SlideShare uma empresa Scribd logo
1 de 23
Baixar para ler offline
APLICAÇÕES WEB
Ameaças e Vulnerabilidades
Kleitor Franklint
kleitor@prodam.am.gov.br
KLEITOR
Entusiasta da Vida,
Qualidade,
Colaborativos,
Ágil,
Teste e
Testes Ágeis.
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
99416-0873
OBJETIVOSOBJETIVOS
Visão geral sobre as 10 principais
vulnerabilidades e as causas gerais
que lhes permitem a existência.
P3
P8P7
WASC THREAT CLASSIFICATION, 2010
Objetivam controlar recursos por falsificação
ou quebra de limites: Sistemas, redes, banco
de dados, máquinas, etc.
Facilitadas pela
engenharia social.
Ameaças e Vulnerabilidades
TERMINOLOGIA E DEFINIÇÕES
 Vulnerabilidade: uma fraqueza ou falha que pode acidentalmente
ou intencionalmente ser explorada, resultando em quebra da
politica de segurança.
 Ameaça: vulnerabilidade que representa ameaça aos ativos.
Official (ISC) GUIDE TO THE CSSLP
(Open Web Application Security Project)
• Organização internacional que recebe iniciativas de todo o mundo;
• Comunidade aberta dedicada a possibilitar a criação de aplicações
confiáveis;
• Todas as ferramentas, documentos, fóruns e capítulos são livres e
abertos a todos interessados;
http://www.owasp.org/index.php/About_OWASP
Um pouco sobre a OWASP
Por que precisamos dePor que precisamos de
aplicações seguras?aplicações seguras?
75% ( 60~90) de todos os ataques ocorrem na camada de aplicação;
Fontes: OWASP, CWE, WASC, NIST, CERT, Black hat, White Hat, Sans Institute, Gartner Group.
90% das aplicãções web são vulneráveis;
1,000,000 sites usam SSL (~7,000,000 vulnerabilidades de localização
desconhecida);
17,000,000 de desenvolvedores: poucos treinados em segurança de
software;
WASC THREAT CLASSIFICATION, 2010
Localização das vulnerabilidades naLocalização das vulnerabilidades na
““Visão de Fase de DesenvolvimentoVisão de Fase de Desenvolvimento””
Design Implementação Deploy
13 42 12
46 vulnerabilidades ao todo46 vulnerabilidades ao todo
Riscos de Segurança top 10
São exploradas em conjunto: um abre, outro vasculha. Classificação relativa.
“Para conhecer seu inimigo, se torne o seu inimigo”
A1- FALHAS DE INJEÇÃO
Ataques via browser ou prompt:
SQL Injection: comandos SQL
XSS Injection: Javascript e HTML
Outros: command Injection, LDAP, XML, etc.
Injeta-se uma query SQL na aplicação usando um navegador web comum.
IMPACTO
Criar, ler, atualizar ou excluir qualquer
dado disponível para a aplicação através de
SQL;
Ganhar acesso a recursos restritos de S.O e
rede;
Conectar-se a sistemas como se fosse um
usuário autorizado, driblando a necessidade
de uma senha.
SQL Injection
Cenários: CAMPOS EDITÁVEIS OU NÃO, UPLOAD MALIOSOS,
CSS maliciosos, etc.
A2- QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
Cenários: vazamentos ou falhas em funções de
autenticação ou gerenciamento de sessão para
assumir a identidade de outro usuário.
Alvos: contas expostas, senhas fracas, ID de
sessão capturáveis ou de baixa randomização,
IMPACTO
A3-CROSS-SITE SCRIPTING (XSS)
Executar scripts cliente (Javascript, Flash Script, HTML, etc) de
forma direta ( no meu browser) ou remota ( no browser da
vítima).
•Roubar sessões de usuário;
