parnell, b.-a. (2011). cyber crime now bigger than the drugs trade. the register
DESCRIPTION
Efectividad de T écnicas de OWASP para Asegurar Aplicaciones Web Contra Inyección de SQL Manuel Lopez Arredondo [email protected]. “ El costo total del Cibercrimen es mayor que el efecto combinado que tiene el tráfico de marihuana, heroína y cocaína sobre la economía global .”. - PowerPoint PPT PresentationTRANSCRIPT
Efectividad de Técnicas de OWASP para Asegurar Aplicaciones Web Contra
Inyección de SQL
Manuel Lopez [email protected]
“El costo total del Cibercrimen es mayor que el efecto combinado que tiene el tráfico de
marihuana, heroína y cocaína sobre la economía global.”
Parnell, B.-A. (2011). Cyber crime now bigger than the drugs trade. The Register.
Por qué la Seguridad es Relevante?
Ponemon Institute. (2012). 2012 Cost of Cyber Crime Study:. Ponemon Institute LLC.
Por qué la Seguridad es Relevante?
Ponemon Institute. (2012). 2012 Cost of Cyber Crime Study:. Ponemon Institute LLC.
Por qué la Seguridad es Relevante?
The Open Source Vulnerability Database. (2012). The Open Source Vulnerability Database. Recuperado el Marzo 2013 de 2013, de The Open Source Vulnerability Database: http://www.osvdb.org
Impacto de la Inyección de SQL
Fecha DescripciónJunio 2005 Master Card reportó el ataque de inyección de SQL más grande del momento al mencionar que 4 millones de registros de tarjetas de crédito fueron
robados por un hacker.Diciembre 2005 La empresa EnCase fue atacada por inyección de SQL y perdió datos financieros de aproximadamente 3,800 clientes.
Diciembre 2006 Hackers robaron a TJX millones de registros de datos de sus clientes con detalles de sus tarjetas de crédito.
Agosto 2007 La página inicial del sitio de las naciones unidas fue cambiada por un hacker mostrando mensajes en contra de los Estados Unidos.
2008 El botnet Asprox utilizó vulnerabilidades de inyección de SQL en sitios web para expandir el malware alrededor del mundo. El número de páginas web atacadas se estima que fue alrededor de 500,000.
Febrero 2009 Un grupo de hackers romanos se atribuyó varios ataques utilizando inyección de SQL a sitios web de compañías como Kaspersky, F-Secure y Bit-Defender
Agosto 2009 El Departamento de Justicia de Estados Unidos sentenció al ciudadano americano Albert Gonzalez por el robo de 130 millones de números de tarjetas de crédito utilizando inyección de SQL.
Abril 2011 Barracuda Networks sufrió un ataque de inyección de SQL y el hacker hizo público los registros de sus clientes incluyendo usuarios y passwords.
Mayo 2011 LulSec comprometió el sitio web de Sony por medio de inyección de SQL, de acuerdo a la prensa, el grupo hacktivista obtuvo acceso a contraseñas, correos electrónicos, dirección particular y fechas de nacimiento de alrededor de un millón de usuarios. Adicionalmente, obtuvo 3.5 millones de cupones de música de su sitio.
Diciembre 2012 El proyecto WhiteFox es un esfuerzo del hacktivismo para promover el tránsito libre de la información. Por medio de inyección de SQL ha obtenido acceso a 1.6 millones de registros de diversas organizaciones como la NASA, FBI, Interpol y el Pentágono. Los tipos de datos obtenidos son nombres, correos electrónicos, direcciones particulares entre otros, que fueron hechos públicos en Internet.
Julio 2012 Uno de los más grandes robos de información por medio de inyección de SQL se dio en Alemania cuando el hacker “8in4ry_Munch3r” tuvo acceso a credenciales de usuarios de Gamigo al obtener 11 millones de contraseñas encriptadas y 8.2 millones de correos electrónicos.
Qué es OWASP?
• Open Web Application Security Project (OWASP).• “OWASP es una comunidad abierta dedicada a
capacitar a organizaciones para crear, adquirir, operar y mantener aplicaciones que puedan ser confiables.”
• Comunidad mundial, abierta y de libre participación.• La fundación OWASP es una organización sin ánimo
de lucro (501c3).• Los materiales están disponibles bajo una licencia de
software libre y abierto.• 163 capítulos en el mundo, uno en Guadalajara
Cuadro de Análisis de Congruencia
OBJETIVO PREGUNTA HIPÓTESIS VARIABLES
Evaluar la efectividad de la aplicación de técnicas de OWASP para la protección contra ataques de inyección de SQL.
