SlideShare uma empresa Scribd logo

Seguranca web

Transferir como PPTX, PDF
Philippe Guillaume, MBA,CISSP, COBIT
Philippe Guillaume, MBA,CISSP, COBIT

Apresentação conceitos e ferramentas para a segurança Web (aplicação e serviços)

Tecnologia
1 de 78
Segurança WEB Philippe Guillaume
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
Porque proteger a WEB? “A WEB se tornou o novo vetor de ameaças preferido dos hackers e cyber criminosos para distribuir malware e conseguir roubo de identidades, fraudes financeiras e espionagem corporativo.” -- IDC
Porque proteger a WEB? • "Malware” – abreviação de malicious software – Se refere a qualquer software desenhado para causar estrago para um simples computador, servidor ou rede de computadores, seja um virus, spyware, etc… • O Conteúdo malicioso da WEB pode expor a empresa a custos mais elevados, produtividade menor e problemas legais.  Uma segurança WEB efetiva resguarda os colaboradores contra ameaças online e protege a infra estrutura de rede.
A ameaça de malware está crescendo… Malware entregado pelos Websites aumenta • Malware acumulado – 2007: 5.8 milhões – 2011: 65 milhões (em junho) Aumento de 1120% • URLs maliciosas – 7,300 novas URLs maliciosas por dia • Websites Legítimos são Comprometidos 80% dos Websites tem código malicioso *Source: McAfee Labs
…And Growing More Effective Mais Variações de Ameaças de Malware 133% Código Malicioso em 12 meses Das infecções de 80% malware são por exploração de aplicação WEB 68% Sucesso do ataque Das infecções de aumenta! Web 2.0 e o catalisador! Malware expõem dados Dos Websites confidenciais! 4% vulneráveis são consertados! Attack Target ataque Objetivo do 500% De aumento dos sites de Phishing Users vs Machines Usuário x Computador !
Tendência alarmante 2011 Malwares da WEB únicos encontrados 297% Aumento Source: Cisco ScanSafe
Integrantes da economia de Malware
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
ESTATISTICAS DAS VULNERABILIDADES Fonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
ESTATISTICAS DOS NIVEIS DE RISCOS Fonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
Vulnerabilidades XSS Relatório de X-Force da IBM: No meio de 2012, 47% das vulnerabilidades de segurança afeta aplicações WEB – 41% em 2011 – XSS atinge a taxa de 51%
OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/Top_10
A1 - SQL Injection "SELECT * FROM Account Summary Account: accounts WHERE Knowledge Mgmt Communication Administration Bus. Functions Legacy Systems Human Resrcs E-Commerce Application Layer Transactions Web Services SKU: SQL acct=‘’ OR 1=1-- Directories Acct:5424-6066-2134-4334 Databases Accounts Finance HTTP Billing HTTP query DB Table Acct:4128-7574-3921-0192 response  ’" request APPLICATION    Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta formulário p/ atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha ataque p/ Web Server base de dados em um query SQL Hardened OS 4. Base de dados executa o query Network Layer com ataque e envia o resultado criptografado p/ aplicação Firewall Firewall 5. Aplicação decripta os dados normalmente e envia o resultado p/ usuário
A1 - SQL Injection Exploração: Fácil Prevalência: Comum Detecção: Media Impacto: Severo
A2 - Cross-Site Scripting 1 Atacante coloca armadilha – Atualizar Perfil Aplicação com Atacante coloca um script vulnerabilidade XSS malicioso na pagina WEB que armazena os dados no servidor Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions 2 Vitima acessa a pagina – vê o perfil do atacante Accounts Finance Custom Code Script roda no browser da vitima c/ total acesso a DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vitima para o atacante
A2 - Cross-Site Scripting Exploração: Media Prevalência: Muito Comum Detecção: Fácil Impacto: Moderado
A3- Broken Authentication 1 Usuário envia credenciais Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance www.boi.com?JSESSIONID=9FA1DB9EA... Site usa reescrita de URL 2 Custom Code (ex. coloca sessão na URL) 3 Usuário clica no link para http://www.hacker.com em um fórum Hacker checa logs no www.hacker.com e acha JSESSIONID do usuário 4 5 Hacker utiliza JSESSIONID e se apropria a conta da vitima
A3- Broken Authentication Exploração: Media Prevalência: Comum Detecção: Media Impacto: Severo
