SlideShare uma empresa Scribd logo

Owasp - Segurança de aplicação na web

COTIC-PROEG (UFPA)
COTIC-PROEG (UFPA)

O documento discute a segurança de aplicações web e lista as 10 principais falhas de segurança, incluindo injeção, autenticação quebrada, XSS, referências inseguras de objetos, configurações inseguras, falta de controle de nível de acesso. Ele fornece exemplos e orientações sobre como prevenir cada falha.

Tecnologia
1 de 16
Baixar para ler offline
OWASP - Segurança de aplicações WEB Vitor castro - vitorcastro@me.com quinta-feira, 28 de março de 13
O que é ? • Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveis quinta-feira, 28 de março de 13
Risco de Segurança em Aplicações quinta-feira, 28 de março de 13
TOP 10 - 2013 10 PRINCIPAIS FALHAS DE SEGURANÇA WEB quinta-feira, 28 de março de 13
TOP 10 - 2013 • AI - Injeção • A2 - Autenticação quebrada e gerenciamento de sessão • A3 - XSS • A4 - Referências inseguras diretas de objetos • A5 - Segurança das configurações • A6 - Exposição sensível de dados • A7 - Falta de controle do nível de acesso • A8 - Cross-Site Requisição forjada • A9 - Uso de componentes com vulnerabilidade conhecida • A10 - Redirecionamento inválidos quinta-feira, 28 de março de 13
A1 - Injeção • Vulnerabilidade • Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas. quinta-feira, 28 de março de 13
A1 - Injeção • Ex: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'"; • Ex: http://example.com/app/accountView? id=' or '1'='1 quinta-feira, 28 de março de 13
A1 - Injeção • Prevenção • Usar biblioteca de interpretação de dados quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos • Vulnerabilidade • Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso. • Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual. quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos • Ex: example.com?id=400 • Ex: example.com? id=18d8042386b79e2c279fd162df0205c8 • Ex: example.com/promocao_de_pascoa quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos • Prevenção • Usar referências indiretas • Verificar o acesso quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso • Vulnerabilidade • Será que a navegação mostra URL para funções não autorizadas ? • São verificadas as autenticação e autorização ? • São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante? quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso • Ex: example.com/user • Ex: example.com/admin • Ex: example.com/user/new • Ex: example.com/admin/user/new quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso • Prevenção • Autenticação e autorização. • Não exibir link ou botões de funções não autorizadas. quinta-feira, 28 de março de 13
Referências • https://www.owasp.org/index.php/ Main_Page • http://owasptop10.googlecode.com/files/ OWASP%20Top%2010%20-%202013%20- %20RC1.pdf quinta-feira, 28 de março de 13
Obrigado facebook.com/aitproeg slideshare.net/aitproeg quinta-feira, 28 de março de 13

Recomendados

Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
TDC2016SP - Programando PHP com mais segurança!
TDC2016SP - Programando PHP com mais segurança!TDC2016SP - Programando PHP com mais segurança!
TDC2016SP - Programando PHP com mais segurança!tdc-globalcode
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityMarlon Bernardes
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Security & PHP
Security & PHPSecurity & PHP
Security & PHPNuno Loureiro
 

Recomendados

Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
TDC2016SP - Programando PHP com mais segurança!
TDC2016SP - Programando PHP com mais segurança!TDC2016SP - Programando PHP com mais segurança!
TDC2016SP - Programando PHP com mais segurança!tdc-globalcode
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityMarlon Bernardes
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Security & PHP
Security & PHPSecurity & PHP
Security & PHPNuno Loureiro
 
LT - Redis
LT - RedisLT - Redis
LT - RedisCOTIC-PROEG (UFPA)
 
LT Ansible
LT AnsibleLT Ansible
LT AnsibleCOTIC-PROEG (UFPA)
 
Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com CypressCOTIC-PROEG (UFPA)
 
Loop back
Loop backLoop back
Loop backCOTIC-PROEG (UFPA)
 
METEOR
METEORMETEOR
METEORCOTIC-PROEG (UFPA)
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilCOTIC-PROEG (UFPA)
 
Canva
CanvaCanva
CanvaCOTIC-PROEG (UFPA)
 
Git v2
Git v2Git v2
Git v2COTIC-PROEG (UFPA)
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalCOTIC-PROEG (UFPA)
 
Os 5 Sensos da Qualidade
Os 5 Sensos da QualidadeOs 5 Sensos da Qualidade
Os 5 Sensos da QualidadeCOTIC-PROEG (UFPA)
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMCOTIC-PROEG (UFPA)
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolaçãoCOTIC-PROEG (UFPA)
 
LAB JavaScript
LAB JavaScriptLAB JavaScript
LAB JavaScriptCOTIC-PROEG (UFPA)
 
Principios e Valores Ágeis
Principios e Valores ÁgeisPrincipios e Valores Ágeis
Principios e Valores ÁgeisCOTIC-PROEG (UFPA)
 
Big data
Big dataBig data
Big dataCOTIC-PROEG (UFPA)
 
