1

UNIVERSIDADE DO FEEVALE CURSO SISTEMAS DE INFORMAO

FALHA AO RESTRINGIR ACESSO URL

LISIANE MORAIS

Novo Hamburgo 2012

INTRODUO

Nos dias atuais a internet virou algo essencial no dia-a-dia das pessoas. Com a facilidade na aquisio da mesma, e com o grande leque de servios disponveis online, o seu crescimento exponencial. Por isso est to popularizado seu uso no desenvolvimento de diversas aplicaes. Porm, o crescente nmero de incidentes de segurana levanta preocupaes quanto sua seguridade. Uma parte destes incidentes decorrem da falta de considerao de segurana durante o processo de desenvolvimento. Neste trabalho vamos apresentar um dos itens da lista TOP 10 OWASP, que considerado um risco de segurana para aplicaes na web.

1. CONCEITOS

Segurana sempre um fator de importncia para todos os sistemas, normalmente a principal proteo para uma URL no mostrar o link para usurios no autorizados. Mas isso pode no ser o suficiente para proteger dados e funes sensveis em uma aplicao. Verificaes de controles de acesso devem ser executadas antes de permitir uma solicitao a uma funo sensvel, na qual garante que somente o usurio autorizado acesse a respectiva funo. Muitas aplicaes Web verificam os direitos de acesso a uma URL antes de mostrarem ligaes e botes protegidos. No entanto, as aplicaes devem realizar verificaes de controles de acesso semelhantes a cada vez que estas pginas so acessadas, caso contrrio, pode-se forjar URLs e aceder a estas pginas escondidas. Se um usurio avanado achar e acessar as pginas, poder executar funes e visualizar dados no autorizados.

1.1 Mtodo de ataque Um site da Web pode ter suas vulnerabilidades identificadas, e uma vez que estas sejam identificadas, um invasor poder utilizar pelo menos uma das muitas tcnicas de ataques para ter acesso a informaes restritas. Essas tcnicas so classificadas de acordo com a forma que se aproveitam das vulnerabilidades. Os principais mtodos de ataque para esta vulnerabilidade feito atravs de navegao forada, na qual envolve tcnicas de adivinhao de links; fora bruta para achar pginas desprotegidas, autenticao insuficiente, fraca validao na recuperao de senhas, que ocorre quando site solicita cadastramento de informaes para recuperar senhas.

1.2 Erros comuns Ausncia de verificao de autenticao do usurio;

Ausncia de verificao de autorizao do usurio; Falhas nos mecanismos de autorizao/autorizao; Erro na configurao desses mecanismos.

1.3 Impactos Atacantes acessam funes e servios para os quais no possuem autorizao Acessam contas e dados de outros usurios Realizam aes privilegiadas.

1.4 Ambientes afetados Todos os frameworks de aplicaes web esto vulnerveis a falhas.

2. MTODOS DE PREVENIR

Ao realizar uma aplicao online deve-se antes ter um bom planejando, mapeando das regras e funes da aplicao, para alcanar a proteo contra acessos no autorizados. Para se prevenir desenvolvedores devem implementar uma autenticao e autorizao para cada pgina. Este mecanismo de controle de acesso deve prover pelo menos:
1. 2. 3.

Uma poltica de autenticao e autorizao bsica. A poltica de acesso deve ser facilmente configurvel. O mecanismo deve negar todos os acessos por padro e permitir acesso atravs

de pedidos para usurios especficos para cada pgina.

4. Se

a pgina apresentada em uma sequncia, certifique-se que a pgina est

sendo apresentada na ordem correta. Aplicaes web devem garantir controle de acesso em cada URL e funes de negcio. No suficiente colocar o controle de acesso na camada de apresentao e deixar a regra de negcio desprotegida. Tambm no suficiente verificar uma vez o usurio autorizado e no verificar novamente nos passos seguintes. De outra forma, um atacante pode simplesmente burlar o passo onde a autorizao verificada e forjar o valor do parmetro necessrio e continuar no passo seguinte. Habilitar controle de acesso na URL necessita de um planejamento cuidadoso. Dentre as consideraes mais importantes podemos destacar: 1. Garanta que a matriz do controle de acesso parte do negcio, da arquitetura e do design da aplicao. 2. Garanta que todas URLs e funes de negcio so protegidas por um mecanismo de controle de acesso efetivo que verifique as funes e direitos do usurio antes que qualquer processamento ocorra. Certifique-se que este processo realizado em todos os passos do fluxo e no apenas no passo inicial de um processo, pois pode haver vrios passos a serem verificados. 3. Realize um teste invaso (penetration test) antes do cdigo entrar em produo a fim de garantir que a aplicao no poder ser utilizada de m f por um atacante motivado ou com conhecimentos avanados. 4. Bloqueie acesso a todos os tipos de arquivos que a sua aplicao no deva

