O documento descreve um curso de capacitação em codificação segura. O objetivo do curso é ensinar habilidades e conhecimentos em programação segura. O público-alvo inclui qualquer pessoa interessada em desenvolvimento de software seguro ou auditoria de segurança. O curso aborda tópicos como autorização, configuração, gerenciamento e registro de erros.

1. AULA 04

2. O objetivo deste curso é capacitar os treinandos em Codificação
Segura – Fundamentos, com habilidades e conhecimento em
Secure Programming - Foundation.
Objetivo do Curso
“A revolução começa com a informação e termina
com o resultado."
(Bernardo Morais)
Público-Alvo
 Todos que desejam ter conhecimento em Fundamentos de Programação
Segura
 Todos que tenham interesse no desenvolvimento de softwares seguros e
auditores que irão trabalhar com o Framework Secure Software.

3. Alcyon Junior
Gestor de Segurança da
Informação no
SEBRAE
Três graduações
Redes de
Computadores
Pós em Redes pela
Cisco | MBA em
Governança de TI |
Pós em
CyberSecurity
Mestrado em
Segurança
Cibernética
Autor de livros
sobre Segurança
Cibernética
EHF | ISO27002
| ITILF | CNAP |
CEH | MVM |
LPIC-1
Instrutor
credenciado
pela EXIN e
Líder da OWASP
BSB
#WHOAMI

4. Autor do capítulo 19
Configurações de segurança

6. DISCLAIMER
The information contained in this document may be privileged
and confidential and protected from disclosure. If the reader of
this document is not the intended recipient, or an employee
agent responsible for delivering this document to the
intended recipient, you are hereby notified that any
dissemination, distribution or copying of this communication is
strictly prohibited.

7. MÓDULO
AUTORIZAÇÃO

8. Objetivos
Reconhecer a diferença entre autorização horizontal e vertical.
Reconhecer a diferença entre referências diretas e indiretas.
Reconhecer envenenamento de sessão e condições de corrida.

9. Autorização de horizontal e Vertical
Editor Jornalista A Jornalista B
Criar X
√ √
Leitura
√ √ √
Modificar
√ √ √
Publicar
√
X X

10. Problemas de Autorização
Escalonamento de Privilégios;
Acesso a Objetos Não Autorizados;
Como mitigar estes problemas?

11. Condições de corrida (ataque TOCTOU)
if (!access("/tmp/mydata.txt",W_OK)) {
// TOC: verifica se tem permissões de
escrita
// ...
// JANELA DE ATAQUE
f = fopen("/tmp/mydata.txt","w+");
// TOU: abre o arquivo para edição
write_data_to_file(f);
} else {
fprintf(stderr,“Não é permitido abrir o
arquivo!n");
}

12. Revisão
Autorização Horizontal e Vertical
Escalada de Privilégios
Problemas de Autorização e Como Mitigar estes Problemas
Condições de Corrida
Envenenamento de Sessão

13. Exercício
Qual a diferença entre Autorização e Autenticação?
A. Autorização é o processo de verificar a identidade de alguém e Autenticação é
o processo de verificar se alguém tem permissão para realizar uma operação.
B. Autenticação é o processo de verificar a identidade de alguém e Autorização é
o processo de verificar se alguém tem permissão para realizar uma operação.
C. Autenticação e Autorização são processos para verificar a identidade de
alguém.
D. Autenticação e Autorização são processos para verificar se alguém tem
permissão para realizar uma operação.

14. MÓDULO
CONFIGURAÇÃO, MANEJO E REGISTRO DE
ERROS

15. Objetivos
Justificar a necessidade de endurecimento.
Reconhecer métodos de endurecimento.
Reconhecer diferentes vazamentos de informação.
Explicar a importância do registro para a segurança.
Explicar o princípio de 'Falhar com Segurança'.
Reconhecer ataques por recusa de serviço e mitigações.

16. Componentes de Terceiros, Configuração e
Endurecimento
Aplicando os patches ou correções de segurança
mais recentes
Restringir o acesso a funcionalidades perigosas
Configurando privilégios de acesso
Desativar ou remover recursos de depuração (debug)
Removendo arquivos desnecessários
Alterando senhas padrão

17. Vazamentos de informações
• Inocente?
• Não ajude o hacker.
• Exemplos de vazamento:
• Comentários HTML
• Informações sobre a versão
• Rastreamento de Pilha, IP e servidores em Produção
• Endereços de e-mail pessoais

18. Como evitar definitivamente o
Vazamentos de informações
• Os cabeçalhos de resposta HTTP vazam informações de versão, permitindo ao
invasor procurar por vulnerabilidades específicas.
• As páginas de erro pode exibir exatamente como o erro aconteceu, dando ao
atacante pistas de como a vulnerabilidade poderia ser explorada.
• Endereços IP internos e caminhos de servidores ajudam o atacante a definir
novas metas depois que um sistema tenha sido comprometido ou se o
atacante usa o browser de alguém para realizar ataques de dentro.
• Comentários nas páginas HTML mostrando os nomes e emails ajudam a
realizar o ataque de engenharia social.
• Arquivos de gerenciamento de versão podem vazar informações do código
fonte da aplicação.

19. Manejo e Registro de erros
• Falhar de forma segura!
• Guarde todas as informações necessárias para detectar um ataque. (Logs)
• Tratamento de Erros
• Registro de Erros ou Logs

20. Recusa de Serviço (Distribuído) - dDoS
Hacker
Vitima

21. 5 dicas para mitigar o dDos
•Mitigar:
- Limitar a quantidade de recursos que podem ser alocados
- Utilizar ferramentas que auxiliam contra o DoS ou DDoS
- Aplicar patches de segurança
- Limitar o tamanho da banda
- Construir um plano de contingência

22. Revisão
Configuração
Endurecimento
Vazamento de informações
Registro e Tratamento de Erros
Negação de Serviço, DOS ou DDoS

23. Exercício
Qual a diferença entre Autorização e Autenticação?
A. Autorização é o processo de verificar a identidade de alguém e Autenticação é
o processo de verificar se alguém tem permissão para realizar uma operação.
B. Autenticação é o processo de verificar a identidade de alguém e Autorização é
o processo de verificar se alguém tem permissão para realizar uma operação.
C. Autenticação e Autorização são processos para verificar a identidade de
alguém.
D. Autenticação e Autorização são processos para verificar se alguém tem
permissão para realizar uma operação.

24. Exercício
Qual das alternativas lista um meio de endurecimento, visando reduzir a
superfície de ataque de um software ?
A. Evitar aplicar patches ou pacotes de correção;
B. No caso de erro, exibir registro com todos os IPs utilizados, inclusive dos
servidores de produção internos;
C. Alterar senhas padrão;
D. Manter acesso as funcionalidades perigosas ou desnecessárias.