2. $ whoami
● Estudante de Banco de dados na FATEC SJC;
● WebDeveloper na empresa QMágico;
● Linux Xiita em potencial e
● Entusiasta em segurança da informação.
3. Projeto OWASP
● Open Web Application Security Project
● Comunidade aberta e voluntária
● Segurança de aplicações
● Aplicações para treinamento
● Documentos e manifestos
● Apresentações
4. Projeto OWASP
● Desenvolvimento seguro
● Promover o compartilhamento de conteúdo
● “We grow when we share”
5. OWASP em números
● 420.000 page views por mês
● 230 GB de downloads por mês
● 4.618 usuários do wiki
● 200 atualizações por dia
● 124 capítulos
● 16.000 membros nos mailings lists
● 48 projetos de ferramentas e documentos
6. OWASP para todos!
● Publicações, artigos e manifestos
● OWASP Top 10
● Softwares de teste e treinamento
● WebGoat
● D.V.W.A.
● Para todos mesmo!
● GPL ou creative commons
8. Vulnerabilidades WEB
● Aplicações WEB
● Home-Mades e Freestyle
● Acompanham vicios do programador
● Proporciona ataques flexíveis
● “Combos de vulnerabilidades”
● Avaliar a internet como um ambiente hostil
● Sempre usar a WhiteList
● SE PODEM FAZER VÃO FAZER!
9. Principais ameaças
● Injeções
● OWASP TOP 10 2007 - 2º
● OWASP TOP 10 2010 - 1º
● Cross Site Scripting (XSS)
● OWASP TOP 10 2007 - 1º
● OWASP TOP 10 2010 - 2º
16. A2 – XSS
● Ataques enviados ao browser do usuário
● Redirecionamento e/ou roubo de dados
● Tipos de XSS:
● Persistente e Não persistente
<script>alert('XSS')</script>
17. A3 – Quebra de autenticação
● Protocolo HTTP não prevê autenticação
● Não é criptografado
● Depende do desenvolvedor
19. A5 – Cross Site Request
Forgery (CSRF)
● Primo distante do XSS
● Forja requisições aproveitando sessões ativas
<img src=”forum.com.br/logout.php”/>
20. A6 – Falhas de configuração
● Foge do escopo de código
● Exemplos: servidores ou serviços
desatualizados, DDOS ou DOS
● Vulneráveis a exploits (conhecidos ou não)
21. A7 – Armazenamento inseguro
● Permissão e criptografia
● Exemplo: Aplicação E-Commerce na nuvem
22. A8 – Falha de restrição de
acessos a URL
● Métodos/paginas acessíveis
● Exemplo: método getAll()
23. A9 – Canal Inseguro
● Criptografia na transmissão de dados
● HTTPS e SSL
● Evitam “sniffers”
● Suporte a SSL x Obrigatoriedade de SSL