Subido porsuperserch
1,549 vistas

Inyección, XSS, CSRF en ChelaJS

El documento describe los 10 principales riesgos en aplicaciones web según la clasificación OWASP Top 10 de 2013. Estos riesgos incluyen inyección, fallos de autenticación, cross-site scripting, referencias inseguras a objetos directos, mala configuración de seguridad, exposición de datos sensibles, falta de controles de acceso, cross-site request forgery, uso de componentes con vulnerabilidades conocidas, y redirecciones sin validación. Para cada riesgo se provee una descripción y ejemplos de cómo mitigarlo.

Descargado 16 veces
Los 10 principales riesgos en aplicaciones web (OWASP Top 10 2013) @SuperSerch
OWASP Top Ten 2013 Edition A1: Inyección A2: Fallos de Autenticación y manejo de sessiones A3: Cross-Site Scripting (XSS) A4: Referencias inseguras a objetos directos A5: Mala configuración de la seguridad A6: Exposición de datos sensibles A7:  Falta de controles de acceso por función A8: Cross Site Request Forgery (CSRF) A9: Usar componentes con vulnerabilidades conocidas A10: Redirecciones sin validación
OWASP Top Ten 2013 Edition A1: Inyección A2: Fallos de Autenticación y manejo de sessiones A3: Cross-Site Scripting (XSS) A4: Referencias inseguras a objetos directos A5: Mala configuración de la seguridad A6: Exposición de datos sensibles A7:  Falta de controles de acceso por función A8: Cross Site Request Forgery (CSRF) A9: Usar componentes con vulnerabilidades conocidas A10: Redirecciones sin validación
A1: Inyección • Una falla de inyección ocurre cuando se envían datos no confiables a un interprete como parte de una instrucción o una consulta. • Los datos no confiables del atacante pueden engañar al interprete para ejecutar instrucciones no esperadas o entregar información no autorizada.
A1: Inyección query="SELECT * FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
A1: Inyección query="SELECT * FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
A1: Inyección query="SELECT * FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… } admin' or 1=1--
A1: Inyección query="SELECT * FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
A1: Inyección Mitigación en SQL • No mezclar datos provenientes del usuario en la construcción de queries • Utilizar queries parametrizados • Sanitizar y parsear los datos antes de mezclarlos
A1: Inyección query="SELECT * FROM users WHERE username = ? AND password = ?" //… connection.query(query, [req.query.username, req.query.password], function (error, results, fields) { //… }
A1: Inyección app.post('/login', function (req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) })
A1: Inyección app.post('/login', function (req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) })
A1: Inyección app.post('/login', function (req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) }) { "username": {"$gt": ""}, "password": {"$gt": ""} }
A1: Inyección Mitigación en MongoDB • No mezclar datos provenientes del usuario en la construcción de queries • Sanitizar y parsear los datos antes de mezclarlos • Validar los datos contra valores esperados • Usar cuentas con mínimos privilegios según la acción a realizar
A1: Inyección • eval() • setTimeout() • setInterval() • new Function()
A1: Inyección • eval("…….") • setTimeout("…….", x) • setInterval("…….", x) • new Function("…….")
A1: Inyección • while(1){} • process.exit() • process.kill(process.pid)
A1: Inyección • res.end(require('fs').
 readdirSync('.').toString()) • res.end(require('fs').
 readdirSync('..').toString()) • res.end(require('fs').
 readFileSync(filename))
A1: Inyección Mitigación en javascript • Validar los datos antes de procesarlos en el servidor • No usar eval() para parsear los datos • Evitar usar las eval, setTimeout, setInterval y Function • Para parsear usar JSON.parse() • Usar "use strict" al inicio de la función para limitar lo que puede hacer
