OK, para não deixar esmorecer ninguém, aqui ficam então alguns dos recursos mais
importantes que aconselho vivamente a todos os que quiserem ir um pouco mais
além daquilo que foi mostrado ontem na sessão WEB04: :
Improving Web Application Security: Threats and Countermeasures
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp
Um livro imenso, para cima das 900 páginas, disponível gratuitamente em formato
PDF e que foi uma das minhas companhias habituais nas últimas semanas.
Building Secure ASP .NET Applications (MSDN Online and Download PDF)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true
Outra boa referência, também disponível em PDF.
Writing Secure Code, Michael Howard, David LeBlanc
http://www.microsoft.com/mspress/books/5957.asp
Uma das bíblias no que diz respeito a código seguro. Muito abordado o tema dos
buffer overflows, que deve ser uma das razões principais para grande maioria
dos hotfixes críticos que instalamos regularmente. Não é comum encontrar este
tipo de falhas em managed code, asp.net,etc e daí não a ter incluído na demo.
Explorar um buffer overflow tb não é pera doce e acho que está um pouco(tipo
resmas) fora do meu alcance. No entanto, se trabalham em C\C++, é *obrigatório*
parar e ver tudo o que existe sobre BufferOverflows/Overruns
FoundStone Whitepapers
http://www.foundstone.com/resources/whitepapers.htm
Vários papers& advisories, do mais actual que existe incluindo alguns novos
tipos de ataque como http response spliitting etc . Foi aqui que percebi que a
melhor ideia de fazer as demos seria através de um proxy debugger (a foundstone
usa o Paros, eu acabei por optar pelo Fiddler ;) ). Assim espero ter deixado
claro que tudo é manipulável, ESQUEÇAM O BROWSER. :) Se não chegar... talvez
numa próxima sessão faça tudo com telnet.... :)
MSDN Magazine Novembro 2005
http://msdn.microsoft.com/msdnmag/issues/05/11/default.aspx
Todos os anos, por esta altura sai a edição dedicada à segurança. Um dos
artigos que aconselho vivamente, e que foi uma grande fonte de informação:
Design and Deploy Secure Web Apps with ASP.NET 2.0 and IIS 6.0 . Estavam a
distribuí-la no evento, espero que tenham conseguido uma cópia.
(Depois deixo uma lista completa de tudo quanto andei a ler para a sessão)
Logo que possa deixarei também vídeos com algumas demos inéditas :) (nada de tão
elaborado como as que mostrei mas são pequenas nuances que podem deitar tudo a
perder), com as respectivas notas e conselhos. Assim que o tempo o
permita.
As minhas desculpas pela finalização algo súbita da sessão :) Perdi um pouco a
noção do tempo com as trocas de sala, seja como for, mostrei as demos
imprescindíveis que estavam planeadas. Pensava eu que ia fazer aquilo em meia
hora e depois ia ter que encher o resto com outras pequenas demos se
necessário. Oradores inexperientes, dá nisto. :)
Obrigado a todos pelo apoio, se tiver evitado um ataque com sucesso a uma
aplicação que seja já valeu a pena. ;)
Fiquem atentos,
RQ