SlideShare uma empresa Scribd logo
Rafael Soares Ferreira
Sócio Diretor Técnico
rafael@clavis.com.br
Principais Vulnerabilidades
em Aplicações Web
Apresentação
•  Grupo Clavis
•  Sócio Diretor Técnico
•  Testes de invasão em redes, sistemas e
aplicações
Contatos
rafaelsoaresferreira@gmail.com
rafaelsoaresferreira
@rafaelsferreira
www.facebook.com/rafaelsoaresferreira
•  Compras
•  Redes Sociais
•  Internet Banking
•  Webmail
•  Outras...
Utilização
•  Protocolo leve e simples
•  E “stateless”!
•  Anytime, Anywhere
•  Independe de plataforma
•  Atualizações centralizadas
Benefícios
•  O protocolo HTTP
HTTP 1.0 - RFC-1945
HTTP 1.1 – RFC-2616
RFC 1945:
...is an application-level protocol with the lightness and speed
necessary for distributed, collaborative, hypermedia
information systems. It is a generic, stateless, object-
oriented protocol which can be used for many tasks, such
as name servers and distributed object management
systems, through extension of its request methods
(commands)...
Protocolos e Tecnologias
•  “Lightness”
•  Protocolo em texto puro
•  Simples de implementar um cliente
•  “Stateless”
•  Servidor responde a requisição e
•  Encerra a conexão
Protocolos e Tecnologias
•  Não confiar em dados externos
•  Tudo pode ser forjado/modificado
•  Validar todos os dados
•  Prever e Tratar erros
•  Testar segurança, revisar
Segurança Básica
Mudança de Paradigma
•  What is a secure site?
“a site that uses the HTTPS protocol...”
•  Segurança da comunicação é apenas 1
dos problemas
Segurança Básica
Erros Comuns
•  Falta de Canonicalização
•  Verificações Client-Side
•  Segurança por Obscuridade
Segurança Básica
Canonicalização
•  Decisões baseadas em nomes
•  Representação de forma única
•  Muitas representações para caracteres
•  ASCII, hexadecimal, UTF-8, unicode ...
Segurança Básica
Canonicalização – Exemplo
•  SecureIIS do eEye
http://www.exemplo.com/ver.asp?arquivo=../../../winnt/repair/sam
•  Evasão
http://www.exemplo.com/ver.asp?arquivo=%2e%2e/%2e%2e/%2e
%2e/winnt/repair/sam
Segurança Básica
Verificações Client-Side
•  Facilmente contornadas
•  Desabilitar javascript
•  Usar um proxy
•  Plugins de browser
Segurança Básica
Verificações Client-Side
•  Tamper data
Segurança Básica
Segurança por Obscuridade
•  Esconder o problema não resolve
•  Pode ser usada como camada adicional
•  Nunca como SOLUÇÃO de segurança
Segurança Básica
Segurança por Obscuridade
•  Trocando a string do Apache
ServerSignature Off
SecServerSignature “Meu Servidor“
Segurança Básica
Principais Ameaças
Injeções
Descrição
•  Envio de dados não tratados para algum
serviço interno.
•  Pode ser feita via SQL, LDAP, Xpath, comandos
de sistema operacional, argumentos de
programas, etc.
•  Descoberta por varreduras e/ou fuzzers
SQL Injection
Exemplo
SQLi:
•  Aplicação: OcoMon
•  Versão: 2.0-RC6
•  Bypass de autenticação via SQLi
•  Validação de entradas feita client-side
Exemplo
•  Página inicial filtrando caracteres
especiais através de javascript.
Exemplo
•  É possível editar a função de validação, ou
impedi-la de ser executada no navegador.
Exemplo
•  Sem a função de validação é possível
submeter a string admin ‘ or ‘ -- que possibilita
acesso ao sistema.
Impactos
•  Dependendo do tipo de injeção os danos
causados podem ser:
ü  Perda ou corrupção de dados
ü  Negação de Serviço
ü  Falhas de autenticação
ü  Execução arbitrária de código e até
comprometimento total do sistema.
Como se Prevenir
•  Não utilizar dados não confiáveis em
comandos e/ou queries.
•  Rotinas de validação ou “escape” de
caracteres.
•  É aconselhável o uso de validação positiva
nas entradas.
•  Utilizar canonicalização de dados.
Quebra de Autenticação /
Sessão
Principais Ameaças
•  Restrição de conteúdos / recursos
•  Autenticação HTTP:
Basic -> credenciais concatenadas
separadas por “:” e codificadas em base64
Digest -> hash MD5
Definição
•  Identificadores de Sessão (“SESSION ID")
expostos
•  Lembretes de Senha ou “logout” vulneráveis
Definição
Exemplo
Cookie:
[...]
Authorization: Basic dGVzdGU6ZHVtbXlwYXNzd29yZA==
[...]
Decodificando:
