SlideShare uma empresa Scribd logo

Introdução ao OWASP

Carlos Serrao
Carlos Serrao
Tecnologia
1 de 25
Baixar para ler offline
OWASP: Introdução Carlos Serrão OWASP Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com OWASP Copyright © 2004 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
O que é o OWASP?  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP 2
O Que é OWASP?  Open Web Application Security Project an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP 3
O que é o OWASP?  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário   Todos os membros são voluntários   Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade   Publicações, Artigos, Normas   Software de Testes e de Formação   Chapters Locais & Mailing Lists  Suportada através de patrocínios   Suporte de empresas através de patrocínios financeiros ou de projectos   Patrocínios pessoais por parte dos membros OWASP 4
Organização do OWASP OWASP OWASP OWASP Governance Conferences OWASP Wiki OWASP OWASP Foundation (501c3) Tools OWASP Chapter Leaders OWASP Lists Board of Operations Technical Board of Directors OWASP OWASP Director Director Advisors Books (Williams, Wichers, Project Brennan, Cruz, and (McNamee) (Casey) Deleersnyder) Leaders OWASP Community OWASP
O que é o OWASP?  O que oferece?  Publicações   OWASP Top 10   OWASP Guide to Building Secure Web Applications  Software WebGoat   WebScarab   oLabs Projects   .NET Projects    Chapters Locais   Orientação das comunidades locais OWASP 6
OWASP Ferramentas e Tecnologias •  Vulnerability •  Penetration •  ESAPI Scanners Testing Tools •  Static Analysis •  Code Review Tools Tools •  Fuzzing Automated Manual Security Security Security Architecture Verification Verification •  AppSec Libraries •  Reporting Tools •  Flawed Apps •  ESAPI Reference •  Learning Implementation Environments •  Guards and •  Live CD Filters •  SiteGenerator Secure AppSec AppSec Coding Management Education OWASP 7
Publicações OWASP  Características Comuns  Todas as publicações OWASP estão disponíveis para download gratuíto em http://www.owasp.org  Todas as publicações são licenciadas em GNU “Lesser” GNU Public License (LGPL), ou em GNU Free Documentation License (GFDL)  Documentação “viva”   Actualizada sempre que necessário   Projectos evolutivos  As publicações do OWASP são o resultado de trabalho cooperativo entre os membros OWASP 8
Publicações OWASP – OWASP Top 10  Top 10 Web Application Security Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base annual  Crescente aceitação pela indústria   Federal Trade Commission (US Gov)   US Defense Information Systems Agency   VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP 9
Publicações OWASP - OWASP Top 10  Top 10 (versão 2004)  A1. Unvalidated Input  A2. Broken Access Controls  A3. Broken Authentication and Session Management  A4. Cross Site Scripting Flaws  A5. Buffer Overflows  A6. Injection Flaws  A7. Improper Error Handling  A8. Insecure Storage  A9. Denial of Service  A10. Insecure Configuration Management OWASP 10
Publicações OWASP - OWASP Top 10  Top 10 (versão 2007)  A1. Cross Site Scripting (XSS)  A2. Injection Flaws  A3. Malicious File Execution  A4. Insecure Direct Object Reference  A5. Cross Site Request Forgery (CSRF)  A6. Information Leakage and Improper Error Handling  A7. Broken Authentication and Session Management  A8. Insecure Cryptographic Storage  A9. Insecure Communications  A10. Failure to Restrict URL Access OWASP 11
Publicações OWASP - OWASP Guide  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro   Introdução à segurança em geral   Introdução à segurança aplicacional   Discute áreas-chave de implementação –  Arquitectura –  Autenticação –  Gestão de Sessões –  Controlo de Acesso e Autorização –  Registo de Eventos –  Validação de Dados  Em contínuo desenvolvimento OWASP 12