A4 – Referencia direta insegura a objeto • Hacker observa o https://www.onlinebank.com/user?acct=6065 parâmetro acct é 6065 ?acct=6065 • Ele modifica para um valor próximo ?acct=6066 • Hacker vê as informações da conta da vitima
A4 – Referencia direta insegura a objeto Exploração: Fácil Prevalência: Comum Detecção: Fácil Impacto: Moderado
A5 – Cross Site Request Forgery (CSRF) Hacker coloca armadilha em um site da Internet 1 (ou simplesmente via e-mail) Aplicação com Hidden <img> tag vulnerabilidade CSRF contem ataque contra site vulnerável Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Quando logado no site vulnerável, 2 a vitima vê o site do Hacker Custom Code 3 O site vulnerável vê uma <img> tag carregada pelo requisição legitima da browser – envia requisição vitima e executa a ação GET (com credenciais) requisitada para o site vulnerável
A5 – Cross Site Request Forgery (CSRF) Exploração: Media Prevalência: Comum Detecção: Fácil Impacto: Moderado
A6 – Mal configuração de Segurança Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Database Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OS Interno Test Servers Source Control
A6 – Mal configuração de Segurança Exploração: Fácil Prevalência: Comum Detecção: Fácil Impacto: Moderado
A7 – Armazenamento criptografado inseguro Vitima digita numero cartão de credito no 1 formulário Communication Administration Bus. Functions E-Commerce Transactions Knowledge Accounts Finance Mgmt Custom Code Empregado Malicioso Log files 4 rouba milhões de Se Erro, logs detalhes do CC 2 números de cartão de porque, por exemplo, gateway credito da operadora está fora Logs são accessíveis para 3 todos os membros de TI para debug
A7 – Armazenamento criptografado inseguro Exploração: Difícil Prevalência: Pouco Comum Detecção: Difícil Impacto: Severo
A8 – Falha de acesso a URL restrita • Hacker observa que a URL https://www.onlinebank.com/user/getAccounts indica o papel /user/getAccounts • Ele modifica para um outro diretório (papel) /admin/getAccounts, ou /manager/getAccounts • Hacker vê mais contas do que devia
A8 – Falha de acesso a URL restrita Exploração: Fácil Prevalência: Pouco Comum Detecção: Media Impacto: Moderado
A9 – Proteção Insuficiente da Camada de Transporte Parceiros Negócios Vitima externa Custom Code Backend Systems Colaboradores 1 2 Hacker externo Hacker interno rouba rouba credenciais credenciais e dados e dados fora da dentro da rede rede interna Hacker Externo Hacker interno
A9 – Proteção Insuficiente da Camada de Transporte Exploração: Difícil Prevalência: Comum Detecção: Fácil Impacto: Moderado
A10 –Redirects inválidos 1 Hacker envia um ataque para a vitima via email ou página web From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Aplicação redireciona a Our records show you have an 3 vitima p/ o site do unclaimed federal tax refund. Please Hacker click here to initiate your claim. Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Vítima clica no link com parâmetro invalido Finance 2 Custom Code Request sent to vulnerable site, including attacker’s destination site as parameter. Redirect sends victim to attacker site Evil Site 4 O site malicioso instala http://www.irs.gov/taxrefund/claim.jsp?year=2006 malware ou rouba & … &dest=www.evilsite.com informações privadas
A10 –Redirects e Forwards inválidos Exploração: Media Prevalência: Pouco Comum Detecção: Fácil Impacto: Moderado
CLICKJACKING
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
TRÊS PILARES DA SEGURANCA DA INFORMAÇÃO • Confidencialidade – Usuário não autorizado não pode acessar os dados • Integridade – Usuário não autorizado não pode manipular os dados • Disponibilidade – Usuário não autorizado não pode tornar os dados indisponíveis para os usuários legítimos
Três Princípios • Defesa em profundidade – Vários níveis de defesa, redundantes • Menor privilegio – Atribuir o menos de liberdade possível • Simplicidade – Complexidade traz erros e vulnerabilidades
Duas Praticas Filtrar as Entradas Assegurar que os dados de entrada são validos “Escapar” as Saídas Assegurar que os dados de saída não são mal interpretados
AMEACA VULNERABILIDADE ATAQUE • AMEACA: Uma ocorrência que pode danificar um ativo • VULNERABILIDADE: fraqueza que rende possível uma ameaça • ATAQUE: Ação que explora a vulnerabilidade
