Marlon Sanches, profile picture
Carregado porMarlon Sanches
PDF, PPTX26 visualizações

CiberSegurança em Aplicações Web- WTI RedDragons 2025.pdf

Esta palestra apresenta uma introdução prática à segurança em aplicações web, abordando desde os pilares fundamentais da cibersegurança até testes específicos como coleta de informações, autenticação, autorização, validação de entradas e lógica de negócios. Também explora vulnerabilidades comuns com base no OWASP Top 10, ferramentas de testes e recursos para estudo contínuo. Ideal para quem deseja entender ameaças reais e como se proteger de forma eficaz.

Incorporar apresentação

Transferir como PDF, PPTX
CiberSegurança em Aplicações Web Marlon Sanches Vinícius Rodrigues M S V R arlon anches inícius odrigues
0. 1. 2. 3. 4. 5. 6. 7.1. 7.2. 8. Introduction and Objectives Information Gathering Identity & Autentication Authorization Testing Input Validation Testing Business Logic Testing OWASP Top 10 Encoded Injection Testing Tools Resource Let’s Play
0. Introdução e Objetivos Os Pilares da Segurança Confidencialidade ⁨ ⁩ Garante que a informação seja acessada apenas por pessoas autorizadas Integridade ⁨ ⁩Assegura que a informação não seja alterada de forma indevida, seja por erro ou por ataque Disponibilidade ⁨ ⁩ Garante que os dados e sistemas estejam acessíveis sempre que necessário por usuários autorizados.
Segurança não é só Hacking!
0. Introdução e Objetivos Os Pilares da Segurança Confidencialidade ⁨ ⁩ Garante que a informação seja acessada apenas por pessoas autorizadas Integridade ⁨ ⁩Assegura que a informação não seja alterada de forma indevida, seja por erro ou por ataque Disponibilidade ⁨ ⁩ Garante que os dados e sistemas estejam acessíveis sempre que necessário por usuários autorizados.
0. Introdução e Objetivos O que testar? “É útil pensar no desenvolvimento de software como uma combinação de pessoas, processos e tecnologia. Se esses são os fatores que "criam" o software, é lógico que devam ser esses os fatores a se testar. Pessoas – para garantir que haja educação e conscientização adequadas Processos - para garantir que existem políticas e procedimentos adequados e que as pessoas sabem como segui-los Tecnologia - para garantir que o processo tenha sido eficiente em sua implementação.
0. Introdução e Objetivos Mas e a Segurança Para Web? Vulnerabilidade É uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que possa ser explorada para comprometer os objetivos de segurança do sistema Ameaça ⁨ ⁩ É qualquer coisa que possa prejudicar os ativos de um aplicativo explorando uma vulnerabilidade Teste ⁨ ⁩ Um teste é uma ação para demonstrar que um aplicativo atende aos requisitos de segurança de seus interessados.
Let’s Hacking Dito isso... Ou Como se Defender
1.Coleta de Informações Reconhecimento da aplicação A identificação do servidor web (web server fingerprinting) é a tarefa de descobrir o tipo e a versão do servidor web que um alvo está utilizando. Ferramentas automáticas podem ser utilizadas
1.Coleta de Informações Mapeamento da aplicação Conheça o seu Inimigo Antes de iniciar os testes de segurança, entenda a estrutura do aplicativ Utilize a aplicação e valide seu funcionamento buscando interações não convencionais. Faça esse processo usando um prox Use search engines para buscar subdomínios da aplicação (Google Hacking)
2.Gerênciamento de Identidade Validando a Identidade e Autenticação Verifique: Processo de Registro de Usuari Pocesso de Provisionamento de Cont Enumeração de Cont Credênciais Padrõe Desvio do Esquema de Autenticaçã Recuperação de Senha Frági Autenticação Fraca em Canais Alternativos
3.Testes de Autorização A Autenticação já foi feita, e ai? Verifique: Escalada de Privilégio Referência Direta Ubsegura a Objeto Quebra de Controle de Acesso
Nunca Confie No Usuário Nem em Golfinhos
4.Validação de Entradas Dados Nunca Confie No Usuário Se o usuário pode fornecer qualquer tipo de dado a ser recebido na aplicação, vulnerabilidades de injeção podem emergi Os dados recebidos devem ser validados e cada componente deve também realizar essas validações (desconfiar por padrão)
5.Lógicas de Negócio Top 1 Regras de negócio aplicadas no cliente, não no servidor Exploração de comportamentos não previsto Quebra de fluxo esperado da aplicaçã Validações ausentes ou inadequadas
OWASP Top 10
7.1.Injeção codificada Injections Nem Sempre Terão a mesma Cara
7.2.Ferramentas Ferramentas não resolvem para você! Mas Te Ajudam Burp Suit Cookie Edito Nessu OpenVa Nikt Postma Nma SQLMap
8 - Recursos OWAS CS 253 Web Securit PortSwigger Academ HackTrick Critical Thinking - Bug bounty Podcast
Let’s Play

