Procedimentos de transporte

2.4 Execuc¸ ˜ao

14.4.4 Procedimentos de transporte

Esta subseç ão objetiva responder às seguintes perguntas, algumas delas com escopo j á definido em t ópicos anteriores, sob a perspectiva particular do sistema e-SAJ:

• Como s ˜ao tranferidos os Session IDs?

N ão é poss´ıvel transferir os session ID’s atrav és de GET, de forma que eles n ão ficam expostos em logs de firewalls ou proxys.

• Os Session IDs s ão sempre, por padr ão, enviados atrav és de transporte cifrado?

Codificados pelo CAS. Foram feitos testes de manipulaç ão de cookies para logar em uma sess ão ativa com os valores capturados dos JSESSIONID’s e n ão foi obtido sucesso. • É poss´ıvel persuadir a aplicaç ão a enviar Session IDs por canal inseguro?

Cap´ıtulo 14. Testing for Exposed Session Variables (OWASP-SM-004)

Figura 14.2: Tela inicial de cadastro de novo usu ´ario do e-SAJ

Figura 14.3: Requisiç ão HTTP POST original emitida pela aplicaç ão S ó é poss´ıvel visualizar os valores codificados pelo CAS.

Cap´ıtulo 14. Testing for Exposed Session Variables (OWASP-SM-004)

Figura 14.4: Transformaç ão de m étodo POST para GET

Figura 14.5: Alterac¸ ˜ao efetuada com sucesso, confirmada pela tela seguinte de cadastro os Session IDs?

Cap´ıtulo 14. Testing for Exposed Session Variables (OWASP-SM-004)

• Essas diretivas est ão sempre presentes? Se n ão, quais s ão as exceç ões? Cache-Control: max-age=0 sempre presente.

• Os Session IDs s ão incorporados por requisiç ões GET?

N ão é poss´ıvel fazer a autenticaç ão atrav és de m étodos GET. • O m étodo POST, quando utilizado, pode ser substitu´ıdo pelo GET?

Cap´ıtulo 15. Testing for Path Traversal (OWASP-AZ-001)

15 Testing for Path Traversal

(OWASP-AZ-001)

15.1 Objetivos

• Contornar permiss ˜oes de acesso a arquivo e diret ´orios

15.2 Pr ´e-requisitos

• Ferrementa de varredura de aplicac¸ ˜ao Web, Spider/Crawler • Ferramenta de proxy (WebScarab, BurpSuite, etc)

• UniScan (testes de falha de atravessamento de diret ´orios)

15.3 Metodologia

Tradicionalmente, servidores e aplicaç ões web implementam mecanismos de autenticaç ão para controlar o acesso a arquivos e recursos. Servidores Web tentam limitar os arquivos dos usu ários dentro de um ”diret ório raiz”ou ”raiz do documento web”, que representam um diret ório f´ısico no sistema de arquivos. Os usu ários t êm que considerar esse diret ório como o diret ório base para a estrutura hier árquica da aplicaç ão web. A definiç ão dos privil égios é feita atrav és de Access Control Lists (ACL), que identifica quais usu ários ou grupos ser ão capazes de acessar, modificar ou executar um arquivo espec´ıfico no servidor. Estes mecanismos s ão projetados para impedir o acesso a arquivos confidenciais por parte de usu ários mal-intencionados (por exemplo, o arquivo comum /etc/passwd em uma plataforma Unix), ou para evitar a execuç ão de comandos do sistema.

Com base nessas informaç ões, a metodologia do ataque basicamente é enumerar/mapear todos os endereços que o usu ário é capaz de acessar, para ent ão inserir caracteres especiais com intuito de aproveitar-se de vulnerabilidades na validaç ão server-side e ter acesso a arquivos proibidos para esse respectivo usu ário.

15.4 Execuc¸ ˜ao

O atravessamento de diret órios, ou Path Traversal, envolve essencialmente duas etapas. A primeira delas é a enumeraç ão dos vetores de validaç ão de entrada. S ão vetores dessa categoria aqueles que permitem o envio de arquivos pelo usu ário, formul ários HTML, consultas HTTP GET

Cap´ıtulo 15. Testing for Path Traversal (OWASP-AZ-001)

e POST, etc. Especificamente para o sistema e-SAJ, um eventual vetor de validaç ão de entrada seria a seç ão Push, que possibilita o envio de processos por um advogado.

A segunda etapa do teste se refere a tentativa de acesssar arquivos, e diret órios, partindo-se dos vetores elencados na primeira fase de teste. Esse processo de verificaç ão realiza-se de forma manual – tarefa dispendiosa quando de uma aplicaç ão web complexa ou de grande porte – ou, alternativamente, de modo autom ático – atrav és de ferramentas como o Uniscan, que anal- isam diferentes possibilidades de acesso a arquivos e diretorios, empregando, tamb ém, variados modos de codificaç ão que, em determinados casos, viabilizam contornar filtros existentes no lado servidor.

