co0l 2011 - segurança em sites de compras coletivas: vulnerabilidades, ataques e contra-medidas
DESCRIPTION
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas Maio de 2011 em SP http://garoa.net.br/wiki/O_Outro_LadoTRANSCRIPT
![Page 1: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/1.jpg)
The OWASP Foundationhttp://www.owasp.org
Segurança em Sites de Compras Coletivas
Vulnerabilidades, Ataques e Contramedidas
Magno [email protected]
Líder do capítulo OWASP ParaíbaMembro do OWASP Portuguese Language Project
OWASPBRASIL
A work in progress...
![Page 2: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/2.jpg)
Magno Logan?
• Desenvolvedor + Segurança
• Analista da Politec
• Fundador do Capítulo OWASP
Paraíba
• Praticante de Ninjutsu
• DJ nas horas vagas
![Page 3: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/3.jpg)
3
Agenda
• Compras Coletivas?
• Atenção!
• OWASP Top 10
• Vulnerabilidades
• Ataques
• Contramedidas
![Page 4: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/4.jpg)
4
Compras Coletivas
Promoções por tempo limitado
![Page 5: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/5.jpg)
5
![Page 6: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/6.jpg)
6
Reconhece algum?
![Page 7: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/7.jpg)
7
E esses?
![Page 8: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/8.jpg)
8
Atenção!
Número mínimo de compradores
Limite máximo de vendas
Preço “real” maior na promoção
Não compre por impulso!
Leia o regulamento!
Verifique o tempo de duração da oferta
![Page 9: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/9.jpg)
9
OWASP Top 10 (2010)
A1: Falhas de Injeção
A2: Cross-Site Scripting
(XSS)
A3: Falha de Autenticação e
Gerência de Sessões
A4: Referência Direta e
Insegura à Objetos
A5: Cross Site Request Forgery (CSRF)
A6: Falhas de Configuração de Segurança
A7 : Armazenamento com Criptografia
Insegura
A8: Falha de Restrição de
Acesso a URLs
A9: Fraca Proteção na Camada de Transporte
A10: Redirecioname
ntos Não Validados
![Page 10: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/10.jpg)
Vulnerabilidades
![Page 11: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/11.jpg)
11
O grande problema...
• Pequenas (máximo 8 caracteres)
• Sem exigências de segurança
• Senhas de 1 caracter?!
• Não se importam com a
proteção do usuário!
![Page 12: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/12.jpg)
12
![Page 13: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/13.jpg)
13
A2 – Cross Site Scripting (XSS)
Acontece a qualquer momento…• Dados não processados do atacante são enviados para um navegador de um usuário
inocente
Dados brutos…• Armazenados em banco de dados
• Refletidos de entrada da web (formulário, campo oculto, URL, etc…)• Enviado diretamente ao cliente JavaScript
Praticamente toda aplicação web tem este problema!
• Tente isto no seu navegador – javascript:alert(document.cookie)
Impacto Típico• Roubar a sessão do usuário, roubar dados sensíveis, reescrever a página web ou redirecionar usuário para sites de phishing ou malware• Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e
forçar o usuário a outros sites
![Page 14: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/14.jpg)
14
![Page 15: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/15.jpg)
15
![Page 16: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/16.jpg)
16
A3 – Falha de Autenticação e Gerência de Sessões
HTTP é um protocolo “stateless” (sem estado)
• Significa que as credenciais deve ser enviadas a cada requisição• Devemos utilizar SSL para tudo que necessite de autenticação
Falhas no controle das sessões• SESSION ID usado para controlar o estado já que o HTTP não faz
• E é tão bom quanto as credenciais para o atacante…• SESSION ID é comumente exposto na rede, no navegador, nos logs, etc
Cuidado com as alternativas!• Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout,
email, etc…
Impacto Típico• Contas de usuários comprometidas ou sessões de usuários sequestradas
![Page 17: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/17.jpg)
17
A7 – Armazenamento com Criptografia Insegura
Armazenando dados sensíveis de forma insegura
• Falha em identificar todos os dados sensíveis• Falha em identificar todos os locais onde os dados sensíveis são armazenados
• Falha em proteger devidamente estes dados em todos os locais
Impacto Típico
• Atacantes acessam ou modificam informações privadas ou confidenciais• Obtém segredos para usá-los em novos ataques
• Embaraço da empresa, insatisfação dos clientes e perda de confiança• Gastos para limpar o incidente
• Empresas são processadas e/ou multadas
![Page 18: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/18.jpg)
18
A7 – Armazenamento com Criptografia Insegura
Texto planoMD5
SHA-1Email
![Page 19: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/19.jpg)
19
![Page 20: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/20.jpg)
20
![Page 21: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/21.jpg)
21
Criptografar dados pra quê?
![Page 22: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/22.jpg)
22
Depois não vai chorar...