Os Ataques exploram as vulnerabilidades fazendo de uma ameaça uma Realidade
Questões de Segurança • Problemas que afetam as aplicações WEB – Validação das entradas e dos dados – Autenticação – Autorização – Gestão da configuração – Dados sensíveis – Gestão da criptografia – Gestão da sessão – Log e auditoria
Integrar Segurança no ciclo de vida do desenvolvimento
Processo de desenvolvimento WEB • Similar ao Ciclo de Vida de Desenvolvimento de Software – Endereçar a complexidade dos sistemas baseados na WEB – Minimizar os riscos de desenvolvimento – Lidar com mudanças – Entregar projetos no prazo – Fornecer retorno (feedback)
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
Segurança de comunicação Segurança em cada trecho ou de fim-a-fim ?
Assinatura digital de mensagem
Criptografia de mensagem
SSL – Secure Socket Layer
SOAP
Segurança de Web Service (OASIS)
WS-Security
SAML – Security Assertion Markup Language
O que é um Diretório? • O que é um diretório? – É um banco de dados especializado com informações descritivas baseadas em atributos e organizadas em forma de árvore. • Característica de um diretório: – Resposta rápida a grande quantidade de consultas. • Tipos de diretórios: – De aplicações: diretório do MS Exchange, etc. – De sistemas operacionais de rede: AD (Microsoft) – De propósito específico: DNS – De propósito geral: LDAP
O que é o LDAP? • Lightweight Directory Access Protocol – Protocolo Leve de Acesso a Diretórios. – Trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros. – RFCs 2251 – 2830 e 3377 – Cliente-Servidor. – Orientado a mensagens.
Por que usar o LDAP? • Integração entre sistemas Operacionais • Interligação ( Windows , Linux, Unix , MacOS) • Integração entre Serviços • Serviços de e-mail, FTP , Web etc. • Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas. • Difundido no mercado • Não requer hardware pesado para operações
Diretório LDAP Representação gráfica de parte de um diretório LDAP
Objetos do LDAP
Tivoli Access Manager – Web Access Control Portal Internet WAS Gateway MS IIS Wireless
Tivoli Access Manager – Web Access Control Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos Portal Object/ACL DB Internet WebSEAL WAS Gateway MS IIS Wireless
Alta disponibilidade – Alta performance Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos Portal Internet WebSEAL WebSEAL WAS F5 WebSEAL Gateway MS IIS Wireless
Cobertura do TAMeB Espaço único de objetos protegidos Web/URL Servidor de Aplicação Pacote • URL • WAS • Portal: Vignette • programa CGI • WebLogic • SIEBEL • Arquivos HTML • qualquer c/ JEE, JAAS • SAP • Servlet Java • MS IIS • COGNOS • Classe Java • ...
Possibilidades de Autenticação • Formulário • Autenticação Básica HTTP • Certificado X.509 (v3) • Token SecureId RSA • Autenticação Header HTTP • Customizado via API • Mecanismo Autenticação WAP • Re-autenticação sobre recursos sensíveis
Processo de Autorização Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos WebSEAL ACL POP Regra ACL: permissões dos usuários / grupos POP: características de acesso ao recurso Regra: condição da requisição
Processo de Autorização Requisição “Negar” “Negar” “Permitir/Negar” Não Não ACL POP Decisão Satisfeito? Sim Satisfeito? Sim Regra? Acesso determinado Características do Acesso determinado pelas permissões de objeto (Horário, dinamicamente, Usuário/Grupo audit,...) baseado nas condições atuais
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
Publicações serie NT 800-..
SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE
Adoção de um padrão Que padrão é o melhor? • ISO e NIST custam caro para implementar corretamente • ISO, CobIT, PCI são aplicados para empresa global • PCI e relativamente curto, extremamente detalhado e fácil de entender  Pode aplicar PCI –DSS para ambiente WEB não Cartão de Credito ?
Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
Recomendações • Bom senso • Conscientização • Simplicidade • Estudo • Comunicação
“Seu tempo é limitado, então não perca vivendo a vida de outra pessoa. Não seja tapeado por dogmas – que é viver pela crença de outra pessoa. Não deixe o barulho da opinião dos outros calar sua voz interior. E mais importante, tenha a coragem de seguir seu coração e intuição. De alguma forma eles já sabem o que você verdadeiramente quer se tornar. Tudo o mais é secundário”. Steve Jobs

