Segurança em aplicações Web  Porque é    tãoimportante?
Considerações iniciais
INTRODUÇÃO•   Facilidade de acesso.•   Estatísticas desfavoráveis.•   O desinteresse dos desenvolvedores.•   XSS
VULNERABILIDADES MAIS      COMUNS • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • ...
VULNERABILIDADES MAIS      COMUNS • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código   malicioso. ...
VULNERABILIDADES MAIS      COMUNS • SISTEMAS DE AUTENTICAÇÃO •   Login e senha válidos. •   Perigo nas mensagens de erro! ...
VULNERABILIDADES MAIS      COMUNS • SEQUESTRO DE SESSÕES. • Utilização de cookies. • Servidor captura o cookie. • Ataque p...
VULNERABILIDADES MAIS      COMUNS• ARQUIVOS INDEVIDOS.• Arquivos de configuração e informações  sigilosas.• Arquivos com s...
VULNERABILIDADES MAIS      COMUNS • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as ...
VULNERABILIDADES MAIS      COMUNS • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao   usuário. • Po...
VULNERABILIDADES MAIS      COMUNS • OUTRAS RECOMENDAÇÕES. •   Protocolo HTTPS. •   Política de senhas. (8 caracteres). •  ...
VULNERABILIDADES MAIS      COMUNS • Referências: Agência Estadual de Tecnologia da Informação.
Próximos SlideShares
Carregando em…5
×

Segurança em aplicações web

658 visualizações

Publicada em

Apresentação sobre segurança em aplicações web

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
658
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em aplicações web

  1. 1. Segurança em aplicações Web Porque é tãoimportante?
  2. 2. Considerações iniciais
  3. 3. INTRODUÇÃO• Facilidade de acesso.• Estatísticas desfavoráveis.• O desinteresse dos desenvolvedores.• XSS
  4. 4. VULNERABILIDADES MAIS COMUNS • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • Validação : dados de entrada. • Permitir somente caracteres selecionados previamente. • Prepared Statement: Impede a alteração da sintaxe do comando SQL.
  5. 5. VULNERABILIDADES MAIS COMUNS • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código malicioso. • Aplicação web sem validação. • Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page. • Recomendações: • Verificar se o conteúdo da Page não contenha scripts indesejados. • Filtragem de dados. (Entrada e saída).
  6. 6. VULNERABILIDADES MAIS COMUNS • SISTEMAS DE AUTENTICAÇÃO • Login e senha válidos. • Perigo nas mensagens de erro! • Problemas - Mensagens de erro: • - Enumeração de logins válidos: Usuários listados. • - Ataque de dicionário: Tentativa e erro. • - Ataque de força bruta: Formações de palavra. • Recomendações: • Evitar mensagens de erro detalhadas.
  7. 7. VULNERABILIDADES MAIS COMUNS • SEQUESTRO DE SESSÕES. • Utilização de cookies. • Servidor captura o cookie. • Ataque pode surgir quando: captura ou adiviha o cookie de outro usuário. • Recomendações: • HTTPS: garante a criptografia. • Eliminação de vulnerabilidade.
  8. 8. VULNERABILIDADES MAIS COMUNS• ARQUIVOS INDEVIDOS.• Arquivos de configuração e informações sigilosas.• Arquivos com senha.• Recomendações:• Mover os arquivos de configuração, backup e sigilosos.
  9. 9. VULNERABILIDADES MAIS COMUNS • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as mesmas permissões. • Recomendações: • Dados dos usuários validados antes da execução. • Chamar as bibliotecas.
  10. 10. VULNERABILIDADES MAIS COMUNS • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao usuário. • Pode ser encontrada em apps web com menus criados dinamicamente. • Recomendações: • Todo controle deve ser validado. • Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados. • Todos os recursos protegidos precisam de um controle implementado .
  11. 11. VULNERABILIDADES MAIS COMUNS • OUTRAS RECOMENDAÇÕES. • Protocolo HTTPS. • Política de senhas. (8 caracteres). • UPLOAD de arquivos. • Privilégios mínimos no Banco de Dados. • Criptografia das senhas. • Campos hidden no código HTML. • Atualização de softwares. • Configuração de softwares.
  12. 12. VULNERABILIDADES MAIS COMUNS • Referências: Agência Estadual de Tecnologia da Informação.

×