Web hacking
Desenvolva na defesa,
jogando no ataque
20 anos de Java - 20/06/2015
Eu sou@ThiagoDieb
Gerente de Desenvolvimento
Programador por vocação
Fanático por processos
Curioso por Segurança
1
O que esperar ?
“
Conceito de segurança
não se restringe a uma
linguagem ou tecnologia.
Fonte: CBS News - https://cbsnews.com
2
Cenário de risco
Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
3
Reflexão
O que
aconteceu ?
O que aconteceu ?
● Não houve estudo prévio
sobre o ADVERSÁRIO
O que aconteceu ?
● Não houve estudo préviso
sobre o ADVERSÁRIO
● Esqueceram da ESTRATÉGIA
de jogo
“
Aprenda a se defender
conhecendo seu
ADVERSÁRIO
“
Seremos sempre
surpreendidos se …
4
Vulnerabilidades
SQL
Injection
LFD / LFIXSS
XSS - Cross-site
scripting
Vulnerabilidade que permite a inclusão de
código malicioso, podendo ser persistente ou
não.
LFD - Local File
Download / Disclosure
Normalmente utilizada para visualizar ou baixar
arquivos confidenciais do sistema.
SQL Injection
Falha em sistemas com banco de dados,
permitindo a insersão de instruções maliciosas
de SQL dentro de uma co...
5
Proteção
Tudo deve
ser pra ontem
!
● Redes
● Serviços
● Aplicações
● Dispositivos
● Seres Humanos
“
Desenvolvimento
SEGURO de software
● Segurança por Padrão
● Menor Privilégio
● Controle de Acesso
● Validação de Dados
● Garantia de Integridade
● Trilhas de...
Microsoft SDL OpenSAMMOWASP
obrigado
Dúvidas ?
@thiagodieb
http://thiago.dieb.com.br
http://www.aszone.com.br
Próximos SlideShares
Carregando em…5
×

Palestra - DFJUG Java 20 anos - Web Hacking - Desenvolva na defesa, jogando no ataque

147 visualizações

Publicada em

Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas.
Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durante a construção dos softwares, resulta em mais proteção e segurança.
Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas!

Conhecer melhor o adversário permite avaliar nossas fragilidades.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
147
No SlideShare
0
A partir de incorporações
0
Número de incorporações
5
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Palestra - DFJUG Java 20 anos - Web Hacking - Desenvolva na defesa, jogando no ataque

  1. 1. Web hacking Desenvolva na defesa, jogando no ataque 20 anos de Java - 20/06/2015
  2. 2. Eu sou@ThiagoDieb Gerente de Desenvolvimento Programador por vocação Fanático por processos Curioso por Segurança
  3. 3. 1 O que esperar ?
  4. 4. “ Conceito de segurança não se restringe a uma linguagem ou tecnologia.
  5. 5. Fonte: CBS News - https://cbsnews.com
  6. 6. 2 Cenário de risco
  7. 7. Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
  8. 8. Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
  9. 9. 3 Reflexão
  10. 10. O que aconteceu ?
  11. 11. O que aconteceu ? ● Não houve estudo prévio sobre o ADVERSÁRIO
  12. 12. O que aconteceu ? ● Não houve estudo préviso sobre o ADVERSÁRIO ● Esqueceram da ESTRATÉGIA de jogo
  13. 13. “ Aprenda a se defender conhecendo seu ADVERSÁRIO
  14. 14. “ Seremos sempre surpreendidos se …
  15. 15. 4 Vulnerabilidades
  16. 16. SQL Injection LFD / LFIXSS
  17. 17. XSS - Cross-site scripting Vulnerabilidade que permite a inclusão de código malicioso, podendo ser persistente ou não.
  18. 18. LFD - Local File Download / Disclosure Normalmente utilizada para visualizar ou baixar arquivos confidenciais do sistema.
  19. 19. SQL Injection Falha em sistemas com banco de dados, permitindo a insersão de instruções maliciosas de SQL dentro de uma consulta (query).
  20. 20. 5 Proteção
  21. 21. Tudo deve ser pra ontem !
  22. 22. ● Redes ● Serviços ● Aplicações ● Dispositivos ● Seres Humanos
  23. 23. “ Desenvolvimento SEGURO de software
  24. 24. ● Segurança por Padrão ● Menor Privilégio ● Controle de Acesso ● Validação de Dados ● Garantia de Integridade ● Trilhas de Auditoria
  25. 25. Microsoft SDL OpenSAMMOWASP
  26. 26. obrigado Dúvidas ? @thiagodieb http://thiago.dieb.com.br http://www.aszone.com.br

×