Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10

Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10
Víctor Orozco - @tuxtor
17 de mayo de 2020
Academik
1

Principios básicos
• No existe un framework generico para hacer ”seguridad 360”
• Seguridad = Balance entre necesidad de negocio/tecnología
• En Java hay n formas de hacer lo mismo
• Requerimientos -> Cifrado, ﬁrmas digitales, autenticación, autorización
• Herramientas
2

¿Java?
• Lenguaje
• VM
• Bibliotecas/API
El conjunto es la plataforma Java
3

¿Java?
• Lenguaje
• VM
• Bibliotecas/API
El conjunto es la plataforma Java (TM)
3

Infosec
Seguridad
Conﬁdencialidad
Integridad
Disponibilidad
4

Seguridad
Seguridad
JVM Lenguaje Bibliotecas
5

Seguridad
Seguridad
JVM
Escritorio Applets Invasión
Lenguaje Bibliotecas
6

Seguridad
Seguridad
JVM Lenguaje
Tipado Punteros Scopes
Bibliotecas
7

Seguridad
Seguridad
JVM Lenguaje Bibliotecas
Manual Frameworks Runtimes
8

Bibliotecas
¿Cual?
• Apache Shiro
• Spring Security
• OACC
• Keycloak
• JGuard
• JACC
• SoteriaRI
• MicroProﬁle JWT
. . .
9

Tecnologias Web
Render en servidor
• JSF (Icefaces,
Primefaces)
• GWT
• JSP
• Servlets
• Vaadin
• Struts
• Spring MVC
10

Tecnologias Web
Render en servidor
• JSF (Icefaces,
Primefaces)
• GWT
• JSP
• Servlets
• Vaadin
• Struts
• Spring MVC
Render en cliente
• Angular
• React
• Knockout (Oracle JET)
• Vue
10

Tecnologias Web
Render en servidor
• JSF (Icefaces,
Primefaces)
• GWT
• JSP
• Servlets
• Vaadin
• Struts
• Spring MVC
Render en cliente
• Angular
• React
• Knockout (Oracle JET)
• Vue
Servicios
• SOAP
• Rest
• RMI
10

JavaEE 8
• Mejor integración de JSF con CDI
• Mejor integración de JMS con CDI
• HTTP/2
• JSON-B
• Security
• JAX-RS Reactivo
12

Advertencia
• Visto en N desarrollos
• Un punto de inicio
• Informar
14

JavaEE
• A1-Injection
• A2-Broken Authentication and Session Management
• A3-Sensitive Data Exposure
• A4-XML External Entities
• A5-Broken Access Control
• A6-Security Misconﬁguration
• A7-Cross-Site Scripting (XSS)
• A8-Insecure deserialization
• A9-Using Components with Known Vulnerabilities
• A10-Insuﬃcient Logging y Monitoring
https://owasp.org/www-project-top-ten/
15

JavaEE
• A1-Injection
• A2-Broken Authentication and Session Management
• A3-Sensitive Data Exposure
• A4-XML External Entities
• A5-Broken Access Control
• A6-Security Misconﬁguration
• A7-Cross-Site Scripting (XSS)
• A8-Insecure deserialization
• A9-Using Components with Known Vulnerabilities
• A10-Insuﬃcient Logging y Monitoring
https://www.owasp.org/index.php/Top_10_2017-Top_10
16

JavaEE - A1 - Injection
Problemas y causas comunes
• Concatenación de Strings en SQL
• Datos mal intencionados a aplicaciones
• Manipulación data stores
• Escalar privilegios
Sugerencias
• JAMAS y NUNCA concatenar parametros
• Siempre utilizar mecanismos de sanitizing
• Parchar con OWASP ESAPI
• JDBC y JPA soportan de serie sanitizing si no se concatena
• Bean Validation en parametros
17

JavaEE - A1 - Injection
Peligro
1 String query = "SELECT p FROM AdmPhrase p " +
2 "where p.author LIKE " + autor +
3 "and p.phrase LIKE " + phrase;
Mejor
1 String query = "SELECT p FROM AdmPhrase p " +
2 "where p.author LIKE :author " +
3 "and p.phrase LIKE :phrase" ;
4
5 return em. createQuery ( query , AdmPhrase . class )
6 . setParameter ("author" , author )
7 . setParameter ("phrase" , phrase )
8 . getResultList ( ) ;
18