Recomendados

Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Segurança, gestão e sustentabilidade para cloud computing
Segurança, gestão e sustentabilidade para cloud computingSegurança, gestão e sustentabilidade para cloud computing
Segurança, gestão e sustentabilidade para cloud computingPET Computação
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004Carlos Serrao
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Apresentação sobre web 2.0
Apresentação sobre web 2.0Apresentação sobre web 2.0
Apresentação sobre web 2.0Carlos Serrao
 

Recomendados

Tcc segurança da informação
Tcc segurança da informaçãoTcc segurança da informação
Tcc segurança da informaçãoSebastião de Aquino Ribeiro Junior
 
Tcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetTcc firewalls e a segurança na internet
Tcc firewalls e a segurança na internetalexandrino1
 
Segurança, gestão e sustentabilidade para cloud computing
Segurança, gestão e sustentabilidade para cloud computingSegurança, gestão e sustentabilidade para cloud computing
Segurança, gestão e sustentabilidade para cloud computingPET Computação
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004Carlos Serrao
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Garantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziGarantindo o sucesso da experiência do usuário por Carlos bertozzi
Garantindo o sucesso da experiência do usuário por Carlos bertozziJoao Galdino Mello de Souza
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
Apresentação sobre web 2.0
Apresentação sobre web 2.0Apresentação sobre web 2.0
Apresentação sobre web 2.0Carlos Serrao
 
Hands on Windows Azure
Hands on Windows AzureHands on Windows Azure
Hands on Windows AzureVitor Tomaz
 
EE Solution
EE SolutionEE Solution
EE SolutionProcnet
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
NoSQL e Big Data na Nuvem
NoSQL e Big Data na NuvemNoSQL e Big Data na Nuvem
NoSQL e Big Data na NuvemJose Papo, MSc
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
O que é GeneXus ?
O que é GeneXus ?O que é GeneXus ?
O que é GeneXus ?GeneXus
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyIdeaValley Sergio Cabral Cavalcanti
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...TI Safe
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Osvaldo Daibert
 
Sistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWSSistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWSJonas Silveira
 
Genergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web EnergyGenergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web Energygenergiabr
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 

Mais conteúdo relacionado

Semelhante a Seguranca web

Hands on Windows Azure
Hands on Windows AzureHands on Windows Azure
Hands on Windows AzureVitor Tomaz
 
EE Solution
EE SolutionEE Solution
EE SolutionProcnet
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
NoSQL e Big Data na Nuvem
NoSQL e Big Data na NuvemNoSQL e Big Data na Nuvem
NoSQL e Big Data na NuvemJose Papo, MSc
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture WorkshopClaudio Acquaviva
 
O que é GeneXus ?
O que é GeneXus ?O que é GeneXus ?
O que é GeneXus ?GeneXus
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsMarkus Christen
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...TI Safe
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011TI Safe
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Osvaldo Daibert
 
Sistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWSSistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWSJonas Silveira
 
Genergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web EnergyGenergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web Energygenergiabr
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 