Mais conteúdo relacionado

PPT
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PPT
Seguranca web Testday2012
porMarcio Cunha
 
PDF
WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf
porFranciscoZunza1
 
PDF
Hackeando apps atraves de interceptação de tráfego
porTobias Sette
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
OWASP Top Ten 2004
porCarlos Serrao
 
Seguranca web Testday2012
porMarcio Cunha
 
WEB_Report_Penetration_Test_Verifact_Gray_Box_Publicacao.pdf
porFranciscoZunza1
 
Hackeando apps atraves de interceptação de tráfego
porTobias Sette
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 

Semelhante a CiberSegurança em Aplicações Web- WTI RedDragons 2025.pdf

PPTX
Pentest web
porAllan Piter Pressi
 
PPTX
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
porLeandro Bennaton
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
PDF
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
PDF
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
porEduardo Lanna
 
PDF
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
PDF
Antar ferreira
porAntar Ferreira
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PDF
Ethical Hacking - Campus Party Brasília 2017
porAlcyon Ferreira de Souza Junior, MSc
 
PPT
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PDF
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
(1) Por que Seguranca de Aplicacoes Web?
porEduardo Lanna
 
PDF
(1) Por que Seguranca de Aplicacoes Web?
porKeySupport Consultoria e Informática Ltda
 
PDF
Vul sec-web-campus party2011 v2-reserved copy
porCampus Party Brasil
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PPTX
Aplicações Web ‐ Seu site está seguro?
porAlex Hübner
 
PPTX
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
Pentest web
porAllan Piter Pressi
 
Riscos Tecnológicos e Monitoramento de Ameaças - Cyber security meeting
porLeandro Bennaton
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
porEduardo Lanna
 
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
Antar ferreira
porAntar Ferreira
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
Ethical Hacking - Campus Party Brasília 2017
porAlcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
porConviso Application Security
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
porRafael Brinhosa
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
(1) Por que Seguranca de Aplicacoes Web?
porEduardo Lanna
 
(1) Por que Seguranca de Aplicacoes Web?
porKeySupport Consultoria e Informática Ltda
 
Vul sec-web-campus party2011 v2-reserved copy
porCampus Party Brasil
 
OWASP - Ferramentas
porCarlos Serrao
 
Aplicações Web ‐ Seu site está seguro?
porAlex Hübner
 
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 

Último

PPT
Atividade com Solda, Atividade com Solda, Atividade com Solda
porRicardoTST2
 
PDF
APRESENTAÇÃO SIENGE GO! SUA OBRA NÃO PODE PARAR
porJeffersonGama15
 
PDF
EH_2018_1_Introducaoyttpkjhugftfeerl.pdf
pormazenzela27
 
PDF
MANUAL GUINDASTE DE BORDO - CRANE BOARD SAFETY.pdf
porINCATEP - Instituto de Capacitação Profissional.
 
PDF
Apostila Curso Básico Reciclagem 13-10-2022 NR10 Final.pdf
porSidneySantos601812
 
PDF
Mármores e Granitos - Patologias - Aplicação e Cuidados na instalação.pdf
porislanarquiteto
 
PPTX
(Nota 3) Atividade - Plano de Implementação de um Sistema de Gestão em Segura...
porSebastioLeito
 
Atividade com Solda, Atividade com Solda, Atividade com Solda
porRicardoTST2
 
APRESENTAÇÃO SIENGE GO! SUA OBRA NÃO PODE PARAR
porJeffersonGama15
 
EH_2018_1_Introducaoyttpkjhugftfeerl.pdf
pormazenzela27
 
MANUAL GUINDASTE DE BORDO - CRANE BOARD SAFETY.pdf
porINCATEP - Instituto de Capacitação Profissional.
 