Publicações OWASP – Projectos em Curso  Projectos em Curso  Projecto de Métricas & Medidas   Tenta desenvolver um conjunto de métricas de segurança que podem ser usadas para suportar decisões críticas de negócio  Projecto de Testes   Tenta produzir uma framework de “boas práticas”   Tenta produzir uma framework de testes de “baixo nível” que permite identificar certos aspectos  AppSec Faq   FAQ para programadores que se foca em segurança aplicacional   Oferece respostas a questões sobre segurança aplicacional OWASP 13
Software OWASP  Características Comuns  Todo o software OWASP é oferecido e pode ser obtido em http://www.owasp.org  O software está licenciado com uma licença GNU “Lesser” GNU Public License (LGPL)  Projectos Activos   Actualizados sempre que necessário   Projectos em curso   Multiplos programadores a contribuirem e a menterem  O software OWASP pode ser descarregado livremente e pode ser usado por indivíduos e empresas OWASP 14
Software OWASP - WebGoat  WebGoat  Essencialmente é uma aplicação de treino  Oferece   Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional   Uma ferramenta para testar ferrementas de segurança  O que é?   Uma aplicação web J2EE disposta em diversas “Lições de Segurança”   Baseado no Tomcat e no JDK 1.5   Orientada para o ension –  Fácil de usar –  Ilustra cenários credíveis –  Ensina ataques realistas e soluções viáveis OWASP 15
Software OWASP - WebGoat  WebGoat – O que se pode aprender?  Um número crescente de ataques e de soluções Cross Site Scripting   SQL Injection Attacks   Thread Safety   Field & Parameter Manipulation   Session Hijacking and Management   Weak Authentication Mechanisms   Mais ataques vão sendo adicionados    Obter a ferramenta   http://www.owasp.org/software/webgoat.html   Descarregar, descomprimir, e executar OWASP 16
Software OWASP - WebScarab  WebScarab  Uma framework para analizar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações   Programador: fazer o debug das trocas entre o cliente e servidor   Analista de Segurança: analiza o tráfego e identifica vulnerabilidades  Ferramenta técnica Focada em programadores de software   Arquitectura extensível de plug-ins   Open source; de fácil expansão   Poderosa    Obter a ferramenta   http://www.owasp.org/software/webscarab.html OWASP 17
OWASP Summer of Code – SoC 2009  Projectos inovadores  Alcançar qualidade para publicação  6 ferramentas/ 7 documentação  Investimentos:  Autumm of Code 2006   9 projetos / US$20K  Spring of Code 2007   21 projetos / US$117K  Summer of Code 2008   33 projetos / US$126K OWASP 18
Chapters locais da OWASP  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP 19
Chapters locais da OWASP OWASP 20
OWASP em Números  420.000 page views por mês  230 GB de download por mês  4.618 utilizadores do wiki  200 actualizações por dia  124 capítulos (chapters)  16.000 membros nas mailings lists  48 projectos de ferramentas e documentos  100 membros individuais  48 membros corporativos/educacionais  2 empregados OWASP 21
Chapters Locais da OWASP  O que oferecem?  Reuniões regulares  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP 22
Chapters Locais da OWASP  O que oferecem?  Como contribuir?   Através das ML, reuniões e dos grupos de discussão   Os membros são encorajados a levantarem questões   Os membros são encorajados a participar em projectos OWASP –  Contribuir para projectos existentes –  Propor novos projectos –  Lançar novas iniciativas   O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP 23
OWASP  Patrocínios OWASP 24
Perguntas e Respostas carlos.serrao@iscte.pt http://www.owasp.org/index.php/Portuguese OWASP 25

