Post on 28-Jan-2016
Top 25 errores de la programación
Sergio BecerrilMarco Galicia
Interacción insegura entre componentes:CWE-20, -116, -89, -79 y -78
CWE-20:Validación inapropiada de entradas
• Consiste en no asegurarse que las entradas que recibimos conforman con las especificaciones requeridas.
• e.g. Se permite introducir datos de tipo incorrecto, fuera de rango o de longitud exagerada.
CWE-20:Validación inapropiada de entradas
• Alta prevalencia.• Barato de resolver.• Frecuentemente atacado.• Causa ejecuciones arbitrarias de código,
denegaciones de servicio y pérdidas de datos.
• Puede ser muy fácil de detectar.• Su explotación implica alto nivel técnico.
CWE-20:Validación inapropiada de entradas
...public static final double price = 20.00;int quantity =
currentUser.getAttribute("quantity");double total = price * quantity;chargeUser(total);...
CWE-20:Validación inapropiada de entradas
private void buildList ( int untrustedListSize ){
if ( 0 > untrustedListSize ){
die("Negative value supplied for list size, die evil hacker!");
}
Widget[] list = new Widget [ untrustedListSize ];
list[0] = new Widget();
}
CWE-20:Validación inapropiada de entradas
• Mitigación:– Frameworks: Apache Struts, OWASP ESAPI.– Paranoia.– Blacklist != Seguridad.– Casting.– ...
CWE-116:Salidas codificadas incorrectamente
• Consiste en no asegurarse que la salida de nuestra rutina o programa codifica apropiadamente caracteres especiales.
• El problema cambia según el tipo de datos que vamos a entregar, pero siempre involucra el formato de los datos.
CWE-116:Salidas codificadas incorrectamente
• Alta prevalencia.• Barato de resolver.• Frecuentemente atacado.• Causa ejecuciones arbitrarias de código y
pérdidas de datos.• Suele ser muy fácil de detectar.• Su explotación implica alto nivel técnico.
CWE-116:Salidas codificadas incorrectamente
<% String email = request.getParameter("email"); %>
...Email Address: <%= email %>
CWE-116:Salidas codificadas incorrectamente
sub GetUntrustedInput {
return($ARGV[0]);
}
sub encode {
my($str) = @_;
$str =~ s/\&/\&/gs;
$str =~ s/\"/\"/gs;
$str =~ s/\'/\'/gs;
$str =~ s/\</\</gs;
$str =~ s/\>/\>/gs;
return($str);
}
sub doit {
my $uname = encode(GetUntrustedInput("username"));
print "<b>Welcome, $uname!</b><p>\n";
system("cd /home/$uname; /bin/ls -l");
}
• Mitigación:– Frameworks, mejores lenguajes.– Paranoia.– Mecanismos estructurados (e.g. Stored
procedures).– Validar entradas.– Especificaciones deben incluir codificaciones.– ...
CWE-116:Salidas codificadas incorrectamente
CWE-79:Cross-site scripting
• O bien, la falla en conservar la estructura de una página web.
• Consiste en no validar, sanear y codificar de forma apropiada las entradas que se usarán para generar contenido web para los usuarios.
• e.g. Permitir entradas que pueden contener, de forma maliciosa, código Javascript o ActiveX.
CWE-79:Cross-site scripting
• Alta prevalencia.• Barato de resolver.• Frecuentemente atacado.• Causa ejecuciones arbitrarias de código y
evasiones de medidas de seguridad.• Puede ser muy fácil de detectar.• Su explotación implica alto nivel técnico.
CWE-79:Cross-site scripting
• Tres tipos principales:– No persistente. Cuando el ataque depende de
que el usuario “caiga en la trampa”.– Persistente. Cuando el ataque se realiza sin
que el usuario tenga que alterar su actividad.– Basado en DOM. Cuando el ataque depende
de scripts del lado del cliente, en vez del comportamiento del servidor.
CWE-79:Cross-site scripting
...
protected System.Web.UI.WebControls.TextBox Login;
protected System.Web.UI.WebControls.Label EmployeeID;
...
EmployeeID.Text = Login.Text;
... (HTML follows) ...
<p><asp:label id="EmployeeID" runat="server" /></p>
...
CWE-79:Cross-site scripting
protected System.Web.UI.WebControls.Label EmployeeName;
...
string query = "select * from emp where id=" + eid;
sda = new SqlDataAdapter(query, conn);
sda.Fill(dt);
string name = dt.Rows[0]["Name"];
...
EmployeeName.Text = name;
• Mitigación:– Frameworks, librerías (e.g. MS Anti-XSS,
Apache Wicket).– Paranoia.– Profundo entendimiento de las interacciones
entre módulos.– Codificaciones fuertes (ISO-8859-1, UTF-8).– ...
CWE-79:Cross-site scripting
CWE-89:Falla al preservar la estructura de la
consulta SQL (SQL inyection)
• Prevalencia de la vulnerabilidad: alta• Costo de compostura: bajo• Frecuencia del ataque: frecuente• Consecuencias: perdida de datos,
puenteo de seguridad• Facilidad de detección: fácil• Popularidad entre atacantes: alta
CWE-89:SQL inyection
Prevención y mitigación
• Arquitectura y diseño
– Usar librerías, o frameworks
– Separación entre código y datos
– Mínimo privilegio
– Verificación redundante
• Implementación
– Adecuada codificación
– Usar lista blanca
– Validar entrada
– Deshabilitar meta caracteres
CWE-89:SQL inyection
Prevención y mitigación (continua)
• Pruebas
– Herramientas automáticas
• Operación
– Usar Firewall
CWE-78:Falla al preservar la estructura de
comandos del S.O.
• Prevalencia de la vulnerabilidad: media• Costo de compostura: medio• Frecuencia del ataque: frecuente• Consecuencias: ejecución de código• Facilidad de detección: fácil• Popularidad entre atacantes: alta
• Arquitectura y diseño
– Usar librerías, no procesos externos
– Correr el código en “jaula”
– Mantener lo mas posible de datos fuera del control externo
• Implementación
– Entrecomillar secuencias de escape y argumentos
– Especificar argumentos en archivo, o entrada estándar
– Separación entre datos y código
– Usar lista blanca
– Validar entrada
– Adecuada codificación
CWE-78:Falla al preservar la estructura de
comandos del S.O.
• Pruebas
– Herramientas automáticas
• Operación
– Usar ambiente “automatic taint propagation”
– Implementar politica de ejecucion
CWE-78:Falla al preservar la estructura de
comandos del S.O.