$ echo "dGVzdGU6ZHVtbXlwYXNzd29yZA==" | base64 –d
teste:dummypassword
Exemplo
•  Tunelamento por SSL
•  Políticas de segurança
•  CAPTCHA
•  Proteger Cookie
Como se Prevenir
Principais Ameaças
XSS – Cross Site
Scripting
Descrição
•  Ocorre quando uma aplicação inclui
dados não tratados em um objeto enviado ao
navegador.
•  Existem 3 principais tipos:
ü  Stored
ü  Reflected
ü  DOM based XSS
Impactos
•  Roubo de informações de sessão
•  Pichação de Sites
•  Redirecionamento de usuários e etc.
•  Exposição de informações dos usuários
Descrição
Stored:
•  Código injetado é armazenado
permanentemente na aplicação vulnerável
(comentários, posts, logs, etc)
•  A vítima recebe o código malicioso junto com
alguma requisição feita.
Stored XSS
Exemplo
Stored:
•  Aplicação: dotProject
•  Versão: 2.1.5
•  Múltiplas Vulnerabilidades de XSS e SQLi
Exemplo
•  Na submissão de arquivos é possível
inserir um código malicioso no campo
descrição.
Exemplo
<script>alert('xss')</script>
Exemplo
•  O código então será submetido a todos que
visualizarem a descrição de tal arquivo.
Descrição
Reflected:
•  O código é “refletido” para o usuário através de
respostas que contenham dados não tratados
recebidos pela aplicação (resultado de buscas,
mensagens de erro, etc).
•  Geralmente disseminado através de links
maliciosos.
Reflected XSS
Exemplo
Reflected:
•  Acunetix test site:
http://testasp.vulnweb.com/search.asp
•  Aplicação com exemplos de vulnerabilidades
Exemplo
Reflected:
•  O código submetido na busca é retornado ao
usuário na página de resultado sem nenhum
tratamento.
Exemplo
Reflected:
•  No caso de submissão de um código html por
exemplo, o mesmo será exibido para o usuário
como se pertencesse a página em questão.
Exemplo
Reflected:
•  A submissão pode ser feita pels busca:
<br><br>Entre aqui com suas credenciais:<form
action="destination.asp"><table><tr><td>Nome:</td><td><input type=text
length=20 name=nome></td></tr><tr><td>Senha:</td><td><input type=text
length=20 name=senha></td></tr></table><input type=submit
value=Acessar></form>!
•  Ou pela URL:
http://testasp.vulnweb.com/search.asp?tfSearch=%3Cbr%3E%3Cbr%3EEntre
+aqui+com+suas+credenciais%3A%3Cform+action%3D%22destination.asp%22%3E
%3Ctable%3E%3Ctr%3E%3Ctd%3ENome%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type
%3Dtext+length%3D20+name%3Dnome%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd
%3ESenha%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name
%3Dsenha%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3Cinput+type%3Dsubmit
+value%3DAcessar%3E%3C%2Fform%3E+!
Descrição
DOM based XSS:
•  Ocasionado por uma modificação no ambiente
DOM do navegador da vítima.
•  O código executado é legítimo, porém devido a
essa alteração no ambiente sua execução é
feita de maneira anômala.
Exemplo
DOM based XSS:
•  O seguinte código é executado no navegador
(client-side)
Exemplo
DOM based XSS:
•  A variável “name” pode ser manipulada
conforme o exemplo a seguir:
Como se Prevenir
•  “Escapar” caracteres vindo de fontes não
confiáveis e que serão utilizados no contexto do
navegador (body, atributos, JavaScript, CSS,
URL).
•  A validação positiva é sempre interessante mas
é preciso atentar para peculiaridades da
aplicação em questão pois caracteres especiais
e codificações diversas podem fazer parte da
rotina da aplicação.
Referência Direta a
Objetos
Principais Ameaças
•  Apenas proteção na camada de apresentação
não funciona
•  Atacante simplesmente altera parâmetros e
consegue acessar o conteúdo
Definição
Exemplo
Como prevenir
•  Trocar referências diretas por um valor de
mapeamento aleatório temporário
•  Verificar se o parâmetro está dentro do padrão
•  Verificar se o usuário tem permissão de acesso
•  Verificar se o usuário pode executar a ação que
deseja em um determinado objeto
Falhas de
Configuração
Principais Ameaças
•  Aplicações rodam em cima de serviços que
rodam em cima de SOs
•  Todos podem ser vetores de ataque
•  Exploits (e patchs!) se aplicam à qualquer tipo
de software
Definição
•  “Hardening” de servidores
•  Patchs e atualizações
•  Homologação de mudanças