•Pichar sites Web;
•Introduzir worms, zumbis, etc;
•Negação de serviço.
IMPACTO
A4-REFERÊNCIA INSEGURA DIRETA A OBJETOS
Alterar parâmetros aplicação web via URL do browser, campo da aplicação ou
prompt. O usuário pode ser autorizado ou não.
Quebra de limites e restrições a arquivos, diretórios, banco de dados, etc. Exemplos:
•Votar ou marcar consultas quantas vezes quiser;
•Acessar conta de um usuário alterando um ID;
•Ter acesso a funcionalidades de maior privilégio.
IMPACTO
http://example.com/app/accountInfo?IdConta=1
A5- CONFIGURAÇÃO INCORRETA
DE SEGURANÇA
Refere-se à configurações de segurança incorretas ou não implementadas, isso
inclui manter atualizados software e suas partes. Utiliza-se demais técnicas de
ataque.
Cenários:
•Contas padrão;
•Páginas não utilizadas;
•Falhas não corrigidas;
•Arquivos e diretórios desprotegidos;
•Padrões de nomes fracos,
•Padrões de senha fracos, etc.
•Relações internas e externas.
•Captchas de baixa randomização e complexidade.
IMPACTO
A6- EXPOSIÇÃO DE DADOS SENSÍVEIS
Ausência ou inadequação da proteção aplicações web a dados sensíveis: Trânsito,
armazenamento e exposição ( banco de dados, scripts clientes e servidores).
Ex. dados sensíveis: cartões de crédito, IDs fiscais e credenciais de autenticação.
IMPACTO
•Fraudes no cartão de crédito;
•Roubo de identidade.
•Ganho de privilégios
A7- FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
O atacante é um usuário autorizado no
sistema, que simplesmente muda a URL ou um
parâmetro de função privilegiada com o
propósito de acessar a funcionalidade sem
autorização adequada.
Necessário validar no servidor cada função
invocada.
IMPACTO
A8- REQUISIÇÃO REMOTA
FORJADA (CSRF)
CENÁRIOS
•Requisições não validadas em aplicações;
•Links em e-mails;
•Mensagens em forums, etc;
•Clones de sites.
Forjar requisições HTTP falsas através de XSS
ou engenharia social, além de inúmeras outras
técnicas. Se o usuário estiver autenticado, o
ataque é bem sucedido.
IMPACTO
A9- UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
O atacante identifica um componente vulnerável
através de varredura ou análise manual e ataca a
aplicação através dele.
Malwares também assumem esse comportamento.
IMPACTO
A10- REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS.
O atacante aponta para um redirecionamento válido por encaminhamento
inseguro para evitar verificações de segurança.
Observe detalhes tais como:
Https, validações vertical e horizontal, diferenças de nomes e layouts, proxys.
IMPACTO
• Roubo de identidade.
COMO RESOLVER VULNERABILDADES EM APLICAÇÕES
• Padrão de Verificação de Segurança de Aplicações (ASVS)
• Modelagem de Riscos e ameaças.
• Projete segurança de software com guia de desenvolvimento
seguro.
• Utilize API de segurança.
COMO RESOLVER VULNERABILDADES EM APLICAÇÕES
Implemente estratégias para segurança de software customizadas
para os riscos específicos que a organização enfrenta.
Modelo de Maturidade de Garantia do Software (SAMM).
• Participe de ações educacionais sobre desenvolvimento seguro.
23
POSSO COLABORAR COM
MAIS RESPOSTAS?
kleitor.franklint@gmail.com
br.linkedin.com/in/kfranklint
99416-0873

