SlideShare uma empresa Scribd logo

A OWASP e a Segurança Aplicacional para a Web

Carlos Serrao
Carlos Serrao

Apresentação no OpenDays de Engenharia Informática

TecnologiaNegócios
1 de 51
Baixar para ler offline
Carlos  Serrão   IPVC,  26.JUNHO.2014   OWASP  e  a  Segurança  Aplicacional   para  a  Web   A  contribuição  da  OWASP  para  aplicações  mais  seguras!  
@pontocom   carlos.serrao@iscte.pt   carlos.j.serrao@iscte.pt   hLp://www.linkedin.com/in/carlosserrao  
Segurança  Aplicacional?!?   …isso  é  importante?  
SoTware  é  ubíquo   Dependemos  do  soTware  para  tratar  de   dados  sensíveis  e  de  elevado  valor,   que  tem  um  impacto  direto  nos  diversos   aspectos  da  nossa  vida   Funções  crí<cas  de  negócio  no  governo  e   na  indústria  dependem  por  completo   de  so=ware  
Exposição  aumentada  torna  o  so=ware  (e  os   dados)  visíveis  para  pessoas  que  nem  sabiam  que  os   mesmos  exis]am  anteriormente   SoTware  está  cada  vez  mais   exposto  à  Internet  
Nem  todas  as  pessoas  são     bem  intencionadas  
So=ware  é  cada  vez  mais...   ...COMPLEXO   Ataques  exploram  bugs  designados  por  vulnerabilidades     Es]ma-­‐se  entre  5-­‐50  bugs  por  1000  linhas  de  código     Windows  XP  40  milhões  de  linhas  de  código  
So=ware  é...   ...EXTENSÍVEL   O  que  é  o  soTware  hoje  em  dia  nos  nossos  computadores...  smartphones,   tablets,  televisões,  automóveis  (...)?       SO  +  soTware  em  produção  +  patches  +  3rd  party  DLLs  +  device  drivers  +  plugins   +  ....  
So=ware  está  cada  vez  mais...   ...CONECTADO   Internet  (1+  biliões  de  u]lizadores)  +  sistemas  de  controlo  +  tablets  e   smartphones  +  automóveis  +  sistemas  de  personal  fit  e  healthcare  +  (...)  
2013.2014   Segurança  em  Redes  de  Computadores  (00700)   10   “We  wouldn’t  have  to  spend  so  much  3me,  money,  and   effort  on  network  security  if  we  didn’t  have  such  bad   so<ware  security”   Viega  &  McGraw,  Building  Secure  SoTware,  Addison  Wesley   2002   “the  current  state  of  security  in  commercial  so<ware  is   rather  distasteful,  marked  by  embarrassing  public   reports  of  vulnerabili3es  and  actual  a>acks  (...)  and   con3nual  exhorta3ons  to  customers  to  perform   rudimentary  checks  and  maintenance.”   Jim  Routh,  Beau]ful  Security,  O'Reilly,  2010   “So<ware  buyers  are  literally  crash  test  dummies  for  an  industry  that   is  remarkably  insulated  against  liability”   David  Rice,  Geekonomics:  The  Real  Cost  of  Insecure  SoTware,   Addison-­‐Wesley,  2007  
“We wouldn’t have to spend so much , , and on network security if we didn’t have such ”! Viega & McGraw, Building Secure Software, Addison Wesley  
12  
...informa]on  accessed  on  360,069  accounts   They  simply  logged  on  to  the  part  of   the  group's  site  reserved  for  credit  card   customers  -­‐  and  subs9tuted  their   account  numbers  which  appeared  in   the  browser's  address  bar  with  other   numbers.   It  allowed  them  to  leapfrog  into  the   accounts  of  other  customers  -­‐  with  an   automa9c  computer  programme   le=ng  them  repeat  the  trick  tens  of   thousands  of  9mes.   hLp://www.dailymail.co.uk/news/ar]cle-­‐2003393/How-­‐Ci]group-­‐hackers-­‐broke-­‐door-­‐using-­‐banks-­‐website.html  
hLp://aLri]on.org/security/rants/sony_aka_sownage.html   “Several  of  Sony's  sites  have  been   compromised  as  a  result  of  basic  SQL  injec]on   aLacks,  nothing  elaborate  or  complex.”  
https://www.dges.mctes.pt/ wwwReportViewer/ReportViewer.aspx? Report=/RelatoriosBolsas/ Autorizacao_ST&CandidatoID=XXXXXX&C andidaturaID=XXXXXX!
Então?  
Falta  de  percepção  da  segurança     Algumas  organizações  não  investem  o   suficiente  em  segurança  (ou  investem   incorretamente)     Programadores  não  percebem  os  riscos   de  segurança  (ou  não  podem  ou  querem   perceber)   SEGURANÇA   PROGRAMADORES  
Ataque  aplicacional   Network Layer OS Layer Application Layer (End-user interface) Network Layer OS Layer Application Layer Custom Application Back-end Database Application Traffic
Mo<vação/Contexto   Tendências     Cisco  para     2011  
Mo<vação/Contexto   Percentagem  de  ocorrência  de  problemas  de  segurança  em   WebApps  (fonte:  WhiteHat,  2011)  
Rede   Sistema  Opera]vo   Aplicações   Base  de  Dados   Servidor  Web   Aplicações  Web  standard   Aplicações  Web  específicas   WhiteHat  Security,  Website  Security  Sta]s]cs  Report,  Winter  2011   Vulnerabilidades     Específicas   Vulnerabilidades     conhecidas  e   documentadas  
Ensino   Treino   “Awareness”  
... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
     
