SlideShare uma empresa Scribd logo

ENSOL 2011 - OWASP e a Segurança na Web

Magno Logan
Magno Logan

ENSOL 2011 - OWASP e a Segurança na Web

Tecnologia
1 de 36
Baixar para ler offline
The OWASP Foundation http://www.owasp.org OWASP e a Segurança na Web ! ! Magno Logan magno.logan@owasp.org Líder do capítulo OWASP Paraíba Membro do OWASP Portuguese Language Project OWASP Paraíba Será que estamos seguros?
Magno Logan? • Primeiro de tudo curioso! =) • Analista de Sistemas • Especialista em SegInfo • Fundador do Capítulo OWASP Paraíba • Praticante de Ninjutsu • DJ nas horas vagas
Agenda • OWASP? • Segurança na Web • OWASP Top 10 • Ferramentas • Lulz Time! 3
4 OWASP
 (Open Web Application Security Project)
 ! • Organização internacional que recebe iniciativas de todo o mundo • Comunidade aberta dedicada a possibilitar a criação de aplicações confiáveis • Todas as ferramentas, documentos, fóruns e capítulos são livres e abertos a todos interessados ttp://www.owasp.org/index.php/About_OWASP !
5 Capítulos Locais! • Centenas Capítulos Locais mas somente por volta de 80 estão ativos • http://www.owasp.org/index.php/Category:Brasil • Brasília • Campinas • Curitiba • Goiania • Paraíba • Porto Alegre • Recife • São Paulo ttp://www.owasp.org/index.php/Category:OWASP_Chapter !
OWASP Paraíba 6 • Formado por desenvolvedores, sys admins, estudantes e demais interessados • Lista de Discussão: bit.ly/owasppb • Twitter: @owasppb
Como funciona? • Reuniões 1x por mês • Aberta ao público! • Discussões de assuntos relacionados à segurança de aplicações • Palestras com profissionais da área • Criações de projetos, ferramentas, artigos, etc... 7
OWASP Top Ten 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross Site Request Forgery (CSRF) A6: Security Misconfigurati on A7: Failure to Restrict URL Access A8: Insecure Cryptographic Storage A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards http://www.owasp.org/index.php/Top_10
Vulnerabilidades
10
A1 – Falhas de Injeção 11 Injeção significa… • Enganar uma aplicação a incluir comandos nos dados enviados a um interpretador Interpretadores • Recebem strings e interpretam como comandos • SQL, OS Shell, LDAP, XPath, Hibernate, etc… SQL injection ainda é muito comum! • Muitas aplicações ainda são suscetíveis (falha dos desenvolvedores) • Embora seja normalmente muito simples de evitar Impacto Típico • Normalmente alto. Todo o banco de dados pode ser lido ou modificado. • Pode também permitir acesso à contas de usuário ou até mesmo acesso a nível de SO.
Exemplo de SQL Injection Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code ATAQUE DE APLICAÇÃO CamadadeRedeCamadadeAplicação Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions HTTP request ! SQL query! DB Table ! ✇ HTTP response " ✇ "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" 1.Aplicação apresenta um formulário para o atacante 2.Atacante envia uma requisição no formulário 3.Aplicação repassa ataque para o banco de dados em uma query SQL Account Summary ! Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Banco de dados executa query contendo o ataque e envia os resultados para aplicação 5.Aplicação recebe os dados e envia os resultados para o usuário Login: Senha: Login: Senha:
A1 – Evitando Falhas de Injeção 13 ! 1. Não tente sanitizar as entradas no banco sozinho! 2. Use SQL statements parametrizados específicos da linguagem 3. Codifique todas as entradas dos usuários antes de passar para o SGBD • Sempre execute validação de entrada do tipo ‘white list’ em todas as informações fornecidas pelo usuário • Sempre minimize os privilégios do banco de dados para reduzir o impacto de uma falha
bobby-tables.com 14 Dicas de como evitar SQL Injection em diversas linguagens
Casos famosos... • Fevereiro 2011 – HBGary • Março 2011 - MySQL • Março e Maio 2011 – Comodo • Maio 2011 – PBS, Sony, Fox, Infragard, Nintendo, CNN... 15
16
A2 – Cross Site Scripting (XSS) 17 Acontece a qualquer momento… • Dados não processados do atacante são enviados para um navegador de um usuário inocente Existem 3 tipos de XSS: • Armazenados em banco de dados (Stored) • Refletidos de entrada da web : formulário, campo oculto, URL, etc. (Reflected) • Enviado diretamente ao cliente JavaScript (DOM Based) Praticamente toda aplicação web tem este problema! • Tente isto no seu navegador – javascript:alert(document.cookie) Impacto Típico • Roubo de sessão ou dados sensíveis, defacement ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites
