Efectividad de Técnicas de OWASP para Asegurar Aplicaciones Web Contra

Inyección de SQL

Manuel Lopez Arredondomanuel.lopez@owasp.org

“El costo total del Cibercrimen es mayor que el efecto combinado que tiene el tráfico de

marihuana, heroína y cocaína sobre la economía global.”

Parnell, B.-A. (2011). Cyber crime now bigger than the drugs trade. The Register.

Aspectos Preliminares

Por qué la Seguridad es Relevante?

Ponemon Institute. (2012). 2012 Cost of Cyber Crime Study:. Ponemon Institute LLC.

Por qué la Seguridad es Relevante?

Ponemon Institute. (2012). 2012 Cost of Cyber Crime Study:. Ponemon Institute LLC.

Por qué la Seguridad es Relevante?

The Open Source Vulnerability Database. (2012). The Open Source Vulnerability Database. Recuperado el Marzo 2013 de 2013, de The Open Source Vulnerability Database: http://www.osvdb.org

Impacto de la Inyección de SQL

Fecha DescripciónJunio 2005 Master Card reportó el ataque de inyección de SQL más grande del momento al mencionar que 4 millones de registros de tarjetas de crédito fueron

robados por un hacker.Diciembre 2005 La empresa EnCase fue atacada por inyección de SQL y perdió datos financieros de aproximadamente 3,800 clientes.

Diciembre 2006 Hackers robaron a TJX millones de registros de datos de sus clientes con detalles de sus tarjetas de crédito.

Agosto 2007 La página inicial del sitio de las naciones unidas fue cambiada por un hacker mostrando mensajes en contra de los Estados Unidos.

2008 El botnet Asprox utilizó vulnerabilidades de inyección de SQL en sitios web para expandir el malware alrededor del mundo. El número de páginas web atacadas se estima que fue alrededor de 500,000.

Febrero 2009 Un grupo de hackers romanos se atribuyó varios ataques utilizando inyección de SQL a sitios web de compañías como Kaspersky, F-Secure y Bit-Defender

Agosto 2009 El Departamento de Justicia de Estados Unidos sentenció al ciudadano americano Albert Gonzalez por el robo de 130 millones de números de tarjetas de crédito utilizando inyección de SQL.

Abril 2011 Barracuda Networks sufrió un ataque de inyección de SQL y el hacker hizo público los registros de sus clientes incluyendo usuarios y passwords.

Mayo 2011 LulSec comprometió el sitio web de Sony por medio de inyección de SQL, de acuerdo a la prensa, el grupo hacktivista obtuvo acceso a contraseñas, correos electrónicos, dirección particular y fechas de nacimiento de alrededor de un millón de usuarios. Adicionalmente, obtuvo 3.5 millones de cupones de música de su sitio.

Diciembre 2012 El proyecto WhiteFox es un esfuerzo del hacktivismo para promover el tránsito libre de la información. Por medio de inyección de SQL ha obtenido acceso a 1.6 millones de registros de diversas organizaciones como la NASA, FBI, Interpol y el Pentágono. Los tipos de datos obtenidos son nombres, correos electrónicos, direcciones particulares entre otros, que fueron hechos públicos en Internet.

Julio 2012 Uno de los más grandes robos de información por medio de inyección de SQL se dio en Alemania cuando el hacker “8in4ry_Munch3r” tuvo acceso a credenciales de usuarios de Gamigo al obtener 11 millones de contraseñas encriptadas y 8.2 millones de correos electrónicos.

Qué es OWASP?

• Open Web Application Security Project (OWASP).• “OWASP es una comunidad abierta dedicada a

capacitar a organizaciones para crear, adquirir, operar y mantener aplicaciones que puedan ser confiables.”

• Comunidad mundial, abierta y de libre participación.• La fundación OWASP es una organización sin ánimo

de lucro (501c3).• Los materiales están disponibles bajo una licencia de

software libre y abierto.• 163 capítulos en el mundo, uno en Guadalajara

Cuadro de Análisis de Congruencia

OBJETIVO PREGUNTA HIPÓTESIS VARIABLES

Evaluar la efectividad de la aplicación de técnicas de OWASP para la protección contra ataques de inyección de SQL.

¿Cuál es el nivel de efectividad de las técnicas OWASP para mitigar los riesgos de Inyección de SQL en aplicaciones Web? 

La implementación de técnicas OWASP en aplicaciones web disminuye el número de vulnerabilidades encontradas por un ataque de inyección de SQL.