Recomendados

OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e ComoEr Galvão Abbott
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 prof-claudio
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
JWS
JWSJWS
JWSThiago Carvalho
 
#Javou10 - Testes E2E com JavaScript
#Javou10 - Testes E2E com JavaScript#Javou10 - Testes E2E com JavaScript
#Javou10 - Testes E2E com JavaScriptHenrique Luz
 
TDC 2011 Trilha de Teste
TDC 2011 Trilha de TesteTDC 2011 Trilha de Teste
TDC 2011 Trilha de TesteWellington Marion
 

Recomendados

OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e ComoEr Galvão Abbott
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 prof-claudio
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
JWS
JWSJWS
JWSThiago Carvalho
 
#Javou10 - Testes E2E com JavaScript
#Javou10 - Testes E2E com JavaScript#Javou10 - Testes E2E com JavaScript
#Javou10 - Testes E2E com JavaScriptHenrique Luz
 
TDC 2011 Trilha de Teste
TDC 2011 Trilha de TesteTDC 2011 Trilha de Teste
TDC 2011 Trilha de TesteWellington Marion
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
OWASP Top 10 2013
OWASP Top 10 2013OWASP Top 10 2013
OWASP Top 10 2013markstory
 
Arquitetura de Software Na Pratica
Arquitetura de Software Na PraticaArquitetura de Software Na Pratica
Arquitetura de Software Na PraticaAlessandro Kieras
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Brian Huff
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASPCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004Carlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Conviso Application Security
 
JavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividadeJavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividadeRafael Ponte
 
Novidades no Netbeans 6
Novidades no Netbeans 6Novidades no Netbeans 6
Novidades no Netbeans 6José Maria Silveira Neto
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)elliando dias
 
Ruby On Rails
Ruby On RailsRuby On Rails
Ruby On RailsPaulo César M Jeveaux
 

Mais conteúdo relacionado

Destaque

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informaçãoSilvino Neto
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
OWASP Top 10 2013
OWASP Top 10 2013OWASP Top 10 2013
OWASP Top 10 2013markstory
 
Arquitetura de Software Na Pratica
Arquitetura de Software Na PraticaArquitetura de Software Na Pratica
Arquitetura de Software Na PraticaAlessandro Kieras
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Brian Huff
 

Destaque (8)

Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
OWASP Top 10 2013
OWASP Top 10 2013OWASP Top 10 2013
OWASP Top 10 2013
 
Arquitetura de Software Na Pratica
Arquitetura de Software Na PraticaArquitetura de Software Na Pratica
Arquitetura de Software Na Pratica
 
Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)Top 10 Web Security Vulnerabilities (OWASP Top 10)
Top 10 Web Security Vulnerabilities (OWASP Top 10)
 

Semelhante a Introdução ao OWASP

OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
JavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividadeJavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividadeRafael Ponte
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)elliando dias
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Brasília
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP Brasília
 
Melhorando a performance de aplicações com o uso do MemCache
Melhorando a performance de aplicações com o uso do MemCacheMelhorando a performance de aplicações com o uso do MemCache
Melhorando a performance de aplicações com o uso do MemCacheElton Minetto
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Desenvolvimento Web com Software Livre
Desenvolvimento Web com Software LivreDesenvolvimento Web com Software Livre
Desenvolvimento Web com Software LivreGivanaldo Rocha
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroMagno Logan
 

Semelhante a Introdução ao OWASP (20)

Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
JavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividadeJavaServer Faces - Desenvolvendo aplicações web com produtividade
JavaServer Faces - Desenvolvendo aplicações web com produtividade
 
Novidades no Netbeans 6
Novidades no Netbeans 6Novidades no Netbeans 6
Novidades no Netbeans 6
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)Gestão de Projeto de Desenvolvimento Agil(XP)
Gestão de Projeto de Desenvolvimento Agil(XP)
 
Ruby On Rails
Ruby On RailsRuby On Rails
Ruby On Rails
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
 
Melhorando a performance de aplicações com o uso do MemCache
Melhorando a performance de aplicações com o uso do MemCacheMelhorando a performance de aplicações com o uso do MemCache
Melhorando a performance de aplicações com o uso do MemCache
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Desenvolvimento Web com Software Livre
Desenvolvimento Web com Software LivreDesenvolvimento Web com Software Livre
Desenvolvimento Web com Software Livre
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguro
 

