Testes de Segurança em Aplicações Web para     WebDesigners
Quem sou eu?• Arthur Paixão• 5 Anos de experiência na área de segurança da informação.• Certificações:   EC-CSA (EcCouncil...
Páginas são adulterada todos os dias...
Páginas são adulterada todos os dias...
Onde há risco em segurança?                    Usuários Infraestrutura                 Aplicações WEB
Porquê segurança de aplicações é                prioridade?Aplicações web são o foco número 1 dos hackers:  • 75% dos ataq...
Porquê segurança de aplicações é                 prioridade?Aplicações web são alvos de alto valor para hackers:  • Dados ...
Que tipo de prejuízo posso ter?    Vulnerabilidades de software podem ter um      escopo muito maior do que o do próprio  ...
Porque existem CMS’s?Devido à Comodidade:  • Desde a criação dos primeiros CMS, o    pensamento de ter um padrão de    des...
Sim, mais e o KIKO??
E qual a semelhança entre eles?      JOOMLA               WORDPRESSLinux Foundation       Live MessengerNikon Instruments ...
O Barato pode sair caro...          • De que vale ter um site            muito barato se o site            está sempre ata...
Então é tudo uma maravilha?A falta de atualização dasplataformas pode acarretar naperda de todo o trabalho queo usuário te...
Quais são os CMS’s mais atacados?
Onde me informo sobre as   vulnerabilidades?   http://www.exploit-db.com/
Onde me informo sobre as   vulnerabilidades?     http://1337day.com/
Onde me informo sobre as   vulnerabilidades?  http://www.joomlaexploit.com/
Onde me informo sobre as   vulnerabilidades? http://www.wordpressexploit.com/
Onde me informo sobre as   vulnerabilidades? http://www.intelligentexploit.com/
Onde me informo sobre as        vulnerabilidades?http://packetstormsecurity.org/files/tags/exploit/
Onde me informo sobre as   vulnerabilidades?   http://www.wpsecure.net/
Muito cuidado com os plugins !!• Apesar de muitos dos plugins serem  seguros, principalmente aqueles que são  hospedados n...
Ferramenta de Apoio    [ Joomscan ]
Ferramenta de Apoio    [ WPScann ]
Vamos trocar uma idéia!• Os CMS abertos não são limitados?• Os sites com CMS abertos são  melhores do que com código  próp...
Vamos trocar uma idéia!• Só por ter um site feito em  joomla, wordpress ou outro cms  quer dizer que o site é mau ?       ...
Sem lenga-lenga o segredo é um só!•   Mantenha seu CMS constantemente atualizado.•   Esconda a versão utilizada no CMS.•  ...
Conclusão!• Lembrando que CMS é uma comodidade ao usuário e  desenvolvedores de plantão, porém não é uma  garantida que so...
Agradecimentos!
twitter.com.br/arthurpaixao    facebook.com/arthur.paixaoarthur.paixao@usecurity.com.br
Próximos SlideShares
Carregando em…5
×

Testes de segurança em aplicações web para web designers

960 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
960
No SlideShare
0
A partir de incorporações
0
Número de incorporações
10
Ações
Compartilhamentos
0
Downloads
25
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Testes de segurança em aplicações web para web designers

