AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
-
Upload
magno-logan -
Category
Technology
-
view
28 -
download
1
description
Transcript of AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
![Page 1: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/1.jpg)
The OWASP Foundation http://www.owasp.org
Segurança em Sites de Compras Coletivas: Economizando dor de cabeça!
Magno Logan [email protected]
Líder do capítulo OWASP Paraíba Membro do OWASP Portuguese Language Project
![Page 2: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/2.jpg)
Quem sou eu?
• Desenvolvedor Java EE (+2 anos)
• Líder do Capítulo OWASP Paraíba
• Interesses em Segurança em Aplicações
Web e Forense Computacional
• Praticante de Artes Marciais
![Page 3: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/3.jpg)
Paraíba?!
3
![Page 4: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/4.jpg)
Agenda
• Compras Coletivas?
• Vulnerabilidades
• Ataques
• Contramedidas
4
![Page 5: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/5.jpg)
Compras Coletivas
5
Promoções por tempo limitado
![Page 6: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/6.jpg)
6
![Page 7: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/7.jpg)
Vulnerabilidades
![Page 8: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/8.jpg)
Senhas e + Senhas
• Sem restrição de tamanho mínimo
• Mas com restrição de tamanho máximo!
• Como lembrar de todas elas?
• Usuários utilizam a mesma senha para
diversos sites e serviços!
8
![Page 9: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/9.jpg)
9
![Page 10: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/10.jpg)
Senhas e + Senhas
• Senhas são armazenadas em texto plano
ou em hash MD5
• Como sabemos?!
• Opção “esqueci minha senha” envia sua
senha pelo email
• Já ouviram falar de Rainbow Tables?
10
![Page 11: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/11.jpg)
XSS • São muito comuns nos sites de compras
coletivas!
• Pressa para colocar no ar - “Time is money!”
• Permite ao atacante obter os cookies de
sessão do usuário
• Acessar como outro usuário e obter os
cupons dele
11
![Page 12: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/12.jpg)
SQL Injection
• Permite ao atacante acessar os dados do sistema
• Obter nomes, usuários, senhas e o mais importante: os códigos dos cupons
• O atacante pode copiar o código de um cupom e gerar seu próprio cupom
• Muito fácil hoje em dia devido às ferramentas disponíveis
12
![Page 13: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/13.jpg)
Ainda não aprendemos! • Lista de sites de compras coletivas já
são distribuídos em fóruns de “hacking”
13
![Page 14: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/14.jpg)
Falhas Lógicas
• Estabelecimentos não checam a identidade do possuidor do cupom
• Alguns estabelecimentos solicitam apenas o código da promoção (não precisa imprimir o cupom!)
• Sites permitem alterar o nome do dono do cupom depois da compra
14
![Page 15: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/15.jpg)
Sites prontos
• Facilidade em ganhar $$
• Senhas default conhecidas
• Uma falha grave no sistema afeta todos que possuem!
15
![Page 16: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/16.jpg)
Falha no
• Plataforma aberta de comércio eletrônico
• 790 mil sites afetados, 17 mil só no Brasil
• Distribuição de malwares através falhas conhecidas: 2 Java, 1 IE, 1 Win, 1 AR
• E se o seu site for assim?!
16
![Page 17: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/17.jpg)
Depois não vai chorar...
17
![Page 18: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/18.jpg)
Cadê o protocolo seguro?
18
![Page 19: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/19.jpg)
Por que não criptografar?!
• HTTP não é seguro!
• Dados trafegam abertamente na rede
• Sites dizem utilizar “protocolo seguro”
• Porque não utilizar HTTPS?
• “Porque é lento” não é desculpa!
19
![Page 20: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/20.jpg)
Únicos que utilizam?!
Mas ainda de maneira errada!
20
![Page 21: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/21.jpg)
Cadastro sem HTTPS?
21
![Page 22: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/22.jpg)
Falso senso de segurança
22
![Page 23: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/23.jpg)
Cadê a segurança?
23
![Page 24: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/24.jpg)
Ataques
![Page 25: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/25.jpg)
25
![Page 26: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/26.jpg)
O que aconteceu?!
• Provavelmente SQL Injection...
• Afetou a imagem e a confiança do site
• Clientes provavelmente deixaram de comprar lá
• Site diz que tomou medidas para se proteger...
• Mas ainda está vulnerável a SQLi!!!
26
![Page 27: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/27.jpg)
• Facilmente realizado em redes sem fio
• Utilizando o Firesheep
• Captura as sessões do usuários
• Imprime os cupons e pronto!
• Sites permitem a mudança no nome do cupom
27
Captura de Sessões
![Page 28: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/28.jpg)
Ainda não usa SSL?
28
![Page 29: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/29.jpg)
Como fazer?
• Firesheep + TamperData
• Escolher um alvo
• Obter o nome do cookie de sessão
• Criar o script para o Firesheep
• Começar a capturar!
29
![Page 30: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/30.jpg)
Modelo de Script
register({
name: “Site Alvo",
url: "http://sitealvo.com/login”,
domains: [ “sitealvo.com" ],
sessionCookieNames: [ "JSESSIONID" ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
}
});
30
![Page 31: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/31.jpg)
Versões Mobile
• Já existem “cópias” do Firesheep para Android
• Droidsheep e Faceniff
• Permitem a captura de sessões até em redes protegidas com WPA2
• Mais difícil de perceber se alguém está utilizando...
31
![Page 32: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/32.jpg)
• Se você acessou ou está acessando algum serviço sem criptografia através da rede do evento...
32
![Page 33: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/33.jpg)
Site Falsos
• Criar um site de compra coletiva falso
• Obter as senhas dos usuários
• Testar em outros sites (senhas iguais?)
• Obter os emails dos cadastrados
• Enviar spam ou malware
• Quantos cadastros você tem?
33
![Page 34: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/34.jpg)
34
![Page 35: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/35.jpg)
Contramedidas
![Page 36: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/36.jpg)
E agora?
• Não acesse esses sites através de redes sem fio públicas
• Não faça cadastro em sites que ainda não tem promoções
• Utilize HTTPS sempre que o site permitir
36
![Page 37: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/37.jpg)
Lembre-se disto!
• Não salvar os dados do cartão de crédito
• E utilizar um cartão específico (baixo limite)
• Não informar dados pessoais:
• CPF, RG, Data de Nasc, Endereço, Tel
• Não clicar em ofertas recebidas por email
• São facilmente forjáveis!
37
![Page 38: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/38.jpg)
Sugestões de Proteção
• Add-ons Firefox ou Chrome
38
![Page 39: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/39.jpg)
Perguntas?
39
Special thanks to:
Sarah Baso
Gustavo Barbato
![Page 40: AppSec Latam 2011 - Segurança em Sites de Compras Coletivas](https://reader033.fdocuments.net/reader033/viewer/2022060110/555ea645d8b42a902e8b49e3/html5/thumbnails/40.jpg)
Referências
http://www.owasp.org/index.php/Top_10_2010-Main
http://www.baixaki.com.br/tecnologia/5995-como-funcionam-os-sites-de-compras-coletivas-e-quais-cuidados-devemos-tomar.htm
http://www.higorjorge.com.br/258/comercio-eletronico-crimes-ciberneticos-e-procedimentos-preventivos
http://miguelalmeida.pt/2010/12/comprar-na-internet-com-seguran%C3%A7a.html
http://safeandsavvy.f-secure.com/2010/09/29/shop-savvy-7-practices-to-shop-safely-online
40