OWASP?   §  Open  Web  Applica]on  Security  Project   §  Promove  o  desenvolvimento  seguro  de  so=ware   §  Orientado  para  o  desenvolvimento  de  serviços  baseados   na  web   §  Focado  principalmente  em  aspectos  de  desenvolvimento   do  que  em  web-­‐design   §  Um  fórum  aberto  para  discussão   §  Um  recurso  gratuito  e  livre  para  qualquer  equipa  de   desenvolvimento  
OWASP?   §  Open  Web  Applica]on  Security  Project   §  Organização  sem  fins  lucra]vos,  orientada  para  esforço  voluntário   §  Todos  os  membros  são  voluntários   §  Todo  o  trabalho  é  “doado”  por  patrocinadores   §  Oferecer  recursos  livres  para  a  comunidade   §  Publicações,  Ar]gos,  Normas   §  SoTware  de  Testes  e  de  Formação   §  Chapters  Locais  &  Mailing  Lists   §  Suportada  através  de  patrocínios   §  Suporte  de  empresas  através  de  patrocínios  financeiros  ou  de  projectos   §  Patrocínios  pessoais  por  parte  dos  membros  
OWASP  
OWASP  
OWASP  
OWASP   198  chapters  
Projetos  
OWASP  Top  10   hLps://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project  
OWASP?   §  Top  10  Web  Applica]on  Security  Risks/Vulnerabili]es   §  Uma  lista  dos  10  riscos  de  segurança  mais  crí]cos   §  Actualizado  numa  base  (quase)  anual   §  Crescente  aceitação  pela  indústria   §  Federal  Trade  Commission  (US  Gov)   §  US  Defense  Informa]on  Systems  Agency   §  VISA  (Cardholder  Informa]on  Security  Program)   §  Está  a  ser  adoptado  como  um  standard  de  segurança   para  aplicações  web  
OWASP  ZAP  (Zed  ALack  Proxy)   hLp://www.owasp.org/index.php/OWASP_Zed_ALack_Proxy_Project  
•  Free,  Open  source   •  Cross  pla}orm   •  Easy  to  use   •  Easy  to  install   •  Interna]onalized   •  Fully  documented   •  Involvement  ac]vely  encouraged   •  Reuse  well  regarded  components   All  the  essen]als  for  web  applica]on  tes]ng   Intercep]ng  Proxy   Ac]ve  and  Passive  Scanners   Spider   Report  Genera]on   Brute  Force  (using  OWASP  DirBuster  code)   Fuzzing  (using  OWASP  JBroFuzz  code)   Auto  tagging   Port  scanner   Smart  card  support   Session  comparison   Invoke  external  apps   BeanShell  integra]on   API  +  Headless  mode   Dynamic  SSL  Cer]ficates   An]  CSRF  token  handling    
OWASP  Webgoat   WebGoat  is  a  deliberately  insecure   web  applica9on  maintained  by   OWASP  designed  to  teach  web   applica9on  security  lessons.     Cross-­‐site  Scrip]ng  (XSS)   Access  Control   Thread  Safety   Hidden  Form  Field  Manipula]on   Parameter  Manipula]on   Weak  Session  Cookies   Blind  SQL  Injec]on   Numeric  SQL  Injec]on   String  SQL  Injec]on   Web  Services   Fail  Open  Authen]ca]on   Dangers  of  HTML  Comments   ...  and  many  more!   hLps://www.owasp.org/index.php/Category:OWASP_WebGoat_Project  
OWASP  Cheat  Sheets   hLps://www.owasp.org/index.php/Cheat_Sheets   The  OWASP  Cheat  Sheet  Series  was  created  to   provide  a  concise  collec9on  of  high  value   informa9on  on  specific  web  applica9on   security  topics.   BUILDERS   BREAKERS   DEFENDERS   Authen9ca9on  Cheat  Sheet   Choosing  and  Using  Security  Ques9ons  Cheat   Sheet   Clickjacking  Defense  Cheat  Sheet   C-­‐Based  Toolchain  Hardening  Cheat  Sheet   Cross-­‐Site  Request  Forgery  (CSRF)  Preven9on   Cheat  Sheet   Cryptographic  Storage  Cheat  Sheet   DOM  based  XSS  Preven9on  Cheat  Sheet   Forgot  Password  Cheat  Sheet   HTML5  Security  Cheat  Sheet   Input  Valida9on  Cheat  Sheet   (…)   A[ack  Surface  Analysis  Cheat  Sheet   XSS  Filter  Evasion  Cheat  Sheet   REST  Assessment  Cheat  Sheet   Virtual  Patching  Cheat  Sheet  
