AM
Carregado porAlexandre Menezes
363 visualizações

Análise Estática do Framework Demoiselle

O documento analisa o framework Demaiselle do governo federal, focando na segurança de aplicações web. Discute a importância da segurança no desenvolvimento de software, vulnerabilidades comuns e recomendações para melhorar a segurança do framework. Sugere a substituição de módulos e a realização de análises estáticas para identificar problemas de segurança.

Incorporar apresentação

Baixado 10 vezes
UCB / Universa Lato Sensu – Sistemas Orientados a Objetos Alexandre Menezes Gisele Rodrigues 12/11/09 1
Análise Estática do Framework Demoiselle do Governo Federal com Ênfase em Segurança de Aplicações Web 12/11/09 2
Agenda 1. Introdução 2. Segurança mais que necessidade 3. Segurança no desenvolvimento de software 4. Estudo de caso 5. Conclusão 12/11/09 3
1. Introdução 12/11/09 4
Dependência de Recursos Tecnológicos 12/11/09 5
Segurança da Informação Assegurar e proteger ativos; Mudança de Cultura e Paradigma; Integridade + Disponibilidade + Confidencialidade. 12/11/09 6
2. Segurança mais que necessidade 12/11/09 7
Entidades de Segurança 12/11/09 8
Total de Incidentes Reportados ao Cert.br (1999 - 2009) 12/11/09 9
Fatores de Risco nos Sistemas Atuais Conectividade; Extensibilidade; Complexidade. 12/11/09 10
Vulnerabilidades OWASP Top 10 - 2007 A1 XSS A2 Injection Flaws A3 Malicious File Execution A4 Insecure Direct Object A5 CSRF A6 Information Leakage and Improper Error Handling A7 Broken Authentication and Session Management A8 Insecure Cryptographic A9 Insecure Communications A10 Failure to Restrict URL Access 12/11/09 11
Vulnerabilidades (Softwares) 12/11/09 12
3. Segurança no Desenvolvimento de Software 12/11/09 13
Sistemas Seguros Secure by design; Secure by default; Secure by deployment. 12/11/09 14
Ferramentas 12/11/09 15
4. Estudo de Caso 12/11/09 16
Características do Projeto Arquitetura modular; Open Source; Padronização de frameworks especialistas; Interoperabilidade e manutenibilidade. 12/11/09 17
Análise Estática Ferramentas de Análise Estática Ferramenta Número de Alarmes PMD 351 Checkstyle 9304 Ferramentas de Análise Estática com Ênfase em Segurança Ferramenta Número de Alarmes Findbugs 14 LAPSE 2 12/11/09 18
Resultados Constatados Retorno inadequado; Validação imprópria; Utilização de Statement; Tratamento inadequado de exceção; Utilização inadequada de cookie. 12/11/09 19
Conclusão 12/11/09 20
Conclusões Análise humana é mais eficiente; Ferramentas de análise estática colaboram para identificação de bugs, mas não devem ser a última palavra; Bugs de alto impacto. 12/11/09 21
Recomendações para Utilização do Projeto Demoiselle Substituição dos módulos de persistência até que seja sanado os problemas de SQL Injection; Utilizar cookies não persistente por padrão (Secure by default); Rever questões arquiteturais com foco em segurança; Notificar a comunidade os riscos de utilização da implementação padrão; Disponibilizar patches ou fixes para os problemas. 12/11/09 22
Pesquisas Futuras Realizar análise estática das APIs externas utilizadas pelo projeto; Realizar análise binária do framework. 12/11/09 23
Dúvidas? 12/11/09 24
Obrigado! 12/11/09 25
Retorno Inadequado public Object[] getArguments() { return this.arguments; } 12/11/09 26
Sugestão para Tratamento do Retorno Inadequado public Objec[] getArguments(){ Object[]copyOf = Arrays.copyOf(arguments, arguments.length); return copyOf; } 12/11/09 27
Validação Imprópria public final int execute(String sql) throws PersistenceJDBCException { if (sql == null) throw new PersistenceJDBCException("SQL is null"); ... Statement st = JDBCUtil.getInstance().getConnection(). createStatement(); result = st.executeUpdate(sql); ... } 12/11/09 28
Sugestão para Validação Imprópria public final int execute(String sql) throws PersistenceJDBCException { String trustedQuery = ESAPI.encoder().encodeForSQL( new OracleCodec(), sql); ... PreparedStatement pst = JDBCUtil.getInstance().getConnection(). createStatementPreparedStatement(); result = pst.executeUpdate(sql); ... } 12/11/09 29
Tratamento Inadequado de Exceção Private Field getFieldByName( A object, String name) throws PersistenceJDBCException { ... } catch (SecurityException e) { return null; } } 12/11/09 30
Sugestão para Tratamento Inadequado de Exceção Private Field getFieldByName( A object, String name) throws PersistenceJDBCException { ... } catch (SecurityException e) { return SomeException; } } 12/11/09 31
Utilização Inadequada de Cookie public static final void saveCookie(HttpServletResponse response, String cookieName, String cookieValue, String path) { int maxAge = (10000 + 3600) * 24 * 30; saveCookie(response, cookieName, cookieValue, path, maxAge);} 12/11/09 32
Sugestão para Utilização Inadequada de Cookie public static final void saveCookie(HttpServletResponse response, String cookieName, String cookieValue, String path) { saveCookie(response, cookieName, cookieValue, path);} 12/11/09 33