Mais conteúdo relacionado

Mais procurados

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityMarlon Bernardes
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site BlindadoSite Blindado S.A.
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 

Mais procurados (19)

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 04 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 

Destaque (11)

ROSHAN FULL RESUME
ROSHAN FULL RESUMEROSHAN FULL RESUME
ROSHAN FULL RESUME
 
Keş
KeşKeş
Keş
 
Zskool 1
Zskool 1Zskool 1
Zskool 1
 
Atracciones de-galápagos
Atracciones de-galápagosAtracciones de-galápagos
Atracciones de-galápagos
 
Final xi concurso de litigación oral en derecho 2013
Final xi concurso de litigación oral en derecho 2013Final xi concurso de litigación oral en derecho 2013
Final xi concurso de litigación oral en derecho 2013
 
Lai̇kli̇k anayasada olmamalidir
Lai̇kli̇k anayasada olmamalidirLai̇kli̇k anayasada olmamalidir
Lai̇kli̇k anayasada olmamalidir
 
Pumps
PumpsPumps
Pumps
 
Interview LCI - Octobre 2013
Interview LCI - Octobre 2013Interview LCI - Octobre 2013
Interview LCI - Octobre 2013
 
Kit installation
Kit installationKit installation
Kit installation
 
Uhde brochures
Uhde brochuresUhde brochures
Uhde brochures
 
Atsaleat - Puutarha Tahvoset
Atsaleat - Puutarha TahvosetAtsaleat - Puutarha Tahvoset
Atsaleat - Puutarha Tahvoset
 

Semelhante a Ameaças e Vulnerabilidades em Aplicações Web

CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenPOANETMeetup
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...EMERSON EDUARDO RODRIGUES
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebMarcio Roberto de Souza Godoi
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 

Semelhante a Ameaças e Vulnerabilidades em Aplicações Web (20)

CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
 
Saia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurançaSaia do 7x0 com testes de segurança
Saia do 7x0 com testes de segurança
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações web
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken Authentication
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Unidade 2.2 ameaças
Unidade 2.2   ameaçasUnidade 2.2   ameaças
Unidade 2.2 ameaças
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 
Soluções Site Blindado
Soluções Site BlindadoSoluções Site Blindado
Soluções Site Blindado
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Java security
Java securityJava security
Java security
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 

Mais de Kleitor Franklint Correa Araujo

Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasKleitor Franklint Correa Araujo
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentosKleitor Franklint Correa Araujo
 

Mais de Kleitor Franklint Correa Araujo (20)

Metricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projetoMetricas (e previsões) acionáveis de projeto
Metricas (e previsões) acionáveis de projeto
 
Modelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitosModelagem com historias bem além dos requisitos
Modelagem com historias bem além dos requisitos
 
Engenharia de software Lean Kanban
Engenharia de software  Lean KanbanEngenharia de software  Lean Kanban
Engenharia de software Lean Kanban
 
Fundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e QualidadeFundamentos Gestão de Escopo e Qualidade
Fundamentos Gestão de Escopo e Qualidade
 
MBA em projetos - Gestao Ágil
MBA em projetos - Gestao ÁgilMBA em projetos - Gestao Ágil
MBA em projetos - Gestao Ágil
 
Automação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégiasAutomação de testes - uma introdução sobre estratégias
Automação de testes - uma introdução sobre estratégias
 
Papeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional ScrumPapeis Ágeis - uma proposta operacional Scrum
Papeis Ágeis - uma proposta operacional Scrum
 
Teste de software gestao e kaizen
Teste de software gestao e kaizenTeste de software gestao e kaizen
Teste de software gestao e kaizen
 
Introdução ao design de teste de software
Introdução ao design de teste de softwareIntrodução ao design de teste de software
Introdução ao design de teste de software
 
Gestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndownGestao de Projeto com gráfico burndown
Gestao de Projeto com gráfico burndown
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Gestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - RetrospectivasGestão Agil de tudo - Retrospectivas
Gestão Agil de tudo - Retrospectivas
 
Gestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - TaskboardsGestao Ágil do Backlog - Taskboards
Gestao Ágil do Backlog - Taskboards
 
Gestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlogGestão Ágil de tudo: Planejamento backlog
Gestão Ágil de tudo: Planejamento backlog
 
Gestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião DiáriaGestao Ágil de Projeto - Reunião Diária
Gestao Ágil de Projeto - Reunião Diária
 