OWASP  ESAPI   ESAPI  (The  OWASP  Enterprise  Security  API)  is  a   free,  open  source,  web  applica9on  security   control  library  that  makes  it  easier  for   programmers  to  write  lower-­‐risk  applica9ons.     hLps://www.owasp.org/index.php/Cheat_Sheets   Permite  o  desenvolvimento  de  aplicações  com  algumas   preocupações  básicas  de  segurança,  normalizando  as  prá]cas  de   desenvolvimento  seguro.   Linguagens:    Java  (J2EE)    PHP    Ruby    (…)   (Entreprise  Security  API)  
OWASP  ASVS   hLps://www.owasp.org/index.php/Category:OWASP_Applica]on_Security_Verifica]on_Standard_Project   (Applica]on  Security  Verificaton  Standard)   The  primary  aim  of  the  OWASP  Applica9on   Security  Verifica9on  Standard  (ASVS)  Project  is   to  normalize  the  range  in  the  coverage  and   level  of  rigor  available  in  the  market  when  it   comes  to  performing  Web  applica9on  security   verifica9on  using  a  commercially-­‐workable   open  standard.   Desenvolvido  com  os   seguintes  requisitos   U<lizado  como  uma  métrica:  oferecer  aos   programadores  e  donos  de  aplicações  uma  forma   de  avaliar  o  nível  de  confiança  nas  suas  aplicações.   Usado  como  um  guia:  oferecer  apoio  para  o   desenvolvimento  de  controlos  de  segurança  de   forma  a  que  possam  responder  aos  requisitos.   Usado  durante  procurement:  oferecer  a   base  para  requisitos  de  segurança  em  contratos  de   aquisição  de  soTware  
OWASP  SAMM   hLps://www.owasp.org/index.php/Category:SoTware_Assurance_Maturity_Model   The  So^ware  Assurance  Maturity  Model   (SAMM)  is  an  open  framework  to  help   organiza9ons  formulate  and  implement  a   strategy  for  so^ware  security  that  is  tailored  to   the  specific  risks  facing  the  organiza9on.   hLp://www.opensamm.org   (SoTware  Assurance  Maturity  Model)   Avaliar  as   prá]cas  de   segurança  de   soTware  numa   organização     Construir  um   programa  de   segurança  de   soTware   balanceado  e   com  iterações   bem  definidas   Demonstrar   melhorias   concretas  num   plano  de   verificação  de   segurança   Definir  e  medir   as  ac]vidades   relacionadas   com  segurança   numa   organização  
OWASP  SAMM   hLps://www.owasp.org/index.php/Category:SoTware_Assurance_Maturity_Model   hLp://www.opensamm.org   (SoTware  Assurance  Maturity  Model)  
OWASP  Dev.  Guide   hLps://www.owasp.org/index.php/Category:OWASP_Guide_Project   The  Developer  Guide  2014  is  a  "first  principles"   book  -­‐  it's  not  specific  to  any  one  language  or   framework,  as  they  all  borrow  ideas  and  syntax   from  each  other.  There  are  highly  specific   issues  in  different  languages,  such  as  PHP   configura9on  se=ngs  or  Spring  MVC  issues,   but  we  need  to  look  past  these  differences  and   apply  the  basic  tenets  of  secure  system   engineering  to  applica9on  security.   Founda]on   Architecture   Design   Build   Configure   Operate  
2014.appsec.eu   2014.appsec.eu/live-­‐streaming-­‐event/  
www.owasp.org  Par]cipem  e  contribuam!  
Carlos  Serrão   IPVC,  26.JUNHO.2014   OWASP  e  a  Segurança  Aplicacional   para  a  Web   A  contribuição  da  OWASP  para  aplicações  mais  seguras!  