Mais conteúdo relacionado

PDF
CINTO DE UTILIDADES DO GESTOR DE SEGURANÇA
porLeonardo Cavalcante
 
PDF
Pentest cool
porAdilson Da Rocha
 
PDF
Documento Técnico - Simulado do Exame CASE
porTI Safe
 
PDF
Dis defesa abordagem relacional modelo seguranca
porRui Gomes
 
PDF
Lopa
porECS Consultorias
 
PPT
Normas de desenho_de_máquinas__aula_3
porericoprado
 
PPT
Normas de desenho_de_máquinas__aula_44
porericoprado
 
PDF
Fundamentos da Matematica Elementar 6 complexos, polinômios, equações
porPedro Santos
 
CINTO DE UTILIDADES DO GESTOR DE SEGURANÇA
porLeonardo Cavalcante
 
Pentest cool
porAdilson Da Rocha
 
Documento Técnico - Simulado do Exame CASE
porTI Safe
 
Dis defesa abordagem relacional modelo seguranca
porRui Gomes
 
Lopa
porECS Consultorias
 
Normas de desenho_de_máquinas__aula_3
porericoprado
 
Normas de desenho_de_máquinas__aula_44
porericoprado
 
Fundamentos da Matematica Elementar 6 complexos, polinômios, equações
porPedro Santos
 

Destaque

PPT
Normas de desenho_de_máquinas__aula_4
porericoprado
 
PPT
Normas de desenho_de_máquinas__aula_5
porericoprado
 
PDF
Fundamentos da Cinemática I
porUbirajara Neves
 
PPT
Normas de desenho_de_máquinas__aula_6
porericoprado
 
PDF
539 fisica estatica_dos_corpos_extensos_exercicios
porLeonardo Paganotto
 
PDF
77785017 apostila-desenho-tecnico-3º-ano-faetec
porJupira Silva
 
PDF
Fundamentos da Matematica Elementar 7 geometria analítica - Lezzi, Dolce, E...
porPedro Santos
 
PDF
Estática dos fluidos - parte 1
porengciviluniplan14
 
PDF
Fundamentos da Matematica Elementar 2 logaritmos
porPedro Santos
 
PDF
Fundamentos da Matematica Elementar 3 trigonometria
porPedro Santos
 
PDF
Protec - Desenhista de máquinas - Desenho técnico
porJoão Ricardo Souza Modesto
 
PPTX
Apresentação dos-elementos-de-máquians-unifor
porFrancisco Allan de O. Pereira
 
PDF
Fundamentos.de.matematica.elementar.vol.03.trigonometria
porCao Phan Quốc
 
PDF
38083393 01-iniciacao-ao-desenho-tecnico-exercicios
porMarco Aurélio dos Santos Bernardes
 
PDF
Desenho de máquinas
porDiego Santos
 
PDF
Álgebra linear e geometria analítica 2ª edição
porRangel Victor
 
PDF
Fundamentos da Matematica Elementar 4 sequências, matrizes, determinantes, , ...
porPedro Santos
 
