SlideShare uma empresa Scribd logo
Atacando (e protegendo) aplicações web

Rafael Soares Ferreira
Clavis Segurança da Informação
rafael@clavis.com.br


        Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




• Injeções
OWASP Top 10 2010 - A1
OWASP Top 10 2007 - A2

• Cross Site Scripting (XSS)
OWASP Top 10 2010 - A2
OWASP Top 10 2007 - A1


                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções

• Dados não esperados

• Strings interpretadas como comandos

• SQL, Shell, LDAP, etc...

• SQL é o caso mais comum

                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

 Client-Side:
   <form method="post" action="http://SITE/login.php">
   <input name="nome" type="text" id="nome">
   <input name="senha" type="password" id="senha">
   </form>

 Server-Side:
   SELECT id FROM usuarios
      WHERE nome = '$nome'
        AND senha = '$senha'
   ;

                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

 Client-Side: O Exploit!
               ' OR 'a'='a


 Server-Side:
  SELECT id FROM usuarios
     WHERE nome = '$nome'
       AND senha = '' OR 'a'='a'
  ;


                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

Código PHP:
$query = "SELECT * FROM usuarios WHERE username =
'" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”;


Exploração:
login.php?usr=’+OR+‘1’=‘1’--&pwd=a

query <- SELECT * FROM usuarios WHERE username =
‘’+OR+‘1’=‘1’--’ AND passwd=‘a’

                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

Código Java:
String query = "SELECT * FROM usuarios WHERE
username = '" + req.getParameter("usr") + "' and
passwd = '" + req.getParameter("pwd") +"'";

Exploração:
login.jsp?usr=admin’--&pwd=a

query <- SELECT * FROM usuarios WHERE username =
‘admin’--’ AND passwd=‘a’
                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos




                        www.seginfo.com.br
          Tradução da Tirinha “Exploits of a mom” do xkcd

                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

• Injeção de Comandos

• Exemplo:
DNS lookup em domínios passados pelo
usuário




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

Código:
$dominio = param(‘dominio');
$nslookup = "/usr/bin/nslookup";

Exploit:
clavis.com.br%20%3B%20/bin/ls%20-l


                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Exemplos

Resultado:
/usr/bin/nslookup clavis.com.br ; /bin/ls -l

Além do resultado do nslookup, o
atacante receberá a lista dos arquivos
que estão no diretório da aplicação


                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Injeções - Recomendações

●    Tratamento de entradas

●    Validação por whitelist

●    Minimize os privilégios

●OWASP:
SQL_Injection_Prevention_Cheat_Sheet
                       Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)

• Enviados ao browser do usuário

• Posts, URLs, javascript, etc...

• Todo Browser é “vulnerável”:
javascript:alert(document.cookie)

• Redirecionamento e/ou roubo de dados
                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)

Tipos:

• Persistente

• Não Persistente




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)

• Persistente

Dados enviados sem tratamento para
usuários




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)

• Não Persistente

Dados enviados de volta sem tratamento
e executado no browser da vítima.




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)

• Código vulnerável
<?php
echo “Hello ” . $_GET[‘name’] . ”.n”;
?>

• Requisição
index.php?name=<script>alert(1)</script>




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




Cross-Site Scripting (XSS)
●   Validação de entrada

●   Validação de saída

●   Validação de elementos do DOM

●OWASP
XSS Prevention Cheat Sheet

                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Outras Ameaças
    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




●    Quebra de Autenticação / Sessão
• Referência direta à objetos
• Cross-Site Request Forgery (CSRF)
• Falhas de Configuração



                       Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Outras Ameaças
    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




●    Armazenamento Inseguro
• Falha na Restrição de Acesso à URLs
• Canal Inseguro
• Redirecionamentos Não-Validados




                       Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Referências
    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




●    OWASP Top 10
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project




• OWASP Testing Guide
https://www.owasp.org/index.php/Category:OWASP_Testing_Project




                       Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas?
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




                                       Perguntas?
                                           Críticas?
                                      Sugestões?




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim...
 Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.




                          Muito Obrigado!

  Rafael Soares Ferreira

               rafael@clavis.com.br

               @rafaelsferreira




                    Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Mais conteúdo relacionado

Mais procurados

"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 

Mais procurados (7)

"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 

Semelhante a "Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Diretor técnico do Grupo Clavis Segurança da Informação

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Clavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia Clavis
Clavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Clavis Segurança da Informação
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”
Clavis Segurança da Informação
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day
Clavis Segurança da Informação
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
Antar Ferreira
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
Carlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
Charles Fortes
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã   17/05/17 - Apresentação SonicWallCafé da manhã   17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
Jorge Quintao
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
Giovane Liberato
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Website security
Website securityWebsite security
Website security
thiagosenac
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
Erick Belluci Tedeschi
 

Semelhante a "Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Diretor técnico do Grupo Clavis Segurança da Informação (20)

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia Clavis
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã   17/05/17 - Apresentação SonicWallCafé da manhã   17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Website security
Website securityWebsite security
Website security
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
 

Mais de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
SegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
SegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
SegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
SegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
SegInfo
 

Mais de SegInfo (19)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

Último

REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptxREDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
IranyGarcia
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
tnrlucas
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
anpproferick
 
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Annelise Gripp
 
Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
Rafael Santos
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
anpproferick
 

Último (6)

REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptxREDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
REDE_DE_COMPUTADORES_TECNOLOGIA_TIPOS.pptx
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
 
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
 
Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
 

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Diretor técnico do Grupo Clavis Segurança da Informação

  • 1. Atacando (e protegendo) aplicações web Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Injeções OWASP Top 10 2010 - A1 OWASP Top 10 2007 - A2 • Cross Site Scripting (XSS) OWASP Top 10 2010 - A2 OWASP Top 10 2007 - A1 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’+OR+‘1’=‘1’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código Java: String query = "SELECT * FROM usuarios WHERE username = '" + req.getParameter("usr") + "' and passwd = '" + req.getParameter("pwd") +"'"; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘admin’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código: $dominio = param(‘dominio'); $nslookup = "/usr/bin/nslookup"; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Recomendações ● Tratamento de entradas ● Validação por whitelist ● Minimize os privilégios ●OWASP: SQL_Injection_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Persistente Dados enviados sem tratamento para usuários Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.n”; ?> • Requisição index.php?name=<script>alert(1)</script> Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) ● Validação de entrada ● Validação de saída ● Validação de elementos do DOM ●OWASP XSS Prevention Cheat Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Quebra de Autenticação / Sessão • Referência direta à objetos • Cross-Site Request Forgery (CSRF) • Falhas de Configuração Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Armazenamento Inseguro • Falha na Restrição de Acesso à URLs • Canal Inseguro • Redirecionamentos Não-Validados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Referências Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP Testing Guide https://www.owasp.org/index.php/Category:OWASP_Testing_Project Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.