![Page 23: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/23.jpg)
A9 – Fraca Proteção na Camada de Transporte
Transmitindo dados sensíveis de forma insegura
• Falha em identificar todos os dados sensíveis• Falha em identificar todos os locais que estes dados são enviados• Falha em devidamente proteger estes dados em todos os locais
Impacto Típico
• Atacantes acessam ou modificam informações privadas ou confidenciais• Atacantes obtém segredos para usar em ataques futuros
• Embaraço da empresa, insatisfação dos clientes e perda de confiança• Custos de limpar o incidente (forense)
• Empresas são processadas e/ou multadas
![Page 24: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/24.jpg)
24
A9 – Fraca Proteção na Camada de Transporte
• HTTP não é seguro!
• Dados trafegam abertamente na
rede
• Sites dizem utilizar “protocolo
seguro”
• HTTPS não é lento! Porque não usar?
![Page 25: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/25.jpg)
Custom Code
Empregados
ParceirosVítima Externa Backend
Systems
Atacante Externo
1Atacante externo
rouba dados e credenciais
da rede
2 Atacante interno rouba
dados e credenciais da rede interna
Atacante Interno (Insider)
Dados trafegam abertamente na rede...
![Page 26: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/26.jpg)
26
Cadê o protocolo seguro?
![Page 27: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/27.jpg)
27
Único que utiliza?!
![Page 28: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/28.jpg)
Ataques
![Page 29: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/29.jpg)
29
Engenharia Social
• Pessoas são o elo fraco da
segurança
• Utilizar um cupom falso ou já
utilizado
• Estabelecimentos raramente
verificam autenticidade das
informações
• “Teoricamente” não há
consequências!
![Page 30: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/30.jpg)
30
É difícil forjar um desses?
![Page 31: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/31.jpg)
31
• Facilmente realizado em redes sem fio
• Utilizando sniffers ou o Firesheep
• Captura as sessões do usuários
• Imprime os cupons e pronto!
• Sites permitem a mudança no nome do cupom
Captura de Sessões
![Page 32: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/32.jpg)
32
Ainda não usa SSL?
![Page 33: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/33.jpg)
33
Como fazer?
• Firesheep + TamperData
• Escolher um alvo
• Obter o nome do cookie de sessão
• Criar o script para o Firesheep
• Começar a capturar!
![Page 34: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/34.jpg)
34
Modelo de Scriptregister({
name: “Site Alvo",
url: "http://sitealvo.com/login”,
domains: [ “sitealvocom" ],
sessionCookieNames: [ "JSESSIONID" ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
}
});
![Page 35: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/35.jpg)
35
Site Falso
• Criar um site de compra coletiva falso
• Obter as senhas dos usuários
• Testar em outros sites (senhas iguais?)
• Obter os emails dos cadastrados
• Enviar spam ou malware
• Quantos cadastros você tem?
![Page 36: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/36.jpg)
36
Você compraria neste site?
![Page 37: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/37.jpg)
Contramedidas
![Page 38: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/38.jpg)
38
Na hora da compra...
1. Visite o site do estabelecimento
2. Telefone
3. Verifique como funciona a desistência.
4. Conheça a política de privacidade
5. Fique atento à página de pagamento
6. Procure saber o telefone ou o endereço
![Page 39: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/39.jpg)
39
Dicas Simples
• Não salvar os dados do cartão de crédito
• E utilizar um cartão específico (baixo limite)
• Não informar dados pessoais:
• CPF, RG, Data de Nasc, Endereço, Tel
• Não clicar em ofertas recebidas por email
• São facilmente forjáveis!
![Page 40: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/40.jpg)
40
Dicas Técnicas
Desenvolvedores/Compras Coletivas
• Utilizar HTTPS para comunicação
• Realizar a validação de paramêtros
• Armazenar senhas em Hash + Salt
• Realizar testes de invasão e
auditorias
![Page 41: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/41.jpg)
41
Dicas Técnicas
Usuários/Consumidores
• Add-ons Firefox ou Chrome
![Page 42: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/42.jpg)
42
Caso ainda tenha problemas...
![Page 43: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/43.jpg)
43
Projetos Futuros
• Analisar e-commerces que
implementam CaaS (Cashier-as-a-
Service) brasileiros
• PagSeguro, Mercado Pago,
Pagamento Digital
• Estudar Protocolo 3-D Secure
• Verified by Visa e MasterCard
SecureCode
![Page 44: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/44.jpg)
Perguntas?
44
![Page 45: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/45.jpg)
45
Referênciashttp://www.owasp.org/index.php/Top_10_2010-Main
http://www.baixaki.com.br/tecnologia/5995-como-funcionam-os-sites-de-compras-coletivas-e-quais-cuidados-devemos-tomar.htm
http://www.higorjorge.com.br/258/comercio-eletronico-crimes-ciberneticos-e-procedimentos-preventivos
http://miguelalmeida.pt/2010/12/comprar-na-internet-com-seguran%C3%A7a.html
http://safeandsavvy.f-secure.com/2010/09/29/shop-savvy-7-practices-to-shop-safely-online
![Page 46: Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas](https://reader031.vdocuments.net/reader031/viewer/2022013101/555ea650d8b42a902e8b49ed/html5/thumbnails/46.jpg)
www.owasp.org
|46
46