OWASP Top 10 de 2021 – Parte 5

O OWASP Top 10 2021 é uma valiosa referência que identifica as principais vulnerabilidades em aplicações web e fornece orientações sobre como preveni-las.

Por
5 min. de leitura

Olá, querido (a) aluno(a)!

Continuando o estudo sobre o OWASP Top 10 (Este é o quinto artigo sobre o tema!) 

As vulnerabilidades de segurança em aplicações web são uma ameaça constante que pode comprometer a integridade, confidencialidade e disponibilidade dos dados. O OWASP Top 10 2021 é uma valiosa referência que identifica as principais vulnerabilidades em aplicações web e fornece orientações sobre como preveni-las. Neste artigo, focaremos em duas das principais vulnerabilidades destacadas no OWASP Top 10 2021: A09:2021 – Falhas de registro e monitoramento de segurança e A10:2021 – Falsificação de Solicitação do Lado do Servidor (SSRF).

A09:2021 – Falhas de registro e monitoramtempento de segurança

A categoria do OWASP Top 10 de 2021 em foco é essencial para identificar, classificar e responder a atividades maliciosas em andamento. A ausência de práticas eficazes de monitoramento e registro significa que infrações de segurança podem passar despercebidas. As organizações estão em risco quando:

  • Não há registro de atividades auditáveis, incluindo acessos bem-sucedidos e malsucedidos, e operações de grande importância.
  • Mensagens de log para avisos e erros são inexistente, insuficiente ou não claras.
  • Monitoramento de logs de aplicações e APIs para detecção de condutas anormais é negligenciado.
  • Registros são apenas mantidos em armazenamento local.
  • Não há estabelecimento ou eficácia de limites de notificação apropriados e procedimentos de resposta progressiva.
  • Ferramentas de testes de segurança dinâmicos, como o OWASP ZAP, não desencadeiam alarmes durante varreduras e testes de intrusão.

A aplicação falha em reconhecer, categorizar ou notificar sobre ataques em progresso de forma imediata ou em o hábil.

  • Há uma vulnerabilidade à exposição de informações, onde informações de eventos de registro e notificação são acessíveis a usuários não autorizados ou atacantes, o que pode ser um indicativo de falha no Controle de Acesso (referência A01:2021 do OWASP).

Como Prevenir

Para aprimorar a segurança da aplicação, os desenvolvedores devem considerar a implementação dos seguintes controles, ajustando-os ao nível de risco do software:

  1. Assegure-se de que tentativas de acesso falhas, falhas de controle de acesso e validações de entradas no servidora identificação de atividades suspeitas ou mal-intencionadas, e que esses registros sejam preservados por um período suficiente para análises forenses subsequentes.
  2. Produza registros em formatos compatíveis com as ferramentas de gerenciamento de log para facilitar a análise automatizada.
  3. Codifique os dados de registro adequadamente para prevenir que se tornem vetores para injeção de código ou outros ataques aos sistemas de logs e monitoramento.
  4. Crie trilhas de auditoria robustas para transações de alto risco, com mecanismos de garantia de integridade que evitem a manipulação ou eliminação de registros, tal como o uso de tabelas de banco de dados projetadas para permitir apenas inserções.
  5. Times de DevSecOps devem instituir sistemas de monitoramento e alerta que sejam eficientes na detecção e reação a atividades atípicas em tempo hábil.
  6. Desenvolva ou integre um plano de resposta e recuperação de incidentes alinhado com padrões reconhecidos, como o NIST 800-61r2 ou suas atualizações.
  7. Explore o uso de soluções comerciais e de código aberto para a proteção de aplicações, como o OWASP ModSecurity Core Rule Set, e plataformas de correlação de logs, como o conjunto ELK (Elasticsearch, Logstash, Kibana), que oferecem painéis personalizáveis e sistemas de alerta.

A10:2021 – Falsificação de Solicitação do Lado do Servidor (SSRF)

Vulnerabilidades de SSRF (Server Side Request Forgery) surgem quando um aplicativo web solicita um recurso externo sem a devida validação das URLs que os usuários fornecem. Esta brecha de segurança permite que atacantes induzam o aplicativo a direcionar requisições para destinos não autorizados, inclusive através de firewalls, redes privadas virtuais (VPNs) e listas de controle de acesso à rede (ACLs).

Com a crescente conveniência que os aplicativos web modernos buscam oferecer, a funcionalidade de solicitação de URLs por parte dos usuários tornou-se uma prática comum. Consequentemente, ocorrências de SSRF estão se tornando mais frequentes. A situação é agravada pelo uso extensivo de serviços baseados em nuvem e pela complexidade crescente das infraestruturas de TI, elevando o potencial de dano causado por essas falhas.

Como Prevenir

Desenvolvedores podem mitigar o risco de falhas de SSRF (Server Side Request Forgery) ao adotar estratégias de defesa em camadas, como as seguintes:

Na Camada de Rede:

  • Isole a funcionalidade que acessa recursos remotos em redes distintas para limitar as consequências de um ataque SSRF;
  • Configure as políticas de firewall para operar com base no princípio de “negar tudo que não é expressamente permitido”, restringindo o tráfego para e da intranet a apenas o necessário.