•  Vulnerability Management
Como se Prevenir
Exposição de dados
sensíveis
Principais Ameaças
Descrição
•  Falha mais comum e grave: simplesmente
não criptografar dados sensíveis
•  Falhas quando a criptografia é empregada:
-  Geração e armazenamento inseguros de chaves
-  Não implantar políticas de rotação de chaves
-  Utilizar algoritmos de criptografia fracos
-  Utilizar métodos de criptografia em uma só via (hash)
fracos ou sem salto para proteger senhas.
Descrição
•  Falha em proteger o tráfego de rede onde
passam os dados da aplicação
•  Utilização de criptografia somente na
autenticação (expondo dados e IDs de seção)
•  Utilização de certificados expirados ou mal
configurados
•  Falhas básicas de fácil detecção, bastando
observar o tráfego de rede do site.
•  Frequentemente comprometem todos os
dados protegidos por criptografia
•  Tipicamente, estes dados incluem, mas não
estão limitados à:
-  Credenciais de acesso
-  Dados pessoais
-  Registros de saúde
-  Cartões de crédito, etc.
Impacto
•  Algoritmos de criptografia e chaves utilizados
devem ser apropriadamente fortes.
•  Senhas devem armazenadas em hash com um
algoritmo de criptografia em uma só via, forte e
com um salto apropriado.
•  Proteger o transporte de dados adequadamente
pode afetar o projeto do site. Em geral, é mais
simples forçar o uso de criptografia em todo o
site.
Como se Prevenir
Falha no controle de
acesso
Principais Ameaças
Falha no controle de acesso
•  Usuário autorizado modifica um parâmetro
ou URL e acessa uma função privilegiada
•  Usuário anônimo acessa funções desprotegidas
•  Impacto
•  Acesso a contas e dados de outros
usuários
•  Realizar ações de privilégio maior do que
devido
Falha no controle de acesso a
nível de função
Como prevenir
•  Restringir acesso a usuários autenticados
•  Mostrar somente o que for designado ao usuário
ou ao grupo
•  Negar qualquer requisição a páginas não
autorizadas
•  Não utilizar abordagens de análise automatizada
•  Deve-se negar todo o conteúdo (DENY ALL)
Cross Site Request
Forgery
Principais Ameaças
•  Browsers enviam alguns tipos de credenciais
automaticamente
-  Cookies
-  Cabeçalhos
-  Endereço IP
-  Certificados SSL
Definição
•  A vítima acessa um site malicioso enquanto está
logada no sistema vulnerável
•  O atacante força a vítima a fazer tal requisição
Impacto
Cross Site Request Forgery(CSRF)
•  Autenticações forçadas em requisições
sensíveis
•  Controle exposição de dados utilizados como
credenciais
•  Adicionar um token secreto, não automático,
para todas requisições importantes
Como se Prevenir
Utilização de componentes
vulneráveis
Principais Ameaças
Utilização de componentes
vulneráveis
•  Componentes bibliotecas e frameworks
•  Demora na divulgação da vulnerabilidade
•  Muitos produtores não lançam uma correção
(hot fix)
•  Monitorar versões de todos os componentes,
incluindo todas dependências
•  Manter componentes sempre atualizados
•  Organizar uma política de segurança
•  Buscar uma alternativa enquanto uma correção
não aparece
Como se Prevenir
Redirecionamentos e
repasses não validados
Principais Ameaças
Descrição
•  Falha em validar o destino de
redirecionamentos ou repasses utilizados
•  Problemas mais comuns:
-  Ausência de validação do destino de um
redirecionamento ou repasse
-  Similaridade entre redirecionamento para destinos
internos (da própria aplicação) e externos
l  Redirecionamentos podem induzir usuários
a instalar malware ou revelar informações
sensíveis.
l  Repasses inseguros podem permitir contornar
controles de acesso.
Impacto
l  Evitar estas falhas é extremamente
importante, pois elas são os alvos favoritos de
phishers tentando ganhar a confiança de um
usuário.
l  Recomendações básicas para utilizar
redirecionamentos e repasses:
-  Não envolver parâmetros de usuário para calcular o
destino
-  Se não puder ser evitar, validar o parâmetro e verificar
autorização do usuário
Como se Prevenir
Dúvidas?
Perguntas?
Críticas?
Sugestões?
Siga a Clavis
Rafael Soares Ferreira
Sócio Diretor Técnico
Muito Obrigado!
rafael@clavis.com.br
@rafaelsferreira

