Webgoat como ferramenta de aprendizado

749 visualizações

Publicada em

Palestra no 2º encontro do capítulo RJ da OWASP

Publicada em: Internet
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
749
No SlideShare
0
A partir de incorporações
0
Número de incorporações
75
Ações
Compartilhamentos
0
Downloads
11
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Webgoat como ferramenta de aprendizado

  1. 1. Copyright © 2004 -The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
  2. 2. 2 OWASP Quem sou eu?
  3. 3. 3 OWASP O que é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
  4. 4. 4 OWASP O código faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
  5. 5. OWASP 5 O que é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
  6. 6. OWASP 6 O que é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
  7. 7. OWASP 7 Publicações OWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
  8. 8. OWASP 8 Publicações OWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
  9. 9. OWASP 9 Software OWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
  10. 10. OWASP 10 Software OWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
  11. 11. OWASP 11 Vamos conhecer alguns “bugs”…
  12. 12. OWASP 12 SQL Injection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
  13. 13. 13 OWASP
  14. 14. 14 OWASP Obrigado pela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)

×