Semelhante a Seguranca web (20)

Hands on Windows Azure
Hands on Windows AzureHands on Windows Azure
Hands on Windows Azure
 
EE Solution
EE SolutionEE Solution
EE Solution
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
NoSQL e Big Data na Nuvem
NoSQL e Big Data na NuvemNoSQL e Big Data na Nuvem
NoSQL e Big Data na Nuvem
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Microservices Architecture Workshop
Microservices Architecture WorkshopMicroservices Architecture Workshop
Microservices Architecture Workshop
 
O que é GeneXus ?
O que é GeneXus ?O que é GeneXus ?
O que é GeneXus ?
 
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValleyHOTNOC - WEB Network Operation System Monitoring by IdeaValley
HOTNOC - WEB Network Operation System Monitoring by IdeaValley
 
Windows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-ProsWindows Azure no Mundo Real para IT-Pros
Windows Azure no Mundo Real para IT-Pros
 
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
Apresentação Técnica - O uso de padrões abertos para proteção de sistemas sca...
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
Nuvens híbridas: Conectando aplicações locais com a nuvem na plataforma Windo...
 
Sistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWSSistemas Distribuídos Utilizando Microserviços e AWS
Sistemas Distribuídos Utilizando Microserviços e AWS
 
Genergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web EnergyGenergia - Monitoramento de Energia Web Energy
Genergia - Monitoramento de Energia Web Energy
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 

