SlideShare uma empresa Scribd logo
1 de 12
Baixar para ler offline
Segurança em aplicações Web


  Porque é
    tão
importante?
Considerações iniciais
INTRODUÇÃO

•   Facilidade de acesso.
•   Estatísticas desfavoráveis.
•   O desinteresse dos desenvolvedores.
•   XSS
VULNERABILIDADES MAIS
      COMUNS
 • INJEÇÃO SQL
 • Atacante insere comandos SQL.
 • Utiliza formulários.
 • Recomendações:
 • Validação : dados de entrada.
 • Permitir somente caracteres selecionados
   previamente.
 • Prepared Statement: Impede a alteração
   da sintaxe do comando SQL.
VULNERABILIDADES MAIS
      COMUNS
 • CROSS SITE SCRIPTING (XSS)
 • Atacante utiliza app web para enviar código
   malicioso.
 • Aplicação web sem validação.
 • Descoberta de cookie sessão, divulgação de
   arquivos, instalação de cavalo de Tróia,
   redirecionamento do usuário para outra Page.
 • Recomendações:
 • Verificar se o conteúdo da Page
 não contenha scripts indesejados.
 • Filtragem de dados.
 (Entrada e saída).
VULNERABILIDADES MAIS
      COMUNS
 • SISTEMAS DE AUTENTICAÇÃO
 •   Login e senha válidos.
 •   Perigo nas mensagens de erro!
 •   Problemas - Mensagens de erro:
 •   - Enumeração de logins válidos: Usuários
   listados.
 • - Ataque de dicionário: Tentativa e erro.
 • - Ataque de força bruta: Formações de palavra.
 • Recomendações:
 • Evitar mensagens de erro detalhadas.
VULNERABILIDADES MAIS
      COMUNS
 • SEQUESTRO DE SESSÕES.
 • Utilização de cookies.
 • Servidor captura o cookie.
 • Ataque pode surgir quando: captura ou
   adiviha o cookie de outro usuário.
 • Recomendações:
 • HTTPS: garante a criptografia.
 • Eliminação de vulnerabilidade.
VULNERABILIDADES MAIS
      COMUNS

• ARQUIVOS INDEVIDOS.
• Arquivos de configuração e informações
  sigilosas.
• Arquivos com senha.
• Recomendações:
• Mover os arquivos de configuração,
  backup e sigilosos.
VULNERABILIDADES MAIS
      COMUNS
 • EXECUÇÃO DE COMANDOS.
 • Manipulação das entradas de dados.
 • Comandos executam com as mesmas
   permissões.
 • Recomendações:
 • Dados dos usuários validados antes da
   execução.
 • Chamar as bibliotecas.
VULNERABILIDADES MAIS
      COMUNS
 • ELEVAÇÃO DE PRIVILÉGIOS.
 • Adquirir mais permissões que o atribuído ao
   usuário.
 • Pode ser encontrada em apps web com
   menus criados dinamicamente.
 • Recomendações:
 • Todo controle deve ser validado.
 • Qualquer recurso protegido do sistema só
   poderá ser acessado por usuários
   autenticados.
 • Todos os recursos protegidos precisam de
   um controle implementado .
VULNERABILIDADES MAIS
      COMUNS
 • OUTRAS RECOMENDAÇÕES.
 •   Protocolo HTTPS.
 •   Política de senhas. (8 caracteres).
 •   UPLOAD de arquivos.
 •   Privilégios mínimos no Banco de Dados.
 •   Criptografia das senhas.
 •   Campos hidden no código HTML.
 •   Atualização de softwares.
 •   Configuração de softwares.
VULNERABILIDADES MAIS
      COMUNS
 • Referências:
 Agência Estadual de Tecnologia da
 Informação.

Mais conteúdo relacionado

Mais procurados

Apresentacao zabbix
Apresentacao zabbixApresentacao zabbix
Apresentacao zabbixDaniel Peres
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Renato Groff
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com ZabbixZabbix BR
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Patricia Ladislau Silva
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPMonitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPZabbix BR
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbixRafael Gomes
 
Servidor Proxy com squid
Servidor Proxy com squidServidor Proxy com squid
Servidor Proxy com squidAyslan Ferrari
 
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoProtegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoRodrigo Cândido da Silva
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixThiago Finardi
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2Aécio Pires
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauMonitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauPatricia Ladislau Silva
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Renato Groff
 
Mule pe salesforce mule security
Mule pe   salesforce mule securityMule pe   salesforce mule security
Mule pe salesforce mule securityJeison Barros
 

Mais procurados (18)

Apresentacao zabbix
Apresentacao zabbixApresentacao zabbix
Apresentacao zabbix
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com Zabbix
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPMonitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbix
 
Servidor Proxy com squid
Servidor Proxy com squidServidor Proxy com squid
Servidor Proxy com squid
 
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoProtegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauMonitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
 
Instalando hudson
Instalando hudsonInstalando hudson
Instalando hudson
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
 
