Rich Internet Application Security

Breaking)and)Securing) the)RIA)Montage) Kevin)Stadmeyer) Jon)Rose)

Who)are)we?) o Consultants)at)Trustwave’s)SpiderLabs) o Background) o  Network)&)App)PentesHng) o  Architecture)&)Code)Review) o  SDLC)Security) ))

Outline) o Overview) o RIA)Technologies) o Security)controls) o AKack)examples) o Securing)RIA)

Rich)Internet)ApplicaHons) o  DeﬁniHon)N)I)know)it)when)I)see)it) o  Typically)provides:) o  Oﬄine)mode) o  File)system,)network)access) o 
Quicker)responsiveness)than)tradiHonal)web)apps) o  Consistent)UI)and)features)across)browsers) o  Local)data)storage) o  OVen)requires)dedicated)player)/)plugin) )

RIA)Technologies) o  Flash/Flex/AIR) o  MS)Silverlight) o  AJAX) o  Java/JavaFX) o 
Google)Gears)

Security)Controls) o  Run)apps)outside)browser) o  sandboxing)

Why)AKack)RIA) o  Weak)security)controls)/)insecure)development)pracHces) o  Lots)of)money)to)be)made) o  Credit)Cards) o  IdenHty)theV) o 
Blackmail)

RIA)AKack)Sampler) o  RemoHng)AuthenHcaHon)/)AuthorizaHon)errors) o  DecompilaHon)/)Reverse)Engineering)clients) o  Insecure)client)side)storage) o  Unauthorized)access)to)ﬁlesystem)or)local)network) o 
User)supplied)Inputs) o  Loading)Malicious)External)Content) o  Sandbox)Bridges) o  Insecure)default)se]ngs) o  Insecure)network)communicaHon)

RemoHng)Insecurity) o  Developers)fail)to)restrict)access)to)methods:) o  AuthenHcaHon)) o  AuthorizaHon) o  Flash)remoHng)N)servers)can)be)ﬁngerprinted,)Method)&)Service)names)can) be)bruteNforced)
)

Client)Decompilaton)/)Reverse)Engineering) o  SWF)ﬁles)(can)be)decompiled))

ClientNSide)Storage) o  SensiHve)info)is)oVen)stored)insecure)on)the)client) o  Target)of)aKacker)once)machine)is)compromised,)leads)to)addiHonal)compromise) or)system)access) o  Can)apps)access)each)others)data?))Test)this) o  Flash)Cookies:)
o  Hard)to)delete) ) )

Debug)FuncHonality) o  OVen)inadvertently)leV)in)producHon)code) o  Expose)sensiHve)informaHon,)addiHonal)funcHonality,)administraHve)capabiliHes)

User)Supplied)Parameters) o  Flash)parameters) o  AcHveX)params) o  Adobe)AIR)arguments)

Loading)External)Content) o  Can)trick)app)into)loading)malicious)content)

Breaking)Sandbox)Bridges) o  Transfering)data)between)sandboxes) o  Objects)available)from)mulHple)sandboxes) o  Pass)data)by)value) o  Simliar)to)ajax)devs)ge]ng)past)same)origin) o 
Sandboxes)apps)communicaHng)

Insecure)Default)Se]ngs) o  AIR)installer)prompt) o  Check)self)signed)code)for)various)tech..)

Insecure)Network)CommunicaHon) o  Add)wireshark)pics)

Security)Guidance)/)Best)PracHces) o  Don’t)store)senHvie)info)on)clients) o  Use)GUID)to)protect)client)side)data)objects) o  Enforce)SSL)connecHons) o  Implement)authenHcaHon)and)authorizaHon)for)remote)server)methods)

QuesHons)&)Comments) o Contact)us:) o  [email protected]) o  [email protected]) o Thanks!)

Rich Internet Application Security

Rich Internet Application Security

Jon Rose

More Decks by Jon Rose

Other Decks in Technology

Featured

Transcript

Breaking)and)Securing) the)RIA)Montage) Kevin)Stadmeyer) Jon)Rose)

Who)are)we?) o Consultants)at)Trustwave’s)SpiderLabs) o Background) o  Network)&)App)PentesHng) o  Architecture)&)Code)Review) o  SDLC)Security) ))

Outline) o Overview) o RIA)Technologies) o Security)controls) o AKack)examples) o Securing)RIA)

Rich)Internet)ApplicaHons) o  DeﬁniHon)N)I)know)it)when)I)see)it) o  Typically)provides:) o  Oﬄine)mode) o  File)system,)network)access) o

RIA)Technologies) o  Flash/Flex/AIR) o  MS)Silverlight) o  AJAX) o  Java/JavaFX) o

Security)Controls) o  Run)apps)outside)browser) o  sandboxing)

Why)AKack)RIA) o  Weak)security)controls)/)insecure)development)pracHces) o  Lots)of)money)to)be)made) o  Credit)Cards) o  IdenHty)theV) o

RIA)AKack)Sampler) o  RemoHng)AuthenHcaHon)/)AuthorizaHon)errors) o  DecompilaHon)/)Reverse)Engineering)clients) o  Insecure)client)side)storage) o  Unauthorized)access)to)ﬁlesystem)or)local)network) o

RemoHng)Insecurity) o  Developers)fail)to)restrict)access)to)methods:) o  AuthenHcaHon)) o  AuthorizaHon) o  Flash)remoHng)N)servers)can)be)ﬁngerprinted,)Method)&)Service)names)can) be)bruteNforced)

Client)Decompilaton)/)Reverse)Engineering) o  SWF)ﬁles)(can)be)decompiled))

ClientNSide)Storage) o  SensiHve)info)is)oVen)stored)insecure)on)the)client) o  Target)of)aKacker)once)machine)is)compromised,)leads)to)addiHonal)compromise) or)system)access) o  Can)apps)access)each)others)data?))Test)this) o  Flash)Cookies:)

Debug)FuncHonality) o  OVen)inadvertently)leV)in)producHon)code) o  Expose)sensiHve)informaHon,)addiHonal)funcHonality,)administraHve)capabiliHes)

User)Supplied)Parameters) o  Flash)parameters) o  AcHveX)params) o  Adobe)AIR)arguments)

Loading)External)Content) o  Can)trick)app)into)loading)malicious)content)

Breaking)Sandbox)Bridges) o  Transfering)data)between)sandboxes) o  Objects)available)from)mulHple)sandboxes) o  Pass)data)by)value) o  Simliar)to)ajax)devs)ge]ng)past)same)origin) o

Insecure)Default)Se]ngs) o  AIR)installer)prompt) o  Check)self)signed)code)for)various)tech..)

Insecure)Network)CommunicaHon) o  Add)wireshark)pics)

Security)Guidance)/)Best)PracHces) o  Don’t)store)senHvie)info)on)clients) o  Use)GUID)to)protect)client)side)data)objects) o  Enforce)SSL)connecHons) o  Implement)authenHcaHon)and)authorizaHon)for)remote)server)methods)

QuesHons)&)Comments) o Contact)us:) o  [email protected]) o  [email protected]) o Thanks!)