Metricas para Times Ágeis
Metricas para Times ÁgeisMetricas para Times Ágeis
Metricas para Times ÁgeisCOTIC-PROEG (UFPA)
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPACOTIC-PROEG (UFPA)
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em ParCOTIC-PROEG (UFPA)
 
Feedback Canvas
Feedback CanvasFeedback Canvas
Feedback CanvasCOTIC-PROEG (UFPA)
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de ProjetosCOTIC-PROEG (UFPA)
 

Mais conteúdo relacionado

Mais de COTIC-PROEG (UFPA)

Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com CypressCOTIC-PROEG (UFPA)
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilCOTIC-PROEG (UFPA)
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalCOTIC-PROEG (UFPA)
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMCOTIC-PROEG (UFPA)
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolaçãoCOTIC-PROEG (UFPA)
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPACOTIC-PROEG (UFPA)
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em ParCOTIC-PROEG (UFPA)
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de ProjetosCOTIC-PROEG (UFPA)
 

Mais de COTIC-PROEG (UFPA) (20)

LT - Redis
LT - RedisLT - Redis
LT - Redis
 
LT Ansible
LT AnsibleLT Ansible
LT Ansible
 
Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com Cypress
 
Loop back
Loop backLoop back
Loop back
 
METEOR
METEORMETEOR
METEOR
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágil
 
Canva
CanvaCanva
Canva
 
Git v2
Git v2Git v2
Git v2
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissional
 
Os 5 Sensos da Qualidade
Os 5 Sensos da QualidadeOs 5 Sensos da Qualidade
Os 5 Sensos da Qualidade
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBM
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolação
 
LAB JavaScript
LAB JavaScriptLAB JavaScript
LAB JavaScript
 
Principios e Valores Ágeis
Principios e Valores ÁgeisPrincipios e Valores Ágeis
Principios e Valores Ágeis
 
Big data
Big dataBig data
Big data
 
Metricas para Times Ágeis
Metricas para Times ÁgeisMetricas para Times Ágeis
Metricas para Times Ágeis
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em Par
 
Feedback Canvas
Feedback CanvasFeedback Canvas
Feedback Canvas
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos
 

Owasp - Segurança de aplicação na web

  • 1. OWASP - Segurança de aplicações WEB Vitor castro - vitorcastro@me.com quinta-feira, 28 de março de 13
  • 2. O que é ? • Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveis quinta-feira, 28 de março de 13
  • 3. Risco de Segurança em Aplicações quinta-feira, 28 de março de 13
  • 4. TOP 10 - 2013 10 PRINCIPAIS FALHAS DE SEGURANÇA WEB quinta-feira, 28 de março de 13
  • 5. TOP 10 - 2013 • AI - Injeção • A2 - Autenticação quebrada e gerenciamento de sessão • A3 - XSS • A4 - Referências inseguras diretas de objetos • A5 - Segurança das configurações • A6 - Exposição sensível de dados • A7 - Falta de controle do nível de acesso • A8 - Cross-Site Requisição forjada • A9 - Uso de componentes com vulnerabilidade conhecida • A10 - Redirecionamento inválidos quinta-feira, 28 de março de 13
  • 6. A1 - Injeção • Vulnerabilidade • Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas. quinta-feira, 28 de março de 13
  • 7. A1 - Injeção • Ex: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'"; • Ex: http://example.com/app/accountView? id=' or '1'='1 quinta-feira, 28 de março de 13
  • 8. A1 - Injeção • Prevenção • Usar biblioteca de interpretação de dados quinta-feira, 28 de março de 13
  • 9. A4 - Referências inseguras diretas de objetos • Vulnerabilidade • Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso. • Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual. quinta-feira, 28 de março de 13
  • 10. A4 - Referências inseguras diretas de objetos • Ex: example.com?id=400 • Ex: example.com? id=18d8042386b79e2c279fd162df0205c8 • Ex: example.com/promocao_de_pascoa quinta-feira, 28 de março de 13
  • 11. A4 - Referências inseguras diretas de objetos • Prevenção • Usar referências indiretas • Verificar o acesso quinta-feira, 28 de março de 13
  • 12. A7 - Falta de controle de nível de acesso • Vulnerabilidade • Será que a navegação mostra URL para funções não autorizadas ? • São verificadas as autenticação e autorização ? • São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante? quinta-feira, 28 de março de 13
  • 13. A7 - Falta de controle de nível de acesso • Ex: example.com/user • Ex: example.com/admin • Ex: example.com/user/new • Ex: example.com/admin/user/new quinta-feira, 28 de março de 13
  • 14. A7 - Falta de controle de nível de acesso • Prevenção • Autenticação e autorização. • Não exibir link ou botões de funções não autorizadas. quinta-feira, 28 de março de 13
  • 15. Referências • https://www.owasp.org/index.php/ Main_Page • http://owasptop10.googlecode.com/files/ OWASP%20Top%2010%20-%202013%20- %20RC1.pdf quinta-feira, 28 de março de 13
  • 16. Obrigado facebook.com/aitproeg slideshare.net/aitproeg quinta-feira, 28 de março de 13