Mais de Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 

Mais de Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 

Introdução ao OWASP

  • 1. OWASP: Introdução Carlos Serrão OWASP Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com OWASP Copyright © 2004 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org
  • 2. O que é o OWASP?  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP 2
  • 3. O Que é OWASP?  Open Web Application Security Project an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP 3
  • 4. O que é o OWASP?  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário   Todos os membros são voluntários   Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade   Publicações, Artigos, Normas   Software de Testes e de Formação   Chapters Locais & Mailing Lists  Suportada através de patrocínios   Suporte de empresas através de patrocínios financeiros ou de projectos   Patrocínios pessoais por parte dos membros OWASP 4
  • 5. Organização do OWASP OWASP OWASP OWASP Governance Conferences OWASP Wiki OWASP OWASP Foundation (501c3) Tools OWASP Chapter Leaders OWASP Lists Board of Operations Technical Board of Directors OWASP OWASP Director Director Advisors Books (Williams, Wichers, Project Brennan, Cruz, and (McNamee) (Casey) Deleersnyder) Leaders OWASP Community OWASP
  • 6. O que é o OWASP?  O que oferece?  Publicações   OWASP Top 10   OWASP Guide to Building Secure Web Applications  Software WebGoat   WebScarab   oLabs Projects   .NET Projects    Chapters Locais   Orientação das comunidades locais OWASP 6
  • 7. OWASP Ferramentas e Tecnologias •  Vulnerability •  Penetration •  ESAPI Scanners Testing Tools •  Static Analysis •  Code Review Tools Tools •  Fuzzing Automated Manual Security Security Security Architecture Verification Verification •  AppSec Libraries •  Reporting Tools •  Flawed Apps •  ESAPI Reference •  Learning Implementation Environments •  Guards and •  Live CD Filters •  SiteGenerator Secure AppSec AppSec Coding Management Education OWASP 7
  • 8. Publicações OWASP  Características Comuns  Todas as publicações OWASP estão disponíveis para download gratuíto em http://www.owasp.org  Todas as publicações são licenciadas em GNU “Lesser” GNU Public License (LGPL), ou em GNU Free Documentation License (GFDL)  Documentação “viva”   Actualizada sempre que necessário   Projectos evolutivos  As publicações do OWASP são o resultado de trabalho cooperativo entre os membros OWASP 8
  • 9. Publicações OWASP – OWASP Top 10  Top 10 Web Application Security Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base annual  Crescente aceitação pela indústria   Federal Trade Commission (US Gov)   US Defense Information Systems Agency   VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP 9
  • 10. Publicações OWASP - OWASP Top 10  Top 10 (versão 2004)  A1. Unvalidated Input  A2. Broken Access Controls  A3. Broken Authentication and Session Management  A4. Cross Site Scripting Flaws  A5. Buffer Overflows  A6. Injection Flaws  A7. Improper Error Handling  A8. Insecure Storage  A9. Denial of Service  A10. Insecure Configuration Management OWASP 10
  • 11. Publicações OWASP - OWASP Top 10  Top 10 (versão 2007)  A1. Cross Site Scripting (XSS)  A2. Injection Flaws  A3. Malicious File Execution  A4. Insecure Direct Object Reference  A5. Cross Site Request Forgery (CSRF)  A6. Information Leakage and Improper Error Handling  A7. Broken Authentication and Session Management  A8. Insecure Cryptographic Storage  A9. Insecure Communications  A10. Failure to Restrict URL Access OWASP 11
  • 12. Publicações OWASP - OWASP Guide  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro   Introdução à segurança em geral   Introdução à segurança aplicacional   Discute áreas-chave de implementação –  Arquitectura –  Autenticação –  Gestão de Sessões –  Controlo de Acesso e Autorização –  Registo de Eventos –  Validação de Dados  Em contínuo desenvolvimento OWASP 12
