impacto sobre o negócio da exploração de vulnerabilidades de injeção em aplicações web
DESCRIPTION
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.TRANSCRIPT
![Page 1: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/1.jpg)
Impacto sobre o Negócio da Exploração Impacto sobre o Negócio da Exploração de Vulnerabilidades de injeção em de Vulnerabilidades de injeção em
Aplicações WebAplicações Web
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
![Page 2: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/2.jpg)
$ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de segurança
• Testes de invasão em redes, sistemas e aplicações.
![Page 3: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/3.jpg)
Agenda
Injeções
•Descrição
•Impactos
• Como se Prevenir
![Page 4: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/4.jpg)
Injeções
Descrição
![Page 5: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/5.jpg)
Descrição
• Ocorre quando a aplicação envia dados não tratados para algum serviço interno.
• Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.
• O que “vai ser injetado” depende da tecnologia adotada no back end.
![Page 6: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/6.jpg)
Descrição
•Descoberta através de varreduras identificando e manipulando vetores de entrada
•Tais vetores podem ser implícitos ou explícitos
![Page 7: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/7.jpg)
Descrição
•Representa falta de aderência com boas práticas de programação.
•Ou seja, também pode ser detectado em processos de revisão/auditoria de código.
![Page 8: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/8.jpg)
Injeções
Impactos
![Page 9: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/9.jpg)
Impactos
• Dependendo do tipo de injeção os danos causados podem ser de vários tipos.
• A injeção serve como porta de entrada, falhas de configuração do sistema/serviço podem agravar o problema.
![Page 10: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/10.jpg)
Impactos
Perda ou corrupção de dados
•Instruções a banco de dados para remoção ou alteração de dados.
•Remoção, alteração ou Substituição de arquivos no servidor.
![Page 11: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/11.jpg)
Impactos
Negação de Serviço
•Remoção de Arquivos Críticos.
•Consultas altamente custosas.
•Loops infinitos arbitrários.
•Esgotamento de Recursos.
![Page 12: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/12.jpg)
Impactos
Falhas de autenticação
•Manipulação de Campos Condicionais.
•Uso de usuários legítimos ou bypass.
![Page 13: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/13.jpg)
Impactos
Execução arbitrária de código
•Integração do backend com o sistema operacional.
• Comprometimento Total do Sistema.
![Page 14: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/14.jpg)
Injeções
Como se Previnir
![Page 15: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/15.jpg)
Como se Prevenir
• Política de uso / desenvolvimento.
• Implantação de Firewall de Aplicação.
• Monitoramento de submissões do usuário.
![Page 16: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/16.jpg)
Conclusões
• Injeções são falhas que podem impactar em muito mais do que a aplicação.
• Boas práticas em vários níveis podem conter os impactos.
• É preciso a cooperação entre desenvolvimento, processos e infraestrutura.
![Page 17: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/17.jpg)
Siga a Clavis
![Page 18: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.net/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/18.jpg)
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
Muito Obrigado!Muito Obrigado!