Mais conteúdo relacionado

Mais procurados

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Clavis Segurança da Informação
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 
Webinar # 21 – Análise Forense de Redes
 Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
Clavis Segurança da Informação
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Clavis Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
Kleitor Franklint Correa Araujo
 

Mais procurados (20)

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Webinar # 21 – Análise Forense de Redes
 Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 

Destaque

XML, Webservice e RSS
XML, Webservice e RSSXML, Webservice e RSS
XML, Webservice e RSS
Javier Antonio Humarán Peñuñuri
 
XSS (Cross site scripting)
XSS (Cross site scripting)XSS (Cross site scripting)
XSS (Cross site scripting)
Eduardo Bohrer
 
Cross Site Scripting - XSS
Cross Site Scripting - XSSCross Site Scripting - XSS
Cross Site Scripting - XSS
Diego Souza
 
Gerenciando seu projeto com dotProject
Gerenciando seu projeto com dotProjectGerenciando seu projeto com dotProject
Gerenciando seu projeto com dotProject
Sheldon Led
 
Aula Introdução a Linguagem XML
Aula Introdução a Linguagem XMLAula Introdução a Linguagem XML
Aula Introdução a Linguagem XML
Rudson Kiyoshi Souza Carvalho
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
Er Galvão Abbott
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
Kleitor Franklint Correa Araujo
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
Abdul Wahid
 

Destaque (8)

XML, Webservice e RSS
XML, Webservice e RSSXML, Webservice e RSS
XML, Webservice e RSS
 
XSS (Cross site scripting)
XSS (Cross site scripting)XSS (Cross site scripting)
XSS (Cross site scripting)
 
Cross Site Scripting - XSS
Cross Site Scripting - XSSCross Site Scripting - XSS
Cross Site Scripting - XSS
 
Gerenciando seu projeto com dotProject
Gerenciando seu projeto com dotProjectGerenciando seu projeto com dotProject
Gerenciando seu projeto com dotProject
 
Aula Introdução a Linguagem XML
Aula Introdução a Linguagem XMLAula Introdução a Linguagem XML
Aula Introdução a Linguagem XML
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
 
Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013Ameaças e Vulnerabilidade em Apps Web-2013
Ameaças e Vulnerabilidade em Apps Web-2013
 
Web Application Security
Web Application SecurityWeb Application Security
Web Application Security
 

Semelhante a Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira – Sócio Diretor Técnico;

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
Dirceu Resende
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Java security
Java securityJava security
Java security
armeniocardoso
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Api todo list
Api todo listApi todo list
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
POANETMeetup
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Giovani Decusati
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
Marlon Bernardes
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
Fernando Piancastelli
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Amazon Web Services
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Renato Groff
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
Giovane Liberato
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
Alex Hübner
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações web
COTIC-PROEG (UFPA)
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
Sergio Henrique
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
Júlio Coutinho
 

Semelhante a Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira – Sócio Diretor Técnico; (20)

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Java security
Java securityJava security
Java security
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Api todo list
Api todo listApi todo list
Api todo list
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Segurança em aplicações web
Segurança em aplicações webSegurança em aplicações web
Segurança em aplicações web
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 

Mais de Clavis Segurança da Informação

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
Clavis Segurança da Informação
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
Clavis Segurança da Informação
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Clavis Segurança da Informação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
Clavis Segurança da Informação
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Clavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Clavis Segurança da Informação
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
Clavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
Clavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Clavis Segurança da Informação
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
Clavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Clavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Clavis Segurança da Informação
 

Mais de Clavis Segurança da Informação (17)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
 

Último

CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
ESCRIBA DE CRISTO
 
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
ESCRIBA DE CRISTO
 
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTASEscola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
ceciliafonseca16
 
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADASCARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
ESCRIBA DE CRISTO
 
Malleus Maleficarum: o martelo das bruxas
Malleus Maleficarum: o martelo das bruxasMalleus Maleficarum: o martelo das bruxas
Malleus Maleficarum: o martelo das bruxas
Lourhana
 
Bíblia Sagrada - Odabias - slides powerpoint.pptx
Bíblia Sagrada - Odabias - slides powerpoint.pptxBíblia Sagrada - Odabias - slides powerpoint.pptx
Bíblia Sagrada - Odabias - slides powerpoint.pptx
Igreja Jesus é o Verbo
 