Agil - coisas essenciais de sempre
Agil - coisas essenciais de sempreAgil - coisas essenciais de sempre
Agil - coisas essenciais de sempre
 
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentosGestão de projeto PMBOK 5 com um Toque Agil -  praticas de fundamentos
Gestão de projeto PMBOK 5 com um Toque Agil - praticas de fundamentos
 
Gestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciaisGestão de projeto- conceitos essenciais
Gestão de projeto- conceitos essenciais
 
Test First, TDD e outros Bichos
Test First, TDD e outros BichosTest First, TDD e outros Bichos
Test First, TDD e outros Bichos
 

Ameaças e Vulnerabilidades em Aplicações Web

  • 1. APLICAÇÕES WEB Ameaças e Vulnerabilidades Kleitor Franklint kleitor@prodam.am.gov.br
  • 2. KLEITOR Entusiasta da Vida, Qualidade, Colaborativos, Ágil, Teste e Testes Ágeis. kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 99416-0873
  • 3. OBJETIVOSOBJETIVOS Visão geral sobre as 10 principais vulnerabilidades e as causas gerais que lhes permitem a existência. P3 P8P7
  • 4. WASC THREAT CLASSIFICATION, 2010 Objetivam controlar recursos por falsificação ou quebra de limites: Sistemas, redes, banco de dados, máquinas, etc. Facilitadas pela engenharia social. Ameaças e Vulnerabilidades
  • 5. TERMINOLOGIA E DEFINIÇÕES  Vulnerabilidade: uma fraqueza ou falha que pode acidentalmente ou intencionalmente ser explorada, resultando em quebra da politica de segurança.  Ameaça: vulnerabilidade que representa ameaça aos ativos. Official (ISC) GUIDE TO THE CSSLP
  • 6. (Open Web Application Security Project) • Organização internacional que recebe iniciativas de todo o mundo; • Comunidade aberta dedicada a possibilitar a criação de aplicações confiáveis; • Todas as ferramentas, documentos, fóruns e capítulos são livres e abertos a todos interessados; http://www.owasp.org/index.php/About_OWASP Um pouco sobre a OWASP
  • 7. Por que precisamos dePor que precisamos de aplicações seguras?aplicações seguras? 75% ( 60~90) de todos os ataques ocorrem na camada de aplicação; Fontes: OWASP, CWE, WASC, NIST, CERT, Black hat, White Hat, Sans Institute, Gartner Group. 90% das aplicãções web são vulneráveis; 1,000,000 sites usam SSL (~7,000,000 vulnerabilidades de localização desconhecida); 17,000,000 de desenvolvedores: poucos treinados em segurança de software;
  • 8. WASC THREAT CLASSIFICATION, 2010 Localização das vulnerabilidades naLocalização das vulnerabilidades na ““Visão de Fase de DesenvolvimentoVisão de Fase de Desenvolvimento”” Design Implementação Deploy 13 42 12 46 vulnerabilidades ao todo46 vulnerabilidades ao todo
  • 9. Riscos de Segurança top 10 São exploradas em conjunto: um abre, outro vasculha. Classificação relativa. “Para conhecer seu inimigo, se torne o seu inimigo”
  • 10. A1- FALHAS DE INJEÇÃO Ataques via browser ou prompt: SQL Injection: comandos SQL XSS Injection: Javascript e HTML Outros: command Injection, LDAP, XML, etc.
  • 11. Injeta-se uma query SQL na aplicação usando um navegador web comum. IMPACTO Criar, ler, atualizar ou excluir qualquer dado disponível para a aplicação através de SQL; Ganhar acesso a recursos restritos de S.O e rede; Conectar-se a sistemas como se fosse um usuário autorizado, driblando a necessidade de uma senha. SQL Injection Cenários: CAMPOS EDITÁVEIS OU NÃO, UPLOAD MALIOSOS, CSS maliciosos, etc.
  • 12. A2- QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO Cenários: vazamentos ou falhas em funções de autenticação ou gerenciamento de sessão para assumir a identidade de outro usuário. Alvos: contas expostas, senhas fracas, ID de sessão capturáveis ou de baixa randomização, IMPACTO