Normas de desenho_de_máquinas__aula_4
porericoprado
 
Normas de desenho_de_máquinas__aula_5
porericoprado
 
Fundamentos da Cinemática I
porUbirajara Neves
 
Normas de desenho_de_máquinas__aula_6
porericoprado
 
539 fisica estatica_dos_corpos_extensos_exercicios
porLeonardo Paganotto
 
77785017 apostila-desenho-tecnico-3º-ano-faetec
porJupira Silva
 
Fundamentos da Matematica Elementar 7 geometria analítica - Lezzi, Dolce, E...
porPedro Santos
 
Estática dos fluidos - parte 1
porengciviluniplan14
 
Fundamentos da Matematica Elementar 2 logaritmos
porPedro Santos
 
Fundamentos da Matematica Elementar 3 trigonometria
porPedro Santos
 
Protec - Desenhista de máquinas - Desenho técnico
porJoão Ricardo Souza Modesto
 
Apresentação dos-elementos-de-máquians-unifor
porFrancisco Allan de O. Pereira
 
Fundamentos.de.matematica.elementar.vol.03.trigonometria
porCao Phan Quốc
 
38083393 01-iniciacao-ao-desenho-tecnico-exercicios
porMarco Aurélio dos Santos Bernardes
 
Desenho de máquinas
porDiego Santos
 
Álgebra linear e geometria analítica 2ª edição
porRangel Victor
 
Fundamentos da Matematica Elementar 4 sequências, matrizes, determinantes, , ...
porPedro Santos
 

Semelhante a Análise Estática do Framework Demoiselle

PDF
Validando a Segurança de Software
porJeronimo Zucco
 
PPT
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
PDF
Owasp - Segurança de aplicação na web
porCOTIC-PROEG (UFPA)
 
PDF
OWASP presentation on FISTA2011
porCarlos Serrao
 
PDF
OWASP e o desenvolvimento seguro de aplicações para a Web
porCarlos Serrao
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PDF
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PDF
Ferranentas OWASP
porCarlos Serrao
 
PPT
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
porFabiano Souza
 
PDF
(In)Segurança De Software, Quebrando Códigos
porRafael Rosa
 
PDF
Validação e Testes de Software - MOD1
porFernando Palma
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PDF
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
PDF
OWASP Top 10 2010 para JavaEE (pt-BR)
porMagno Logan
 
PPTX
Software Assurance - A Spring Security Demonstration
porLeivan Carvalho
 
PDF
Testar não é suficiente. Tem que fazer direito!
porConviso Application Security
 
PDF
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PDF
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
porClavis Segurança da Informação
 
Validando a Segurança de Software
porJeronimo Zucco
 
Testes de Segurança de Software (tech-ed 2008)
porConviso Application Security
 
Owasp - Segurança de aplicação na web
porCOTIC-PROEG (UFPA)
 
OWASP presentation on FISTA2011
porCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
porCarlos Serrao
 
OWASP - Ferramentas
porCarlos Serrao
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
Ferranentas OWASP
porCarlos Serrao
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
porFabiano Souza
 
(In)Segurança De Software, Quebrando Códigos
porRafael Rosa
 
Validação e Testes de Software - MOD1
porFernando Palma
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
OWASP Top 10 2010 para JavaEE (pt-BR)
porMagno Logan
 
Software Assurance - A Spring Security Demonstration
porLeivan Carvalho
 
Testar não é suficiente. Tem que fazer direito!
porConviso Application Security
 
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)
porErick Belluci Tedeschi
 
OWASP Top Ten 2004
porCarlos Serrao
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
porClavis Segurança da Informação
 