¿Cuál es el nivel de efectividad de las técnicas OWASP para mitigar los riesgos de Inyección de SQL en aplicaciones Web?
La implementación de técnicas OWASP en aplicaciones web disminuye el número de vulnerabilidades encontradas por un ataque de inyección de SQL.
La implementación de técnicas OWASP en aplicaciones web disminuye el nivel de riesgo de las vulnerabilidades encontradas por un ataque de inyección de SQL.
1. # de vulnerabilities
2. Nivel de vulnerabilidades
Trabajo Relacionado
Análisis de la Seguridad en Sitios Web • Rodriguez
Argueta, M. (2011)
• Instituto Politécnico Nacional
Desarrollo de un Esquema de Análisis de Vulnerabilidades y Pruebas de Penetración en Sistemas Operativos para una Organización de la Administración Pública Federal• Ramirez Lopez,
J. (2009)• Insituto
Politécnico Nacional
Diseño de un Laboratorio de Análisis de Vulnerabilidades y Pruebas de Penetración en Redes de Cómputo. • Saenz
Gonzalez, M. (2009)
• Instituto Politécnico Nacional
Esquema de Seguridad para el desarrollo de Aplicaciones Web para CFE• Carreon
Mendoza, M. (2009)
• Instituo Politécnico Nacional
Runtime Monitoring Technique to handle Tautology based SQL Injection Attacks• Dharam, R.,
& Shiva, S. (2012)
• International Journal of Cyber-Security and Digital Forensics
Inyección de SQL
Fire
wal
l
Hardened OS
Web Server
App ServerFi
rew
all
Dat
abas
es
Lega
cy S
yste
ms
Web
Ser
vice
s
Dire
ctor
ies
Hum
an R
esrc
s
Billi
ng
Custom Code
APPLICATIONATTACK
Net
wor
k La
yer
Appl
icati
on L
ayer
Acco
unts
Fina
nce
Adm
inist
ratio
nTr
ansa
ction
s
Com
mun
icati
onKn
owle
dge
Mgm
tE-
Com
mer
ceBu
s. F
uncti
ons
HTTP request
SQL
query
DB Table
HTTP response
"SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’"
1. Application presents a form to the attacker2. Attacker sends an attack in the form data3. Application forwards attack to the database in a SQL query
Account Summary
Acct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-0293
4. Database runs query containing attack and sends encrypted results back to application
5. Application decrypts data as normal and sends results to the user
Account:
SKU:
Account:
SKU:
OWASP Top Ten (2010)
A1: Injection A2: Cross-Site Scripting (XSS)
A3: Broken Authentication
and Session Management
A4: Insecure Direct Object References
A5: Cross Site Request Forgery
(CSRF)
A6: Security Misconfiguration
A7: Failure to Restrict URL
Access
A8: Insecure Cryptographic
Storage
A9: Insufficient Transport Layer
Protection
A10: Unvalidated Redirects and
Forwards
15
Líder de Proyecto: Sahba Kazerooni, [email protected]
Propósito: Normalizar el nivel de rigurosidad para la evaluación de la seguridad en aplicaciones web.
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
Application Security Verification Standard
16
Líder de Proyecto: Chris Schmidt, [email protected]
Propósito: Ofrecer una librería de controles de seguridad para aplicaciones web para facilitar a los programadores el desarrollo de aplicaciones seguras.
https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API
Enterprise Security API
for Reboot
17
AppSensor
Líder de Proyecto: Michael Coates, John Melton, Colin WatsonPropósito: Ofrecer un marco de referencia y una metodología para la implementación de detección de intrusiones y respuesta automática a nivel aplicación.
https://www.owasp.org/index.php/AppSensor
OWASP TopTen
OWASP Applicaton Verification Security Standard
Método
INVESTIGACIÓN EXPERIMENTO DISEÑODescriptiva Cuasi experimento preprueba-postprueba
Preprueba#Vulnerabilidades
Nivel de Riesgo
Postprueba#Vulnerabilidades
Nivel de Riesgo
Trabajo Restante
Capítulo Descripción Estatus
Caso de Estudio
Identificar Aplicación Objetivo
Terminado
Preprueba 1 semana
Implementación 4 - 12 semanas
Postprueba 1 semana
Conclusiones
Resultados
2 semanasDiscusión
Trabajo Futuro
Mejor escenario: 19 de Julio de 2013Mas probable: 16 de Agosto de 2013Peor escenario: 7 de Octubre de 2013