SlideShare uma empresa Scribd logo
1 de 27
Baixar para ler offline
OWASP TOP 10
A Web Security CookBook
$ whoami
●   Estudante de Banco de dados na FATEC SJC;
●   WebDeveloper na empresa QMágico;
●   Linux Xiita em potencial e
●   Entusiasta em segurança da informação.
Projeto OWASP
●   Open Web Application Security Project
    ●   Comunidade aberta e voluntária
    ●   Segurança de aplicações
    ●   Aplicações para treinamento
    ●   Documentos e manifestos
    ●   Apresentações
Projeto OWASP
●   Desenvolvimento seguro
●   Promover o compartilhamento de conteúdo
    ●   “We grow when we share”
OWASP em números
●   420.000 page views por mês
●   230 GB de downloads por mês
●   4.618 usuários do wiki
●   200 atualizações por dia
●   124 capítulos
●   16.000 membros nos mailings lists
●   48 projetos de ferramentas e documentos
OWASP para todos!
●   Publicações, artigos e manifestos
    ●   OWASP Top 10

●   Softwares de teste e treinamento
    ●   WebGoat
    ●   D.V.W.A.

●   Para todos mesmo!
    ●   GPL ou creative commons
Vulnerabilidades WEB
Vulnerabilidades WEB
●   Aplicações WEB
    ●   Home-Mades e Freestyle
    ●   Acompanham vicios do programador
    ●   Proporciona ataques flexíveis
    ●   “Combos de vulnerabilidades”

●   Avaliar a internet como um ambiente hostil
    ●   Sempre usar a WhiteList
    ●   SE PODEM FAZER VÃO FAZER!
Principais ameaças
●   Injeções
    ●   OWASP TOP 10 2007 - 2º
    ●   OWASP TOP 10 2010 - 1º

●   Cross Site Scripting (XSS)
    ●   OWASP TOP 10 2007 - 1º
    ●   OWASP TOP 10 2010 - 2º
OWASP TOP 10
A1 - Injeções
●   LDAP, SQL, Shell, etc..
●   Strings interpretadas como comandos
●   Exemplo SQL Injection:

    SELECT * FROM 'clientes' WHERE 'age'=20
A1 - Injeções
●   LDAP, SQL, Shell, etc..
●   Strings interpretadas como comandos
●   Exemplo SQL Injection:

    SELECT * FROM 'clientes' WHERE 'age'=20

    SELECT * FROM 'clientes'
    WHERE 'age'=20;DROP TABLE 'usuarios';
A1 - Injeções
●   Exemplo Shell Injection:
    ●   Servidor de pesquisa DNS


        site-tinovale.rhcloud.com%20%3B
        %20/bin/cat%20/etc/passwd%3B
A1 - Injeções
●   Exemplo Shell Injection:
    ●   Servidor de pesquisa DNS


        site-tinovale.rhcloud.com ; /bin/cat
        /etc/passwd;
A1 - Injeções
A2 – XSS
●   Ataques enviados ao browser do usuário
●   Redirecionamento e/ou roubo de dados
●   Tipos de XSS:
    ●   Persistente e Não persistente


             <script>alert('XSS')</script>
A3 – Quebra de autenticação
●   Protocolo HTTP não prevê autenticação
    ●   Não é criptografado
    ●   Depende do desenvolvedor
A4 – Referência direta a
 Objetos
●   Permissionamento
    ●   Validação client-side
A5 – Cross Site Request
Forgery (CSRF)
●   Primo distante do XSS
    ●   Forja requisições aproveitando sessões ativas



        <img src=”forum.com.br/logout.php”/>
A6 – Falhas de configuração
●   Foge do escopo de código
●   Exemplos: servidores ou serviços
    desatualizados, DDOS ou DOS
●   Vulneráveis a exploits (conhecidos ou não)
A7 – Armazenamento inseguro
●   Permissão e criptografia
    ●   Exemplo: Aplicação E-Commerce na nuvem
A8 – Falha de restrição de
acessos a URL
●   Métodos/paginas acessíveis
    ●   Exemplo: método getAll()
A9 – Canal Inseguro
●   Criptografia na transmissão de dados
    ●   HTTPS e SSL
    ●   Evitam “sniffers”


●   Suporte a SSL x Obrigatoriedade de SSL
A10 – Redirecionamentos
não validados
●   Redirects não validados
    ●   Exemplo: javascript:history.back()
Porque se procupar?
●   Negócios
●   Clientes
●   Dinheiro
●   Credibilidade
●   …..
Como resolver?
Obrigado!




