advertisement

Segurança em SOA

50 %
50 %
advertisement
Information about Segurança em SOA

Published on December 8, 2008

Author: marcelomf

Source: slideshare.net

Description

Palestra apresentada no IT Meeting 2008 na sala da CONSOFT em Goiânia/GO.
advertisement

Marcelo Machado Fleury … #GOPHP, #GOJAVA, #PSL-GO, #FUG-BR, #CISSP-BR … marcelomf@gmail.com http://marcelomf.blogspot.com

 Padrões/Conceitos/Siglas e mundo real  Ataques X Defesas - Footprint - Sniffing, Data Tampering, Replay-Attack's, MITM - Ataques de força bruta, XDOS - Escalonamento de privilégios - Code Injection - Parsing Attack's  Conclusão

 Padrão de arquitetura aberto que possibilita disponibilizar os seus negócios como serviços. Esses serviços podem ser consumidos por aplicações terceiras. A tecnologia mais utilizada hoje para disponibilizar serviços na web, são os webservices.

 Maneiras de prover a comunicação entre aplicações através de XML(json, yaml, txt...).  A finalidade pode ser para aplicações B2B, middleware's, AJAX, interface para sistemas legados, etc..  Entre as empresas que possuem webservices públicos, podemos citar; Yahoo, Ebay, Bloglines, Google, Bacen...

 UDDI - Universal Description, Discovery and Integration  SOAP - Simple Object Access Protocol  WSDL - Web Services Description Language  REST - Representational State Transfer  WADL - Web Application Description Language  XMLRPC - Xml Remote Procedure Call  DTD - Document Type Definition  XSD - Xml schema Definition  XML - eXtensible Markup Language  JSON - JavaScript Object Notation

 Footprint  Sniffing,Data Tampering, Replay- Attack's, MITM  Ataques de força bruta, XDOS  Escalonamento de privilégios  Code Injection  Parsing Attack's

 Footprint - Levantar informações sensíveis do alvo, tais como; - Sistema operacional - Linguagem utilizada - Pontos de acesso - Métodos aceitos - Tipos de dados - Entrada - Saída  Possíveis soluções; - Segurança por obscuridade ? - Alteração/Omissão de banner's de serviços - Alteração/Omissão de extensões

 Sniffing; Capturar o trafego da rede.  Data Tampering; Interceptação/Alteração de dados, seja para explorar falhas especificas(buffer, stack, integer overflow, XSS) ou para injetar informações indesejadas(node's xml/html...).  Replay-Attack's; Interceptação e utilização de dados que autenticam um usuário em um determinado serviço. Uma vez de posse desses dados, um atacante pode se passar por um usuário legitimo.  MITM; O homem do meio... um atacante se faz passar por um individuo valido. quot;Aquot; quer conversar com quot;Bquot;, quot;Xquot; intercepta a conversa e passa a conversar com quot;Aquot; e

 Possíveis soluções; -Switch ? ARP-POISONING -Ssl/RSA ? MITM - Utilização de criptografia no payload. - WS-Security; Certificação digital/ x.509! -Utilização de tokens de sessão.

 Ataques de força bruta; De posse de um dicionário, um atacante força a sua autenticação.  XDOS; Um atacante afim de indisponibilizar o serviço, passa a realizar requisições em volume, aumentando o processamento do servidor e trafego de rede.

 Possíveis soluções; - WS-Security/Policy/Trust; Validação de pedidos de autenticação, impondo limites de tentativas de autenticação de um determinado host por um determinado tempo. Após isso, gera- se logs e se necessário, troca-se o usuário e senha.  IDS/IPS

 De posse de usuário com acessos limitados, o atacante possui novos horizontes e passa explorar novas vulnerabilidades até então não acessíveis.  Possíveis soluções; - Privilegio mínimo - Elementos devem ter seus próprios usuários, com permissões específicas. Pode ser aplicado a nível de kernel(lids, apparmor, grsec), sistema operacional(chown/chmod), banco de dados(GRANT), aplicação(RBAC). Deve-se não só oferecer a estrutura para o acesso devido, como também garantir que a