Um poss´ıvel vetor para o atravessamento, no contexto do sistema e-SAJ, seria a seç ão de Push. No entanto, a inclus ão de um processo no sistema é intermediada por uma busca. Essa busca interp õe-se entre a seleç ão do processo e a inclus ão do mesmo no e-SAJ. Dessa forma, um atacante é incapaz, nesta seç ão, de testar URLs ou caminhos relativos, verificaç ão necess ária ao teste aqui discutido.

Ressalta-se, contudo, em relaç ão a constataç ão manual desta catagoria de vulnerabilidade, a necessidade de se levar em consideraç ão a maneira como ocorre o percorrimento de diret órios e arquivos, que est á associada intrinsicamente ao Sistema Operacional que executa a aplicaç ão Web. N ão confundir ’/’, caracter tipicamente utilizado em sistemas Linux, com ‘\\‘ ou ‘Letra:\caminho\para\arquivo‘, caracteres usualmente vistos em sistemas Windows.

Com vistas à exemplificar a modalidade autom ática de teste, em 15.1 observa-se o Unis- can em aç ão. O Uniscan n ão somente realiza testes acerca do ataque de atravessamento de diret órios, todavia tamb ém ataques referentes à inclus ão de arquivos (LFI), dentre outros.

Cap´ıtulo 16. Testing for Bypassing Authorization Schema (OWASP-AZ-002)

16 Testing for Bypassing

Authorization Schema

(OWASP-AZ-002)

16.1 Objetivos

• Sobrepujar o esquema de autorizaç ão, tentando-se acessar ar éas restritas ou de maior privil égio

16.2 Pr ´e-requisitos

• Ferramenta de proxy (WebScarab, BurpSuite, etc)

16.3 Metodologia

Este tipo de ataque concentra-se em verificar como o esquema de autorizaç ão foi implementado para cada funç ão, os privil égios para se ter acesso a funç ões reservadas e recursos para os quais determinadas credenciais n ão possuem a autorizaç ão necess ária.

16.4 Execuc¸ ˜ao

Para este teste ´e necess ´ario responder basicamente cinco perguntas (aqui respondidas de acordo com o sistema e-SAJ):

• É poss´ıvel acessar determinados recuros do sistema sem estar autenticado? N ão. Foram realizados v ários testes nesse ataque e no ataque OWASP-AT-007. • É poss´ıvel acessar alguns recursos ap ós o log-out?

N ão. Foram realizados v ários testes nesse ataque e no ataque OWASP-AT-007. • É poss´ıvel acessar funç ões e recursos autorizados apenas para alguns determinados pa-

peis?

N ão. Foram realizados in úmeros testes manuais. Foram testados, inclusive, a ediç ão de requisiç ões interceptadas com aux´ılio da ferramenta WebScarab. Todas as tentativas foram sem sucesso.

Cap´ıtulo 16. Testing for Bypassing Authorization Schema (OWASP-AZ-002)

• É poss´ıvel acessar as funç ões administrativas tamb ém se o testador é registrado como um usu ário com privil égios padr ão?

N ˜ao. Pelos mesmos motivos supracitados.

• É poss´ıvel usar estas funcionalidades para um usu ário com um papel diferente e para quem a aç ão deve ser negada?

Cap´ıtulo 17. Testing for Privilege escalation (OWASP-AZ-003)

17 Testing for Privilege escalation

(OWASP-AZ-003)

17.1 Objetivos

• Sobrepujar o esquema de autorizaç ão, tentando-se acessar ar éas restritas ou de maior privil égio

17.2 Objetivos

• Contornar permiss ˜oes de acesso a arquivo e diret ´orios

17.3 Pr ´e-requisitos

• Ferramenta de proxy (WebScarab, BurpSuite, etc)

17.4 Metodologia

Ataques desta natureza ocorrem quando um usu ário tem acesso a mais recursos ou funcionalidades que s ão normalmente permitidos. Isso geralmente é causado por uma falha na aplicaç ão. O resultado é que o usu ário pode executar aç ões com mais privil égios do que as que realmente poderiam ser acessadas por ele.

Portanto, a metodologia deste ataque é estudar como funciona o esquema de autorizaç ão implementado nesse sistema e aproveitar-se de tal para conseguir acessar recursos n ão permi- dos.