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
Janilson Noca
 
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
ESCRIBA DE CRISTO
 
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOSDIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
ESCRIBA DE CRISTO
 
A CRUZ DE CRISTO- ELE MORREU PARA NOS SALVAE.pptx
A CRUZ DE CRISTO-  ELE MORREU PARA NOS SALVAE.pptxA CRUZ DE CRISTO-  ELE MORREU PARA NOS SALVAE.pptx
A CRUZ DE CRISTO- ELE MORREU PARA NOS SALVAE.pptx
JonasRibeiro61
 
O-livro-de-Jasher-O-Justo, the book of jasher.pdf
O-livro-de-Jasher-O-Justo, the book of jasher.pdfO-livro-de-Jasher-O-Justo, the book of jasher.pdf
O-livro-de-Jasher-O-Justo, the book of jasher.pdf
WELITONNOGUEIRA3
 
Habacuque.docx estudo bíblico, conhecimento
Habacuque.docx estudo bíblico, conhecimentoHabacuque.docx estudo bíblico, conhecimento
Habacuque.docx estudo bíblico, conhecimento
ayronleonardo
 
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
ESCRIBA DE CRISTO
 
Oração Para Pedir Bênçãos Aos Agricultores
Oração Para Pedir Bênçãos Aos AgricultoresOração Para Pedir Bênçãos Aos Agricultores
Oração Para Pedir Bênçãos Aos Agricultores
Nilson Almeida
 
Lição 11 - A Realidade Bíblica do Inferno.pptx
Lição 11 - A Realidade Bíblica do Inferno.pptxLição 11 - A Realidade Bíblica do Inferno.pptx
Lição 11 - A Realidade Bíblica do Inferno.pptx
Celso Napoleon
 
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptxLição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
Celso Napoleon
 

Último (16)

CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
CRISTO E EU [MENSAGEM DE CHARLES SPURGEON]
 
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
JERÔNIMO DE BELÉM DA JUDÉIA [TERRA SANTA]
 
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTASEscola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
Escola sabatina juvenis.pdf. Revista da escola sabatina - ADVENTISTAS
 
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADASCARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
CARTAS DE INÁCIO DE ANTIOQUIA ILUSTRADAS E COMENTADAS
 
Malleus Maleficarum: o martelo das bruxas
Malleus Maleficarum: o martelo das bruxasMalleus Maleficarum: o martelo das bruxas
Malleus Maleficarum: o martelo das bruxas
 
Bíblia Sagrada - Odabias - slides powerpoint.pptx
Bíblia Sagrada - Odabias - slides powerpoint.pptxBíblia Sagrada - Odabias - slides powerpoint.pptx
Bíblia Sagrada - Odabias - slides powerpoint.pptx
 
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
Manual-do-PGM-Protótipo.docxManual-do-PGM-Protótipo.docx
 
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
1984 DE GEORGE ORWELL ILUSTRADO E COMENTADO
 
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOSDIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
DIDÁTICA MAGNA DE COMENIUS COM COMENTÁRIOS
 
A CRUZ DE CRISTO- ELE MORREU PARA NOS SALVAE.pptx
A CRUZ DE CRISTO-  ELE MORREU PARA NOS SALVAE.pptxA CRUZ DE CRISTO-  ELE MORREU PARA NOS SALVAE.pptx
A CRUZ DE CRISTO- ELE MORREU PARA NOS SALVAE.pptx
 
O-livro-de-Jasher-O-Justo, the book of jasher.pdf
O-livro-de-Jasher-O-Justo, the book of jasher.pdfO-livro-de-Jasher-O-Justo, the book of jasher.pdf
O-livro-de-Jasher-O-Justo, the book of jasher.pdf
 
Habacuque.docx estudo bíblico, conhecimento
Habacuque.docx estudo bíblico, conhecimentoHabacuque.docx estudo bíblico, conhecimento
Habacuque.docx estudo bíblico, conhecimento
 
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
DIDASCALIA APOSTOLORUM [ HISTÓRIA DO CRISTIANISMO]
 
Oração Para Pedir Bênçãos Aos Agricultores
Oração Para Pedir Bênçãos Aos AgricultoresOração Para Pedir Bênçãos Aos Agricultores
Oração Para Pedir Bênçãos Aos Agricultores
 
Lição 11 - A Realidade Bíblica do Inferno.pptx
Lição 11 - A Realidade Bíblica do Inferno.pptxLição 11 - A Realidade Bíblica do Inferno.pptx
Lição 11 - A Realidade Bíblica do Inferno.pptx
 