Análise Estática do Framework Demoiselle

  • 1.
    UCB / Universa Lato Sensu – Sistemas Orientados a Objetos Alexandre Menezes Gisele Rodrigues 12/11/09 1
  • 2.
    Análise Estática doFramework Demoiselle do Governo Federal com Ênfase em Segurança de Aplicações Web 12/11/09 2
  • 3.
    Agenda 1. Introdução 2. Segurança mais que necessidade 3. Segurança no desenvolvimento de software 4. Estudo de caso 5. Conclusão 12/11/09 3
  • 4.
  • 5.
    Dependência de RecursosTecnológicos 12/11/09 5
  • 6.
    Segurança da Informação Assegurar e proteger ativos; Mudança de Cultura e Paradigma; Integridade + Disponibilidade + Confidencialidade. 12/11/09 6
  • 7.
    2. Segurança maisque necessidade 12/11/09 7
  • 8.
  • 9.
    Total de IncidentesReportados ao Cert.br (1999 - 2009) 12/11/09 9
  • 10.
    Fatores de Risconos Sistemas Atuais Conectividade; Extensibilidade; Complexidade. 12/11/09 10
  • 11.
    Vulnerabilidades OWASP Top 10 - 2007 A1 XSS A2 Injection Flaws A3 Malicious File Execution A4 Insecure Direct Object A5 CSRF A6 Information Leakage and Improper Error Handling A7 Broken Authentication and Session Management A8 Insecure Cryptographic A9 Insecure Communications A10 Failure to Restrict URL Access 12/11/09 11
  • 12.
  • 13.
    3. Segurança noDesenvolvimento de Software 12/11/09 13
  • 14.
    Sistemas Seguros Secure by design; Secure by default; Secure by deployment. 12/11/09 14
  • 15.
  • 16.
    4. Estudo deCaso 12/11/09 16
  • 17.
    Características do Projeto Arquitetura modular; Open Source; Padronização de frameworks especialistas; Interoperabilidade e manutenibilidade. 12/11/09 17
  • 18.
    Análise Estática Ferramentas de Análise Estática Ferramenta Número de Alarmes PMD 351 Checkstyle 9304 Ferramentas de Análise Estática com Ênfase em Segurança Ferramenta Número de Alarmes Findbugs 14 LAPSE 2 12/11/09 18
  • 19.
    Resultados Constatados Retorno inadequado; Validação imprópria; Utilização de Statement; Tratamento inadequado de exceção; Utilização inadequada de cookie. 12/11/09 19
  • 20.
  • 21.
    Conclusões Análise humana é mais eficiente; Ferramentas de análise estática colaboram para identificação de bugs, mas não devem ser a última palavra; Bugs de alto impacto. 12/11/09 21
  • 22.
    Recomendações para Utilizaçãodo Projeto Demoiselle Substituição dos módulos de persistência até que seja sanado os problemas de SQL Injection; Utilizar cookies não persistente por padrão (Secure by default); Rever questões arquiteturais com foco em segurança; Notificar a comunidade os riscos de utilização da implementação padrão; Disponibilizar patches ou fixes para os problemas. 12/11/09 22
  • 23.
    Pesquisas Futuras Realizar análise estática das APIs externas utilizadas pelo projeto; Realizar análise binária do framework. 12/11/09 23
  • 24.
  • 25.
  • 26.
    Retorno Inadequado public Object[]getArguments() { return this.arguments; } 12/11/09 26
  • 27.
    Sugestão para Tratamentodo Retorno Inadequado public Objec[] getArguments(){ Object[]copyOf = Arrays.copyOf(arguments, arguments.length); return copyOf; } 12/11/09 27
  • 28.
    Validação Imprópria public finalint execute(String sql) throws PersistenceJDBCException { if (sql == null) throw new PersistenceJDBCException("SQL is null"); ... Statement st = JDBCUtil.getInstance().getConnection(). createStatement(); result = st.executeUpdate(sql); ... } 12/11/09 28
  • 29.
    Sugestão para ValidaçãoImprópria public final int execute(String sql) throws PersistenceJDBCException { String trustedQuery = ESAPI.encoder().encodeForSQL( new OracleCodec(), sql); ... PreparedStatement pst = JDBCUtil.getInstance().getConnection(). createStatementPreparedStatement(); result = pst.executeUpdate(sql); ... } 12/11/09 29
  • 30.
    Tratamento Inadequado deExceção Private Field getFieldByName( A object, String name) throws PersistenceJDBCException { ... } catch (SecurityException e) { return null; } } 12/11/09 30
  • 31.
    Sugestão para TratamentoInadequado de Exceção Private Field getFieldByName( A object, String name) throws PersistenceJDBCException { ... } catch (SecurityException e) { return SomeException; } } 12/11/09 31
  • 32.
    Utilização Inadequada deCookie public static final void saveCookie(HttpServletResponse response, String cookieName, String cookieValue, String path) { int maxAge = (10000 + 3600) * 24 * 30; saveCookie(response, cookieName, cookieValue, path, maxAge);} 12/11/09 32
  • 33.
    Sugestão para UtilizaçãoInadequada de Cookie public static final void saveCookie(HttpServletResponse response, String cookieName, String cookieValue, String path) { saveCookie(response, cookieName, cookieValue, path);} 12/11/09 33