Recomendados

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 

Recomendados

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...
BE AWARE WEBINAR - Se a senha é fraca, como posso melhorar a autenticação da ...Symantec Brasil
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10Carlos Serrao
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015Bravo Tecnologia
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSignClavis Segurança da Informação
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de códigoWanderlei Silva do Carmo
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Bruno Fonseca
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 

Mais conteúdo relacionado

Mais procurados

Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015Bravo Tecnologia
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.TI Safe
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerSite Blindado S.A.
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security SolutionsLuiz Veloso
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoMaurício Harley
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Bruno Caseiro
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Bruno Fonseca
 

Mais procurados (19)

Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015Kaspersky soluções corporativas 2015
Kaspersky soluções corporativas 2015
 
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
Palestra - Visão geral da norma ANSI/ISA 99, Status da Norma e Tendências.
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
QualysGuard Vulnerability Manager
QualysGuard Vulnerability ManagerQualysGuard Vulnerability Manager
QualysGuard Vulnerability Manager
 
FIRST TECH - Security Solutions
FIRST TECH - Security SolutionsFIRST TECH - Security Solutions
FIRST TECH - Security Solutions
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
FirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade CiscoFirePOWER contra Ransomware - Comunidade Cisco
FirePOWER contra Ransomware - Comunidade Cisco
 
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
Reduzindo riscos através do controle de usuários privilegiados, auditoria e v...
 
