5509 segurança em ap is

333 visualizações

Publicada em

Então você resolveu ter uma API... já imaginou quais pontos sobre segurança você precisa pensar antes de expor seus dados online?

GRAVAÇÃO
https://www.youtube.com/edit?o=U&video_id=fmozjsCzwxA

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
333
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
9
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

5509 segurança em ap is

  1. 1. http://andrebaltieri.net/ HEY!SEU WORKSHOP JÁ VAI COMEÇAR INÍCIO PROGRAMADO PARA 20:30
  2. 2. UTILIZE O CHATA SUA DIREITA PARA SE COMUNICAR http://andrebaltieri.net/
  3. 3. Workshop Segurança emAPIs
  4. 4. Agenda Segurança Física Acesso aos Fontes Acesso à Máquina Network Bloquear Ips/Acesso Externos HTTPS/SSL Segurança na API Autenticação Basic Bearer
  5. 5. Segurança Física Acesso à máquina Acesso aos Fontes
  6. 6. Acesso à Maquina  Segurança física é o primeiro nível  Se alguém tiver acesso à máquina….  Procure ambientes auto-gerenciados  Valide frequentemente  Como estão os acessos a máquina  Quem possui estes acessos
  7. 7. Acesso aos Fontes  Se o seu código fonte está público cuidado  Pessoas podem explorar brechas  Podem explorar itens como ‘salt-key’  Deploy automatizado pode causar ainda mais dano
  8. 8. DEMO Descobrindo a senha de quem usa as demos do Baltieri como padrão 
  9. 9. Network IPs e Acesso Externo HTTPS/SSL
  10. 10. IPs e Acesso Externo  Existem chineses malvados!  Se sua API vai rodar no Brasil, então bloqueie outros IPs  Se sua API é consumida apenas pelo seu site, ela pode ser liberada apenas para ele  No modelo PayAsYouGo você paga por consumo  Aceitar bilhões de requisições também significa aceitar um grande Brute Force
  11. 11. HTTPS e SSL  HTTPS/SSL permitem um trafego encriptado  HTTPS não são visíveis em ferramentas de sniffing  TODA API DEVE POSSUIR HTTPS
  12. 12. DEMO Interceptando requisições com Fiddler
  13. 13. Segurançana API Autenticação Atributos
  14. 14. Autenticação  Você não fica autenticado em APIs  Autenticação ocorre a cada requisição  Temos basicamente dois tipos de autenticação  Basic  Bearer
  15. 15. Basic Auth  Autenticação Básica  É enviado o usuário/senha encriptados em base64 a cada requisição  Fácil de interceptar  Mais fácil ainda de desencriptar
  16. 16. BearerAuth  Realiza autenticação através de Tokens  Seu login gera um token  A cada requisição o token é enviado e validado
  17. 17. DEMO Interceptando requisições básicas e obtendo as senhas
  18. 18. DEMO Implementando Bearer Auth com WebAPI
  19. 19. DEMO Implementando Bearer Auth com NodeJs
  20. 20. Dúvidas
  21. 21. OBRI GADO

×