A3: Cross-Site Scripting (XSS) • Ocurre cuando una aplicación toma datos de un usuario y los manda a un navegador sin una adecuada validación o escape. • Permite que un atacante utilice nuestro sitio para ejecutar código en el navegador de la víctima. • Existe en dos modalidades: Reflejado y Almacenado
A3: Cross-Site Scripting (XSS) app.post('/', function( req, res) { res.end("hola " + req.body.nombre) })
A3: Cross-Site Scripting (XSS) app.post('/', function( req, res) { res.end("hola " + req.body.nombre) }) <script>alert('Hola')</script>
A3: Cross-Site Scripting (XSS)
 áreas a vigilar Código HTML <span>DATOS<span> Atributos HTML <input type="text" name="pnombre" value="DATOS"> URIs <a href="/site/search?value="DATOS" 
 >Más Info</a> JavaScript <script> var currentValue='DATOS' </script> <script> algunaFuncion('DATOS')</script> CSS <div style="width:DATOS;">encabezado</div>
A3: Cross-Site Scripting (XSS)
 Mitigación • Sanitizar y Validar los datos • Codificar la salida de forma adecuada • Usar la opción HTTPOnly para las cookies • Aplicar estas reglas tanto en el cliente como en el server
A3: Cross-Site Scripting (XSS)
 Mitigación Código HTML convertir & en &amp; < en &lt; > en &gt; " en &quot; ' en &#27; y / en &#x2F; Atributos HTML Excepto para caracteres alfanuméricos convertir todo a entidades HTML &#xHH; (HH valor hexadecimal) URIs Excepto para caracteres alfanuméricos convertir todo a entidades HTML &#xHH; (HH valor hexadecimal) JavaScript Asegurar que todas las variables tienen " y todo caracter ASCII abajo de 256 codificarlo como unicode uXXXX (X -> entero) ó uxHH CSS Excepto para caracteres alfanuméricos convertir todo caracter ASCII abajo de 256 en HH
A3: Cross-Site Scripting (XSS)
 Mitigación en NodeJS swig.init({ root: __dirname + "/app/views", autoescape: true //valor por defecto }) app.use(express.session({
 secret: "s3creT0", cookie: { httpOnly: true, secure: true } }))
A8: Cross Site Request Forgery (CSRF) • Consiste en forzar al navegador, autenticado, de la víctima a enviar una petición HTTP falsificada, dado que los valores de autenticación se incluyen automáticamente a cada petición, la aplicación atacada ve la petición como una solicitud autentica
A8: Cross Site Request Forgery (CSRF) Sitio vulnerable a CSRF 1. El usuario se firma a su aplicación Sitio usado para distribuir el ataque 2. El usuario entra a un sitio trampa 3. En el código del sitio trampa existe una llamada al sitio vulnerable 4. El sitio vulnerable recibe la petición y la procesa como una petición normal
A8: Cross Site Request Forgery (CSRF) Sitio vulnerable a CSRF 1. El usuario se firma a su aplicación Sitio usado para distribuir el ataque 2. El usuario entra a un sitio trampa 3. En el código del sitio trampa existe una llamada al sitio vulnerable 4. El sitio vulnerable recibe la petición y la procesa como una petición normal <img src=”https:// www.bancoenlinea/usuario/ transfiere? ctaDestino=A113&cantidad=1000" />
A8: Cross Site Request Forgery (CSRF)
 Mitigación • Agregar un “secreto” (token) que no se envíe automáticamente a todas las peticiones sensibles • Los Tokens deben ser criptográficamente fuertes o completamente aleatorios • No permitas que los atacantes coloquen ataques en tus sitios • Codifica adecuadamente todo dato que recibas de los usuarios
A8: Cross Site Request Forgery (CSRF)
 Mitigación app.use(express.csrf()) app.use(function(req, res.next) { res.locals.csrftoken = res.csrfToken() next() }) <input type="hidden" name="_csrf" value="{{ csrftoken }}">
Referencias • OWASP Top Ten
 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP NodeGoat
 https://github.com/OWASP/NodeGoat • Server-Side JavaScript Injection
 https://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf • Node.js Security
 https://www.owasp.org/images/3/31/Node.js_Security_Old_vulnerabilities_in_new_bottles_- _Sven_Vetsch.pdf

Gracias!

