Desenvolvimento web seguro para leigos

338 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
338
No SlideShare
0
A partir de incorporações
0
Número de incorporações
1
Ações
Compartilhamentos
0
Downloads
4
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Desenvolvimento web seguro para leigos

  1. 1. Desenvolvimento web seguroPedro José <pjneto@gmail.com>
  2. 2. Roteiro▫ Quem sou▫ Por que desenvolver código seguro?▫ Onde estamos?▫ O que eles sabem?▫ O que posso fazer?▫ Saiba mais!
  3. 3. Quem sou?▫ Pedro José▫ Técnico em Desenvolvimento de Sistemas▫ Graduando em ciências da computação▫ Analista de sistemas na Moobi▫ Técnico programador no Tribunal de Justiça/SE
  4. 4. Por que desenvolver código seguro?▫ Quanto vale seu negócio?▫ Quanto vale os dados de seus clientes?▫ Valorização do profissional?
  5. 5. Onde estamos?▫ WEB 2.0? E qual versão da sua segurança?▫ Qualquer pessoa pode ser um “programador web”▫ Por que não me falaram sobre desenvolvimentoseguro?
  6. 6. O que eles sabem?▫ Spoofing▫ Tampering▫ Cross-Site Scripting (XSS)▫ SQL Injection▫ Cookie Manipulation▫ Path Transversal▫ Error Management▫ File Upload▫ Code Execution▫ Configuration Vulnerabilities▫ Weak encryption
  7. 7. O que posso fazer?▫ Spoofing: Definição – “falsificação” !▫ Crítica aos dados▫ Captchas
  8. 8. O que posso fazer?▫ Data Tampering: Definição – manipulação dos parâmetros na troca dedados entre usuário e aplicação!▫ Crítica aos dados▫ Validação de Permissões
  9. 9. O que posso fazer?▫ Cross-Site Scripting (XSS): Definição – injeção de tags HTML e Javascript▫ Crítica na entrada dos dados▫ Conversão de caracteres▫ Formatação na saída dos dados▫ Utilização de black-lists
  10. 10. O que posso fazer?▫ SQL Injection: Definição – injeção de strings nas instruções SQL▫ Crítica na entrada dos dados▫ Utilização de consultas parametrizadas▫ Stored procedures▫ Firewall para bancos de dados(green sql)
  11. 11. O que posso fazer?▫ Cookie Manipulation: Definição – manipulação dos dados armazenados nocookie(tampering!!)▫ Evitar armazenamento de dados no cookie▫ Tratamento das informações armazenadas▫ Utilização de criptografia
  12. 12. O que posso fazer?▫ Path Transversal: Definição – descoberta de informações no sistema dearquivos do servidor através da aplicação▫ Crítica na entrada dos dados▫ Validação de caracteres
  13. 13. O que posso fazer?▫ File Upload: Definição – vulnerabilidades relacionadas ao uploadde arquivos em nossos sites/sistema.▫ Crítica na extensão dos arquivos▫ Validação de conteúdo▫ Validação de caracteres(nome do arquivo)▫ Internet Explorer 7 :/
  14. 14. O que posso fazer?▫ Error Management: Definição – falhas no gerenciamento dos erros naaplicação web.▫ Exibição de erros desativada em ambientes de produção▫ Log e monitoramento dos logs para conhecercomportamento da aplicação e possíveis atacantes
  15. 15. O que posso fazer?▫ Code Execution: Definição – execução de instruções a parti de códigosinjetados na aplicação▫ Cuidado com a utilização de funções que executem códigonativo. Ex: eval(), system(), exec(), shell_exec()▫ Cuidado com a utilização de funções inseguras nas suasbases de dados. Ex: load_file(), xp_cmdshell()
  16. 16. O que posso fazer?▫ Configuration Management: Definição – erros relacionados a configuração de seuservidor/aplicação▫ Desabilitar exibição de erros▫ Alterar configurações padrões dos servidores▫ Utilizar conexões SSL▫ Weak Encription: Definição – criptografia fraca▫ MD5 está morto!!
  17. 17. O que posso fazer?▫ Política de troca de senhas▫ Força das senhas▫ ACLs em nosso sistemas▫ Logs e Auditoria▫ Softwares livres X Minha segurança
  18. 18. O que posso fazer?▫ Esteja Atualizado!!▫ Use ferramentas para testar seu código w3af Acunetix Pangolin Hntool GreenSQL Samurai (distro live CD)
  19. 19. Saiba mais!▫ OWASP http://www.owasp.org/index.php/Main_Page▫ Microsoft http://msdn.microsoft.com/en-us/library/ff649874.aspx▫ Google Code http://code.google.com/intl/es-ES/edu/security/index.html
  20. 20. Saiba mais!▫ Livros
  21. 21. Saiba mais!▫ Livros
  22. 22. Dúvidas?Pedro José <pjneto@gmail.com>

×