No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.

1. AULA 02

2. O objetivo deste curso é capacitar os treinandos em Codificação
Segura – Fundamentos, com habilidades e conhecimento em
Secure Programming - Foundation.
Objetivo do Curso
“A revolução começa com a informação e termina
com o resultado."
(Bernardo Morais)
Público-Alvo
 Todos que desejam ter conhecimento em Fundamentos de Programação
Segura
 Todos que tenham interesse no desenvolvimento de softwares seguros e
auditores que irão trabalhar com o Framework Secure Software.

3. Alcyon Junior
Gestor de Segurança da
Informação no
SEBRAE
Três graduações
Redes de
Computadores
Pós em Redes pela
Cisco | MBA em
Governança de TI |
Pós em
CyberSecurity
Mestrado em
Segurança
Cibernética
Autor de livros
sobre Segurança
Cibernética
EHF | ISO27002
| ITILF | CNAP |
CEH | MVM |
LPIC-1
Instrutor
credenciado
pela EXIN e
Líder da OWASP
BSB
#WHOAMI

4. Autor do capítulo 19
Configurações de segurança

6. DISCLAIMER
The information contained in this document may be privileged
and confidential and protected from disclosure. If the reader of
this document is not the intended recipient, or an employee
agent responsible for delivering this document to the
intended recipient, you are hereby notified that any
dissemination, distribution or copying of this communication is
strictly prohibited.

7. MÓDULO
GERENCIAMENTO DE SESSÃO E
AUTENTICAÇÃO

8. Objetivos
• Identificar problemas envolvidos no uso de senha.
• Aplicar princípios de gerenciamento de senhas.
• Explicar como funciona o gerenciamento de sessão.
• Reconhecer problemas em gerenciamento de sessão.
• Reconhecer as melhores soluções para problemas em gerenciamento de sessão.
• Reconhecer problemas e soluções de CSRF e Clickjacking.

9. Senhas
• Entropia da Senha
• Senhas longas versus senhas complexas
• Mitigações
• Tentativas de Autenticação
• Atraso
• Bloqueio de conta
• Armazenamento de Senha

10. Gerenciamento de sessão
Logon
Entrar
Início da Sessão
 Longa ID de sessão
 Sem reuso de ID de sessão
 Enviar cookies via canal encriptado
Atualiza
Sessão
Direto após o log-on
Invalida a sessão anterior
Logout
Sair
Invalida a sessão

11. CSRF e Clickjacking
• Cross-Site Request Forgery (CSRF) ou Falsificação de
Solicitação Cruzada entre Sites;
• Clickjacking;
WebSite
Malicioso

12. CSRF
<form action="transfer.do" method="GET">
<input type="text" name="acct" value="BETO">
<input type="text" name="amount" value="100">
</form>

13. CSRF
GET /transfer.do?acct=BETO&amount=100 HTTP/1.1
Host: bank.com
(...)
GET /transfer.do?acct=BETO&amount=50 HTTP/1.1
Host: bank.com
(...)

14. CSRF
GET /transfer.do?acct=HACKER&amount=500 HTTP/1.1
Host: bank.com
(...)
Para explorar a vulnerabilidade, o atacante prepara um link específico para tirar vantagem desta transação:
http://bank.co/transfer.do?acct=HACKER&amount=500

15. Clickjacking
DEMO

16. Revisão
Senha
Gerenciamento de Sessão
CSRF
ClikJacking

17. Exercício
O que mais se aproxima ao conceito de Clickjacking:
A. Roubo de Senhas de autenticação por força bruta;
B. Acontece quando o invasor prepara uma armadilha e utiliza CSS ou JavaScript
para fazer com que a vítima clique em algo que não tem intenção,
ocasionando um furto de cliques;
C. Ocorre quando um site realiza uma solicitação ou uma referência cruzada em
outro site sem o consentimento do usuário;
D. Método utilizado para invalidar uma sessão ativa em HTTP;

18. t.me/devsecica