Mule pe salesforce mule security
Mule pe   salesforce mule securityMule pe   salesforce mule security
Mule pe salesforce mule security
 

Semelhante a Segurança em aplicações web

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenPOANETMeetup
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityMarlon Bernardes
 
Secure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptxSecure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptxThiago Bertuzzi
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceThauã Cícero Santos Silva
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação   palestra wordcamp sp 2016Segurança da informação   palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Thauã Cícero Santos Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWSMichel Pereira
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Renato Groff
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 

Semelhante a Segurança em aplicações web (20)

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
 
Secure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptxSecure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptx
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerce
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação   palestra wordcamp sp 2016Segurança da informação   palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Floripa on Rails - Security Tips
Floripa on Rails  - Security TipsFloripa on Rails  - Security Tips
Floripa on Rails - Security Tips
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Filtro de conteúdo Proxy
Filtro de conteúdo   ProxyFiltro de conteúdo   Proxy
Filtro de conteúdo Proxy
 

Mais de COTIC-PROEG (UFPA) (20)

LT - Redis
LT - RedisLT - Redis
LT - Redis
 
LT Ansible
LT AnsibleLT Ansible
LT Ansible
 
Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com Cypress
 
Loop back
Loop backLoop back
Loop back
 
METEOR
METEORMETEOR
METEOR
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágil
 
Canva
CanvaCanva
Canva
 
Git v2
Git v2Git v2
Git v2
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissional
 
Os 5 Sensos da Qualidade
Os 5 Sensos da QualidadeOs 5 Sensos da Qualidade
Os 5 Sensos da Qualidade
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBM
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolação
 
LAB JavaScript
LAB JavaScriptLAB JavaScript
LAB JavaScript
 
Principios e Valores Ágeis
Principios e Valores ÁgeisPrincipios e Valores Ágeis
Principios e Valores Ágeis
 
Big data
Big dataBig data
Big data
 
Metricas para Times Ágeis
Metricas para Times ÁgeisMetricas para Times Ágeis
Metricas para Times Ágeis
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em Par
 
Feedback Canvas
Feedback CanvasFeedback Canvas
Feedback Canvas
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos
 

Segurança em aplicações web

  • 1. Segurança em aplicações Web Porque é tão importante?
  • 3. INTRODUÇÃO • Facilidade de acesso. • Estatísticas desfavoráveis. • O desinteresse dos desenvolvedores. • XSS
  • 4. VULNERABILIDADES MAIS COMUNS • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • Validação : dados de entrada. • Permitir somente caracteres selecionados previamente. • Prepared Statement: Impede a alteração da sintaxe do comando SQL.
  • 5. VULNERABILIDADES MAIS COMUNS • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código malicioso. • Aplicação web sem validação. • Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page. • Recomendações: • Verificar se o conteúdo da Page não contenha scripts indesejados. • Filtragem de dados. (Entrada e saída).
  • 6. VULNERABILIDADES MAIS COMUNS • SISTEMAS DE AUTENTICAÇÃO • Login e senha válidos. • Perigo nas mensagens de erro! • Problemas - Mensagens de erro: • - Enumeração de logins válidos: Usuários listados. • - Ataque de dicionário: Tentativa e erro. • - Ataque de força bruta: Formações de palavra. • Recomendações: • Evitar mensagens de erro detalhadas.
  • 7. VULNERABILIDADES MAIS COMUNS • SEQUESTRO DE SESSÕES. • Utilização de cookies. • Servidor captura o cookie. • Ataque pode surgir quando: captura ou adiviha o cookie de outro usuário. • Recomendações: • HTTPS: garante a criptografia. • Eliminação de vulnerabilidade.
  • 8. VULNERABILIDADES MAIS COMUNS • ARQUIVOS INDEVIDOS. • Arquivos de configuração e informações sigilosas. • Arquivos com senha. • Recomendações: • Mover os arquivos de configuração, backup e sigilosos.
  • 9. VULNERABILIDADES MAIS COMUNS • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as mesmas permissões. • Recomendações: • Dados dos usuários validados antes da execução. • Chamar as bibliotecas.
  • 10. VULNERABILIDADES MAIS COMUNS • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao usuário. • Pode ser encontrada em apps web com menus criados dinamicamente. • Recomendações: • Todo controle deve ser validado. • Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados. • Todos os recursos protegidos precisam de um controle implementado .
  • 11. VULNERABILIDADES MAIS COMUNS • OUTRAS RECOMENDAÇÕES. • Protocolo HTTPS. • Política de senhas. (8 caracteres). • UPLOAD de arquivos. • Privilégios mínimos no Banco de Dados. • Criptografia das senhas. • Campos hidden no código HTML. • Atualização de softwares. • Configuração de softwares.
  • 12. VULNERABILIDADES MAIS COMUNS • Referências: Agência Estadual de Tecnologia da Informação.