DevDay 2011<br />
As 10 maiores falhas de segurança e como executá-las.<br />Walter Dias<br />twitter: @walterbh<br />
Agenda<br /><ul><li>Sobre o OWASP
A01 - Injection
A02 - Cross-Site Scripting (XSS)
A03 - Broken Authentication and Session Management
A04 - Insecure Direct Object References
A05 - Cross Site Request Forgery (CSRF)
A06 - Security Misconfiguration
A07 - Insecure Cryptographic Storage
A08 - Failure to Restrict URL Access
A09 - Insufficient  Transport Layer  Protection
A10 - Malicious File Execution
Conclusão</li></li></ul><li>Sobre o OWASP<br /><ul><li>Comunidade aberta.
Sem fins lucrativos.
Tem como finalidade auxiliar o ALM no que tange segurança.
Próximos SlideShares
Carregando em…5
×

As 10 maiores falhas de segurança e como executá-las

1.201 visualizações

Publicada em

Minha apresentação do DevDay 2011

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.201
No SlideShare
0
A partir de incorporações
0
Número de incorporações
6
Ações
Compartilhamentos
0
Downloads
30
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

As 10 maiores falhas de segurança e como executá-las

  1. 1. DevDay 2011<br />
  2. 2. As 10 maiores falhas de segurança e como executá-las.<br />Walter Dias<br />twitter: @walterbh<br />
  3. 3. Agenda<br /><ul><li>Sobre o OWASP
  4. 4. A01 - Injection
  5. 5. A02 - Cross-Site Scripting (XSS)
  6. 6. A03 - Broken Authentication and Session Management
  7. 7. A04 - Insecure Direct Object References
  8. 8. A05 - Cross Site Request Forgery (CSRF)
  9. 9. A06 - Security Misconfiguration
  10. 10. A07 - Insecure Cryptographic Storage
  11. 11. A08 - Failure to Restrict URL Access
  12. 12. A09 - Insufficient Transport Layer Protection
  13. 13. A10 - Malicious File Execution
  14. 14. Conclusão</li></li></ul><li>Sobre o OWASP<br /><ul><li>Comunidade aberta.
  15. 15. Sem fins lucrativos.
  16. 16. Tem como finalidade auxiliar o ALM no que tange segurança.
  17. 17. Segundo o OWASP existem no mínimo 300 falhas que afetam a WEB.
  18. 18. Sobre o OWASP Top 10.
  19. 19. Publicações adicionais.</li></li></ul><li>A01 - Injection<br /><ul><li>O que é</li></ul>É uma técnica que visa introdução de elementos.<br /><ul><li>Tipos de Injeção</li></ul>SQL<br />Script<br />XML<br />LDAP<br /><ul><li>Quem já sofreu
  20. 20. Demo</li></li></ul><li>A02 – Cross-Site Scripting (XSS)<br /><ul><li>O que é</li></ul>É uma técnica injeção.<br /><ul><li>Detecção</li></ul>Fácil desde que...<br />Difícil quando...<br /><ul><li>Quem já sofreu
  21. 21. Demo</li></li></ul><li>A03 - Broken Authentication and Session Management<br /><ul><li>O que é</li></ul>Ocorre quando o invasor toma posse das informações sensíveis para se passar pelo usuário do sistema.<br /><ul><li>Execução...</li></ul>Fácil quando...<br />Difícil quando...<br /><ul><li>Demo</li></li></ul><li>A04 - InsecureDirectObjectReferences<br /><ul><li>O que é</li></ul>Esse problema ocorre quando um usuário consegue acessar um recurso em um sistema, ao qual ele não possui permissão, através de um acesso direto a este recurso.<br /><ul><li>Execução</li></ul>Fácil quando...<br />Moderado quando...<br /><ul><li>Quem já sofreu
  22. 22. Demo</li></li></ul><li>A05 - Cross Site Request Forgery (CSRF)<br /><ul><li>O que é</li></ul>Através de uma URL alterada, o invasor força o usuário a realizar uma operação não desejada.<br />É conhecido também como:<br />one-click attack<br /><ul><li>Fácil de se executar uma vez se conheça o contexto de negocio.
  23. 23. Demo</li></li></ul><li>A06 - Security Misconfiguration<br /><ul><li>O que é</li></ul>Ocorre quando o invasor do sistema devido a uma falha de configuração do mesmo, expõem dos que permite que um usuário do sistema tenha acesso ou permissão de alteração em informações não cabíveis a ele.<br /><ul><li>Considerado como porta de entrada para possíveis “exploits”.
  24. 24. Demo</li></li></ul><li>A07 - InsecureCryptographicStorage<br /><ul><li>O que é</li></ul>Armazenar dados sensíveis na base de dados é sempre um desafio e deve ser considerado ao máximo. Quando esse tipo de dados for armazenado sem a devida proteção, um invasor ou até mesmo um usuário do sistema pode se apossar dessas informações.<br /><ul><li>Justificativa através de falsas considerações.
  25. 25. Demo</li></li></ul><li>A08 - Failure to Restrict URL Access<br /><ul><li>O que é</li></ul>Semelhante ao item 4, essa vulnerabilidade consiste no invasor acessar diretamente uma URL que não possui acesso.<br /><ul><li>Segurança por obscuridade.
  26. 26. Demo</li></li></ul><li>A09 - InsufficientTransportLayerProtection<br /><ul><li>O que é</li></ul>Ocorre quando o invasor consegue monitorar os dados trafegados em uma rede, interceptando as informações sensíveis que não possuem proteção.<br /><ul><li>Facilmente executado em conjunto com o ataque “MaliciousFile Execution”.
  27. 27. Demo</li></li></ul><li>A10 - Malicious File Execution<br /><ul><li>O que é</li></ul>O invasor utiliza falhas nas verificações dos dados e envia um arquivo malicioso para o servidor web, executando-o depois.<br /><ul><li>Cria a possibilidade de execução de diversos outros ataques.
  28. 28. Demo</li></li></ul><li>Conclusão<br /><ul><li>Falhas vão acontecer.
  29. 29. Jamais duvide da capacidade de seu usuário.
  30. 30. Não precisamos de ataques elaborados para causar estragos.
  31. 31. Boas praticas continuam sendo nossas amigas.
  32. 32. Existe uma larga gama de material na internet.
  33. 33. Esteja preparado.</li></li></ul><li>Obrigado<br />

×