  • 13. A3-CROSS-SITE SCRIPTING (XSS) Executar scripts cliente (Javascript, Flash Script, HTML, etc) de forma direta ( no meu browser) ou remota ( no browser da vítima). •Roubar sessões de usuário; •Pichar sites Web; •Introduzir worms, zumbis, etc; •Negação de serviço. IMPACTO
  • 14. A4-REFERÊNCIA INSEGURA DIRETA A OBJETOS Alterar parâmetros aplicação web via URL do browser, campo da aplicação ou prompt. O usuário pode ser autorizado ou não. Quebra de limites e restrições a arquivos, diretórios, banco de dados, etc. Exemplos: •Votar ou marcar consultas quantas vezes quiser; •Acessar conta de um usuário alterando um ID; •Ter acesso a funcionalidades de maior privilégio. IMPACTO http://example.com/app/accountInfo?IdConta=1
  • 15. A5- CONFIGURAÇÃO INCORRETA DE SEGURANÇA Refere-se à configurações de segurança incorretas ou não implementadas, isso inclui manter atualizados software e suas partes. Utiliza-se demais técnicas de ataque. Cenários: •Contas padrão; •Páginas não utilizadas; •Falhas não corrigidas; •Arquivos e diretórios desprotegidos; •Padrões de nomes fracos, •Padrões de senha fracos, etc. •Relações internas e externas. •Captchas de baixa randomização e complexidade. IMPACTO
  • 16. A6- EXPOSIÇÃO DE DADOS SENSÍVEIS Ausência ou inadequação da proteção aplicações web a dados sensíveis: Trânsito, armazenamento e exposição ( banco de dados, scripts clientes e servidores). Ex. dados sensíveis: cartões de crédito, IDs fiscais e credenciais de autenticação. IMPACTO •Fraudes no cartão de crédito; •Roubo de identidade. •Ganho de privilégios
  • 17. A7- FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO O atacante é um usuário autorizado no sistema, que simplesmente muda a URL ou um parâmetro de função privilegiada com o propósito de acessar a funcionalidade sem autorização adequada. Necessário validar no servidor cada função invocada. IMPACTO
  • 18. A8- REQUISIÇÃO REMOTA FORJADA (CSRF) CENÁRIOS •Requisições não validadas em aplicações; •Links em e-mails; •Mensagens em forums, etc; •Clones de sites. Forjar requisições HTTP falsas através de XSS ou engenharia social, além de inúmeras outras técnicas. Se o usuário estiver autenticado, o ataque é bem sucedido. IMPACTO
  • 19. A9- UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS O atacante identifica um componente vulnerável através de varredura ou análise manual e ataca a aplicação através dele. Malwares também assumem esse comportamento. IMPACTO
  • 20. A10- REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS. O atacante aponta para um redirecionamento válido por encaminhamento inseguro para evitar verificações de segurança. Observe detalhes tais como: Https, validações vertical e horizontal, diferenças de nomes e layouts, proxys. IMPACTO • Roubo de identidade.
  • 21. COMO RESOLVER VULNERABILDADES EM APLICAÇÕES • Padrão de Verificação de Segurança de Aplicações (ASVS) • Modelagem de Riscos e ameaças. • Projete segurança de software com guia de desenvolvimento seguro. • Utilize API de segurança.
  • 22. COMO RESOLVER VULNERABILDADES EM APLICAÇÕES Implemente estratégias para segurança de software customizadas para os riscos específicos que a organização enfrenta. Modelo de Maturidade de Garantia do Software (SAMM). • Participe de ações educacionais sobre desenvolvimento seguro.
  • 23. 23 POSSO COLABORAR COM MAIS RESPOSTAS? kleitor.franklint@gmail.com br.linkedin.com/in/kfranklint 99416-0873