O documento discute vulnerabilidades e ataques comuns em sites de compras coletivas, como senhas fracas, XSS, SQL injection e falhas no protocolo HTTPS. Também apresenta contramedidas como uso de HTTPS, não salvar dados do cartão e não fornecer muitos dados pessoais.
Gambiarra e PHP. Por que você deveria usar um WAF?Sucuri
Você é desenvolvedor ou trabalha com PHP? Este webinar é para você. Apesar de ser uma linguagem prática e simples, PHP torna fácil criar códigos com soluções não ortodoxas, também conhecidas como "gambiarras". Neste webinar, Jean vai explorar de forma descontraída alguns exemplos de códigos PHP feitos de maneira incorreta, além de explicar como código mal escrito pode se tornar uma porta de entrada para hackers. Ao final deste webinar, você vai entender como funciona um Website Application Firewall e como ele pode ajudar a prevenir alguns problemas causados por programadores.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
Apresentação da Katana Security - Empresa especializada em Consultoria em Segurança da Informação
Oferecemos Serviços, Produtos e Treinamentos especializados na área.
Consulte-nos para mais informações!
www.katanasec.net
Gambiarra e PHP. Por que você deveria usar um WAF?Sucuri
Você é desenvolvedor ou trabalha com PHP? Este webinar é para você. Apesar de ser uma linguagem prática e simples, PHP torna fácil criar códigos com soluções não ortodoxas, também conhecidas como "gambiarras". Neste webinar, Jean vai explorar de forma descontraída alguns exemplos de códigos PHP feitos de maneira incorreta, além de explicar como código mal escrito pode se tornar uma porta de entrada para hackers. Ao final deste webinar, você vai entender como funciona um Website Application Firewall e como ele pode ajudar a prevenir alguns problemas causados por programadores.
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
Apresentação da Katana Security - Empresa especializada em Consultoria em Segurança da Informação
Oferecemos Serviços, Produtos e Treinamentos especializados na área.
Consulte-nos para mais informações!
www.katanasec.net
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas
Maio de 2011 em SP
http://garoa.net.br/wiki/O_Outro_Lado
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
Trabalho feito em 2008 no curso de Análise de Sistemas (IST-RIO), na matéria "Metodologia de Pesquisa",.. Está meio simples,... Mas ficou bom, para um trabalho feito no primeiro período =D (Versão em Slides)
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Python mudando o modo de desenvolver para a web - Marcos Daniel PetryTchelinux
Python: mudando o modo de desenvolver para a internet (Marcos Daniel Petry)
A Palestra se propõem a apresentar várias soluções que a linguagem oferece para o desenvolvimento de aplicações voltadas para a internet e uma pequena comparação com alguns de seus “concorrentes” de outras linguagens. Fatores determinantes para a escolha de um framework ideal e também cases de sucesso de várias empresas, dos mais diversos portes, ao redor do mundo
Marcos Daniel Petry
Desenvolvedor Python/Django na Universidade de Caxias do Sul. Vice Presidente da Associação Python Brasil, associação cujo objetivo é apoiar e disseminar o uso da linguagem Python no país. Jogador de poker =P
Nesta palestra mostrarei as mais comuns falhas de segurança cometidas por desenvolvedores em projetos Ruby on Rails, e como as evitar.
por de Marcello Castellani no 1° RS on Rails
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Mais conteúdo relacionado
Semelhante a AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas
Maio de 2011 em SP
http://garoa.net.br/wiki/O_Outro_Lado
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
Trabalho feito em 2008 no curso de Análise de Sistemas (IST-RIO), na matéria "Metodologia de Pesquisa",.. Está meio simples,... Mas ficou bom, para um trabalho feito no primeiro período =D (Versão em Slides)
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Python mudando o modo de desenvolver para a web - Marcos Daniel PetryTchelinux
Python: mudando o modo de desenvolver para a internet (Marcos Daniel Petry)
A Palestra se propõem a apresentar várias soluções que a linguagem oferece para o desenvolvimento de aplicações voltadas para a internet e uma pequena comparação com alguns de seus “concorrentes” de outras linguagens. Fatores determinantes para a escolha de um framework ideal e também cases de sucesso de várias empresas, dos mais diversos portes, ao redor do mundo
Marcos Daniel Petry
Desenvolvedor Python/Django na Universidade de Caxias do Sul. Vice Presidente da Associação Python Brasil, associação cujo objetivo é apoiar e disseminar o uso da linguagem Python no país. Jogador de poker =P
Nesta palestra mostrarei as mais comuns falhas de segurança cometidas por desenvolvedores em projetos Ruby on Rails, e como as evitar.
por de Marcello Castellani no 1° RS on Rails
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
1. The OWASP Foundation
http://www.owasp.org
Segurança em Sites de
Compras Coletivas:
Economizando dor de cabeça!