/giovaneliberato
@giovaneliberato
giovaneliberato@gmail.com
slideshare.net/GiovaneLiberato/

/groups/valehackerspace

Mais conteúdo relacionado

Mais procurados

See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010Marcelo Fleury
 
Desmistificando o MVVM
Desmistificando o MVVMDesmistificando o MVVM
Desmistificando o MVVMPedro Lamas
 
Direct Web Remoting Sun Tech Days2007
Direct Web Remoting Sun Tech Days2007Direct Web Remoting Sun Tech Days2007
Direct Web Remoting Sun Tech Days2007Handerson Frota
 
Node.js: 5 razões para começar a utilizar
Node.js: 5 razões para começar a utilizarNode.js: 5 razões para começar a utilizar
Node.js: 5 razões para começar a utilizarFilipe Falcão
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...Werneck Costa
 
Brutos Framework (Java WEB MVC)
Brutos Framework (Java WEB MVC)Brutos Framework (Java WEB MVC)
Brutos Framework (Java WEB MVC)Afonso Brandão
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
A trilogia Spring MVC + Spring Data + AngularJS
A trilogia  Spring MVC + Spring Data + AngularJSA trilogia  Spring MVC + Spring Data + AngularJS
A trilogia Spring MVC + Spring Data + AngularJSEmmanuel Neri
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações webCOTIC-PROEG (UFPA)
 
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018Renato Groff
 
Primeira Aula do Curso de Hardening
Primeira Aula do Curso de HardeningPrimeira Aula do Curso de Hardening
Primeira Aula do Curso de HardeningDell Technologies
 

Mais procurados (20)

See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010
 
Desmistificando o MVVM
Desmistificando o MVVMDesmistificando o MVVM
Desmistificando o MVVM
 
Direct Web Remoting Sun Tech Days2007
Direct Web Remoting Sun Tech Days2007Direct Web Remoting Sun Tech Days2007
Direct Web Remoting Sun Tech Days2007
 
Node.js: 5 razões para começar a utilizar
Node.js: 5 razões para começar a utilizarNode.js: 5 razões para começar a utilizar
Node.js: 5 razões para começar a utilizar
 
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
Apresentação Werneck - MeSeg RNP 2017 - Natal RN - Importância do monitoramen...
 
Dwrsecomp
DwrsecompDwrsecomp
Dwrsecomp
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
 
Brutos Framework (Java WEB MVC)
Brutos Framework (Java WEB MVC)Brutos Framework (Java WEB MVC)
Brutos Framework (Java WEB MVC)
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
Conhecendo mundo Node.js
Conhecendo mundo Node.jsConhecendo mundo Node.js
Conhecendo mundo Node.js
 
Por que Node JS?
Por que Node JS?Por que Node JS?
Por que Node JS?
 
A trilogia Spring MVC + Spring Data + AngularJS
A trilogia  Spring MVC + Spring Data + AngularJSA trilogia  Spring MVC + Spring Data + AngularJS
A trilogia Spring MVC + Spring Data + AngularJS
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações web
 
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018
Construindo APIs seguras com o ASP.NET Core - .NET Community Summit 2018
 
Introdução ao Nodejs
Introdução ao NodejsIntrodução ao Nodejs
Introdução ao Nodejs
 
Javascript nos dias de hoje
Javascript nos dias de hojeJavascript nos dias de hoje
Javascript nos dias de hoje
 
Microservicos + Service Mesh
Microservicos + Service MeshMicroservicos + Service Mesh
Microservicos + Service Mesh
 
Primeira Aula do Curso de Hardening
Primeira Aula do Curso de HardeningPrimeira Aula do Curso de Hardening
Primeira Aula do Curso de Hardening
 
12 Factor Apps
12 Factor Apps12 Factor Apps
12 Factor Apps
 

Destaque

Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29cadiego
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webLuis Asensio
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
MobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile SeguroMobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile SeguroAugusto Marinho
 

Destaque (8)

Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
MobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile SeguroMobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile Seguro
 