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptxLição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
Lição 10 - Desenvolvendo Uma Consciência de Santidade.pptx
 

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira – Sócio Diretor Técnico;

  • 1. Rafael Soares Ferreira Sócio Diretor Técnico rafael@clavis.com.br Principais Vulnerabilidades em Aplicações Web
  • 2. Apresentação •  Grupo Clavis •  Sócio Diretor Técnico •  Testes de invasão em redes, sistemas e aplicações
  • 4. •  Compras •  Redes Sociais •  Internet Banking •  Webmail •  Outras... Utilização
  • 5. •  Protocolo leve e simples •  E “stateless”! •  Anytime, Anywhere •  Independe de plataforma •  Atualizações centralizadas Benefícios
  • 6. •  O protocolo HTTP HTTP 1.0 - RFC-1945 HTTP 1.1 – RFC-2616 RFC 1945: ...is an application-level protocol with the lightness and speed necessary for distributed, collaborative, hypermedia information systems. It is a generic, stateless, object- oriented protocol which can be used for many tasks, such as name servers and distributed object management systems, through extension of its request methods (commands)... Protocolos e Tecnologias
  • 7. •  “Lightness” •  Protocolo em texto puro •  Simples de implementar um cliente •  “Stateless” •  Servidor responde a requisição e •  Encerra a conexão Protocolos e Tecnologias
  • 8. •  Não confiar em dados externos •  Tudo pode ser forjado/modificado •  Validar todos os dados •  Prever e Tratar erros •  Testar segurança, revisar Segurança Básica
  • 9. Mudança de Paradigma •  What is a secure site? “a site that uses the HTTPS protocol...” •  Segurança da comunicação é apenas 1 dos problemas Segurança Básica
  • 10. Erros Comuns •  Falta de Canonicalização •  Verificações Client-Side •  Segurança por Obscuridade Segurança Básica
  • 11. Canonicalização •  Decisões baseadas em nomes •  Representação de forma única •  Muitas representações para caracteres •  ASCII, hexadecimal, UTF-8, unicode ... Segurança Básica
  • 12. Canonicalização – Exemplo •  SecureIIS do eEye http://www.exemplo.com/ver.asp?arquivo=../../../winnt/repair/sam •  Evasão http://www.exemplo.com/ver.asp?arquivo=%2e%2e/%2e%2e/%2e %2e/winnt/repair/sam Segurança Básica
  • 13. Verificações Client-Side •  Facilmente contornadas •  Desabilitar javascript •  Usar um proxy •  Plugins de browser Segurança Básica
  • 14. Verificações Client-Side •  Tamper data Segurança Básica
  • 15. Segurança por Obscuridade •  Esconder o problema não resolve •  Pode ser usada como camada adicional •  Nunca como SOLUÇÃO de segurança Segurança Básica
  • 16. Segurança por Obscuridade •  Trocando a string do Apache ServerSignature Off SecServerSignature “Meu Servidor“ Segurança Básica
  • 18. Descrição •  Envio de dados não tratados para algum serviço interno. •  Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc. •  Descoberta por varreduras e/ou fuzzers
  • 20. Exemplo SQLi: •  Aplicação: OcoMon •  Versão: 2.0-RC6 •  Bypass de autenticação via SQLi •  Validação de entradas feita client-side
  • 21. Exemplo •  Página inicial filtrando caracteres especiais através de javascript.
  • 22. Exemplo •  É possível editar a função de validação, ou impedi-la de ser executada no navegador.
  • 23. Exemplo •  Sem a função de validação é possível submeter a string admin ‘ or ‘ -- que possibilita acesso ao sistema.
  • 24. Impactos •  Dependendo do tipo de injeção os danos causados podem ser: ü  Perda ou corrupção de dados ü  Negação de Serviço ü  Falhas de autenticação ü  Execução arbitrária de código e até comprometimento total do sistema.
  • 25. Como se Prevenir •  Não utilizar dados não confiáveis em comandos e/ou queries. •  Rotinas de validação ou “escape” de caracteres. •  É aconselhável o uso de validação positiva nas entradas. •  Utilizar canonicalização de dados.
  • 26. Quebra de Autenticação / Sessão Principais Ameaças
  • 27. •  Restrição de conteúdos / recursos •  Autenticação HTTP: Basic -> credenciais concatenadas separadas por “:” e codificadas em base64 Digest -> hash MD5 Definição