Magno Logan
magno.logan@owasp.org
Líder do capítulo OWASP Paraíba
Membro do OWASP Portuguese Language Project
2. Quem sou eu?
• Desenvolvedor Java EE (+2 anos)
• Líder do Capítulo OWASP Paraíba
• Interesses em Segurança em Aplicações
Web e Forense Computacional
• Praticante de Artes Marciais
8. Senhas e + Senhas
• Sem restrição de tamanho mínimo
• Mas com restrição de tamanho máximo!
• Como lembrar de todas elas?
• Usuários utilizam a mesma senha para
diversos sites e serviços!
8
10. Senhas e + Senhas
• Senhas são armazenadas em texto plano
ou em hash MD5
• Como sabemos?!
• Opção “esqueci minha senha” envia sua
senha pelo email
• Já ouviram falar de Rainbow Tables?
10
11. XSS
• São muito comuns nos sites de compras
coletivas!
• Pressa para colocar no ar - “Time is money!”
• Permite ao atacante obter os cookies de
sessão do usuário
• Acessar como outro usuário e obter os
cupons dele
11
12. SQL Injection
• Permite ao atacante acessar os dados
do sistema
• Obter nomes, usuários, senhas e o mais
importante: os códigos dos cupons
• O atacante pode copiar o código de um
cupom e gerar seu próprio cupom
• Muito fácil hoje em dia devido às
ferramentas disponíveis
12
13. Ainda não aprendemos!
• Lista de sites de compras coletivas já
são distribuídos em fóruns de “hacking”
13
14. Falhas Lógicas
• Estabelecimentos não checam a
identidade do possuidor do cupom
• Alguns estabelecimentos solicitam apenas
o código da promoção (não precisa
imprimir o cupom!)
• Sites permitem alterar o nome do dono do
cupom depois da compra
14
15. Sites prontos
• Facilidade em ganhar $$
• Senhas default conhecidas
• Uma falha grave no
sistema afeta todos que
possuem!
15
16. Falha no
• Plataforma aberta de comércio
eletrônico
• 790 mil sites afetados, 17 mil só no
Brasil
• Distribuição de malwares através falhas
conhecidas: 2 Java, 1 IE, 1 Win, 1 AR
• E se o seu site for assim?!
16
19. Por que não criptografar?!
• HTTP não é seguro!
• Dados trafegam abertamente na rede
• Sites dizem utilizar “protocolo seguro”
• Porque não utilizar HTTPS?
• “Porque é lento” não é desculpa!
19
26. O que aconteceu?!
• Provavelmente SQL Injection...
• Afetou a imagem e a confiança do site
• Clientes provavelmente deixaram de
comprar lá
• Site diz que tomou medidas para se
proteger...
• Mas ainda está vulnerável a SQLi!!!
26
27. • Facilmente realizado em redes sem fio
• Utilizando o Firesheep
• Captura as sessões do usuários
• Imprime os cupons e pronto!
• Sites permitem a mudança no nome do
cupom
27
Captura de Sessões
29. Como fazer?
• Firesheep + TamperData
• Escolher um alvo
• Obter o nome do cookie de sessão
• Criar o script para o Firesheep
• Começar a capturar!
29
30. Modelo de Script
register({
name: “Site Alvo",
url: "http://sitealvo.com/login”,
domains: [ “sitealvo.com" ],
sessionCookieNames: [ "JSESSIONID" ],
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
}
});
30
31. Versões Mobile
• Já existem “cópias” do Firesheep para
Android
• Droidsheep e Faceniff
• Permitem a captura de sessões até em
redes protegidas com WPA2
• Mais difícil de perceber se alguém está
utilizando...
31
32. • Se você acessou ou está acessando
algum serviço sem criptografia através
da rede do evento...
32
33. Site Falsos
• Criar um site de compra coletiva falso
• Obter as senhas dos usuários
• Testar em outros sites (senhas iguais?)
• Obter os emails dos cadastrados
• Enviar spam ou malware
• Quantos cadastros você tem?
33
36. E agora?
• Não acesse esses sites através de redes
sem fio públicas
• Não faça cadastro em sites que ainda
não tem promoções
• Utilize HTTPS sempre que o site
permitir
36
37. Lembre-se disto!
• Não salvar os dados do cartão de crédito
• E utilizar um cartão específico (baixo limite)
• Não informar dados pessoais:
• CPF, RG, Data de Nasc, Endereço, Tel
• Não clicar em ofertas recebidas por email
• São facilmente forjáveis!
37