 SQL  XPATH  XSS/JSON  XML

 SELECT * FROM usuarios WHERE login='coitado' AND senha='amor'  SELECT * FROM usuarios WHERE login= '' OR 1=1 AND senha='' OR 1=1

 //usuarios/usuario[login/text()='coita do' and senha/text()='amor']  //usuarios/usuario[login/text()='' or 1=1 and senha/text()='' or 1=1]

 eval(quot;[1, 2, 3]quot;+quot;;alert('era uma vez');//']quot;);

<usuarios> <usuario> <login>gazela</login> <senha>amor</senha></usuario <usuario><login>joao_do_chapeu_p reto</login><senha>g0st0d1550</ senha> </usuario>

 Possíveissoluções; Validação server-side de qualquer dado de entrada, seja oriundo de um usuário ou de um sistema. Validação não só de tipos, mas tamanho, range e conteúdo(regex), aplicação de quotes escapes.  WAF - Web Application Firewall

 Inserção de elementos recursivos e/ou complexos no payload.  Injeção de dados em volume no payload.  Injeção de código malicioso no schema, afim de obter dados sensíveis ou dificultar o trabalho do parser.

 Possíveis soluções; - Utilizar validação de dados(XSD), tipos, tamanho máximo, numero máximo de elementos.  Validação do XSD, sempre que possível, utilizar somente o XSD do servidor para parsear os dados.

 SDL – Processos bem definidos aliados a metodologia de desenvolvimento, possui como foco único e exclusivo a segurança, exigindo um SOC(Centro de operações de segurança) e analises finais de segurança.  OWASP/CLASP Um 'frameworkquot; com processos bem definidos e flexíveis ao ponto de viabilizar relacionamentos não custosos com a metodologia de desenvolvimento de software utilizada pela empresa.

BATE-PAPO  Marcelo Machado Fleury  marcelomf@gmail.com  http://marcelomf.blogspot.com

Add a comment

Related pages

Segurança Pública SP

Segurança Pública SP, ... Dois homens em uma moto assaltando pessoas saindo de casa pra trabalhar entre 05h30 e 06h30 da manhã.
Read more

Segurança em São Benedito - YouTube

Prefeito de São Benedito, Gadyel Gonçalves, fala sobre a questão da segurança em São Benedito/CE
Read more

Segurança em SOA - Linha de Código - tudo sobre HTML ...

Segurança em SOA. Todo profissional de TI (Tecnologia da Informação) em algum momento de sua carreira vai precisar implementar ou no mínimo compreender ...
Read more

Segurança em Redes de Dados/Segurança da Informação ...

Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para um indivíduo ou uma ...
Read more

Segurança da informação – Wikipédia, a enciclopédia ...

Segurança em Recursos Humanos; 5. Segurança Física e do Ambiente; 6. Gestão das Operações e Comunicações; 7. Controle de Acessos; 8. Aquisição, ...
Read more

Segurança - Oficina da Net

Segurança / 154. Netflix de graça? Confira o golpe que promete preços especiais. por Rafaela Pozzebon. Como bloquear e desbloquear portas USB no computador?
Read more

Segurança Pública - Ações de Governo | Governo do ...

Em 2011, a política de segurança pública de São Paulo foi reconhecida pela Organização das Nações Unidas (ONU) como um exemplo a ser seguido.
Read more

Secretaria de Estado da Segurança Pública - Governo do ...

Secretaria de Estado da Segurança Pública - Rua Libero Badaró, 39, Centro, SP - CEP: 01009-000 - seguranca@sp.gov.br
Read more

Feira de Segurança Eletrônica acontece em São Paulo ...

Segurança em Condomínio - Eduardo Zangari - Duration: 1:13:08. TV CRECI 22,489 views. 1:13:08 Veja as novidades da Feira de Segurança em ...
Read more