Exemplo de XSS Aplicação com vulnerabilidade de Stored XSS 3 2 Atacante insere um script malicioso na página que armazena dados no servidor 1 Script silenciosamente envia o cookie de sessão da vítima Script roda dentro do navegador da vítima com total acesso ao DOM e cookies Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Atacante prepara a armadilha – atualizar meu perfil Vítima acessa a página – o perfil do atacante
A2 – Evitando XSS 19 • Eliminar a falha • Não inclua parâmetros de entrada nas páginas de resposta • Defender contra a falha • Recomendação Básica: Codifique todas as informações fornecidas pelos usuário! • Realizar validações de entrada do tipo ‘white list’ em todas as entradas de usuários que forem ser incluídas na página • Para maiores tamanhos de HTML fornecido pelo usuário, utilize o projeto da OWASP AntiSamy (AntiSamy)
A3 – Falha de Autenticação e Gerência de Sessões 20 HTTP é um protocolo “stateless” (sem estado) • Significa que as credenciais deve ser enviadas a cada requisição • Devemos utilizar SSL para tudo que necessite de autenticação Falhas no controle das sessões • SESSION ID usado para controlar o estado já que o HTTP não faz • E é tão bom quanto as credenciais para o atacante… • SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Cuidado com as alternativas! • Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Impacto Típico • Contas de usuários comprometidas ou sessões de usuários sequestradas
Exemplo de Falha de Autenticação Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Usuário envia suas credenciais 2Site usa URL rewriting (coloca a sessão na URL) 3 Usuário clica no link http:// www.hacker.com em um forum www.twitter.com?JSESSIONID=9FA1DB9EA... 4 Hacker checa os logs de referência em www.hacker.com e encontra o JSESSIONID do usuário 5 Hacker usa JSESSIONID e tem acesso à conta da vítima
A7 – Armazenamento com Criptografia Insegura 22 Armazenando dados sensíveis de forma insegura • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Falha em proteger devidamente estes dados em todos os locais Impacto Típico • Atacantes acessam ou modificam informações privadas ou confidenciais • Obtém segredos para usá-los em novos ataques • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente • Empresas são processadas e/ou multadas
Criptografar dados pra quê? 23
Depois não vai chorar... 24
Ferramentas
OWASP ZAP • Ferramenta para testes de invasão em aplicações web (com versão em pt-BR!) • Open source e Multiplataforma • Recomendada para desenvolvedores e profissionais de segurança • Desenvolvido por Simon Bennetts 26
OWASP MANTRA 27 ! ! ! • Framework open source de segurança • Firefox + Add-ons de segurança • Criado por um grupo de Indianos • Se tornou um projeto da OWASP depois
28
Seu servidor é seguro? 29 Nikto2 – v 2.1.4 • Scanner de Servidores Web • Verifica versões desatualizadas, arquivos perigosos, problemas de configuração • Open Source (GPL) e fácil de usar! • Desenvolvido por Chris Sullo e David Lodge
E a sua aplicação? ! ! ! • Framework de Ataque e Auditoria de Aplicações Web • Procura e explora vulnerabilidades em aplicações web • Open Source e Multiplataforma • Desenvolvido por Andrés Riancho 30
E o seu banco de dados? SQLmap • Ferramenta open source que automatiza o processo de detecção e exploração de falhas SQL Injection e roubo de bancos de dados • Acredita-se que foi uma das ferramentas utilizadas nos ataques do LulzSecBrazil • Chamando desenvolvedores 31
Se protegendo… HnTool • Ferramenta de proteção de servidores Unix • Varre o sistema e verifica vulnerabilidades • Open source e em Python • Desenvolvida por brasileiros, melhor ainda, nordestinos! 32
Lulz Time!
Perguntas? 34
Referências http://www.owasp.org/index.php/Top_10_2010-Main http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20- %202010.pdf http://owasptop10.googlecode.com/files/OWASP_Top_10_- _2010%20Presentation.pptx https://www.owasp.org/index.php/OWASP_Mantra_- _Security_Framework https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project http://www.slideshare.net/stamparm/euro- python-2011miroslavstamparsqlmapsecuritydevelopmentinpython http://w3af.sourceforge.net/ 35
www.owasp.org 36 46