Más contenido relacionado

PDF
Garbage Collection en el JVM
porsuperserch
 
PDF
Workshop: Lambdas y Stream API en Java 8
porsuperserch
 
PDF
Cloudino workshopcpmx7
porsuperserch
 
PDF
Zed Attack Proxy
porsuperserch
 
PDF
Programación móvil para superhéroes
porSoftware Guru
 
PDF
Jvmmx docker jvm
porsuperserch
 
PDF
Chela stress test
porsuperserch
 
PDF
Jvmmx jigsaw
porsuperserch
 
Garbage Collection en el JVM
porsuperserch
 
Workshop: Lambdas y Stream API en Java 8
porsuperserch
 
Cloudino workshopcpmx7
porsuperserch
 
Zed Attack Proxy
porsuperserch
 
Programación móvil para superhéroes
porSoftware Guru
 
Jvmmx docker jvm
porsuperserch
 
Chela stress test
porsuperserch
 
Jvmmx jigsaw
porsuperserch
 

Destacado

PDF
10 SQL Tricks that You Didn't Think Were Possible
porLukas Eder
 
PDF
Sistemas de tipos: Lo bueno, lo malo y lo feo
porEnrique Zamudio López
 
PDF
How Netflix thinks of DevOps. Spoiler: we don’t.
porDianne Marsh
 
PDF
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
porJavier Antunez / CISSP / LA27001 / IA9001
 
ODP
PCJ Sesión 9: Threads
porEnrique Zamudio López
 
PPTX
What’s Your Endgame?
porEpic | A Brand Voice Agency
 
PDF
CEHRS Exam Score.PDF
porBarbara Walt
 
PPT
Criptografía para simples mortales
porEnrique Zamudio López
 
PDF
Diseño de compiladores: Un vistazo a Ceylon-JS
porEnrique Zamudio López
 
ODP
Introducción a Ceylon
porEnrique Zamudio López
 
ODP
Introducción a jAlarms
porEnrique Zamudio López
 
PDF
Walking the Tightrope: Balancing Bias to Action and Planning
porDianne Marsh
 
PPTX
Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
porEpic | A Brand Voice Agency
 
PPTX
Social media for small NGOs
porAmy Coulterman
 
PDF
CBCS Exam Score
porBarbara Walt
 
PDF
عباس 88
porعباس طمبل عبدالله الملك
 
PDF
Special Issue: Eco Sustainable Future From Now
porJean-Claude Bastos de Morais
 
PDF
Social media: marketing is in dialogue
porYannis P. Triantafyllou
 
PPTX
9 Surprising Tips to Make Your AMC Stand Out
porEpic | A Brand Voice Agency
 
10 SQL Tricks that You Didn't Think Were Possible
porLukas Eder
 
Sistemas de tipos: Lo bueno, lo malo y lo feo
porEnrique Zamudio López
 
How Netflix thinks of DevOps. Spoiler: we don’t.
porDianne Marsh
 
CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles...
porJavier Antunez / CISSP / LA27001 / IA9001
 
PCJ Sesión 9: Threads
porEnrique Zamudio López
 
What’s Your Endgame?
porEpic | A Brand Voice Agency
 
CEHRS Exam Score.PDF
porBarbara Walt
 
Criptografía para simples mortales
porEnrique Zamudio López
 
Diseño de compiladores: Un vistazo a Ceylon-JS
porEnrique Zamudio López
 
Introducción a Ceylon
porEnrique Zamudio López
 
Introducción a jAlarms
porEnrique Zamudio López
 
Walking the Tightrope: Balancing Bias to Action and Planning
porDianne Marsh
 
Trendspotting: How to Predict and Position Your AMC and Your Clients for Success
porEpic | A Brand Voice Agency
 