Apostila Curso Básico Reciclagem 13-10-2022 NR10 Final.pdf
porSidneySantos601812
 
Mármores e Granitos - Patologias - Aplicação e Cuidados na instalação.pdf
porislanarquiteto
 
(Nota 3) Atividade - Plano de Implementação de um Sistema de Gestão em Segura...
porSebastioLeito
 

CiberSegurança em Aplicações Web- WTI RedDragons 2025.pdf

  • 1.
    CiberSegurança em Aplicações Web MarlonSanches Vinícius Rodrigues M S V R arlon anches inícius odrigues
  • 2.
    0. 1. 2. 3. 4. 5. 6. 7.1. 7.2. 8. Introduction and Objectives Information Gathering Identity & Autentication Authorization Testing Input Validation Testing Business Logic Testing OWASP Top 10 Encoded Injection Testing Tools Resource Let’s Play
  • 3.
    0. Introdução eObjetivos Os Pilares da Segurança Confidencialidade ⁨ ⁩ Garante que a informação seja acessada apenas por pessoas autorizadas Integridade ⁨ ⁩Assegura que a informação não seja alterada de forma indevida, seja por erro ou por ataque Disponibilidade ⁨ ⁩ Garante que os dados e sistemas estejam acessíveis sempre que necessário por usuários autorizados.
  • 4.
    Segurança não ésó Hacking!
  • 5.
    0. Introdução eObjetivos Os Pilares da Segurança Confidencialidade ⁨ ⁩ Garante que a informação seja acessada apenas por pessoas autorizadas Integridade ⁨ ⁩Assegura que a informação não seja alterada de forma indevida, seja por erro ou por ataque Disponibilidade ⁨ ⁩ Garante que os dados e sistemas estejam acessíveis sempre que necessário por usuários autorizados.
  • 6.
    0. Introdução eObjetivos O que testar? “É útil pensar no desenvolvimento de software como uma combinação de pessoas, processos e tecnologia. Se esses são os fatores que "criam" o software, é lógico que devam ser esses os fatores a se testar. Pessoas – para garantir que haja educação e conscientização adequadas Processos - para garantir que existem políticas e procedimentos adequados e que as pessoas sabem como segui-los Tecnologia - para garantir que o processo tenha sido eficiente em sua implementação.
  • 7.
    0. Introdução eObjetivos Mas e a Segurança Para Web? Vulnerabilidade É uma falha ou fraqueza no design, implementação, operação ou gerenciamento de um sistema que possa ser explorada para comprometer os objetivos de segurança do sistema Ameaça ⁨ ⁩ É qualquer coisa que possa prejudicar os ativos de um aplicativo explorando uma vulnerabilidade Teste ⁨ ⁩ Um teste é uma ação para demonstrar que um aplicativo atende aos requisitos de segurança de seus interessados.
  • 8.
  • 9.
    1.Coleta de Informações Reconhecimentoda aplicação A identificação do servidor web (web server fingerprinting) é a tarefa de descobrir o tipo e a versão do servidor web que um alvo está utilizando. Ferramentas automáticas podem ser utilizadas
  • 10.
    1.Coleta de Informações Mapeamentoda aplicação Conheça o seu Inimigo Antes de iniciar os testes de segurança, entenda a estrutura do aplicativ Utilize a aplicação e valide seu funcionamento buscando interações não convencionais. Faça esse processo usando um prox Use search engines para buscar subdomínios da aplicação (Google Hacking)
  • 11.
    2.Gerênciamento de Identidade Validandoa Identidade e Autenticação Verifique: Processo de Registro de Usuari Pocesso de Provisionamento de Cont Enumeração de Cont Credênciais Padrõe Desvio do Esquema de Autenticaçã Recuperação de Senha Frági Autenticação Fraca em Canais Alternativos
  • 12.
    3.Testes de Autorização AAutenticação já foi feita, e ai? Verifique: Escalada de Privilégio Referência Direta Ubsegura a Objeto Quebra de Controle de Acesso
  • 13.
    Nunca Confie NoUsuário Nem em Golfinhos
  • 14.
    4.Validação de EntradasDados Nunca Confie No Usuário Se o usuário pode fornecer qualquer tipo de dado a ser recebido na aplicação, vulnerabilidades de injeção podem emergi Os dados recebidos devem ser validados e cada componente deve também realizar essas validações (desconfiar por padrão)
  • 15.
    5.Lógicas de Negócio Top1 Regras de negócio aplicadas no cliente, não no servidor Exploração de comportamentos não previsto Quebra de fluxo esperado da aplicaçã Validações ausentes ou inadequadas
  • 16.
  • 17.
    7.1.Injeção codificada Injections NemSempre Terão a mesma Cara
  • 18.
    7.2.Ferramentas Ferramentas não resolvem paravocê! Mas Te Ajudam Burp Suit Cookie Edito Nessu OpenVa Nikt Postma Nma SQLMap
  • 19.
    8 - Recursos OWAS CS253 Web Securit PortSwigger Academ HackTrick Critical Thinking - Bug bounty Podcast
  • 20.