Seguranca web

  • 2. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 3. Porque proteger a WEB? “A WEB se tornou o novo vetor de ameaças preferido dos hackers e cyber criminosos para distribuir malware e conseguir roubo de identidades, fraudes financeiras e espionagem corporativo.” -- IDC
  • 4. Porque proteger a WEB? • "Malware” – abreviação de malicious software – Se refere a qualquer software desenhado para causar estrago para um simples computador, servidor ou rede de computadores, seja um virus, spyware, etc… • O Conteúdo malicioso da WEB pode expor a empresa a custos mais elevados, produtividade menor e problemas legais.  Uma segurança WEB efetiva resguarda os colaboradores contra ameaças online e protege a infra estrutura de rede.
  • 5. A ameaça de malware está crescendo… Malware entregado pelos Websites aumenta • Malware acumulado – 2007: 5.8 milhões – 2011: 65 milhões (em junho) Aumento de 1120% • URLs maliciosas – 7,300 novas URLs maliciosas por dia • Websites Legítimos são Comprometidos 80% dos Websites tem código malicioso *Source: McAfee Labs
  • 6. …And Growing More Effective Mais Variações de Ameaças de Malware 133% Código Malicioso em 12 meses Das infecções de 80% malware são por exploração de aplicação WEB 68% Sucesso do ataque Das infecções de aumenta! Web 2.0 e o catalisador! Malware expõem dados Dos Websites confidenciais! 4% vulneráveis são consertados! Attack Target ataque Objetivo do 500% De aumento dos sites de Phishing Users vs Machines Usuário x Computador !
  • 7. Tendência alarmante 2011 Malwares da WEB únicos encontrados 297% Aumento Source: Cisco ScanSafe
  • 9. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 10. ESTATISTICAS DAS VULNERABILIDADES Fonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
  • 11. ESTATISTICAS DOS NIVEIS DE RISCOS Fonte: ptresearch.blogspot.com/2010/06/web-application-vulnerability.html
  • 12. Vulnerabilidades XSS Relatório de X-Force da IBM: No meio de 2012, 47% das vulnerabilidades de segurança afeta aplicações WEB – 41% em 2011 – XSS atinge a taxa de 51%
  • 13. OWASP Top Ten (2010 Edition) http://www.owasp.org/index.php/Top_10
  • 14. A1 - SQL Injection "SELECT * FROM Account Summary Account: accounts WHERE Knowledge Mgmt Communication Administration Bus. Functions Legacy Systems Human Resrcs E-Commerce Application Layer Transactions Web Services SKU: SQL acct=‘’ OR 1=1-- Directories Acct:5424-6066-2134-4334 Databases Accounts Finance HTTP Billing HTTP query DB Table Acct:4128-7574-3921-0192 response  ’" request APPLICATION    Acct:5424-9383-2039-4029 Acct:4128-0004-1234-0293  ATTACK  Custom Code 1. Aplicação apresenta formulário p/ atacante 2. Atacante envia um ataque nos dados do formulário App Server 3. Aplicação encaminha ataque p/ Web Server base de dados em um query SQL Hardened OS 4. Base de dados executa o query Network Layer com ataque e envia o resultado criptografado p/ aplicação Firewall Firewall 5. Aplicação decripta os dados normalmente e envia o resultado p/ usuário
  • 15. A1 - SQL Injection Exploração: Fácil Prevalência: Comum Detecção: Media Impacto: Severo
  • 16. A2 - Cross-Site Scripting 1 Atacante coloca armadilha – Atualizar Perfil Aplicação com Atacante coloca um script vulnerabilidade XSS malicioso na pagina WEB que armazena os dados no servidor Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions 2 Vitima acessa a pagina – vê o perfil do atacante Accounts Finance Custom Code Script roda no browser da vitima c/ total acesso a DOM e cookies 3 Script envia silenciosamente o cookie de sessão da vitima para o atacante
  • 17. A2 - Cross-Site Scripting Exploração: Media Prevalência: Muito Comum Detecção: Fácil Impacto: Moderado
  • 18. A3- Broken Authentication 1 Usuário envia credenciais Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance www.boi.com?JSESSIONID=9FA1DB9EA... Site usa reescrita de URL 2 Custom Code (ex. coloca sessão na URL) 3 Usuário clica no link para http://www.hacker.com em um fórum Hacker checa logs no www.hacker.com e acha JSESSIONID do usuário 4 5 Hacker utiliza JSESSIONID e se apropria a conta da vitima
  • 19. A3- Broken Authentication Exploração: Media Prevalência: Comum Detecção: Media Impacto: Severo
  • 20. A4 – Referencia direta insegura a objeto • Hacker observa o https://www.onlinebank.com/user?acct=6065 parâmetro acct é 6065 ?acct=6065 • Ele modifica para um valor próximo ?acct=6066 • Hacker vê as informações da conta da vitima
