Segurança em aplicações web

253 visualizações

Publicada em

0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
253
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
7
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança em aplicações web

  1. 1. • • • • Facilidade de acesso. Estatísticas desfavoráveis. O desinteresse dos desenvolvedores. XSS
  2. 2. • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • Validação : dados de entrada. • Permitir somente caracteres selecionados previamente. • Prepared Statement: Impede a alteração da sintaxe do comando SQL.
  3. 3. • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código malicioso. • Aplicação web sem validação. • Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page. • Recomendações: • Verificar se o conteúdo da Page não contenha scripts indesejados. • Filtragem de dados. (Entrada e saída).
  4. 4. • SISTEMAS DE AUTENTICAÇÃO • • • • Login e senha válidos. Perigo nas mensagens de erro! Problemas - Mensagens de erro: - Enumeração de logins válidos: Usuários listados. • - Ataque de dicionário: Tentativa e erro. • - Ataque de força bruta: Formações de palavra. • Recomendações: • Evitar mensagens de erro detalhadas.
  5. 5. • SEQUESTRO DE SESSÕES. • • • Utilização de cookies. Servidor captura o cookie. Ataque pode surgir quando: captura ou adiviha o cookie de outro usuário. • Recomendações: • HTTPS: garante a criptografia. • Eliminação de vulnerabilidade.
  6. 6. • ARQUIVOS INDEVIDOS. • Arquivos de configuração e informações sigilosas. • Arquivos com senha. • Recomendações: • Mover os arquivos de configuração, backup e sigilosos.
  7. 7. • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as mesmas permissões. • Recomendações: • Dados dos usuários validados antes da execução. • Chamar as bibliotecas.
  8. 8. • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao usuário. • Pode ser encontrada em apps web com menus criados dinamicamente. • Recomendações: • Todo controle deve ser validado. • Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados. • Todos os recursos protegidos precisam de um controle implementado .
  9. 9. • OUTRAS RECOMENDAÇÕES. • • • • • • • • Protocolo HTTPS. Política de senhas. (8 caracteres). UPLOAD de arquivos. Privilégios mínimos no Banco de Dados. Criptografia das senhas. Campos hidden no código HTML. Atualização de softwares. Configuração de softwares.
  10. 10. • Referências: Agência Estadual de Tecnologia da Informação.

×