A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Explorando vulnerabilidades em REST (Representational State Transfer)

PublicouJúlia Batista Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Explorando vulnerabilidades em REST (Representational State Transfer)"— Transcrição da apresentação:

1 Explorando vulnerabilidades em REST (Representational State Transfer)
Wagner Elias

2 O que é REST? Arquitetura de implementação de webservices que utiliza XML para transferência de estados

3 Por quê REST? Possuí uma implementação fácil e simples baseado em HTTP
Disponibiliza um CRUD (Create, Reade, Update, Delete) Ferramenta fundamental para “web programável” Devido a simplicidade é bastante popular

4 Web Programável? Conceito que determina que sites utilizam recursos um dos outros Ex.: Amazon disponibiliza seus produtos usando REST e qualquer um poder fazer uma Query e listar os livros da Amazon no seu site

5 Problemas com REST Por ser “for dummies” possibilita implementações Quick-Dirt Não existe uma linguagem padrão para troca de informações Parser desenvolvidos sem visão de segurança e ausência de validação de informações (Not RESTfull)

6

7 GET no Webservices <?xml version="1.0" encoding="ISO "?> <users> <user> <username>gandalf</username> <password>!c3</password> <userid>0<userid/> </user> <username>Stefan0</username> <password>w1s3c</password> <userid>500<userid/> </users> Identifica Eschema

8 POST no Webservices Injeção de um novo usuário

9 GET (após injeção de XML) no Webservices
<?xml version="1.0" encoding="ISO "?> <users> <user> <username>gandalf</username> <password>!c3</password> <userid>0<userid/> </user> <username>Stefan0</username> <password>w1s3c</password> <userid>500<userid/> <username>tony</username> <password>Un6R34kb!e</password> <userid>500<userid/> </users> Novo Usuário Inserido

10 POST no Webservices injeção de TAGS XML
Injetada</TagInject>

11 GET (após injeção de TAG XML) no Webservices
<?xml version="1.0" encoding="ISO "?> <users> <user> <username>gandalf</username> <password>!c3</password> <userid>0<userid/> </user> <username>Stefan0</username> <password>w1s3c</password> <userid>500<userid/> <username>tony</username> <password>Un6R34kb!e</password> <userid>500<userid/> Injetada</taginject> </users> Informação injetada pode ser usada para troca de informações Entre BOTNETS

12 POST no Webservices SQL Injection Server
OR 1=1&password=Un6R34kb!e OR 1=1 Server Select user, pass from login where user=[username] OR 1=1 AND pass=[password] OR 1=1

13 Possibilidade de usar webservices como vetor de ataques
Code}</TagInject> Todos os sites que consomem o conteúdo (web programável) e que não tratar adequadamente os dados recebidos pode ser explorado pelo código injetado no webservices

14 OWASP (Open Web Application Security Project)
Wagner Elias OWASP (Open Web Application Security Project) Brazil Chapter Leader

Carregar ppt "Explorando vulnerabilidades em REST (Representational State Transfer)"

Apresentações semelhantes

Falhas mais comuns em aplicações WEB

Falhas mais comuns em aplicações WEB
HTML - HiperText Markup Language Tecnologia para Web

HTML - HiperText Markup Language Tecnologia para Web
Banco de Dados Prof. Antonio.

Banco de Dados Prof. Antonio.
Master Pages no ASP.NET 2.0 Adaptado/Retirado do MSDN.

Master Pages no ASP.NET 2.0 Adaptado/Retirado do MSDN.
Camada de Acesso a Dados em ASP.NET

Camada de Acesso a Dados em ASP.NET
Web Services 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.

Web Services 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.
BD em.NET: Passo a passo conexão com SQL Server 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.

BD em.NET: Passo a passo conexão com SQL Server 1º Semestre 2010 > PUCPR > BSI Bruno C. de Paula.
SISTEMAS DE INFORMAÇÃO Sistemas de Bancos de Dados 2º Semestre – 2010 Pedro Antonio Galvão Junior Fone: 9531-7555.

SISTEMAS DE INFORMAÇÃO Sistemas de Bancos de Dados 2º Semestre – 2010 Pedro Antonio Galvão Junior Fone:
Segurança na Web: Uma janela de oportunidades

Segurança na Web: Uma janela de oportunidades
OWASP AppSec Brazil 2010, Campinas, SP

OWASP AppSec Brazil 2010, Campinas, SP
Programas Utilitários Básicos

Programas Utilitários Básicos
Web Services Erika Hmeljevski Estefania Borm Leonardo Malagoli

Web Services Erika Hmeljevski Estefania Borm Leonardo Malagoli
Introdução à Engenharia da Computação

Introdução à Engenharia da Computação
Material III-Bimestre Wagner Santos C. de Jesus

Material III-Bimestre Wagner Santos C. de Jesus
Cookies e Sessões Mauro César Lopes. Mecanismos para guardar estados entre requisições HTTP HTTP é um protocolo sem estado Uma requisição é independente.

Cookies e Sessões Mauro César Lopes. Mecanismos para guardar estados entre requisições HTTP HTTP é um protocolo sem estado Uma requisição é independente.
WebWork e JSP Keven andrade

WebWork e JSP Keven andrade
Outubro/2008 Engenharia do Computação Sistema de Gestão de Manutenção Desenvolvimento Equipe Antônio Deyvyson Diego Nascimento Paollo Maciel Marcelo Pereira.

Outubro/2008 Engenharia do Computação Sistema de Gestão de Manutenção Desenvolvimento Equipe Antônio Deyvyson Diego Nascimento Paollo Maciel Marcelo Pereira.
SOA - Arquitetura Orientada a Serviços

SOA - Arquitetura Orientada a Serviços
Marcos Aurélio Rodrigues

Marcos Aurélio Rodrigues
Protocolo HTTP e HTML Prof. Danton Cavalcanti Franco Junior

Protocolo HTTP e HTML Prof. Danton Cavalcanti Franco Junior

Apresentações semelhantes

Anúncios Google