Social media for small NGOs
porAmy Coulterman
 
CBCS Exam Score
porBarbara Walt
 
عباس 88
porعباس طمبل عبدالله الملك
 
Special Issue: Eco Sustainable Future From Now
porJean-Claude Bastos de Morais
 
Social media: marketing is in dialogue
porYannis P. Triantafyllou
 
9 Surprising Tips to Make Your AMC Stand Out
porEpic | A Brand Voice Agency
 

Similar a Inyección, XSS, CSRF en ChelaJS

PPTX
Owasp top 10 2017
poryopablo
 
PPTX
Temas owasp
porFernando Solis
 
PPTX
Los 10 principales riesgos en aplicaciones web #CPMX5
porSemanticWebBuilder
 
PPT
Owasp Top10 Spanish
porFabio Cerullo
 
PPTX
OWASP TOP TEN 2013.pptx
porJopenGagoP
 
PPTX
Seguridad en los sistemas web
porFacultad de Ciencias y Sistemas
 
PDF
OWASP Top 10 2017
porsuperserch
 
PDF
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
porRaúl Requero García
 
PPTX
Owasp top ten 2019
porSantiago Rodríguez Paniagua
 
PPT
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
porSoftware Guru
 
PPT
Seguridad app web
porPatriciaU
 
PDF
Seguridad Web XSS y BeEF
porJose Miguel Holguin
 
PDF
Seguridad en el desarrollo de aplicaciones web
porJuan Eladio Sánchez Rosas
 
PDF
Owasp proyecto
porFernando Solis
 
PDF
Seguridad web
porcamposer
 
PPT
Web app attacks
porJaime Restrepo
 
PPTX
I Meetup OWASP - Seguridad en NodeJS
porRaúl Requero García
 
PPTX
Los 7 pecados del Desarrollo Web
poracksec
 
ODP
Seguridad en aplicaciones web
porJose Mato
 
PDF
TOP10 - Owasp 2017
porLuis Toscano
 
Owasp top 10 2017
poryopablo
 
Temas owasp
porFernando Solis
 
Los 10 principales riesgos en aplicaciones web #CPMX5
porSemanticWebBuilder
 
Owasp Top10 Spanish
porFabio Cerullo
 
OWASP TOP TEN 2013.pptx
porJopenGagoP
 
Seguridad en los sistemas web
porFacultad de Ciencias y Sistemas
 
OWASP Top 10 2017
porsuperserch
 
Desarrollo seguro en NodeJS (OWASP top ten y JWT)
porRaúl Requero García
 
Owasp top ten 2019
porSantiago Rodríguez Paniagua
 
Incorporando la Seguridad de la Información en el Desarrollo de Aplicaciones
porSoftware Guru
 
Seguridad app web
porPatriciaU
 
Seguridad Web XSS y BeEF
porJose Miguel Holguin
 
Seguridad en el desarrollo de aplicaciones web
porJuan Eladio Sánchez Rosas
 
Owasp proyecto
porFernando Solis
 
Seguridad web
porcamposer
 
Web app attacks
porJaime Restrepo
 
I Meetup OWASP - Seguridad en NodeJS
porRaúl Requero García
 
Los 7 pecados del Desarrollo Web
poracksec
 
Seguridad en aplicaciones web
porJose Mato
 
TOP10 - Owasp 2017
porLuis Toscano
 

Último

PDF
Verificación de Hardware ASIC FPGA De la Complejidad al Dominio — Versión Pa...
porCarmen Estela Silva
 
PDF
Ética y Sesgos en Modelos de IA para Aplicaciones Críticas — Versión Parcial ...
porCarmen Estela Silva
 
PDF
Presentación eficaz para TIC (Raquel).pdf
porraquelmartab
 
PDF
SESION DE APRENDIZAJE SESION NUMERO 1 __
poralejandro arata paniura
 
PPTX
DIAPOSITIVAS DE INTRODUCCION A PANELES SOLARES.pptx
porStikRifLife1
 
PPTX
RECONOCIMIENTO DEL CONTACTOR ELECTRICO.pptx
porStikRifLife1
 
PDF
Proyecto Integrado CTS Aplicando Herramientas Estadísticas.pdf
porcoloradxmaria
 