  • 28. •  Identificadores de Sessão (“SESSION ID") expostos •  Lembretes de Senha ou “logout” vulneráveis Definição
  • 30. Cookie: [...] Authorization: Basic dGVzdGU6ZHVtbXlwYXNzd29yZA== [...] Decodificando: $ echo "dGVzdGU6ZHVtbXlwYXNzd29yZA==" | base64 –d teste:dummypassword Exemplo
  • 31. •  Tunelamento por SSL •  Políticas de segurança •  CAPTCHA •  Proteger Cookie Como se Prevenir
  • 32. Principais Ameaças XSS – Cross Site Scripting
  • 33. Descrição •  Ocorre quando uma aplicação inclui dados não tratados em um objeto enviado ao navegador. •  Existem 3 principais tipos: ü  Stored ü  Reflected ü  DOM based XSS
  • 34. Impactos •  Roubo de informações de sessão •  Pichação de Sites •  Redirecionamento de usuários e etc. •  Exposição de informações dos usuários
  • 35. Descrição Stored: •  Código injetado é armazenado permanentemente na aplicação vulnerável (comentários, posts, logs, etc) •  A vítima recebe o código malicioso junto com alguma requisição feita.
  • 37. Exemplo Stored: •  Aplicação: dotProject •  Versão: 2.1.5 •  Múltiplas Vulnerabilidades de XSS e SQLi
  • 38. Exemplo •  Na submissão de arquivos é possível inserir um código malicioso no campo descrição.
  • 40. Exemplo •  O código então será submetido a todos que visualizarem a descrição de tal arquivo.
  • 41. Descrição Reflected: •  O código é “refletido” para o usuário através de respostas que contenham dados não tratados recebidos pela aplicação (resultado de buscas, mensagens de erro, etc). •  Geralmente disseminado através de links maliciosos.
  • 43. Exemplo Reflected: •  Acunetix test site: http://testasp.vulnweb.com/search.asp •  Aplicação com exemplos de vulnerabilidades
  • 44. Exemplo Reflected: •  O código submetido na busca é retornado ao usuário na página de resultado sem nenhum tratamento.
  • 45. Exemplo Reflected: •  No caso de submissão de um código html por exemplo, o mesmo será exibido para o usuário como se pertencesse a página em questão.
  • 46. Exemplo Reflected: •  A submissão pode ser feita pels busca: <br><br>Entre aqui com suas credenciais:<form action="destination.asp"><table><tr><td>Nome:</td><td><input type=text length=20 name=nome></td></tr><tr><td>Senha:</td><td><input type=text length=20 name=senha></td></tr></table><input type=submit value=Acessar></form>! •  Ou pela URL: http://testasp.vulnweb.com/search.asp?tfSearch=%3Cbr%3E%3Cbr%3EEntre +aqui+com+suas+credenciais%3A%3Cform+action%3D%22destination.asp%22%3E %3Ctable%3E%3Ctr%3E%3Ctd%3ENome%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type %3Dtext+length%3D20+name%3Dnome%3E%3C%2Ftd%3E%3C%2Ftr%3E%3Ctr%3E%3Ctd %3ESenha%3A%3C%2Ftd%3E%3Ctd%3E%3Cinput+type%3Dtext+length%3D20+name %3Dsenha%3E%3C%2Ftd%3E%3C%2Ftr%3E%3C%2Ftable%3E%3Cinput+type%3Dsubmit +value%3DAcessar%3E%3C%2Fform%3E+!
  • 47. Descrição DOM based XSS: •  Ocasionado por uma modificação no ambiente DOM do navegador da vítima. •  O código executado é legítimo, porém devido a essa alteração no ambiente sua execução é feita de maneira anômala.
  • 48. Exemplo DOM based XSS: •  O seguinte código é executado no navegador (client-side)
  • 49. Exemplo DOM based XSS: •  A variável “name” pode ser manipulada conforme o exemplo a seguir:
  • 50. Como se Prevenir •  “Escapar” caracteres vindo de fontes não confiáveis e que serão utilizados no contexto do navegador (body, atributos, JavaScript, CSS, URL). •  A validação positiva é sempre interessante mas é preciso atentar para peculiaridades da aplicação em questão pois caracteres especiais e codificações diversas podem fazer parte da rotina da aplicação.
  • 52. •  Apenas proteção na camada de apresentação não funciona •  Atacante simplesmente altera parâmetros e consegue acessar o conteúdo Definição
  • 54. Como prevenir •  Trocar referências diretas por um valor de mapeamento aleatório temporário •  Verificar se o parâmetro está dentro do padrão •  Verificar se o usuário tem permissão de acesso •  Verificar se o usuário pode executar a ação que deseja em um determinado objeto
  • 56. •  Aplicações rodam em cima de serviços que rodam em cima de SOs •  Todos podem ser vetores de ataque •  Exploits (e patchs!) se aplicam à qualquer tipo de software Definição