17.5 Execuc¸ ˜ao

A execuç ão deste teste depende das caracter´ısticas do esquema de autorizaç ão da aplicaç ão Web sendo testada. Para efeito do sistema e-SAJ, aplicou-se a metodologia, acima descrita, da seguinte maneira:

• Inicialmente, buscou-se mapear como comportam-se as requisiç ões, interceptadas por in- term édio do software WebScarab, quando usu ários autorizados e n ão autorizados tentam acessar determinadas funcionalidades. Concentrou-se na funcionalidade de “Push”, pois somente o usu ário advogado tem acesso a ela.

Cap´ıtulo 17. Testing for Privilege escalation (OWASP-AZ-003)

• Depois, foram verificadas as requisiç ões interceptadas quando o usu ário autenticado era um advogado. Posteriormente, procedeu-se o mesmo quando o usu ário era um promotor. • Como n ão foi poss´ıvel edit á-las para acessar a funç ão “Push” com um usu ário de promotor,

a pr óxima tentativa, ent ão, foi copiar uma requisiç ão e uma resposta quando a funcionalidade era acessada com sucesso e colar quando a tentativa era advinda de um usu ário promotor. Tamb ém n ão obteve-se sucesso. Portanto, concluiu-se que o sistema n ão est á suscet´ıvel ao escalonamento.

Cap´ıtulo 18. Testing for SQL Injection (OWASP-DV-005)

18 Testing for SQL Injection

(OWASP-DV-005)

18.1 Objetivos

• Enumerar pontos de entrada de dados do usu ´ario n ˜ao filtrados

• Executar comandos SQL maliciosos nos pontos de entrada enumerados • Explorar informaç ões sens´ıveis alcanç áveis pela injeç ão

18.2 Pr ´e-requisitos

• Ferramentas de automatizaç ão de injeç ão (SQLmap, SqlDumper, etc)

18.3 Metodologia

Ataques de injeç ão de SQL s ão classificados em tr ês categorias, de acordo com o procedimento utilizado na injeç ão e o comportamento exibido diante desta. Dessa forma, tem-se:

• Inband: o dado solicitado pelo atacante é retornado pelo mesmo canal de injeç ão de c ódigo. Para o caso de uma aplicaç ão Web, o resultado é exibido na pr ópria p ágina de reposta da aplicaç ão;

• Out-of-band: o dado requerido ´e devolvido por vias indiretas, alternativas, como, por exemplo, para o e-mail do atacante;

• Inferential: n ão remete h á uma transfer ência de dados, ou seja, a informaç ão desejada é obtida, ou reconstruida, com base em padr ões de infer ências sobre as consultas efetuadas no banco de dados.

Conhecidas essas categorias, passamos, agora, a nos importar com a caracter´ıstica de re- torno de consulta oferecida pela aplicaç ão. Um aplicaç ão Web pode, quando de uma consulta de sintaxe errada, retornar ingenuamente o erro do pr óprio SGDB (fornecendo detalhes importantes e facilitadores ao atacante) ou, ao contr ário, apresentar uma p ágina de erro gen érica, sobre a qual pouca, ou nenhuma, informaç ão pode ser explicitamente determinada. Para o segundo caso, de ocultaç ão de erro diante de uma consulta, cabe ao testador inferir acerca dos padr ões estruturais das querys e dos resultados l ógicos provenientes das mesmas; este último caso é comumente conhecido como Blind Injection.

Cap´ıtulo 18. Testing for SQL Injection (OWASP-DV-005)

A principal condiç ão para injeç ão de c ódigo SQL é a n ão filtragem de par âmetros que t êm como origem o usu ário. Seja em consultas, ou mesmo em formul ários de autenticaç ão, se preenchida essa condiç ão, torna-se poss´ıvel testar variaç ões de querys e, de acordo com elas, observar o comportamento da aplicaç ão. Por conseguinte, a constataç ão da injeç ão de SQL pode ser trabalhada manualmente, atentando-se a todas as consultas e par âmetros envolvidos nas mesmas no contexto da aplicaç ão, ou automaticamente – abordagem tradicionalmente empre- gada em situaç ões de Blind Injection, cujo esforço, em termos de n úmero de querys necess árias, é muito alto.

18.4 Execuc¸ ˜ao

Para o teste nesta seç ão tratado, o primeiro passo é elencar os pontos de poss´ıvel injeç ão de c ódigo. No caso do sistema e-SAJ, s ão fontes de dados de interesse do testador os formul ários de autenticaç ão e de consulta de processos ou petiç ões. Cabe, aqui, ser ressaltada a import ância em se verificar formul ário por formul ário, campo por campo. Isso é necess ário porque uma única vari ável n ão filtrada pode representar o comprometimento de toda a infraestrutura existente em torno da aplicaç ão Web.