PDF
ELECTRICIDAD Y ELECTRÓNICA EJES TEMATICOS DEL TERCER PERIODO LICEO DEPARTAMENTAL
poredeplauramunoz919
 
PDF
Ronmy Cañas Venezuela_ Centros tecnológicos que transforman comunidades.pdf
porronmyjosecanaszambra
 
PDF
¿Que son las plataformas digitales? Ventajas y desventajas.pdf
pormirkocha204
 
DOCX
Fundamentos de la electricidad y la electrónica.
poredeplauravallejo
 
DOCX
Mariana Florez Rincon 9-1 tecnologia
porcindycrinconc
 
DOCX
ACTIVIDAD TERCER PERIODO tecnologia.docx
pornicolelozanodorado9
 
DOCX
Copia de Copia de Copia de Tecnologia electricidad.docx
porLuArtist
 
DOCX
trabajo de tecnologia 9-6 johan steban plazas enriquez
porpsytowin44
 
PPTX
cronologia adjunta de historia de la web
poryonathanb1979
 
PPTX
Presentation 2 cosmos generacion de baterias
porvictoria06pr
 
PPTX
Clase_Inicios_Comunicacion_Digital_JMGL.pptx
porSelMedicaAMC
 
PDF
Tecnología y personas mayores. Vida indpendiente..pdf
porJosé María
 
PPTX
Agentes Racionales en Inteligencia Artificial. DF.pptx
porDarlinFranciscoRamos
 
Verificación de Hardware ASIC FPGA De la Complejidad al Dominio — Versión Pa...
porCarmen Estela Silva
 
Ética y Sesgos en Modelos de IA para Aplicaciones Críticas — Versión Parcial ...
porCarmen Estela Silva
 
Presentación eficaz para TIC (Raquel).pdf
porraquelmartab
 
SESION DE APRENDIZAJE SESION NUMERO 1 __
poralejandro arata paniura
 
DIAPOSITIVAS DE INTRODUCCION A PANELES SOLARES.pptx
porStikRifLife1
 
RECONOCIMIENTO DEL CONTACTOR ELECTRICO.pptx
porStikRifLife1
 
Proyecto Integrado CTS Aplicando Herramientas Estadísticas.pdf
porcoloradxmaria
 
ELECTRICIDAD Y ELECTRÓNICA EJES TEMATICOS DEL TERCER PERIODO LICEO DEPARTAMENTAL
poredeplauramunoz919
 
Ronmy Cañas Venezuela_ Centros tecnológicos que transforman comunidades.pdf
porronmyjosecanaszambra
 