Dicas:

  • Mantenha um gerenciamento ativo e um ciclo de vida controlado para regras de firewall específicas para cada aplicativo.
  • Monitore e registre todas as tentativas de tráfego, tanto as permitidas quanto as bloqueadas, em firewalls (relacionado a A09:2021-Falha de Monitoramento e Registro de Segurança).

Na Camada de Aplicação:

  • Verifique e valide rigorosamente todas as entradas dos usuários;
  • Estabeleça listas de permissões detalhadas para URL, porta e destino, restringindo a apenas aquilo que é seguro e necessário;
  • Evite fornecer ao cliente respostas diretas dos recursos acessados;
  • Desative quaisquer funcionalidades que permitam redirecionamentos automáticos de HTTP;
  • Proteja-se contra-ataques que explorem a resolução de DNS e outras vulnerabilidades relacionadas.

Importante:

  • Evite confiar exclusivamente em listas de bloqueio ou expressões regulares para prevenir o SSRF, já que métodos avançados e extensas listas de vetores de ataque podem ser empregados para contornar essas medidas.

Medidas Complementares:

Não centralize serviços de segurança críticos em sistemas de interface com o usuário (como OpenID) e controle rigorosamente o tráfego de rede local (como o localhost).

Em ambientes com grupos de usuários restritos e gerenciáveis, utilize métodos de criptografia de rede, como VPNs, em sistemas dedicados para níveis elevados de segurança necessários.

Vamos ver como essa teoria poderá vir ou já vieram em questões de concurso?

1) Ano: 2022 Banca: FGV Órgão: SEFAZ-AM Prova: FGV – 2022 – SEFAZ-AM – Analista de Tecnologia da Informação da Fazenda Estadual – Manhã

Ao analisar uma aplicação web, um auditor verificou que ela estava vulnerável a um ataque conhecido como SSRF, uma das vulnerabilidades Top Ten 2021 do OWASP.

Caso um invasor consiga explorar tal vulnerabilidade, ele poderá

A) ler os conteúdos dos cookies que um navegador armazenou relativos a um dado domínio.

B) executar scripts no navegador da vítima, podendo inclusive realizar um sequestro de sessão do usuário.

C) injetar dados maliciosos no banco de dados da aplicação.

D) realizar requisições não autorizadas a outras localidades por meio do lado servidor dessa aplicação web vulnerável.

E) realizar uma desfiguração em qualquer página da aplicação web vulnerável.

Gabarito: D.

Comentário: 

Um ataque de SSRF (Server Side Request Forgery) permite que um invasor faça requisições HTTP a partir do servidor da aplicação web para outros sistemas, explorando a confiança que outros sistemas têm no servidor web vulnerável. Essa técnica pode ser usada para contornar firewalls e outras medidas de segurança, acessar serviços internos da rede que estão inacessíveis do lado do cliente, ou para realizar ações não autorizadas que se utilizem das permissões do servidor.

Vamos analisar cada alternativa:

A) SSRF não é tipicamente utilizado para ler conteúdos de cookies armazenados, que estariam mais associados a ataques como Cross-Site Scripting (XSS).

B) Executar scripts no navegador da vítima é uma característica de ataques XSS, não SSRF.

C) Injetar dados maliciosos no banco de dados da aplicação é uma descrição de ataques de SQL Injection, não SSRF.

D) Esta é a descrição correta de um ataque SSRF, onde o invasor explora a capacidade do servidor de fazer requisições a outros sistemas.

E) Desfiguração de página web é mais frequentemente associada com ataques como XSS ou exploração direta de vulnerabilidades no servidor web, não com SSRF.

2) Ano: 2023 Banca: PR-4 UFRJ Órgão: UFRJ Prova: PR-4 UFRJ – 2023 – UFRJ – Analista de Tecnologia da Informação – Segurança

São boas práticas de segurança no desenvolvimento de aplicações recomendadas pela OWASP (Open Web Application Security Project), EXCETO:

A) validar os dados de autenticação somente no final de todas as entradas de dados, especialmente para as implementações de autenticação sequencial.

B) incluir mecanismos automáticos de postback nos blocos de código JavaScript, Flash ou qualquer outro código embutido. 

C) enviar o caminho absoluto do arquivo para o lado cliente de uma aplicação. 

D) somente trafegar senhas (não temporárias) através de uma conexão protegida (SSL/TLS).  

E) a canonicalização deve ser utilizada para resolver problemas de codificação dupla.

Gabarito: C.

Comentário: 

Então é isso! 

Bons estudos e até o nosso próximo artigo.

Prof. Jósis Alves

Analista de TI no Supremo Tribunal Federal


Quer ficar por dentro dos concursos públicos abertos e previstos pelo Brasil?
Clique nos links abaixo:

CONCURSOS ABERTOS

CONCURSOS 2023

Receba gratuitamente no seu celular as principais notícias do mundo dos concursos!
Clique no link abaixo e inscreva-se gratuitamente:

TELEGRAM

Por
5 min. de leitura