Semelhante a OWASP Top 10 - A web security cookbook

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
REST - The right way
REST - The right wayREST - The right way
REST - The right waysantosluis87
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010Marcelo Fleury
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)elliando dias
 

Semelhante a OWASP Top 10 - A web security cookbook (20)

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Api todo list
Api todo listApi todo list
Api todo list
 
REST - The right way
REST - The right wayREST - The right way
REST - The right way
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)Linux Servidor Proxy(squid)
Linux Servidor Proxy(squid)
 

Mais de Giovane Liberato

Refatorando com a API funcional do Java
Refatorando com a API funcional do JavaRefatorando com a API funcional do Java
Refatorando com a API funcional do JavaGiovane Liberato
 
Front end para back enders: Dicas de como se virar no universo paralelo
Front end para back enders: Dicas de como se virar no universo paraleloFront end para back enders: Dicas de como se virar no universo paralelo
Front end para back enders: Dicas de como se virar no universo paraleloGiovane Liberato
 
Front end pra back enders: dicas pra se virar no universo paralelo
Front end pra back enders: dicas pra se virar no universo paraleloFront end pra back enders: dicas pra se virar no universo paralelo
Front end pra back enders: dicas pra se virar no universo paraleloGiovane Liberato
 
Google App Engine e NoSQL: Alta disponibilidade
Google App Engine e NoSQL: Alta disponibilidadeGoogle App Engine e NoSQL: Alta disponibilidade
Google App Engine e NoSQL: Alta disponibilidadeGiovane Liberato
 
Sistemas de recomendação na educação
Sistemas de recomendação na educaçãoSistemas de recomendação na educação
Sistemas de recomendação na educaçãoGiovane Liberato
 
A cobra vai fumar(e tomar um golinho de café) - Jython
A cobra vai fumar(e tomar um golinho de café) - JythonA cobra vai fumar(e tomar um golinho de café) - Jython
A cobra vai fumar(e tomar um golinho de café) - JythonGiovane Liberato
 
Jython - "A cobra vai fumar (e tomar um golinho de café)"
Jython - "A cobra vai fumar (e tomar um golinho de café)"Jython - "A cobra vai fumar (e tomar um golinho de café)"
Jython - "A cobra vai fumar (e tomar um golinho de café)"Giovane Liberato
 
Um site em 5 minutos com bottle.py
Um site em 5 minutos com bottle.pyUm site em 5 minutos com bottle.py
Um site em 5 minutos com bottle.pyGiovane Liberato
 

Mais de Giovane Liberato (9)

Refatorando com a API funcional do Java
Refatorando com a API funcional do JavaRefatorando com a API funcional do Java
Refatorando com a API funcional do Java
 
Functional Python
Functional PythonFunctional Python
Functional Python
 
Front end para back enders: Dicas de como se virar no universo paralelo
Front end para back enders: Dicas de como se virar no universo paraleloFront end para back enders: Dicas de como se virar no universo paralelo
Front end para back enders: Dicas de como se virar no universo paralelo
 
Front end pra back enders: dicas pra se virar no universo paralelo
Front end pra back enders: dicas pra se virar no universo paraleloFront end pra back enders: dicas pra se virar no universo paralelo
Front end pra back enders: dicas pra se virar no universo paralelo
 
Google App Engine e NoSQL: Alta disponibilidade
Google App Engine e NoSQL: Alta disponibilidadeGoogle App Engine e NoSQL: Alta disponibilidade
Google App Engine e NoSQL: Alta disponibilidade
 
Sistemas de recomendação na educação
Sistemas de recomendação na educaçãoSistemas de recomendação na educação
Sistemas de recomendação na educação
 
A cobra vai fumar(e tomar um golinho de café) - Jython
A cobra vai fumar(e tomar um golinho de café) - JythonA cobra vai fumar(e tomar um golinho de café) - Jython
A cobra vai fumar(e tomar um golinho de café) - Jython
 
Jython - "A cobra vai fumar (e tomar um golinho de café)"
Jython - "A cobra vai fumar (e tomar um golinho de café)"Jython - "A cobra vai fumar (e tomar um golinho de café)"
Jython - "A cobra vai fumar (e tomar um golinho de café)"
 
Um site em 5 minutos com bottle.py
Um site em 5 minutos com bottle.pyUm site em 5 minutos com bottle.py
Um site em 5 minutos com bottle.py
 

