user
Blind requests to bank account transfer money to
hacker
Information Leakage and
Improper Error Handling
Attackers can gain detailed system
information
Malicious system reconnaissance may assist in
developing further attacks
Broken Authentication &
Session Management
Session tokens not guarded or
invalidated properly
Hacker can “force” session token on victim; session
tokens can be stolen after logout
Insecure Cryptographic
Storage
Weak encryption techniques may lead
to broken encryption
Confidential information (SSN, Credit Cards) can
be decrypted by malicious users
Insecure Communications
Sensitive info sent unencrypted over
insecure channel
Unencrypted credentials “sniffed” and used by
hacker to impersonate user
Failure to Restrict URL Access
Hacker can access unauthorized
resources
Hacker can forcefully browse and access a page
past the login page
13
Demonstração....
SQL Injection
Cross-site Scripting
14
7
SQL Injection
User input inserted into SQL Command:
Get product details by id:
Hack: send param id with value -
!
!
Resulting executed SQL:
!
!
All products returned
15
Cross Site Scripting – The Exploit Process
Evil.org
1) Link modificado
enviado para
o cliente
5) Evil.org usa
a informação para se
passar pelo cliente
4) script envia identificação e
sessão do cliente sem pedir
permissão
User
bank.com
2) Cliente envia script como dado
3) script/dado retorna enviado pelo site do banco
16
8
Explorando “Cross-Site Scripting”
Se alguém conseguir você fazer rodar um script malicioso, ele pode…
Roubar seus cookies (sua identificação)
Rastrear cada ação que você realizar no seu navegador
Redirecionar você para um “phising site”
Modificar o conteúdo de qualquer página
Explorar outras vulnerabilidades ao navegar e controlar sua máquina
17
Watchfire in the Rational Portfolio
BUSINESS
SOFTWARE QUALITY SOLUTIONS
Test
Change
Defects
Rational RequisitePro
Rational ClearQuest
Rational ClearQuest
Rational ClearQuest
Test Automation
Developer Test
Rational PurifyPlus
Rational Test
RealTime
Functional Test
Security and
Compliance Test
Rational Functional Tester Plus
Automated
Manual
Rational
Rational
Functional Tester Manual Tester
AppScan
Performance Test
Rational
Performance Tester
OPERATOINS
DEVELOPMENT
Test and Change Management
Requirements
WebXM
Rational Robot
Quality Metrics
=
-*
.
4
4
18
9
AppScan
What is it?
AppScan is an automated tool used to perform vulnerability
assessments on Web Applications
Why do I need it?
To simplify finding and fixing web application security problems
What does it do?
Scans web applications, finds security issues and reports on them in
an actionable fashion
Who uses it?
Security Auditors – main users today
QA engineers – when the auditors become the bottle neck
Developers – to find issues as early as possible (most efficient)
19
Como o Appscan Trabalha
!
>
>
4
4
20
10
O que o IBM Rational AppScan testa?
Web Applications
Third-party Components
Web Server Configuration
Web Server
Database
Applications
Operating System
Network
21
Indo além da detecção de problemas
22
11
Como o IBM Rational AppScan funciona?
Aborda a aplicação como uma caixa-preta
Escaneia e gera um mapa de toda a aplicação
Determina os vetores de ataque baseado nas políticas de teste
Testes são enviados por requisições HTTP modificadas e as respostas são
avaliadas de acordo com as regras
% *
+.. 4 /
+.. 4
23
Demonstração....
IBM Rational AppScan Standard Edition
24
12
Pergunte-se a si mesmo...
O que os desenvolvedores e testadores da minha organização sabem sobre
segurança da informação?
Eles têm meios de prevenir vulnerabilidades?
Apesar de nosso investimento em segurança de rede, será que realmente
estamos seguros?
Ainda que esteja seguro hoje, tenho como garantir que não haverá falhas de
segurança no futuro?
25
26
13
27
14

IBM Rational AppScan - Varredura de Segurança

Transcrição

Documentos relacionados

Marco Bravo - Diretor de Software Group IBM Brasil

Gerenciamento de Qualidade

Quero saber mais Quero saber mais

Virtualização e Testes contínuos

Flavio Araujo da Silva Junior End. - PMI-RIO

AXIA Ventures Group actua como Joint Bookrunner no Aumento de

English Portuguese Drumsticks with selected wood Hard

Uma nova esperança na rede

O novo SelfCookingCenter® Fritar, cozinhar e estufar de

Resumo Curricular - Smart City Business America

RUP Rational Unified Proccess (Processo Unificado da Rational)