Segurança de código
Segurança de códigoSegurança de código
Segurança de código
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4
 

Destaque

OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
The Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialThe Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialAlan Richardson
 
Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Flávio Moringa
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 

Destaque (8)

OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
The Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialThe Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies Tutorial
 
Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Pentest web
Pentest webPentest web
Pentest web
 

Semelhante a A OWASP e a Segurança Aplicacional para a Web

Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)wellagapto
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Road show de comunidades técnicas infra - publico
Road show de comunidades técnicas infra - publicoRoad show de comunidades técnicas infra - publico
Road show de comunidades técnicas infra - publicoFabio Hara
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Skalena - Overview de Soluções
Skalena - Overview de Soluções Skalena - Overview de Soluções
Skalena - Overview de Soluções Edgar Silva
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart Cities
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart CitiesAWS Initiate - AWS & IoT (Internet das Coisas) - Smart Cities
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart CitiesAmazon Web Services LATAM
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesLuis Figueiredo
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Brasília
 
Sunlit technologies portfolio produtos &amp; serviços agosto2016
Sunlit technologies portfolio produtos &amp; serviços agosto2016Sunlit technologies portfolio produtos &amp; serviços agosto2016
Sunlit technologies portfolio produtos &amp; serviços agosto2016Antonio Carlos Scola - MSc
 

Semelhante a A OWASP e a Segurança Aplicacional para a Web (20)

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)Edefense catálogo de segurança (1)
Edefense catálogo de segurança (1)
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas online
 
MTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento SeguroMTI-MT Desenvolvimento Seguro
MTI-MT Desenvolvimento Seguro
 
Road show de comunidades técnicas infra - publico
Road show de comunidades técnicas infra - publicoRoad show de comunidades técnicas infra - publico
Road show de comunidades técnicas infra - publico
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Skalena - Overview de Soluções
Skalena - Overview de Soluções Skalena - Overview de Soluções
Skalena - Overview de Soluções
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart Cities
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart CitiesAWS Initiate - AWS & IoT (Internet das Coisas) - Smart Cities
AWS Initiate - AWS & IoT (Internet das Coisas) - Smart Cities
 
Trabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de SoluçõesTrabalho Remoto - Guia de Soluções
Trabalho Remoto - Guia de Soluções
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
 
Sunlit technologies portfolio produtos &amp; serviços agosto2016
Sunlit technologies portfolio produtos &amp; serviços agosto2016Sunlit technologies portfolio produtos &amp; serviços agosto2016
Sunlit technologies portfolio produtos &amp; serviços agosto2016
 

Mais de Carlos Serrao

Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASPCarlos Serrao
 
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...Carlos Serrao
 

Mais de Carlos Serrao (18)

Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
 

A OWASP e a Segurança Aplicacional para a Web

  • 1. Carlos  Serrão   IPVC,  26.JUNHO.2014   OWASP  e  a  Segurança  Aplicacional   para  a  Web   A  contribuição  da  OWASP  para  aplicações  mais  seguras!  
  • 2. @pontocom   carlos.serrao@iscte.pt   carlos.j.serrao@iscte.pt   hLp://www.linkedin.com/in/carlosserrao  
  • 4. SoTware  é  ubíquo   Dependemos  do  soTware  para  tratar  de   dados  sensíveis  e  de  elevado  valor,   que  tem  um  impacto  direto  nos  diversos   aspectos  da  nossa  vida   Funções  crí<cas  de  negócio  no  governo  e   na  indústria  dependem  por  completo   de  so=ware  
  • 5. Exposição  aumentada  torna  o  so=ware  (e  os   dados)  visíveis  para  pessoas  que  nem  sabiam  que  os   mesmos  exis]am  anteriormente   SoTware  está  cada  vez  mais   exposto  à  Internet  
  • 6. Nem  todas  as  pessoas  são     bem  intencionadas  
  • 7. So=ware  é  cada  vez  mais...   ...COMPLEXO   Ataques  exploram  bugs  designados  por  vulnerabilidades     Es]ma-­‐se  entre  5-­‐50  bugs  por  1000  linhas  de  código     Windows  XP  40  milhões  de  linhas  de  código  
  • 8. So=ware  é...   ...EXTENSÍVEL   O  que  é  o  soTware  hoje  em  dia  nos  nossos  computadores...  smartphones,   tablets,  televisões,  automóveis  (...)?       SO  +  soTware  em  produção  +  patches  +  3rd  party  DLLs  +  device  drivers  +  plugins   +  ....  
  • 9. So=ware  está  cada  vez  mais...   ...CONECTADO   Internet  (1+  biliões  de  u]lizadores)  +  sistemas  de  controlo  +  tablets  e   smartphones  +  automóveis  +  sistemas  de  personal  fit  e  healthcare  +  (...)  
  • 10. 2013.2014   Segurança  em  Redes  de  Computadores  (00700)   10   “We  wouldn’t  have  to  spend  so  much  3me,  money,  and   effort  on  network  security  if  we  didn’t  have  such  bad   so<ware  security”   Viega  &  McGraw,  Building  Secure  SoTware,  Addison  Wesley   2002   “the  current  state  of  security  in  commercial  so<ware  is   rather  distasteful,  marked  by  embarrassing  public   reports  of  vulnerabili3es  and  actual  a>acks  (...)  and   con3nual  exhorta3ons  to  customers  to  perform   rudimentary  checks  and  maintenance.”   Jim  Routh,  Beau]ful  Security,  O'Reilly,  2010   “So<ware  buyers  are  literally  crash  test  dummies  for  an  industry  that   is  remarkably  insulated  against  liability”   David  Rice,  Geekonomics:  The  Real  Cost  of  Insecure  SoTware,   Addison-­‐Wesley,  2007  
  • 11. “We wouldn’t have to spend so much , , and on network security if we didn’t have such ”! Viega & McGraw, Building Secure Software, Addison Wesley  
  • 12. 12  
  • 13. ...informa]on  accessed  on  360,069  accounts   They  simply  logged  on  to  the  part  of   the  group's  site  reserved  for  credit  card   customers  -­‐  and  subs9tuted  their   account  numbers  which  appeared  in   the  browser's  address  bar  with  other   numbers.   It  allowed  them  to  leapfrog  into  the   accounts  of  other  customers  -­‐  with  an   automa9c  computer  programme   le=ng  them  repeat  the  trick  tens  of   thousands  of  9mes.   hLp://www.dailymail.co.uk/news/ar]cle-­‐2003393/How-­‐Ci]group-­‐hackers-­‐broke-­‐door-­‐using-­‐banks-­‐website.html  
  • 14.
  • 15. hLp://aLri]on.org/security/rants/sony_aka_sownage.html   “Several  of  Sony's  sites  have  been   compromised  as  a  result  of  basic  SQL  injec]on   aLacks,  nothing  elaborate  or  complex.”  
  • 17.
  • 18.
  • 20. Falta  de  percepção  da  segurança     Algumas  organizações  não  investem  o   suficiente  em  segurança  (ou  investem   incorretamente)     Programadores  não  percebem  os  riscos   de  segurança  (ou  não  podem  ou  querem   perceber)   SEGURANÇA   PROGRAMADORES  
