Rich Internet Application Security

Transcript

1. Breaking)and)Securing) the)RIA)Montage) Kevin)Stadmeyer) Jon)Rose)

2. Who)are)we?) o Consultants)at)Trustwave’s)SpiderLabs) o Background) o  Network)&)App)PentesHng) o  Architecture)&)Code)Review) o  SDLC)Security) ))

3. Outline) o Overview) o RIA)Technologies) o Security)controls) o AKack)examples) o Securing)RIA)

4. Rich)Internet)ApplicaHons) o  DefiniHon)N)I)know)it)when)I)see)it) o  Typically)provides:) o  Offline)mode) o  File)system,)network)access) o 

   Quicker)responsiveness)than)tradiHonal)web)apps) o  Consistent)UI)and)features)across)browsers) o  Local)data)storage) o  OVen)requires)dedicated)player)/)plugin) )

5. RIA)Technologies) o  Flash/Flex/AIR) o  MS)Silverlight) o  AJAX) o  Java/JavaFX) o 

   Google)Gears)

6. Security)Controls) o  Run)apps)outside)browser) o  sandboxing)

7. Why)AKack)RIA) o  Weak)security)controls)/)insecure)development)pracHces) o  Lots)of)money)to)be)made) o  Credit)Cards) o  IdenHty)theV) o 

   Blackmail)

8. RIA)AKack)Sampler) o  RemoHng)AuthenHcaHon)/)AuthorizaHon)errors) o  DecompilaHon)/)Reverse)Engineering)clients) o  Insecure)client)side)storage) o  Unauthorized)access)to)filesystem)or)local)network) o 

   User)supplied)Inputs) o  Loading)Malicious)External)Content) o  Sandbox)Bridges) o  Insecure)default)se]ngs) o  Insecure)network)communicaHon)

9. RemoHng)Insecurity) o  Developers)fail)to)restrict)access)to)methods:) o  AuthenHcaHon)) o  AuthorizaHon) o  Flash)remoHng)N)servers)can)be)fingerprinted,)Method)&)Service)names)can) be)bruteNforced)

   )

10. Client)Decompilaton)/)Reverse)Engineering) o  SWF)files)(can)be)decompiled))

11. ClientNSide)Storage) o  SensiHve)info)is)oVen)stored)insecure)on)the)client) o  Target)of)aKacker)once)machine)is)compromised,)leads)to)addiHonal)compromise) or)system)access) o  Can)apps)access)each)others)data?))Test)this) o  Flash)Cookies:)

    o  Hard)to)delete) ) )

12. Debug)FuncHonality) o  OVen)inadvertently)leV)in)producHon)code) o  Expose)sensiHve)informaHon,)addiHonal)funcHonality,)administraHve)capabiliHes)

13. User)Supplied)Parameters) o  Flash)parameters) o  AcHveX)params) o  Adobe)AIR)arguments)

14. Loading)External)Content) o  Can)trick)app)into)loading)malicious)content)

15. Breaking)Sandbox)Bridges) o  Transfering)data)between)sandboxes) o  Objects)available)from)mulHple)sandboxes) o  Pass)data)by)value) o  Simliar)to)ajax)devs)ge]ng)past)same)origin) o 

    Sandboxes)apps)communicaHng)

16. Insecure)Default)Se]ngs) o  AIR)installer)prompt) o  Check)self)signed)code)for)various)tech..)

17. Insecure)Network)CommunicaHon) o  Add)wireshark)pics)

18. Security)Guidance)/)Best)PracHces) o  Don’t)store)senHvie)info)on)clients) o  Use)GUID)to)protect)client)side)data)objects) o  Enforce)SSL)connecHons) o  Implement)authenHcaHon)and)authorizaHon)for)remote)server)methods)

19. QuesHons)&)Comments) o Contact)us:) o  [email protected]) o  [email protected]) o Thanks!)