¿Que son las plataformas digitales? Ventajas y desventajas.pdf
pormirkocha204
 
Fundamentos de la electricidad y la electrónica.
poredeplauravallejo
 
Mariana Florez Rincon 9-1 tecnologia
porcindycrinconc
 
ACTIVIDAD TERCER PERIODO tecnologia.docx
pornicolelozanodorado9
 
Copia de Copia de Copia de Tecnologia electricidad.docx
porLuArtist
 
trabajo de tecnologia 9-6 johan steban plazas enriquez
porpsytowin44
 
cronologia adjunta de historia de la web
poryonathanb1979
 
Presentation 2 cosmos generacion de baterias
porvictoria06pr
 
Clase_Inicios_Comunicacion_Digital_JMGL.pptx
porSelMedicaAMC
 
Tecnología y personas mayores. Vida indpendiente..pdf
porJosé María
 
Agentes Racionales en Inteligencia Artificial. DF.pptx
porDarlinFranciscoRamos
 

Inyección, XSS, CSRF en ChelaJS

  • 1.
    Los 10 principales riesgosen aplicaciones web (OWASP Top 10 2013) @SuperSerch
  • 2.
    OWASP Top Ten2013 Edition A1: Inyección A2: Fallos de Autenticación y manejo de sessiones A3: Cross-Site Scripting (XSS) A4: Referencias inseguras a objetos directos A5: Mala configuración de la seguridad A6: Exposición de datos sensibles A7:  Falta de controles de acceso por función A8: Cross Site Request Forgery (CSRF) A9: Usar componentes con vulnerabilidades conocidas A10: Redirecciones sin validación
  • 3.
    OWASP Top Ten2013 Edition A1: Inyección A2: Fallos de Autenticación y manejo de sessiones A3: Cross-Site Scripting (XSS) A4: Referencias inseguras a objetos directos A5: Mala configuración de la seguridad A6: Exposición de datos sensibles A7:  Falta de controles de acceso por función A8: Cross Site Request Forgery (CSRF) A9: Usar componentes con vulnerabilidades conocidas A10: Redirecciones sin validación
  • 4.
    A1: Inyección • Unafalla de inyección ocurre cuando se envían datos no confiables a un interprete como parte de una instrucción o una consulta. • Los datos no confiables del atacante pueden engañar al interprete para ejecutar instrucciones no esperadas o entregar información no autorizada.
  • 5.
    A1: Inyección query="SELECT *FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
  • 6.
    A1: Inyección query="SELECT *FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
  • 7.
    A1: Inyección query="SELECT *FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… } admin' or 1=1--
  • 8.
    A1: Inyección query="SELECT *FROM users WHERE username = '" + req.query.username + "' AND password = '" + req.query.password + "'" //… connection.query(query, function (error, results, fields) { //… }
  • 9.
    A1: Inyección Mitigación enSQL • No mezclar datos provenientes del usuario en la construcción de queries • Utilizar queries parametrizados • Sanitizar y parsear los datos antes de mezclarlos
  • 10.
    A1: Inyección query="SELECT *FROM users WHERE username = ? AND password = ?" //… connection.query(query, [req.query.username, req.query.password], function (error, results, fields) { //… }
  • 11.
    A1: Inyección app.post('/login', function(req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) })
  • 12.
    A1: Inyección app.post('/login', function(req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) })
  • 13.
    A1: Inyección app.post('/login', function(req, res) { db.users.find({username: req.body.username, password: req.body.password}, function (err, users) { //… }) }) { "username": {"$gt": ""}, "password": {"$gt": ""} }
  • 14.
    A1: Inyección Mitigación enMongoDB • No mezclar datos provenientes del usuario en la construcción de queries • Sanitizar y parsear los datos antes de mezclarlos • Validar los datos contra valores esperados • Usar cuentas con mínimos privilegios según la acción a realizar
  • 15.
    A1: Inyección • eval() •setTimeout() • setInterval() • new Function()
  • 16.
    A1: Inyección • eval("…….") •setTimeout("…….", x) • setInterval("…….", x) • new Function("…….")
  • 17.
    A1: Inyección • while(1){} •process.exit() • process.kill(process.pid)
  • 18.
    A1: Inyección • res.end(require('fs').
 readdirSync('.').toString()) •res.end(require('fs').
 readdirSync('..').toString()) • res.end(require('fs').
 readFileSync(filename))
  • 19.