JavaEE - A2-Broken Authentication and Session Management
• Implementación de solución manual vs frameworks
• Falta de políticas
• Entrenamiento en la plataforma
• Comunicación y/o autenticación via http
Sugerencias
• Forzar https
• Utilizar adecuadamente los ciclos de vida de la plataforma (singleton !=
stateless != statefull) y cache
• No implementar en base a interceptores unicamente
19

JavaEE - A2-Broken Authentication and Session Management
App rest normal
1 public class DemoinfosecRestApplication extends Application {}
Activar mecanismo de autenticación (MicroProﬁle JWT)
1 @LoginConfig(authMethod = "MP-JWT")
2 @DeclareRoles({RolesEnum.Constants.MOBILE_VALUE, RolesEnum.
Constants.WEB_VALUE})
3 public class DemoinfosecRestApplication extends Application {}
20

JavaEE - A3-Sensitive data exposure
• Guardar datos sin cifrar
• Datos con cifrado ”debil”, AKA cifrado propio
• Transmitir credenciales via http
• Transmisión de excepciones completas a front-end
Sugerencias
• Identiﬁcar con un checklist los datos sensitivos
• Evitar cifrado de dos vías a menos que sea necesario
• Evitar transmisión de llaves
• Veriﬁcar código auto generado (excepciones)
21

JavaEE - A5-Broken Access Control
• Implementación de solución manual vs frameworks
• Falta de políticas
• Escalar privilegios
• Comunicación y/o autenticación via http
Sugerencias
• Forzar https
• Implementación RBAC de application server
• Implementación RBAC de framework
• Entender el modelo de JAAS, SoteriaRI y MicroProﬁle security
22

JavaEE - A5-Broken Access Control
Endpoint normal
1 @GET
2 @Path("/{id:[0-9][0-9]*}")
3 public AdmPhrase findById(@PathParam("id") Long id) {
4 return admPhraseRepository.findById(id);
5 }
Endpoint con RBAC
1 @GET
2 @Path("/{id:[0-9][0-9]*}")
3 @RolesAllowed({RolesEnum.Constants.MOBILE_VALUE, RolesEnum.
Constants.WEB_VALUE})
4 public AdmPhrase findById(@PathParam("id") Long id) {
5 return admPhraseRepository.findById(id);
6 } 23

JavaEE - A6-Security Misconfiguration
• Configuración por defecto de applicaction server
• Configuración por defecto de SO
• Configuración relajada de capa de transporte
Sugerencias
• Configurar siempre el SO destino
• Proteger y actualizar runtime
• Firewall
• RBAC
• Evitar certificados autofirmados en entornos no controlados
• JVM tipo server
24

JavaEE - A8-Insecure deserialization
• Self made frameworks
• No validation
Sugerencias
• Evaluar si no vale la pena utilizar un software listo
• Bean validation
• Sanitización
25

JavaEE - A9-Using components with known vulnerabilities
• Difícil dar seguimiento a los lanzamientos
• Frameworks muy nuevos o muy viejos
• No seguir las notas del lanzamiento
Sugerencias
• Actualizar el app server con el calendario de lanzamiento
• Suscripción a mailing list/foros
• Servicios tipo Bintray, GitHub Security
• Servicios de análisis estático (Sonar)
26

JavaEE - A9-Using components with known vulnerabilities
27

JavaEE - Bonus-APIs sin proteger
• Combinación de broken auth, broken access control o security
misconﬁguration
• No hay nada
• Especialmente grave en rich clients
Sugerencias
• Veriﬁcar código auto generado
• Programar en modo deny all
28

Demo Payara 5
• Proveedor de tokens https://github.com/tuxtor/microjwt-provider/
• API protegida https://github.com/tuxtor/demoinfosec-service-b/
30

Víctor Orozco
• vorozco@nabenik.com
• @tuxtor
• http://vorozco.com
• http://tuxtor.shekalug.org
This work is licensed under
Creative Commons Attribution-
NonCommercial-ShareAlike 3.0
Guatemala (CC BY-NC-SA 3.0 GT).
31

Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10

Más contenido relacionado

La actualidad más candente (19)

Similar a Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10 (20)

Más de Víctor Leonel Orozco López (18)

Último (20)

Seguridad de aplicaciones Java/JakartaEE con OWASP Top 10