  1. 1. Testes de Segurança em Aplicações Web para WebDesigners
  2. 2. Quem sou eu?• Arthur Paixão• 5 Anos de experiência na área de segurança da informação.• Certificações: EC-CSA (EcCouncil Certified Security Analyst) EC-CHFI (EcCouncil Computer Hacking Forensic Investigator)• Diversos cursos de especialização na área: INTEL, Fundação Bradesco, DragonJAR, Offensive Security, EC-Council• Atualmente trabalho: Consultor de Segurança e Pentester: Equipe de Resposta a Tratamento de Incidentes de Segurança (CSIRT) Desenvolvedor: Java, Flex, PL-SQL, Oracle Forms (6i & 10g)
  3. 3. Páginas são adulterada todos os dias...
  4. 4. Páginas são adulterada todos os dias...
  5. 5. Onde há risco em segurança?  Usuários Infraestrutura  Aplicações WEB
  6. 6. Porquê segurança de aplicações é prioridade?Aplicações web são o foco número 1 dos hackers: • 75% dos ataques acontecem na camada da aplicação. (Gartner)A maior parte das páginas web estão vulneráveis: • 90% dos sites são vulneráveis à ataques na aplicação. (Watchfire) • 78% das vulnerabilidades facilmente exploráveis afetam aplicações Web. (Symantec) • 80% das organizações irão experimentar um incidente em segurança de aplicações até 2014. (Gartner)
  7. 7. Porquê segurança de aplicações é prioridade?Aplicações web são alvos de alto valor para hackers: • Dados de clientes, cartão de crédito, roubo de identidade, fraude, etc. • No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão. (Módulo) • Estudo realizado com 200 empresas brasileiras afirma que 67,5% sofreram algum tipo de ataque nos últimos 12 meses. (ISS) • Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia.
  8. 8. Que tipo de prejuízo posso ter? Vulnerabilidades de software podem ter um escopo muito maior do que o do próprio software.• O software e sua informação associada.• O sistema operacional dos servidores associados.• A base de dados do backend.• Outras aplicações em um ambiente compartilhado.• O sistema do usuário.• Outros softwares com os quais o usuário interage.
  9. 9. Porque existem CMS’s?Devido à Comodidade: • Desde a criação dos primeiros CMS, o pensamento de ter um padrão de desenvolvimento e a comodidade de não ter de reescrever toda a base estrutural dos código agitou a web. • Não há precisão quanto a números, porém é certo que os CMS já são utilizados por milhões de websites em todo o mundo, com repositórios espalhados pelos continentes e novos plugins sendo desenvolvidos diariamente.
  10. 10. Sim, mais e o KIKO??
  11. 11. E qual a semelhança entre eles? JOOMLA WORDPRESSLinux Foundation Live MessengerNikon Instruments YahooMitsubishi Venezuela SonyOlympus SamsungPorsche Mozilla FirefoxTNA Wrestling CNNVodafone FlickrTimes Square EbayYamaha Globo.comWest Coast Paintball Ford
  12. 12. O Barato pode sair caro... • De que vale ter um site muito barato se o site está sempre atacado ou fora do ar ? • De que vale o site ser muito caro se as empresas não tem lucros com os sites ?
  13. 13. Então é tudo uma maravilha?A falta de atualização dasplataformas pode acarretar naperda de todo o trabalho queo usuário teve para a criaçãodo conteúdo, além da perdadas personalizações.
  14. 14. Quais são os CMS’s mais atacados?
  15. 15. Onde me informo sobre as vulnerabilidades? http://www.exploit-db.com/
  16. 16. Onde me informo sobre as vulnerabilidades? http://1337day.com/
  17. 17. Onde me informo sobre as vulnerabilidades? http://www.joomlaexploit.com/
  18. 18. Onde me informo sobre as vulnerabilidades? http://www.wordpressexploit.com/
  19. 19. Onde me informo sobre as vulnerabilidades? http://www.intelligentexploit.com/
  20. 20. Onde me informo sobre as vulnerabilidades?http://packetstormsecurity.org/files/tags/exploit/
  21. 21. Onde me informo sobre as vulnerabilidades? http://www.wpsecure.net/
  22. 22. Muito cuidado com os plugins !!• Apesar de muitos dos plugins serem seguros, principalmente aqueles que são hospedados nos repositórios oficiais das comunidades, é necessário tomar cuidado na utilização dos mesmos.
  23. 23. Ferramenta de Apoio [ Joomscan ]
  24. 24. Ferramenta de Apoio [ WPScann ]
  25. 25. Vamos trocar uma idéia!• Os CMS abertos não são limitados?• Os sites com CMS abertos são melhores do que com código próprio?• Com os CMS abertos consegue-se uma grande produtividade?
  26. 26. Vamos trocar uma idéia!• Só por ter um site feito em joomla, wordpress ou outro cms quer dizer que o site é mau ? • Pode-se usar um CMS aberto e depois desenvolver o que o cliente precisar?
  27. 27. Sem lenga-lenga o segredo é um só!• Mantenha seu CMS constantemente atualizado.• Esconda a versão utilizada no CMS.• Verifique a procedência dos plugins.• Mantenha se informado sobre novas falhas de segurança.
  28. 28. Conclusão!• Lembrando que CMS é uma comodidade ao usuário e desenvolvedores de plantão, porém não é uma garantida que somente por atualizar seu CMS você estará totalmente seguro, recomendamos sempre a utilização de um backups de seus arquivos importantes para uma eventual falha que possa acontecer, em outro lado manter o mesmo sempre atualizado não é tarefa tão difícil quanto parece, basta ficar sempre antenado a novas atualizações que possa aparecer em comunidade e sites oficiais, que você já estará fazendo 99% do esforço necessário para sua segurança.
  29. 29. Agradecimentos!
  30. 30. twitter.com.br/arthurpaixao facebook.com/arthur.paixaoarthur.paixao@usecurity.com.br

×