Recomendados

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 

Recomendados

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASPCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Eleccion de esteban
Eleccion de estebanEleccion de esteban
Eleccion de estebanSanti Lds Ptte
 
¿Estereotipos? ¿Qué es ser pol@?
¿Estereotipos? ¿Qué es ser pol@?¿Estereotipos? ¿Qué es ser pol@?
¿Estereotipos? ¿Qué es ser pol@?UNIMER CENTROAMERICA
 
Presentaciòn de google
Presentaciòn de googlePresentaciòn de google
Presentaciòn de googlemarylindao
 
Wequest hongos
Wequest hongosWequest hongos
Wequest hongosjaionesansomendi
 
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...Mourylise Heymer
 
La Empresa
La EmpresaLa Empresa
La EmpresaSanti Lds Ptte
 
Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3Luiz Cláudio Silva
 
Ejercicio práctico 1
Ejercicio práctico 1Ejercicio práctico 1
Ejercicio práctico 1cursowebcpr2
 

Mais conteúdo relacionado

Mais procurados

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 

Mais procurados (14)

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 

Destaque

Presentaciòn de google
Presentaciòn de googlePresentaciòn de google
Presentaciòn de googlemarylindao
 
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...Mourylise Heymer
 
Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3Luiz Cláudio Silva
 
Ejercicio práctico 1
Ejercicio práctico 1Ejercicio práctico 1
Ejercicio práctico 1cursowebcpr2
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 

Destaque (10)

Eleccion de esteban
Eleccion de estebanEleccion de esteban
Eleccion de esteban
 
¿Estereotipos? ¿Qué es ser pol@?
¿Estereotipos? ¿Qué es ser pol@?¿Estereotipos? ¿Qué es ser pol@?
¿Estereotipos? ¿Qué es ser pol@?
 
Presentaciòn de google
Presentaciòn de googlePresentaciòn de google
Presentaciòn de google
 
Wequest hongos
Wequest hongosWequest hongos
Wequest hongos
 
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
Inspeção de usabilidade em aplicativos de rede geossocial: estudo comparativo...
 
La Empresa
La EmpresaLa Empresa
La Empresa
 
Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3Praticas Ágeis de Desenvolvimento de Software v3
Praticas Ágeis de Desenvolvimento de Software v3
 
Ejercicio práctico 1
Ejercicio práctico 1Ejercicio práctico 1
Ejercicio práctico 1
 
MEU DEUS
MEU DEUSMEU DEUS
MEU DEUS
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticio
 

Semelhante a ENSOL 2011 - OWASP e a Segurança na Web

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookGiovane Liberato
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...Dirceu Resende
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingDaniel Checchia
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 

Semelhante a ENSOL 2011 - OWASP e a Segurança na Web (20)

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Api todo list
Api todo listApi todo list
Api todo list
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Melhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud ComputingMelhores práticas para Arquitetura em Cloud Computing
Melhores práticas para Arquitetura em Cloud Computing
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 

Mais de Magno Logan

DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...Magno Logan
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
XST - Cross Site Tracing
XST - Cross Site TracingXST - Cross Site Tracing
XST - Cross Site TracingMagno Logan
 
OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE Magno Logan
 
SQL Injection Tutorial
SQL Injection TutorialSQL Injection Tutorial
SQL Injection TutorialMagno Logan
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMagno Logan
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...Magno Logan
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsAppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsMagno Logan
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...Magno Logan
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisAppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisMagno Logan
 
Just4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsJust4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsMagno Logan
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroMagno Logan
 
BHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsBHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsMagno Logan
 
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasAppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasMagno Logan
 

Mais de Magno Logan (20)

DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
XST - Cross Site Tracing
XST - Cross Site TracingXST - Cross Site Tracing
XST - Cross Site Tracing
 
OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE
 
XPath Injection
XPath InjectionXPath Injection
XPath Injection
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
SQL Injection Tutorial
SQL Injection TutorialSQL Injection Tutorial
SQL Injection Tutorial
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsAppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisAppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck Willis
 
Just4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsJust4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applications
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguro
 
BHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsBHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applications
 
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasAppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
 

