Owasp - Segurança de aplicação na web

577 visualizações

Publicada em

Owasp - Segurança de aplicação na web. TOP 10 ano 2013

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
577
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
12
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Owasp - Segurança de aplicação na web

  1. 1. OWASP - Segurança de aplicações WEB Vitor castro - vitorcastro@me.comquinta-feira, 28 de março de 13
  2. 2. O que é ? • Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveisquinta-feira, 28 de março de 13
  3. 3. Risco de Segurança em Aplicaçõesquinta-feira, 28 de março de 13
  4. 4. TOP 10 - 2013 10 PRINCIPAIS FALHAS DE SEGURANÇA WEBquinta-feira, 28 de março de 13
  5. 5. TOP 10 - 2013 • AI - Injeção • A2 - Autenticação quebrada e gerenciamento de sessão • A3 - XSS • A4 - Referências inseguras diretas de objetos • A5 - Segurança das configurações • A6 - Exposição sensível de dados • A7 - Falta de controle do nível de acesso • A8 - Cross-Site Requisição forjada • A9 - Uso de componentes com vulnerabilidade conhecida • A10 - Redirecionamento inválidosquinta-feira, 28 de março de 13
  6. 6. A1 - Injeção • Vulnerabilidade • Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas.quinta-feira, 28 de março de 13
  7. 7. A1 - Injeção • Ex: String query = "SELECT * FROM accounts WHERE custID=" + request.getParameter("id") +""; • Ex: http://example.com/app/accountView? id= or 1=1quinta-feira, 28 de março de 13
  8. 8. A1 - Injeção • Prevenção • Usar biblioteca de interpretação de dadosquinta-feira, 28 de março de 13
  9. 9. A4 - Referências inseguras diretas de objetos • Vulnerabilidade • Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso. • Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual.quinta-feira, 28 de março de 13
  10. 10. A4 - Referências inseguras diretas de objetos • Ex: example.com?id=400 • Ex: example.com? id=18d8042386b79e2c279fd162df0205c8 • Ex: example.com/promocao_de_pascoaquinta-feira, 28 de março de 13
  11. 11. A4 - Referências inseguras diretas de objetos • Prevenção • Usar referências indiretas • Verificar o acessoquinta-feira, 28 de março de 13
  12. 12. A7 - Falta de controle de nível de acesso • Vulnerabilidade • Será que a navegação mostra URL para funções não autorizadas ? • São verificadas as autenticação e autorização ? • São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante?quinta-feira, 28 de março de 13
  13. 13. A7 - Falta de controle de nível de acesso • Ex: example.com/user • Ex: example.com/admin • Ex: example.com/user/new • Ex: example.com/admin/user/newquinta-feira, 28 de março de 13
  14. 14. A7 - Falta de controle de nível de acesso • Prevenção • Autenticação e autorização. • Não exibir link ou botões de funções não autorizadas.quinta-feira, 28 de março de 13
  15. 15. Referências • https://www.owasp.org/index.php/ Main_Page • http://owasptop10.googlecode.com/files/ OWASP%20Top%2010%20-%202013%20- %20RC1.pdfquinta-feira, 28 de março de 13
  16. 16. Obrigado facebook.com/aitproeg slideshare.net/aitproegquinta-feira, 28 de março de 13

×