  • 21. Ataque  aplicacional   Network Layer OS Layer Application Layer (End-user interface) Network Layer OS Layer Application Layer Custom Application Back-end Database Application Traffic
  • 22. Mo<vação/Contexto   Tendências     Cisco  para     2011  
  • 23. Mo<vação/Contexto   Percentagem  de  ocorrência  de  problemas  de  segurança  em   WebApps  (fonte:  WhiteHat,  2011)  
  • 24. Rede   Sistema  Opera]vo   Aplicações   Base  de  Dados   Servidor  Web   Aplicações  Web  standard   Aplicações  Web  específicas   WhiteHat  Security,  Website  Security  Sta]s]cs  Report,  Winter  2011   Vulnerabilidades     Específicas   Vulnerabilidades     conhecidas  e   documentadas  
  • 26. ... an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted
  • 27.      
  • 28.
  • 29. OWASP?   §  Open  Web  Applica]on  Security  Project   §  Promove  o  desenvolvimento  seguro  de  so=ware   §  Orientado  para  o  desenvolvimento  de  serviços  baseados   na  web   §  Focado  principalmente  em  aspectos  de  desenvolvimento   do  que  em  web-­‐design   §  Um  fórum  aberto  para  discussão   §  Um  recurso  gratuito  e  livre  para  qualquer  equipa  de   desenvolvimento  
  • 30. OWASP?   §  Open  Web  Applica]on  Security  Project   §  Organização  sem  fins  lucra]vos,  orientada  para  esforço  voluntário   §  Todos  os  membros  são  voluntários   §  Todo  o  trabalho  é  “doado”  por  patrocinadores   §  Oferecer  recursos  livres  para  a  comunidade   §  Publicações,  Ar]gos,  Normas   §  SoTware  de  Testes  e  de  Formação   §  Chapters  Locais  &  Mailing  Lists   §  Suportada  através  de  patrocínios   §  Suporte  de  empresas  através  de  patrocínios  financeiros  ou  de  projectos   §  Patrocínios  pessoais  por  parte  dos  membros  
  • 36. OWASP  Top  10   hLps://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project  
  • 37. OWASP?   §  Top  10  Web  Applica]on  Security  Risks/Vulnerabili]es   §  Uma  lista  dos  10  riscos  de  segurança  mais  crí]cos   §  Actualizado  numa  base  (quase)  anual   §  Crescente  aceitação  pela  indústria   §  Federal  Trade  Commission  (US  Gov)   §  US  Defense  Informa]on  Systems  Agency   §  VISA  (Cardholder  Informa]on  Security  Program)   §  Está  a  ser  adoptado  como  um  standard  de  segurança   para  aplicações  web  
  • 38.
  • 39. OWASP  ZAP  (Zed  ALack  Proxy)   hLp://www.owasp.org/index.php/OWASP_Zed_ALack_Proxy_Project  
  • 40. •  Free,  Open  source   •  Cross  pla}orm   •  Easy  to  use   •  Easy  to  install   •  Interna]onalized   •  Fully  documented   •  Involvement  ac]vely  encouraged   •  Reuse  well  regarded  components   All  the  essen]als  for  web  applica]on  tes]ng   Intercep]ng  Proxy   Ac]ve  and  Passive  Scanners   Spider   Report  Genera]on   Brute  Force  (using  OWASP  DirBuster  code)   Fuzzing  (using  OWASP  JBroFuzz  code)   Auto  tagging   Port  scanner   Smart  card  support   Session  comparison   Invoke  external  apps   BeanShell  integra]on   API  +  Headless  mode   Dynamic  SSL  Cer]ficates   An]  CSRF  token  handling    
  • 41. OWASP  Webgoat   WebGoat  is  a  deliberately  insecure   web  applica9on  maintained  by   OWASP  designed  to  teach  web   applica9on  security  lessons.     Cross-­‐site  Scrip]ng  (XSS)   Access  Control   Thread  Safety   Hidden  Form  Field  Manipula]on   Parameter  Manipula]on   Weak  Session  Cookies   Blind  SQL  Injec]on   Numeric  SQL  Injec]on   String  SQL  Injec]on   Web  Services   Fail  Open  Authen]ca]on   Dangers  of  HTML  Comments   ...  and  many  more!   hLps://www.owasp.org/index.php/Category:OWASP_WebGoat_Project  