ENSOL 2011 - OWASP e a Segurança na Web

  • 1. The OWASP Foundation http://www.owasp.org OWASP e a Segurança na Web ! ! Magno Logan magno.logan@owasp.org Líder do capítulo OWASP Paraíba Membro do OWASP Portuguese Language Project OWASP Paraíba Será que estamos seguros?
  • 2. Magno Logan? • Primeiro de tudo curioso! =) • Analista de Sistemas • Especialista em SegInfo • Fundador do Capítulo OWASP Paraíba • Praticante de Ninjutsu • DJ nas horas vagas
  • 3. Agenda • OWASP? • Segurança na Web • OWASP Top 10 • Ferramentas • Lulz Time! 3
  • 4. 4 OWASP
 (Open Web Application Security Project)
 ! • Organização internacional que recebe iniciativas de todo o mundo • Comunidade aberta dedicada a possibilitar a criação de aplicações confiáveis • Todas as ferramentas, documentos, fóruns e capítulos são livres e abertos a todos interessados ttp://www.owasp.org/index.php/About_OWASP !
  • 5. 5 Capítulos Locais! • Centenas Capítulos Locais mas somente por volta de 80 estão ativos • http://www.owasp.org/index.php/Category:Brasil • Brasília • Campinas • Curitiba • Goiania • Paraíba • Porto Alegre • Recife • São Paulo ttp://www.owasp.org/index.php/Category:OWASP_Chapter !
  • 6. OWASP Paraíba 6 • Formado por desenvolvedores, sys admins, estudantes e demais interessados • Lista de Discussão: bit.ly/owasppb • Twitter: @owasppb
  • 7. Como funciona? • Reuniões 1x por mês • Aberta ao público! • Discussões de assuntos relacionados à segurança de aplicações • Palestras com profissionais da área • Criações de projetos, ferramentas, artigos, etc... 7
  • 8. OWASP Top Ten 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross Site Request Forgery (CSRF) A6: Security Misconfigurati on A7: Failure to Restrict URL Access A8: Insecure Cryptographic Storage A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards http://www.owasp.org/index.php/Top_10
  • 10. 10
  • 11. A1 – Falhas de Injeção 11 Injeção significa… • Enganar uma aplicação a incluir comandos nos dados enviados a um interpretador Interpretadores • Recebem strings e interpretam como comandos • SQL, OS Shell, LDAP, XPath, Hibernate, etc… SQL injection ainda é muito comum! • Muitas aplicações ainda são suscetíveis (falha dos desenvolvedores) • Embora seja normalmente muito simples de evitar Impacto Típico • Normalmente alto. Todo o banco de dados pode ser lido ou modificado. • Pode também permitir acesso à contas de usuário ou até mesmo acesso a nível de SO.
  • 12. Exemplo de SQL Injection Firewall Hardened OS Web Server App Server Firewall Databases LegacySystems WebServices Directories HumanResrcs Billing Custom Code ATAQUE DE APLICAÇÃO CamadadeRedeCamadadeAplicação Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions HTTP request ! SQL query! DB Table ! ✇ HTTP response " ✇ "SELECT * FROM accounts WHERE acct=‘’ OR 1=1--’" 1.Aplicação apresenta um formulário para o atacante 2.Atacante envia uma requisição no formulário 3.Aplicação repassa ataque para o banco de dados em uma query SQL Account Summary ! Acct:5424-6066-2134-4334 Acct:4128-7574-3921-0192 Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293 4. Banco de dados executa query contendo o ataque e envia os resultados para aplicação 5.Aplicação recebe os dados e envia os resultados para o usuário Login: Senha: Login: Senha:
  • 13. A1 – Evitando Falhas de Injeção 13 ! 1. Não tente sanitizar as entradas no banco sozinho! 2. Use SQL statements parametrizados específicos da linguagem 3. Codifique todas as entradas dos usuários antes de passar para o SGBD • Sempre execute validação de entrada do tipo ‘white list’ em todas as informações fornecidas pelo usuário • Sempre minimize os privilégios do banco de dados para reduzir o impacto de uma falha
  • 14. bobby-tables.com 14 Dicas de como evitar SQL Injection em diversas linguagens
  • 15. Casos famosos... • Fevereiro 2011 – HBGary • Março 2011 - MySQL • Março e Maio 2011 – Comodo • Maio 2011 – PBS, Sony, Fox, Infragard, Nintendo, CNN... 15
  • 16. 16
