Questões de segurança acontecem principalmente porque:
Desenvolvedores que sabem das coisas, mas esquecem ou ignoram.
Devido ao crescimento da web e da necessidade cada vez maior de aplicações web utilizarem o compartilhamento de informações, faz se necessária a adoção de mecanismos para manter tais aplicações e informações seguras. O artigo mostra as principais vulnerabilidades encontradas em aplicações web, e como você pode conhece-las melhor.
Todos os dias empresas sofrem com casos de invasão ou vulnerabilidade e a maioria não cai na mídia.
Em 2016 não foi diferente e empresas como Snapchat, Verizon, LinkedIn e Dropbox, tiveram diversos problemas de vulnerabilidade desde, phishing, combinações de e-mails e senhas reveladas e vazamento de informações sigilosas, obrigando as equipes a encontrarem as vulnerabilidades o mais rápido possível. Em 2017, o cenário não mudou muito e empresas como E-Sports, Gmail e organizações como Washington State University sofreram com vazamento de informações sensíveis, phishing ou brechas de segurança. Recentemente, tivemos o caso Wannacry que era uma espécie de vírus que solicitava pagamento em bitcoin para liberar os arquivos da máquina infectada.
As brechas de segurança afetaram bem mais do que 20 milhões de usuários que tiveram seus dados revelados, você faz idéia do custo que isso teve para as empresas responsáveis? São muitos zeros!
Fundada em dezembro de 2001 o OWASP, ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação e ferramentas para educar desenvolvedores, designers, arquitetos e organizações sobre as consequências das vulnerabilidades.
Todo ano eles lançam uma lista com as TOP 10 vulnerabilidades, baseadas principalmente na grande massa de dados de 11 empresas especializadas em segurança de aplicações, onde 8 estão no ramo de consultoria e 3 possuem produtos, totalizando algo em torno de 50.000 aplicações e APIs reais.
Para ajudar organizações e desenvolvedores na redução dos riscos de suas aplicações, foram produzidos recursos free and open para que você possa utiliza-los como guia na segurança de sua aplicação, eles são divididos em várias categorias, algumas são:
Reúne uma coleção de dicas valiosas em tópicos específicos sobre aplicações web, provendo um excelente guia de segurança de fácil leitura e compreensão. Alguns tópicos mais conhecidos são: ajax, autenticação, html5 security, session management, entre outros.
A ESAPI é uma biblioteca free e open-source que tem o objetivo de tornar mais fácil a escrita de aplicações com baixo risco de vulnerabilidade, foi desenhada para se adaptar a segurança de aplicações já existentes podendo ser implementada por várias linguagens.
Coleção de vulnerabilidades conhecidas em aplicações web, distribuidas e executadas em uma máquina virtual. Perfeito para quem deseja aprender mais sobre segurança em aplicações web, testar algumas ferramentas, observar como funciona o fluxo de ataques.
Este projeto, provê um ambiente de aprendizado prático de como funcionam os riscos de segurança no desenvolvimento de uma aplicação escrita em Nodejs e em como você pode aborda-los de forma efetiva.
A lista de vulnerabilidades é priorizada de acordo com o tempo levado para estimar a vulnerabilidade, o tempo até detecta-la e o seu impacto. Os principais riscos de segurança para 2017 ainda não foram finalizados, mas vamos abordar os que estão sendo bastante cotados até o momento.
Alguns dos comandos que serão mostrados você consegue facilmente executá-los utilizando o próprio navegador, basta apenas abrir o developer tools e na aba console.
1. Injection
Attack Vectors -> EASY | Prevalence -> COMMON | Detectability -> AVERAGE | Technical Impacts -> SEVERE
DoS (Denial of Service)
Uma das maneiras de se executar e injetar código malicioso é através de inputs que permitem o envio de scripts. Por exemplo, a utilização de algo como o código exibido abaixo permite execução de código malicioso.
const boo = `window.location.href`;
eval(boo); // retorna a url atual
setTimeout(boo, 100); // alguns sites bloqueiam CSPhttp://nodegoat.herokuapp.com/tutorial/a1
- Quebra de Autenticação
Attack Vectors -> AVERAGE | Prevalence -> WIDESPREAD | Detectability -> AVERAGE | Technical Impacts -> SEVERE
Password Guessing Attacks
Ataques de adivinhação de senha ou os do tipo brute force, normalmente utilizam de ferramentas que geram senhas randômicas, implementando um critério mínimo de senha, torna esse tipo de ataque mais difícil.
http://nodegoat.herokuapp.com/tutorial/a2
- Cross-Site Scripting (XSS)
Attack Vectors -> AVERAGE | Prevalence -> VERY WIDESPREAD | Detectability -> EASY | Technical Impacts -> MODERATE
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a3
- Quebra de controle de acessos
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a4
- Configurações de segurança incorretas
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a5
- Exposição de dados sensíveis
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a6
- Proteção insuficiente contra ataques
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a7
- Cross-Site Request Forgery (CSRF)
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a8
- Utilizando componentes com vulnerabilidades conhecidas
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a9
- APIs redirects
Attack Vectors -> Prevalence -> Detectability -> Technical Impacts ->
http://nodegoat.herokuapp.com/tutorial/a10
Provavelmente os riscos não se resumem só a lista que foi citada, existem outros que estavam presentes em anos anteriores e considere-os como riscos adicionais, Clickjacking, Server-Side Request Forgery, Malicious File Execution, Application Denial of Service.
A lista completa, você pode conferir através deste link.
Uma das partes mais legais de se trabalhar com comunidade, com certeza são os eventos e a troca de conhecimento. O artigo nem acabou e você já está querendo ir para o primeiro evento em segurança? Dá uma conferida na programação do Roadsec, eles estão sempre rodando o país com palestras, workshops e campeonatos como o Hackaflag envolvendo vários conceitos de segurança.
- https://github.com/chuckfw/owaspbwa/
- https://lists.owasp.org/mailman/listinfo/owasp-cheat-sheets
- https://github.com/FallibleInc/security-guide-for-developers/blob/master/security-checklist.md
- https://github.com/OWASP/Top10/blob/master/2017/OWASP%20Top%2010%20-%202017%20RC1-English.pdf
- https://www.identityforce.com/blog/2017-data-breaches
- https://stackoverflow.com/a/477578/4008711
- https://speakerdeck.com/mathiasbynens/front-end-performance-the-dark-side-at-fronteers-spring-conference-2016
- https://capec.mitre.org/index.html
- https://mkw.st/r/csp
- https://speakerdeck.com/mikewest/frontend-security-frontend-conf-zurich-2013-08-30
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_2017_Project
- http://devdocs.io/javascript/global_objects/eval
- https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
Se você chegou até aqui é porque parece que realmente se interessou pelo assunto. Deixo para você o convite para leitura do meu próximo artigo que será sobre técnicas para mitigar essas vulnerabilidades, onde irei abordar com mais detalhes, como se prevenir dos 10 pontos citados, junto com demonstração em código.
Gostou do texto? Já passou por alguns dos problemas mencionados? Clica no ❤ ou faz um comentário relatando, e vamos bater um papo legal.
Cheers! 🍺
http://revistapensar.com.br/tecnologia/pasta_upload/artigos/a127.pdf