Top 5 vulnerabilidades em aplicações web e seus riscos Luis Asensio/Jonas Costa
Mini Curriculo <ul><li>Luis Asensio: </li></ul><ul><li>Analista e desenvolvedor de sistemas que trabalha com desenvolvimen...
A migração dos ataques
<ul><li>Responsável por elaborar o rank anual das 10 maiores vulnerabilidades. </li></ul>
Agenda - Top 5 <ul><ul><li>A1: Injeção </li></ul></ul><ul><ul><li>A2: Cross-Site Scripting (XSS) </li></ul></ul><ul><ul><l...
A1: Injeção <ul><li>Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléf...
A1: Injeção
A2: Cross-Site Scripting (XSS) <ul><li>Execução de script no lado do cliente (navegador) utilizando alguma linguagem de co...
A2: Cross-Site Scripting (XSS)
A3: Furo de autenticação e gerencia de sessão <ul><li>Autenticação falha ou mal concebida pode gerar roubo da sessão ou en...
A3: Furo de autenticação e gerencia de sessão
A4: Referencia insegura direta a objeto <ul><li>Exposição de objetos (controle ou não) de implementação interna publicada ...
A4: Referencia insegura direta a objeto
<ul><li>Acontece no momento que a aplicação de forma proposital ou não &quot; expõem &quot; informações sobre a infraestru...
Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas
Próximos SlideShares
Carregando em…5
×

Top 5 vulnerabilidades_em_aplicacoes_web

716 visualizações

Publicada em

Apresentação sobre as 5 maiores vulnerabilidades em aplicações web, apresentado no evento JustJava 2011 em 14/05/2011.

Publicada em: Educação, Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
716
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
11
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • Apresentação rápida sobre os curriculo nosso. Não pode passar de 5 min. Falar rapidamene sobre o PADS (Programa Abril de Desenvolvimento Seguro).
  • Explicar de forma rápida a migração dos ataques da infraestrutura para as aplicações.
  • Falar de onde vem as o rank das 10 maiores vulnerabilidades e qual o papel da OWASP.
  • Top 5 vulnerabilidades_em_aplicacoes_web

    1. 1. Top 5 vulnerabilidades em aplicações web e seus riscos Luis Asensio/Jonas Costa
    2. 2. Mini Curriculo <ul><li>Luis Asensio: </li></ul><ul><li>Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação. </li></ul><ul><li>Jonas Costa: </li></ul><ul><li>Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na área da Segurança da Informação da Editora Abril, atualmente se dedica na multiplicação dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril. </li></ul>
    3. 3. A migração dos ataques
    4. 4. <ul><li>Responsável por elaborar o rank anual das 10 maiores vulnerabilidades. </li></ul>
    5. 5. Agenda - Top 5 <ul><ul><li>A1: Injeção </li></ul></ul><ul><ul><li>A2: Cross-Site Scripting (XSS) </li></ul></ul><ul><ul><li>A3: Furo na autenticação e na gerencia de sessão </li></ul></ul><ul><ul><li>A4: Referencia insegura direta a objetos </li></ul></ul><ul><ul><li>A5: Vazamento de informações e tratamento de erros inapropriado </li></ul></ul>
    6. 6. A1: Injeção <ul><li>Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléfico. </li></ul><ul><li>Tipos de injeção de código: </li></ul><ul><ul><li>Injeção de HTML e JavaScript </li></ul></ul><ul><ul><li>Injeção de SQL </li></ul></ul><ul><ul><li>Injeção de PHP </li></ul></ul><ul><ul><li>Injeção de HTTP </li></ul></ul><ul><ul><li>Injeção de e-mail(SMTP) </li></ul></ul><ul><ul><li>Injeção de inclusão de arquivos </li></ul></ul><ul><ul><li>Injeção de Shell </li></ul></ul>
    7. 7. A1: Injeção
    8. 8. A2: Cross-Site Scripting (XSS) <ul><li>Execução de script no lado do cliente (navegador) utilizando alguma linguagem de codificação, normalmente o  JavaScript. </li></ul><ul><li>A manipulação de qualquer componente DOM ou XmlHttpRequest (Ajax) também pode ser considerado um ataque de XSS. </li></ul>
    9. 9. A2: Cross-Site Scripting (XSS)
    10. 10. A3: Furo de autenticação e gerencia de sessão <ul><li>Autenticação falha ou mal concebida pode gerar roubo da sessão ou entregar de forma simples a identidade para uma autenticação válida. </li></ul><ul><li>Como mitigar: </li></ul><ul><li>Tentar ao máximo utilizar frameworks usados e aprovados pelo mercado. </li></ul>
    11. 11. A3: Furo de autenticação e gerencia de sessão
    12. 12. A4: Referencia insegura direta a objeto <ul><li>Exposição de objetos (controle ou não) de implementação interna publicada no lado do cliente que pode ser explorada para manipulação maliciosa. </li></ul>Cuidados ao implementar controles no lado do cliente. Toda validação de dados deve ocorrer no servidor .
    13. 13. A4: Referencia insegura direta a objeto
    14. 14. <ul><li>Acontece no momento que a aplicação de forma proposital ou não &quot; expõem &quot; informações sobre a infraestrutura, configurações e etc, através de mensagens de erro. </li></ul>A5: Vazamento de informações e tratamento de erros inapropriados
    15. 15. Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas

    ×