O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

Pwned! - Meu site foi invadido. E agora? - v0.1

60 visualizações

Publicada em

Todos sabem que a pressa é inimiga da perfeição, mas não adianta deixar aspectos simples de segurança para depois. Veremos como identificar vulnerabilidades de SQL Injection em aplicações PHP, que são encontradas na maioria dos web sites.

Publicada em: Tecnologia
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Pwned! - Meu site foi invadido. E agora? - v0.1

  1. 1. Meu site foi invadido, e agora?Meu site foi invadido, e agora? Fábio Beneditto – v.0.1Fábio Beneditto – v.0.1
  2. 2. SobreSobre Fabio BenedittoFabio Beneditto Desenvolvedor WebDesenvolvedor Web Entusiasta de F/OSSEntusiasta de F/OSS Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12 Mozillian - Voluntário SUMOMozillian - Voluntário SUMO Tchelinux - VoluntárioTchelinux - Voluntário Praticante dePraticante de #mototerapia#mototerapia about.me/fabiobenedittoabout.me/fabiobeneditto Github / Gitlab / Twitter / Telegram / Linkedin:Github / Gitlab / Twitter / Telegram / Linkedin: @fabiobeneditto@fabiobeneditto
  3. 3. Contextualizando...Contextualizando...
  4. 4. A gente espera...A gente espera...
  5. 5. Mas...Mas...
  6. 6. ...e o pior de tudo......e o pior de tudo...
  7. 7. Muito provavelmente,Muito provavelmente, você foi vítima de...você foi vítima de...
  8. 8. SQL InjectionSQL Injection
  9. 9. E nem só você!E nem só você!
  10. 10. OWASPOWASP OOpenpen WWebeb AApplicationpplication SSecurityecurity PProjectroject ➢ Organização não governamental (ONG)Organização não governamental (ONG) ➢ Promover a segurança de aplicações webPromover a segurança de aplicações web ➢ Tornar segurança algo visívelTornar segurança algo visível ➢ Todos são livres para participarTodos são livres para participar https://www.owasp.orghttps://www.owasp.org
  11. 11. OWASP Top 10OWASP Top 10 O objetivo principal doO objetivo principal do OWASP Top 10OWASP Top 10 éé educareducar desenvolvedores, projetistas, arquitetos,desenvolvedores, projetistas, arquitetos, gestores e organizações sobre asgestores e organizações sobre as consequênciasconsequências das mais importantesdas mais importantes vulnerabilidadesvulnerabilidades de segurança de aplicaçõesde segurança de aplicações web.web.
  12. 12. OWASP Top 10OWASP Top 10
  13. 13. A1 - InjectionA1 - Injection As falhas de Injeção, tais como injeção de SQL, de SOAs falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados(Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador comonão confiáveis são enviados para um interpretador como parte de um comando ou consulta.parte de um comando ou consulta.
  14. 14. A1 - InjectionA1 - Injection Os dados manipulados pelo atacante podem iludir oOs dados manipulados pelo atacante podem iludir o interpretador para que este execute comandosinterpretador para que este execute comandos indesejados ou permita o acesso a dados nãoindesejados ou permita o acesso a dados não autorizados.autorizados.
  15. 15. Partindo do princípio...Partindo do princípio...
  16. 16. Partindo do princípio...Partindo do princípio...
  17. 17. Partindo do princípio...Partindo do princípio...
  18. 18. Onde está o erro?Onde está o erro?
  19. 19. E se...E se...
  20. 20. ...fosse assim?...fosse assim?
  21. 21. Nossa consulta...Nossa consulta...
  22. 22. Nossa consulta...Nossa consulta...
  23. 23. ...fica assim...fica assim
  24. 24. E agora?E agora? Como evitar?Como evitar?
  25. 25. Prepared StatementsPrepared Statements
  26. 26. Prepared StatementsPrepared Statements São consultasSão consultas pré-prontaspré-prontas A diferença é que em lugar das variáveis você coloca um placeholder (marcador de lugar) e na hora da consulta informa a ordem das variáveis a serem substituídas.
  27. 27. Prepared StatementsPrepared Statements
  28. 28. Prepared StatementsPrepared Statements
  29. 29. Perguntas?Perguntas?
  30. 30. Muito Obrigado!Muito Obrigado! slideshare.net/fabiobenedittoslideshare.net/fabiobeneditto

×