  • 21. A4 – Referencia direta insegura a objeto Exploração: Fácil Prevalência: Comum Detecção: Fácil Impacto: Moderado
  • 22. A5 – Cross Site Request Forgery (CSRF) Hacker coloca armadilha em um site da Internet 1 (ou simplesmente via e-mail) Aplicação com Hidden <img> tag vulnerabilidade CSRF contem ataque contra site vulnerável Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Quando logado no site vulnerável, 2 a vitima vê o site do Hacker Custom Code 3 O site vulnerável vê uma <img> tag carregada pelo requisição legitima da browser – envia requisição vitima e executa a ação GET (com credenciais) requisitada para o site vulnerável
  • 23. A5 – Cross Site Request Forgery (CSRF) Exploração: Media Prevalência: Comum Detecção: Fácil Impacto: Moderado
  • 24. A6 – Mal configuração de Segurança Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Finance Database Custom Code App Configuration Development Framework App Server QA Servers Web Server Hardened OS Interno Test Servers Source Control
  • 25. A6 – Mal configuração de Segurança Exploração: Fácil Prevalência: Comum Detecção: Fácil Impacto: Moderado
  • 26. A7 – Armazenamento criptografado inseguro Vitima digita numero cartão de credito no 1 formulário Communication Administration Bus. Functions E-Commerce Transactions Knowledge Accounts Finance Mgmt Custom Code Empregado Malicioso Log files 4 rouba milhões de Se Erro, logs detalhes do CC 2 números de cartão de porque, por exemplo, gateway credito da operadora está fora Logs são accessíveis para 3 todos os membros de TI para debug
  • 27. A7 – Armazenamento criptografado inseguro Exploração: Difícil Prevalência: Pouco Comum Detecção: Difícil Impacto: Severo
  • 28. A8 – Falha de acesso a URL restrita • Hacker observa que a URL https://www.onlinebank.com/user/getAccounts indica o papel /user/getAccounts • Ele modifica para um outro diretório (papel) /admin/getAccounts, ou /manager/getAccounts • Hacker vê mais contas do que devia
  • 29. A8 – Falha de acesso a URL restrita Exploração: Fácil Prevalência: Pouco Comum Detecção: Media Impacto: Moderado
  • 30. A9 – Proteção Insuficiente da Camada de Transporte Parceiros Negócios Vitima externa Custom Code Backend Systems Colaboradores 1 2 Hacker externo Hacker interno rouba rouba credenciais credenciais e dados e dados fora da dentro da rede rede interna Hacker Externo Hacker interno
  • 31. A9 – Proteção Insuficiente da Camada de Transporte Exploração: Difícil Prevalência: Comum Detecção: Fácil Impacto: Moderado
  • 32. A10 –Redirects inválidos 1 Hacker envia um ataque para a vitima via email ou página web From: Internal Revenue Service Subject: Your Unclaimed Tax Refund Aplicação redireciona a Our records show you have an 3 vitima p/ o site do unclaimed federal tax refund. Please Hacker click here to initiate your claim. Knowledge Mgmt Communication Administration Bus. Functions E-Commerce Transactions Accounts Vítima clica no link com parâmetro invalido Finance 2 Custom Code Request sent to vulnerable site, including attacker’s destination site as parameter. Redirect sends victim to attacker site Evil Site 4 O site malicioso instala http://www.irs.gov/taxrefund/claim.jsp?year=2006 malware ou rouba & … &dest=www.evilsite.com informações privadas
  • 33. A10 –Redirects e Forwards inválidos Exploração: Media Prevalência: Pouco Comum Detecção: Fácil Impacto: Moderado
  • 35. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 36.
  • 37. TRÊS PILARES DA SEGURANCA DA INFORMAÇÃO • Confidencialidade – Usuário não autorizado não pode acessar os dados • Integridade – Usuário não autorizado não pode manipular os dados • Disponibilidade – Usuário não autorizado não pode tornar os dados indisponíveis para os usuários legítimos
  • 38. Três Princípios • Defesa em profundidade – Vários níveis de defesa, redundantes • Menor privilegio – Atribuir o menos de liberdade possível • Simplicidade – Complexidade traz erros e vulnerabilidades
  • 39. Duas Praticas Filtrar as Entradas Assegurar que os dados de entrada são validos “Escapar” as Saídas Assegurar que os dados de saída não são mal interpretados
  • 40. AMEACA VULNERABILIDADE ATAQUE • AMEACA: Uma ocorrência que pode danificar um ativo • VULNERABILIDADE: fraqueza que rende possível uma ameaça • ATAQUE: Ação que explora a vulnerabilidade
  • 41. Os Ataques exploram as vulnerabilidades fazendo de uma ameaça uma Realidade
  • 42. Questões de Segurança • Problemas que afetam as aplicações WEB – Validação das entradas e dos dados – Autenticação – Autorização – Gestão da configuração – Dados sensíveis – Gestão da criptografia – Gestão da sessão – Log e auditoria