La implementación de técnicas OWASP en aplicaciones web disminuye el nivel de riesgo de las vulnerabilidades encontradas por un ataque de inyección de SQL.

1. # de vulnerabilities

2. Nivel de vulnerabilidades

Trabajo Relacionado

Análisis de la Seguridad en Sitios Web • Rodriguez

Argueta, M. (2011)

• Instituto Politécnico Nacional

Desarrollo de un Esquema de Análisis de Vulnerabilidades y Pruebas de Penetración en Sistemas Operativos para una Organización de la Administración Pública Federal• Ramirez Lopez,

J. (2009)• Insituto

Politécnico Nacional

Diseño de un Laboratorio de Análisis de Vulnerabilidades y Pruebas de Penetración en Redes de Cómputo. • Saenz

Gonzalez, M. (2009)

• Instituto Politécnico Nacional

Esquema de Seguridad para el desarrollo de Aplicaciones Web para CFE• Carreon

Mendoza, M. (2009)

• Instituo Politécnico Nacional

Runtime Monitoring Technique to handle Tautology based SQL Injection Attacks• Dharam, R.,

& Shiva, S. (2012)

• International Journal of Cyber-Security and Digital Forensics

Marco Teórico

Inyección de SQL

Fire

wal

l

Hardened OS

Web Server

App ServerFi

rew

all

Dat

abas

es

Lega

cy S

yste

ms

Web

Ser

vice

s

Dire

ctor

ies

Hum

an R

esrc

s

Billi

ng

Custom Code

APPLICATIONATTACK

Net

wor

k La

yer

Appl

icati

on L

ayer

Acco

unts

Fina

nce

Adm

inist

ratio

nTr

ansa

ction

s

Com

mun

icati

onKn

owle

dge

Mgm

tE-

Com

mer

ceBu

s. F

uncti

ons

HTTP request

SQL

query

DB Table

HTTP response

"SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’"

1. Application presents a form to the attacker2. Attacker sends an attack in the form data3. Application forwards attack to the database in a SQL query

Account Summary

Acct:5424-6066-2134-4334Acct:4128-7574-3921-0192Acct:5424-9383-2039-4029Acct:4128-0004-1234-0293

4. Database runs query containing attack and sends encrypted results back to application

5. Application decrypts data as normal and sends results to the user

Account:

SKU:

Account:

SKU:

Herramientas de Apoyo

OWASP Top Ten (2010)

A1: Injection A2: Cross-Site Scripting (XSS)

A3: Broken Authentication

and Session Management

A4: Insecure Direct Object References

A5: Cross Site Request Forgery

(CSRF)

A6: Security Misconfiguration

A7: Failure to Restrict URL

Access

A8: Insecure Cryptographic

Storage

A9: Insufficient Transport Layer

Protection

A10: Unvalidated Redirects and

Forwards

15

Líder de Proyecto: Sahba Kazerooni, sahba@owasp.org

Propósito: Normalizar el nivel de rigurosidad para la evaluación de la seguridad en aplicaciones web.

https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project

Application Security Verification Standard

16

Líder de Proyecto: Chris Schmidt, Chris.Schmidt@owasp.org

Propósito: Ofrecer una librería de controles de seguridad para aplicaciones web para facilitar a los programadores el desarrollo de aplicaciones seguras.

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

Enterprise Security API

for Reboot

17

AppSensor

Líder de Proyecto: Michael Coates, John Melton, Colin WatsonPropósito: Ofrecer un marco de referencia y una metodología para la implementación de detección de intrusiones y respuesta automática a nivel aplicación.

https://www.owasp.org/index.php/AppSensor

OWASP TopTen

OWASP Applicaton Verification Security Standard

Método

INVESTIGACIÓN EXPERIMENTO DISEÑODescriptiva Cuasi experimento  preprueba-postprueba

Preprueba#Vulnerabilidades

Nivel de Riesgo

Postprueba#Vulnerabilidades

Nivel de Riesgo

Trabajo Restante

Capítulo Descripción Estatus

Caso de Estudio

Identificar Aplicación Objetivo

Terminado

Preprueba 1 semana

Implementación 4 - 12 semanas

Postprueba 1 semana

Conclusiones

Resultados

2 semanasDiscusión

Trabajo Futuro

Mejor escenario: 19 de Julio de 2013Mas probable: 16 de Agosto de 2013Peor escenario: 7 de Octubre de 2013

Q & A

Manuel López Arredondo

manuel.lopez@owasp.org