executar. Este filtro deve seguir a abordagem accept known good na qual apenas so permitidos tipos de arquivos que a aplicao deva executar, como por exemplo .html .pdf, .php. Isto ir bloquear qualquer tentativa de acesso a arquivos de log, arquivosXML, entre outros, aos quais se espera nunca serem executados diretamente. 5. Mantenha o antivrus e as correes de segurana atualizados para componentes como processadores XML, processadores de texto, processadores de imagem, entre outros que manipulam arquivos fornecidos por usurios.

2.1 Exemplo de Caso de segurana Para tentar bloquear os ataques, a Indstria de Cartes de Pagamento (PCI) criou um Padro de Segurana de Dados (DSS), em conjunto com as principais empresas do setor, como Visa e MasterCard. O objetivo facilitar a adoo de medidas eficientes para segurana de informaes e melhor proteger os clientes contra fraudes de cartes de crdito, entre outras ameaas e vulnerabilidades. O PCI-DSS, como chamado, estabelece 12 requisitos obrigatrios, que incluem gerenciamento de segurana, polticas, procedimentos, arquitetura de redes, desenho de software e outras medidas crticas de proteo. Todas as empresas participantes do PCIDSS, desde administradoras de cartes, at comerciantes que processam, armazenam ou transmitem dados de cartes precisaro aderi-lo. A idia que todos mantenham a aplicao segura e diminuam os enormes gastos com recuperao de informaes perdidas ou invadidas.

3. EXEMPLOS - CENRIOS DE ATAQUE

1) http://www.exemplo.com/admin/adduser.php Funo para incluso de um novo usurio que pode ser chamada via URL que representa risco caso o usurio no esteja autenticado.

2) http://www.exemplo.com/app/getappInfo Funo acionada por um boto que retorna informaes operacionais sobre a ferramenta. Se o usurio no estiver autenticado pode exibir informaes privilegiadas.

3) http://www.exemplo.com/app/admin_getappInfo Funo acionada por um boto que retorna informaes gerenciais sobre a ferramenta. Se o usurio no estiver autenticado, e este no for um administrador, pode exibir informaes privilegiadas.

4) Consideremos o seguinte cdigo PHP:

O endereo http://www.exemplo.com/codigo8.php?autenticado=1 pode fazer com que atravs da URL supracitada as funes de adiciona usurio e excluso de usurio pode ser acessadas sem autenticao.

A manchete abaixo do site www.clicrbs.com.br indica uma falha de acesso a URL onde ao mudar parmetros da URL dados dos usurios do site da Fies podiam ser consultados.

CONCLUSES

Atravs do estudo realizado, observamos a necessidade do uso de segurana nos sistemas presentes na Web devido ao grande nmero de ataques possveis de serem realizados. A segurana no acesso a URLs restritas, atualmente muito vulnervel a ataques, pois por falha ou falta de conhecimento dos programadores esquecido de implantar medidas de preveno a ataques, facilitando o acesso de usurios no autorizados. A OWASP contribui significantemente para a melhoria da segurana de aplicativos web, reunindo informaes importantes que permitem avaliar riscos de segurana e combater formas de ataques atravs da internet. Abaixo segue uma tabela com um resumo da vulnerabilidade vista no trabalho.

10

REFERNCIA BIBLIOGRFICA

Site

oficial

do

projeto

OWASP:

https://www.owasp.org/index.php/Top_10_2007-

Failure_to_Restrict_URL_Access PACHECO, Diego Castanheira. ConfigSecurityws- Uma ferramenta para configurao de mecanismos de segurana em web services. Porto Alegre: 2008. Pontifcia Universidade Catlica do Rio Grande do Sul. http://xa.yimg.com/kq/groups/17175108/2083426891/name/OWASP_TOP_10_2007_PTBR.pdf#page=30 http://www.slideshare.net/lipeandrade/segurana-de-aplicaes-web-contd

http://pt.scribd.com/doc/55145818/8/A8-%E2%80%93-Falha-na-Restricao-de-Acesso-a-URL

http://www.slideshare.net/conviso/tratando-as-vulnerabilidades-do-top-10-com-phppresentation

http://trabalhosd.googlecode.com/svn-history/r7/trunk/monografia.pdf

http://www.istf.com.br/showthread.php/12085-Vulnerabilidades-emaplica%C3%A7%C3%B5es-web