  • 13. Publicações OWASP – Projectos em Curso  Projectos em Curso  Projecto de Métricas & Medidas   Tenta desenvolver um conjunto de métricas de segurança que podem ser usadas para suportar decisões críticas de negócio  Projecto de Testes   Tenta produzir uma framework de “boas práticas”   Tenta produzir uma framework de testes de “baixo nível” que permite identificar certos aspectos  AppSec Faq   FAQ para programadores que se foca em segurança aplicacional   Oferece respostas a questões sobre segurança aplicacional OWASP 13
  • 14. Software OWASP  Características Comuns  Todo o software OWASP é oferecido e pode ser obtido em http://www.owasp.org  O software está licenciado com uma licença GNU “Lesser” GNU Public License (LGPL)  Projectos Activos   Actualizados sempre que necessário   Projectos em curso   Multiplos programadores a contribuirem e a menterem  O software OWASP pode ser descarregado livremente e pode ser usado por indivíduos e empresas OWASP 14
  • 15. Software OWASP - WebGoat  WebGoat  Essencialmente é uma aplicação de treino  Oferece   Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional   Uma ferramenta para testar ferrementas de segurança  O que é?   Uma aplicação web J2EE disposta em diversas “Lições de Segurança”   Baseado no Tomcat e no JDK 1.5   Orientada para o ension –  Fácil de usar –  Ilustra cenários credíveis –  Ensina ataques realistas e soluções viáveis OWASP 15
  • 16. Software OWASP - WebGoat  WebGoat – O que se pode aprender?  Um número crescente de ataques e de soluções Cross Site Scripting   SQL Injection Attacks   Thread Safety   Field & Parameter Manipulation   Session Hijacking and Management   Weak Authentication Mechanisms   Mais ataques vão sendo adicionados    Obter a ferramenta   http://www.owasp.org/software/webgoat.html   Descarregar, descomprimir, e executar OWASP 16
  • 17. Software OWASP - WebScarab  WebScarab  Uma framework para analizar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações   Programador: fazer o debug das trocas entre o cliente e servidor   Analista de Segurança: analiza o tráfego e identifica vulnerabilidades  Ferramenta técnica Focada em programadores de software   Arquitectura extensível de plug-ins   Open source; de fácil expansão   Poderosa    Obter a ferramenta   http://www.owasp.org/software/webscarab.html OWASP 17
  • 18. OWASP Summer of Code – SoC 2009  Projectos inovadores  Alcançar qualidade para publicação  6 ferramentas/ 7 documentação  Investimentos:  Autumm of Code 2006   9 projetos / US$20K  Spring of Code 2007   21 projetos / US$117K  Summer of Code 2008   33 projetos / US$126K OWASP 18
  • 19. Chapters locais da OWASP  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP 19
  • 20. Chapters locais da OWASP OWASP 20
  • 21. OWASP em Números  420.000 page views por mês  230 GB de download por mês  4.618 utilizadores do wiki  200 actualizações por dia  124 capítulos (chapters)  16.000 membros nas mailings lists  48 projectos de ferramentas e documentos  100 membros individuais  48 membros corporativos/educacionais  2 empregados OWASP 21
  • 22. Chapters Locais da OWASP  O que oferecem?  Reuniões regulares  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP 22
  • 23. Chapters Locais da OWASP  O que oferecem?  Como contribuir?   Através das ML, reuniões e dos grupos de discussão   Os membros são encorajados a levantarem questões   Os membros são encorajados a participar em projectos OWASP –  Contribuir para projectos existentes –  Propor novos projectos –  Lançar novas iniciativas   O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP 23
  • 25. Perguntas e Respostas carlos.serrao@iscte.pt http://www.owasp.org/index.php/Portuguese OWASP 25