  • 43. Integrar Segurança no ciclo de vida do desenvolvimento
  • 44.
  • 45. Processo de desenvolvimento WEB • Similar ao Ciclo de Vida de Desenvolvimento de Software – Endereçar a complexidade dos sistemas baseados na WEB – Minimizar os riscos de desenvolvimento – Lidar com mudanças – Entregar projetos no prazo – Fornecer retorno (feedback)
  • 46.
  • 47. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 48. Segurança de comunicação Segurança em cada trecho ou de fim-a-fim ?
  • 51. SSL – Secure Socket Layer
  • 52. SOAP
  • 53. Segurança de Web Service (OASIS)
  • 55. SAML – Security Assertion Markup Language
  • 56. O que é um Diretório? • O que é um diretório? – É um banco de dados especializado com informações descritivas baseadas em atributos e organizadas em forma de árvore. • Característica de um diretório: – Resposta rápida a grande quantidade de consultas. • Tipos de diretórios: – De aplicações: diretório do MS Exchange, etc. – De sistemas operacionais de rede: AD (Microsoft) – De propósito específico: DNS – De propósito geral: LDAP
  • 57. O que é o LDAP? • Lightweight Directory Access Protocol – Protocolo Leve de Acesso a Diretórios. – Trabalha na camada de aplicação da pilha de protocolos TCP/IP, como por exemplo o SMTP, HTTP, FTP, TELNET e tantos outros. – RFCs 2251 – 2830 e 3377 – Cliente-Servidor. – Orientado a mensagens.
  • 58. Por que usar o LDAP? • Integração entre sistemas Operacionais • Interligação ( Windows , Linux, Unix , MacOS) • Integração entre Serviços • Serviços de e-mail, FTP , Web etc. • Desempenho nas consultas: Desenvolvido com ênfase na leitura, ou seja, os dados serão lidos rapidamente por um número maior de consultas simultâneas. • Difundido no mercado • Não requer hardware pesado para operações
  • 59. Diretório LDAP Representação gráfica de parte de um diretório LDAP
  • 61. Tivoli Access Manager – Web Access Control Portal Internet WAS Gateway MS IIS Wireless
  • 62. Tivoli Access Manager – Web Access Control Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos Portal Object/ACL DB Internet WebSEAL WAS Gateway MS IIS Wireless
  • 63. Alta disponibilidade – Alta performance Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos Portal Internet WebSEAL WebSEAL WAS F5 WebSEAL Gateway MS IIS Wireless
  • 64. Cobertura do TAMeB Espaço único de objetos protegidos Web/URL Servidor de Aplicação Pacote • URL • WAS • Portal: Vignette • programa CGI • WebLogic • SIEBEL • Arquivos HTML • qualquer c/ JEE, JAAS • SAP • Servlet Java • MS IIS • COGNOS • Classe Java • ...
  • 65. Possibilidades de Autenticação • Formulário • Autenticação Básica HTTP • Certificado X.509 (v3) • Token SecureId RSA • Autenticação Header HTTP • Customizado via API • Mecanismo Autenticação WAP • Re-autenticação sobre recursos sensíveis
  • 66. Processo de Autorização Virtual Web Namespace Policy Object/ACL DB Manager Usuário/grupos WebSEAL ACL POP Regra ACL: permissões dos usuários / grupos POP: características de acesso ao recurso Regra: condição da requisição
  • 67. Processo de Autorização Requisição “Negar” “Negar” “Permitir/Negar” Não Não ACL POP Decisão Satisfeito? Sim Satisfeito? Sim Regra? Acesso determinado Características do Acesso determinado pelas permissões de objeto (Horário, dinamicamente, Usuário/Grupo audit,...) baseado nas condições atuais
  • 68. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 69.
  • 71.
  • 72.
  • 73. SHERWOOD APPLIED BUSINESS SECURITY ARCHITECTURE
  • 74. Adoção de um padrão Que padrão é o melhor? • ISO e NIST custam caro para implementar corretamente • ISO, CobIT, PCI são aplicados para empresa global • PCI e relativamente curto, extremamente detalhado e fácil de entender  Pode aplicar PCI –DSS para ambiente WEB não Cartão de Credito ?
  • 75. Agenda • Economia dos malwares • Maiores vulnerabilidades da WEB • Metodologia • Tecnologia • Frameworks, normas e padrões • Conclusão
  • 76.
  • 77. Recomendações • Bom senso • Conscientização • Simplicidade • Estudo • Comunicação
  • 78. “Seu tempo é limitado, então não perca vivendo a vida de outra pessoa. Não seja tapeado por dogmas – que é viver pela crença de outra pessoa. Não deixe o barulho da opinião dos outros calar sua voz interior. E mais importante, tenha a coragem de seguir seu coração e intuição. De alguma forma eles já sabem o que você verdadeiramente quer se tornar. Tudo o mais é secundário”. Steve Jobs