Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
DEV013
0wn3d: Hacking ainda mais fácil em AJAX Web SitesRui [email protected] Software, DevScope
DEV013
0wn3d: Hacking ainda mais fácil em AJAX Web Sites?Rui [email protected] Software, DevScope
Patrocinadores
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
Agenda
Segurança Aplicações Web
Cenários Web 2.0
Cenários AJAX
Ataques Cross Site Request Forgery
Soluções & Boas Práticas
Segurança AplicacionalMotivação
Tão importante como a segurança de servidores e de rede
Foco na equipa de desenvolvimento
HTTPs, Firewalls, Anti Vírus & HotFixes sãoimprescindíveis, mas não garantem a segurança aplicacional
“75% dos ataques informáticos exploramfalhas aplicacionais” – Gartner Group
Web 2.0Hoje
Grande usabilidade
Combinação crescente de conteúdos
Orientação a serviços: Mash-Ups, Gadgets
Grande dependência de recursos OnLine
Tabbed browsing
Web 2.0Isto para dizer que…
Controlo do PC já não é objectivo primordial de um ataque
Recursos online são cada vez mais… “apetitosos”
Milhões de utilizadores
Diversidade de recursos valiosos
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
AJAXSegurança- o que traz de novo?
(Não esquecendo os problemas tradicionais: sql injection, xss, etc!)
Massificação XMLHTTP (nativo!)
Multi Threading
Controlo total de pedidos HTTP
Exposição de Web Services aumenta
Evolução/Estudo de JavaScript
AJAXSegurança- o que traz de novo?
…
XMLHTTP também é ferramenta de ataque!
Ataques AJAXCross Site Request ForgeryO que é?
Explora relação de confiança de um site nosseus utilizadores
Realmente simples… mas devastador!
Pouco divulgado
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
Cross Site Request ForgeryO problema
A maioria dos sites pode ser explorada!
Potencial imenso:
ataque ips internos
configuração de routers, impressoras,
qualquer endpoint http standard que possa ser automatizado!
Cross Site Request ForgeryRealidade
MySpace Sammy Worm
XSS, XSRF, XMLHTTP
Bypass de Tokens
1M Utilizadores/ 24 Horas
…podia ter sido muito pior!
Yahoo Webmail Yamanner
Cross Site Request ForgerySoluções
Referer Header
ViewStateUserKey
Tokens
CAPTCHAs
…
A mínima falha XSS derrota grande parte destas defesas!
Conclusão
Aplicações AJAX Seguras
Segurança aplicações web tradicionais!
+Boas práticas AJAX
Atenção novos ataques Web 2.0
Worms, CSRF
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
Resources/Recursos Úteis
Joe Stagner AJAX Security Webcastshttp://blogs.msdn.com/joestagner/archive/2007/01/12/upcoming-ajax-security-webcasts.aspx
Improving Web Application Security: Threats and Countermeasures
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp
Web Application Security Labhttp://ha.ckers.org/
Resources/Recursos Úteis
WhiteHat Securityhttp://www.whitehatsec.com/
OWASP (.NET)http://owasp.net/default.aspx
Web Application Security Consortiumhttp://webappsec.org/
Related Sessions/ParticipeNoutras Sessões
SEC006 : Publicação Segura de Aplicações com o Intelligent Application Gateway 2007: Análise Técnica Detalhada
Dia 22, 11:15
DEVHOL02 : Core Features of Windows
Cardspace
Dia 22, 17:00
Related Sessions/ParticipeNoutras Sessões
DEV025 : Segurança na Windows Communication Foundation: objectivos, modelos, padrões e pontos de extensão
Dia 22, 17:00
Microsoft TechDays 2007 - Lisboa 26/03/2007 6:01 PM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
Pergunte aos EspecialistasObtenha Respostas às Suas Questões
Dia 21, 16:00-17:00
Questionário de AvaliaçãoPassatempo!
Complete o questionário de avaliação e devolva-o no balcão da recepção.
Habilite-se a ganhar uma Xbox 360 por dia!
DEV0130wn3d: Hacking ainda mais fácil em AJAX Web Sites
© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Top Related