  • 57. •  “Hardening” de servidores •  Patchs e atualizações •  Homologação de mudanças •  Vulnerability Management Como se Prevenir
  • 59. Descrição •  Falha mais comum e grave: simplesmente não criptografar dados sensíveis •  Falhas quando a criptografia é empregada: -  Geração e armazenamento inseguros de chaves -  Não implantar políticas de rotação de chaves -  Utilizar algoritmos de criptografia fracos -  Utilizar métodos de criptografia em uma só via (hash) fracos ou sem salto para proteger senhas.
  • 60. Descrição •  Falha em proteger o tráfego de rede onde passam os dados da aplicação •  Utilização de criptografia somente na autenticação (expondo dados e IDs de seção) •  Utilização de certificados expirados ou mal configurados •  Falhas básicas de fácil detecção, bastando observar o tráfego de rede do site.
  • 61. •  Frequentemente comprometem todos os dados protegidos por criptografia •  Tipicamente, estes dados incluem, mas não estão limitados à: -  Credenciais de acesso -  Dados pessoais -  Registros de saúde -  Cartões de crédito, etc. Impacto
  • 62. •  Algoritmos de criptografia e chaves utilizados devem ser apropriadamente fortes. •  Senhas devem armazenadas em hash com um algoritmo de criptografia em uma só via, forte e com um salto apropriado. •  Proteger o transporte de dados adequadamente pode afetar o projeto do site. Em geral, é mais simples forçar o uso de criptografia em todo o site. Como se Prevenir
  • 63. Falha no controle de acesso Principais Ameaças
  • 64. Falha no controle de acesso •  Usuário autorizado modifica um parâmetro ou URL e acessa uma função privilegiada •  Usuário anônimo acessa funções desprotegidas •  Impacto •  Acesso a contas e dados de outros usuários •  Realizar ações de privilégio maior do que devido
  • 65. Falha no controle de acesso a nível de função
  • 66. Como prevenir •  Restringir acesso a usuários autenticados •  Mostrar somente o que for designado ao usuário ou ao grupo •  Negar qualquer requisição a páginas não autorizadas •  Não utilizar abordagens de análise automatizada •  Deve-se negar todo o conteúdo (DENY ALL)
  • 68. •  Browsers enviam alguns tipos de credenciais automaticamente -  Cookies -  Cabeçalhos -  Endereço IP -  Certificados SSL Definição
  • 69. •  A vítima acessa um site malicioso enquanto está logada no sistema vulnerável •  O atacante força a vítima a fazer tal requisição Impacto
  • 70. Cross Site Request Forgery(CSRF)
  • 71. •  Autenticações forçadas em requisições sensíveis •  Controle exposição de dados utilizados como credenciais •  Adicionar um token secreto, não automático, para todas requisições importantes Como se Prevenir
  • 73. Utilização de componentes vulneráveis •  Componentes bibliotecas e frameworks •  Demora na divulgação da vulnerabilidade •  Muitos produtores não lançam uma correção (hot fix)
  • 74. •  Monitorar versões de todos os componentes, incluindo todas dependências •  Manter componentes sempre atualizados •  Organizar uma política de segurança •  Buscar uma alternativa enquanto uma correção não aparece Como se Prevenir
  • 75. Redirecionamentos e repasses não validados Principais Ameaças
  • 76. Descrição •  Falha em validar o destino de redirecionamentos ou repasses utilizados •  Problemas mais comuns: -  Ausência de validação do destino de um redirecionamento ou repasse -  Similaridade entre redirecionamento para destinos internos (da própria aplicação) e externos
  • 77. l  Redirecionamentos podem induzir usuários a instalar malware ou revelar informações sensíveis. l  Repasses inseguros podem permitir contornar controles de acesso. Impacto
  • 78. l  Evitar estas falhas é extremamente importante, pois elas são os alvos favoritos de phishers tentando ganhar a confiança de um usuário. l  Recomendações básicas para utilizar redirecionamentos e repasses: -  Não envolver parâmetros de usuário para calcular o destino -  Se não puder ser evitar, validar o parâmetro e verificar autorização do usuário Como se Prevenir
  • 81. Rafael Soares Ferreira Sócio Diretor Técnico Muito Obrigado! rafael@clavis.com.br @rafaelsferreira