  • 17. A2 – Cross Site Scripting (XSS) 17 Acontece a qualquer momento… • Dados não processados do atacante são enviados para um navegador de um usuário inocente Existem 3 tipos de XSS: • Armazenados em banco de dados (Stored) • Refletidos de entrada da web : formulário, campo oculto, URL, etc. (Reflected) • Enviado diretamente ao cliente JavaScript (DOM Based) Praticamente toda aplicação web tem este problema! • Tente isto no seu navegador – javascript:alert(document.cookie) Impacto Típico • Roubo de sessão ou dados sensíveis, defacement ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites
  • 18. Exemplo de XSS Aplicação com vulnerabilidade de Stored XSS 3 2 Atacante insere um script malicioso na página que armazena dados no servidor 1 Script silenciosamente envia o cookie de sessão da vítima Script roda dentro do navegador da vítima com total acesso ao DOM e cookies Custom Code Accounts Finance Administration Transactions Communication KnowledgeMgmt E-Commerce Bus.Functions Atacante prepara a armadilha – atualizar meu perfil Vítima acessa a página – o perfil do atacante
  • 19. A2 – Evitando XSS 19 • Eliminar a falha • Não inclua parâmetros de entrada nas páginas de resposta • Defender contra a falha • Recomendação Básica: Codifique todas as informações fornecidas pelos usuário! • Realizar validações de entrada do tipo ‘white list’ em todas as entradas de usuários que forem ser incluídas na página • Para maiores tamanhos de HTML fornecido pelo usuário, utilize o projeto da OWASP AntiSamy (AntiSamy)
  • 20. A3 – Falha de Autenticação e Gerência de Sessões 20 HTTP é um protocolo “stateless” (sem estado) • Significa que as credenciais deve ser enviadas a cada requisição • Devemos utilizar SSL para tudo que necessite de autenticação Falhas no controle das sessões • SESSION ID usado para controlar o estado já que o HTTP não faz • E é tão bom quanto as credenciais para o atacante… • SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Cuidado com as alternativas! • Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Impacto Típico • Contas de usuários comprometidas ou sessões de usuários sequestradas
  • 21. Exemplo de Falha de Autenticação Custom Code Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus.Functions 1 Usuário envia suas credenciais 2Site usa URL rewriting (coloca a sessão na URL) 3 Usuário clica no link http:// www.hacker.com em um forum www.twitter.com?JSESSIONID=9FA1DB9EA... 4 Hacker checa os logs de referência em www.hacker.com e encontra o JSESSIONID do usuário 5 Hacker usa JSESSIONID e tem acesso à conta da vítima
  • 22. A7 – Armazenamento com Criptografia Insegura 22 Armazenando dados sensíveis de forma insegura • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Falha em proteger devidamente estes dados em todos os locais Impacto Típico • Atacantes acessam ou modificam informações privadas ou confidenciais • Obtém segredos para usá-los em novos ataques • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente • Empresas são processadas e/ou multadas
  • 24. Depois não vai chorar... 24
  • 26. OWASP ZAP • Ferramenta para testes de invasão em aplicações web (com versão em pt-BR!) • Open source e Multiplataforma • Recomendada para desenvolvedores e profissionais de segurança • Desenvolvido por Simon Bennetts 26
  • 27. OWASP MANTRA 27 ! ! ! • Framework open source de segurança • Firefox + Add-ons de segurança • Criado por um grupo de Indianos • Se tornou um projeto da OWASP depois
  • 28. 28
  • 29. Seu servidor é seguro? 29 Nikto2 – v 2.1.4 • Scanner de Servidores Web • Verifica versões desatualizadas, arquivos perigosos, problemas de configuração • Open Source (GPL) e fácil de usar! • Desenvolvido por Chris Sullo e David Lodge
  • 30. E a sua aplicação? ! ! ! • Framework de Ataque e Auditoria de Aplicações Web • Procura e explora vulnerabilidades em aplicações web • Open Source e Multiplataforma • Desenvolvido por Andrés Riancho 30
  • 31. E o seu banco de dados? SQLmap • Ferramenta open source que automatiza o processo de detecção e exploração de falhas SQL Injection e roubo de bancos de dados • Acredita-se que foi uma das ferramentas utilizadas nos ataques do LulzSecBrazil • Chamando desenvolvedores 31
  • 32. Se protegendo… HnTool • Ferramenta de proteção de servidores Unix • Varre o sistema e verifica vulnerabilidades • Open source e em Python • Desenvolvida por brasileiros, melhor ainda, nordestinos! 32