Na figura 18.1, ilustra-se um tentativa de anexar conte údo SQL à cla úsula de busca, objetivando- se, com isso, averiguar um eventual processamento dessa query pelo SGBD. O sucesso dessa aç ão depende da filtragem ou n ão existente na aplicaç ão. Como pode-se perceber, o sistema e-SAJ exibe uma mensagem de erro personalizada quando o termo de busca cont ém dados n ão correspodentes aos que est ão armazenados no banco, ou, adicionalmente, quando s ão anex- ados comandos SQL ao termo de busca. Note-se a diferença de resultados entre as buscas realizadas em 18.1 e 18.2.

O insucesso de execuç ão, em um determinado formul ário, de comandos SQL n ão implica na inexist ência de pontos de injeç ão em outros lugares da aplicaç ão. Mesmo diante de uma p ágina de erro personalizada, comportamento apresentado pelo e-SAJ, ainda pode ser poss´ıvel inferir logicamente sobre o processamento das consultas. Essa infer ência, levada a cabo usando como vetor uma vari ável n ão filtrada, remete a uma modalidade mais sofisticada de injeç ão de SQL: Blind Injection. Para testar diversas categorias de ataque de injeç ão SQL, recomanda-se o uso de ferramentas como o SQLmap. Vide figura 18.3.

Cap´ıtulo 18. Testing for SQL Injection (OWASP-DV-005)

Figura 18.1: Tentativa de injeç ão de comando SQL em formul ário de consulta do e-SAJ

Cap´ıtulo 18. Testing for SQL Injection (OWASP-DV-005)

Figura 18.3: SQLmap testando injeç ão de SQL em vari áveis da URL de consulta processual do e-SAJ

Cap´ıtulo 19. Testing for Buffer Overflow (OWASP-DV-014)

19 Testing for Buffer Overflow

(OWASP-DV-014)

19.1 Objetivos

• Pequisar por falhas de overflow conhecidas em componentes da aplicaç ão (linguagem de programaç ão, servidor de aplicaç ões, bibliotecas de terceiros, etc)

• Sob posse do c ódigo da aplicaç ão, vasculh á-lho em busca de m á alocaç ão e mal gerenci- amento de mem ória

19.2 Pr ´e-requisitos

• Acesso ao c ´odigo fruto da an ´alise

• Ferramentas de depurac¸ ˜ao (variam de acordo com a linguagem)

19.3 Metodologia

Consiste em explorar o c ódigo da aplicaç ão e verificar onde existem fragmentos de c ódigo que possam ser utilizados de forma indevida para, assim, alcançar espaços mem ória de forma n ão autorizada.

Como o E-SAJ é desenvolvido na linguagem Java, que é uma linguagem que possu´ı geren- ciamento de mem ória e aborta a execuç ão em caso de tentativas de acesso a áreas mem ória indevidas, o teste consiste em analisar se n ão h á erros poss´ıveis na tecnologia Java.

19.4 Execuc¸ ˜ao

Como j á mencionado na seç ão de ‘Metodologia‘, a busca por atalhos que permitem a circunvenç ão de regi ões de mem ória reservadas, ou protegidas, requer que o testador tenha em m ãos o c ódigo-fonte da aplicaç ão. No entanto, como n ão h á acesso ao c ódigo fonte da aplicaç ão, n ão foram analisadas chamadas nativas JNI, poss´ıvel reduto de condiç ões de buffer overflow. Por conseguinte, foram investigadas eventuais falhas na plataforma Java. Conforme o site da RNP, as seguintes vers ões do Java s ão suscet´ıveis a falhas de buffer overflow:

• Sun Java JDK 1.5.x • Sun Java JRE 1.3.x

Cap´ıtulo 19. Testing for Buffer Overflow (OWASP-DV-014)

• Sun Java JRE 1.4.x • Sun Java JRE 1.5.x / 5.x • Sun Java SDK 1.3.x • Sun Java SDK 1.4.x

H á de se sobressaltar, por ém, que esses relatos s ão de 2008 e se relacionam à vulnerabilidade ‘Sun Java JRE GIF Image Processing Buffer Overflow Vulnerability‘.

Durante o processo de pesquisa de falhas de buffer overflow, um testador, geralmente, procu- raria por exploits 0-day na tecnologia de desenvolvimento sendo utilizada. Exploits 0-day podem ser entendidos como ferramentas(seja um script ou procedimento de ataque mais amplo) que atacam falhas às quais ainda n ão foram reparadas. Trata-se de uma classe cr´ıtica de artefato de exploraç ão de vulnerabilidade. Contextualizando para o cen ário trazido pelo sistema e-SAJ, por exemplo, onde n ão h á, pelo testador, a posse do c ódigo, esse tipo de exploit, neste par ágrafo explicado, seria um item adicional a ser considerado durante o teste de intrus ão.

No documento Metodologia para aplicação de Testes de Intrusão em Aplicações Web - OWASP (páginas 44-59)