OWASP Top 10 - A web security cookbook

  • 1. OWASP TOP 10 A Web Security CookBook
  • 2. $ whoami ● Estudante de Banco de dados na FATEC SJC; ● WebDeveloper na empresa QMágico; ● Linux Xiita em potencial e ● Entusiasta em segurança da informação.
  • 3. Projeto OWASP ● Open Web Application Security Project ● Comunidade aberta e voluntária ● Segurança de aplicações ● Aplicações para treinamento ● Documentos e manifestos ● Apresentações
  • 4. Projeto OWASP ● Desenvolvimento seguro ● Promover o compartilhamento de conteúdo ● “We grow when we share”
  • 5. OWASP em números ● 420.000 page views por mês ● 230 GB de downloads por mês ● 4.618 usuários do wiki ● 200 atualizações por dia ● 124 capítulos ● 16.000 membros nos mailings lists ● 48 projetos de ferramentas e documentos
  • 6. OWASP para todos! ● Publicações, artigos e manifestos ● OWASP Top 10 ● Softwares de teste e treinamento ● WebGoat ● D.V.W.A. ● Para todos mesmo! ● GPL ou creative commons
  • 8. Vulnerabilidades WEB ● Aplicações WEB ● Home-Mades e Freestyle ● Acompanham vicios do programador ● Proporciona ataques flexíveis ● “Combos de vulnerabilidades” ● Avaliar a internet como um ambiente hostil ● Sempre usar a WhiteList ● SE PODEM FAZER VÃO FAZER!
  • 9. Principais ameaças ● Injeções ● OWASP TOP 10 2007 - 2º ● OWASP TOP 10 2010 - 1º ● Cross Site Scripting (XSS) ● OWASP TOP 10 2007 - 1º ● OWASP TOP 10 2010 - 2º
  • 11. A1 - Injeções ● LDAP, SQL, Shell, etc.. ● Strings interpretadas como comandos ● Exemplo SQL Injection: SELECT * FROM 'clientes' WHERE 'age'=20
  • 12. A1 - Injeções ● LDAP, SQL, Shell, etc.. ● Strings interpretadas como comandos ● Exemplo SQL Injection: SELECT * FROM 'clientes' WHERE 'age'=20 SELECT * FROM 'clientes' WHERE 'age'=20;DROP TABLE 'usuarios';
  • 13. A1 - Injeções ● Exemplo Shell Injection: ● Servidor de pesquisa DNS site-tinovale.rhcloud.com%20%3B %20/bin/cat%20/etc/passwd%3B
  • 14. A1 - Injeções ● Exemplo Shell Injection: ● Servidor de pesquisa DNS site-tinovale.rhcloud.com ; /bin/cat /etc/passwd;
  • 16. A2 – XSS ● Ataques enviados ao browser do usuário ● Redirecionamento e/ou roubo de dados ● Tipos de XSS: ● Persistente e Não persistente <script>alert('XSS')</script>
  • 17. A3 – Quebra de autenticação ● Protocolo HTTP não prevê autenticação ● Não é criptografado ● Depende do desenvolvedor
  • 18. A4 – Referência direta a Objetos ● Permissionamento ● Validação client-side
  • 19. A5 – Cross Site Request Forgery (CSRF) ● Primo distante do XSS ● Forja requisições aproveitando sessões ativas <img src=”forum.com.br/logout.php”/>
  • 20. A6 – Falhas de configuração ● Foge do escopo de código ● Exemplos: servidores ou serviços desatualizados, DDOS ou DOS ● Vulneráveis a exploits (conhecidos ou não)
  • 21. A7 – Armazenamento inseguro ● Permissão e criptografia ● Exemplo: Aplicação E-Commerce na nuvem
  • 22. A8 – Falha de restrição de acessos a URL ● Métodos/paginas acessíveis ● Exemplo: método getAll()
  • 23. A9 – Canal Inseguro ● Criptografia na transmissão de dados ● HTTPS e SSL ● Evitam “sniffers” ● Suporte a SSL x Obrigatoriedade de SSL
  • 24. A10 – Redirecionamentos não validados ● Redirects não validados ● Exemplo: javascript:history.back()
  • 25. Porque se procupar? ● Negócios ● Clientes ● Dinheiro ● Credibilidade ● …..