  • 42. OWASP  Cheat  Sheets   hLps://www.owasp.org/index.php/Cheat_Sheets   The  OWASP  Cheat  Sheet  Series  was  created  to   provide  a  concise  collec9on  of  high  value   informa9on  on  specific  web  applica9on   security  topics.   BUILDERS   BREAKERS   DEFENDERS   Authen9ca9on  Cheat  Sheet   Choosing  and  Using  Security  Ques9ons  Cheat   Sheet   Clickjacking  Defense  Cheat  Sheet   C-­‐Based  Toolchain  Hardening  Cheat  Sheet   Cross-­‐Site  Request  Forgery  (CSRF)  Preven9on   Cheat  Sheet   Cryptographic  Storage  Cheat  Sheet   DOM  based  XSS  Preven9on  Cheat  Sheet   Forgot  Password  Cheat  Sheet   HTML5  Security  Cheat  Sheet   Input  Valida9on  Cheat  Sheet   (…)   A[ack  Surface  Analysis  Cheat  Sheet   XSS  Filter  Evasion  Cheat  Sheet   REST  Assessment  Cheat  Sheet   Virtual  Patching  Cheat  Sheet  
  • 43. OWASP  ESAPI   ESAPI  (The  OWASP  Enterprise  Security  API)  is  a   free,  open  source,  web  applica9on  security   control  library  that  makes  it  easier  for   programmers  to  write  lower-­‐risk  applica9ons.     hLps://www.owasp.org/index.php/Cheat_Sheets   Permite  o  desenvolvimento  de  aplicações  com  algumas   preocupações  básicas  de  segurança,  normalizando  as  prá]cas  de   desenvolvimento  seguro.   Linguagens:    Java  (J2EE)    PHP    Ruby    (…)   (Entreprise  Security  API)  
  • 44. OWASP  ASVS   hLps://www.owasp.org/index.php/Category:OWASP_Applica]on_Security_Verifica]on_Standard_Project   (Applica]on  Security  Verificaton  Standard)   The  primary  aim  of  the  OWASP  Applica9on   Security  Verifica9on  Standard  (ASVS)  Project  is   to  normalize  the  range  in  the  coverage  and   level  of  rigor  available  in  the  market  when  it   comes  to  performing  Web  applica9on  security   verifica9on  using  a  commercially-­‐workable   open  standard.   Desenvolvido  com  os   seguintes  requisitos   U<lizado  como  uma  métrica:  oferecer  aos   programadores  e  donos  de  aplicações  uma  forma   de  avaliar  o  nível  de  confiança  nas  suas  aplicações.   Usado  como  um  guia:  oferecer  apoio  para  o   desenvolvimento  de  controlos  de  segurança  de   forma  a  que  possam  responder  aos  requisitos.   Usado  durante  procurement:  oferecer  a   base  para  requisitos  de  segurança  em  contratos  de   aquisição  de  soTware  
  • 45. OWASP  SAMM   hLps://www.owasp.org/index.php/Category:SoTware_Assurance_Maturity_Model   The  So^ware  Assurance  Maturity  Model   (SAMM)  is  an  open  framework  to  help   organiza9ons  formulate  and  implement  a   strategy  for  so^ware  security  that  is  tailored  to   the  specific  risks  facing  the  organiza9on.   hLp://www.opensamm.org   (SoTware  Assurance  Maturity  Model)   Avaliar  as   prá]cas  de   segurança  de   soTware  numa   organização     Construir  um   programa  de   segurança  de   soTware   balanceado  e   com  iterações   bem  definidas   Demonstrar   melhorias   concretas  num   plano  de   verificação  de   segurança   Definir  e  medir   as  ac]vidades   relacionadas   com  segurança   numa   organização  
  • 46. OWASP  SAMM   hLps://www.owasp.org/index.php/Category:SoTware_Assurance_Maturity_Model   hLp://www.opensamm.org   (SoTware  Assurance  Maturity  Model)  
  • 47. OWASP  Dev.  Guide   hLps://www.owasp.org/index.php/Category:OWASP_Guide_Project   The  Developer  Guide  2014  is  a  "first  principles"   book  -­‐  it's  not  specific  to  any  one  language  or   framework,  as  they  all  borrow  ideas  and  syntax   from  each  other.  There  are  highly  specific   issues  in  different  languages,  such  as  PHP   configura9on  se=ngs  or  Spring  MVC  issues,   but  we  need  to  look  past  these  differences  and   apply  the  basic  tenets  of  secure  system   engineering  to  applica9on  security.   Founda]on   Architecture   Design   Build   Configure   Operate  
  • 48.
  • 50. www.owasp.org  Par]cipem  e  contribuam!  
  • 51. Carlos  Serrão   IPVC,  26.JUNHO.2014   OWASP  e  a  Segurança  Aplicacional   para  a  Web   A  contribuição  da  OWASP  para  aplicações  mais  seguras!