O documento é um guia para o workshop sobre segurança em aplicativos, destacando a importância da segurança física, proteção de acesso aos códigos fontes e segurança de APIs. Ele menciona práticas recomendadas, como o uso de HTTPS/SSL para criptografia e autenticação básica e bearer. Exemplos de demonstração são fornecidos para ilustrar métodos de autenticação e a necessidade de proteger sistemas contra acessos não autorizados.

1. http://andrebaltieri.net/
HEY!SEU WORKSHOP JÁ VAI
COMEÇAR
INÍCIO PROGRAMADO PARA
20:30

2. UTILIZE O
CHATA SUA DIREITA PARA
SE COMUNICAR
http://andrebaltieri.net/

8. Workshop
Segurança emAPIs

9. Agenda
Segurança Física
Acesso aos Fontes
Acesso à Máquina
Network
Bloquear Ips/Acesso Externos
HTTPS/SSL
Segurança na API
Autenticação
Basic
Bearer

10. Segurança Física
Acesso à máquina
Acesso aos Fontes

11. Acesso à Maquina
 Segurança física é o primeiro nível
 Se alguém tiver acesso à máquina….
 Procure ambientes auto-gerenciados
 Valide frequentemente
 Como estão os acessos a máquina
 Quem possui estes acessos

12. Acesso aos Fontes
 Se o seu código fonte está público cuidado
 Pessoas podem explorar brechas
 Podem explorar itens como ‘salt-key’
 Deploy automatizado pode causar ainda mais dano

13. DEMO
Descobrindo a senha de quem usa as
demos do Baltieri como padrão 

14. Network
IPs e Acesso Externo
HTTPS/SSL

15. IPs e Acesso Externo
 Existem chineses malvados!
 Se sua API vai rodar no Brasil, então bloqueie outros IPs
 Se sua API é consumida apenas pelo seu site, ela pode ser liberada
apenas para ele
 No modelo PayAsYouGo você paga por consumo
 Aceitar bilhões de requisições também significa aceitar um grande
Brute Force

16. HTTPS e SSL
 HTTPS/SSL permitem um trafego encriptado
 HTTPS não são visíveis em ferramentas de sniffing
 TODA API DEVE POSSUIR HTTPS

17. DEMO
Interceptando requisições com
Fiddler

18. Segurançana API
Autenticação
Atributos

19. Autenticação
 Você não fica autenticado em APIs
 Autenticação ocorre a cada requisição
 Temos basicamente dois tipos de autenticação
 Basic
 Bearer

20. Basic Auth
 Autenticação Básica
 É enviado o usuário/senha encriptados em base64 a cada requisição
 Fácil de interceptar
 Mais fácil ainda de desencriptar

21. BearerAuth
 Realiza autenticação através de Tokens
 Seu login gera um token
 A cada requisição o token é enviado e validado

22. DEMO
Interceptando requisições básicas e
obtendo as senhas

23. DEMO
Implementando Bearer Auth com
WebAPI

24. DEMO
Implementando Bearer Auth com
NodeJs

25. Dúvidas

26. OBRI
GADO