    A1: Inyección Mitigación enjavascript • Validar los datos antes de procesarlos en el servidor • No usar eval() para parsear los datos • Evitar usar las eval, setTimeout, setInterval y Function • Para parsear usar JSON.parse() • Usar "use strict" al inicio de la función para limitar lo que puede hacer
  • 20.
    A3: Cross-Site Scripting (XSS) •Ocurre cuando una aplicación toma datos de un usuario y los manda a un navegador sin una adecuada validación o escape. • Permite que un atacante utilice nuestro sitio para ejecutar código en el navegador de la víctima. • Existe en dos modalidades: Reflejado y Almacenado
  • 21.
    A3: Cross-Site Scripting (XSS) app.post('/',function( req, res) { res.end("hola " + req.body.nombre) })
  • 22.
    A3: Cross-Site Scripting (XSS) app.post('/',function( req, res) { res.end("hola " + req.body.nombre) }) <script>alert('Hola')</script>
  • 23.
    A3: Cross-Site Scripting(XSS)
 áreas a vigilar Código HTML <span>DATOS<span> Atributos HTML <input type="text" name="pnombre" value="DATOS"> URIs <a href="/site/search?value="DATOS" 
 >Más Info</a> JavaScript <script> var currentValue='DATOS' </script> <script> algunaFuncion('DATOS')</script> CSS <div style="width:DATOS;">encabezado</div>
  • 24.
    A3: Cross-Site Scripting(XSS)
 Mitigación • Sanitizar y Validar los datos • Codificar la salida de forma adecuada • Usar la opción HTTPOnly para las cookies • Aplicar estas reglas tanto en el cliente como en el server
  • 25.
    A3: Cross-Site Scripting(XSS)
 Mitigación Código HTML convertir & en &amp; < en &lt; > en &gt; " en &quot; ' en &#27; y / en &#x2F; Atributos HTML Excepto para caracteres alfanuméricos convertir todo a entidades HTML &#xHH; (HH valor hexadecimal) URIs Excepto para caracteres alfanuméricos convertir todo a entidades HTML &#xHH; (HH valor hexadecimal) JavaScript Asegurar que todas las variables tienen " y todo caracter ASCII abajo de 256 codificarlo como unicode uXXXX (X -> entero) ó uxHH CSS Excepto para caracteres alfanuméricos convertir todo caracter ASCII abajo de 256 en HH
  • 26.
    A3: Cross-Site Scripting(XSS)
 Mitigación en NodeJS swig.init({ root: __dirname + "/app/views", autoescape: true //valor por defecto }) app.use(express.session({
 secret: "s3creT0", cookie: { httpOnly: true, secure: true } }))
  • 27.
    A8: Cross SiteRequest Forgery (CSRF) • Consiste en forzar al navegador, autenticado, de la víctima a enviar una petición HTTP falsificada, dado que los valores de autenticación se incluyen automáticamente a cada petición, la aplicación atacada ve la petición como una solicitud autentica
  • 28.
    A8: Cross SiteRequest Forgery (CSRF) Sitio vulnerable a CSRF 1. El usuario se firma a su aplicación Sitio usado para distribuir el ataque 2. El usuario entra a un sitio trampa 3. En el código del sitio trampa existe una llamada al sitio vulnerable 4. El sitio vulnerable recibe la petición y la procesa como una petición normal
  • 29.
    A8: Cross SiteRequest Forgery (CSRF) Sitio vulnerable a CSRF 1. El usuario se firma a su aplicación Sitio usado para distribuir el ataque 2. El usuario entra a un sitio trampa 3. En el código del sitio trampa existe una llamada al sitio vulnerable 4. El sitio vulnerable recibe la petición y la procesa como una petición normal <img src=”https:// www.bancoenlinea/usuario/ transfiere? ctaDestino=A113&cantidad=1000" />
  • 30.
    A8: Cross SiteRequest Forgery (CSRF)
 Mitigación • Agregar un “secreto” (token) que no se envíe automáticamente a todas las peticiones sensibles • Los Tokens deben ser criptográficamente fuertes o completamente aleatorios • No permitas que los atacantes coloquen ataques en tus sitios • Codifica adecuadamente todo dato que recibas de los usuarios
  • 31.
    A8: Cross SiteRequest Forgery (CSRF)
 Mitigación app.use(express.csrf()) app.use(function(req, res.next) { res.locals.csrftoken = res.csrfToken() next() }) <input type="hidden" name="_csrf" value="{{ csrftoken }}">
  • 32.
    Referencias • OWASP TopTen
 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP NodeGoat
 https://github.com/OWASP/NodeGoat • Server-Side JavaScript Injection
 https://media.blackhat.com/bh-us-11/Sullivan/BH_US_11_Sullivan_Server_Side_WP.pdf • Node.js Security
 https://www.owasp.org/images/3/31/Node.js_Security_Old_vulnerabilities_in_new_bottles_- _Sven_Vetsch.pdf

  • 33.