SlideShare uma empresa Scribd logo

Segurança em Sites de Compras Coletivas

Transferir como PPTX, PDF
Magno Logan
Magno Logan

Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataques e Contra-medidas Maio de 2011 em SP http://garoa.net.br/wiki/O_Outro_Lado

Tecnologia
1 de 46
The OWASP Foundation http://www.owasp.org Segurança em Sites de Compras Coletivas Vulnerabilidades, Ataques e Contramedidas Magno Logan magno.logan@owasp.org Líder do capítulo OWASP Paraíba Membro do OWASP Portuguese Language Project OWASP BRASIL A work in progress...
Magno Logan? • Desenvolvedor + Segurança • Analista da Politec • Fundador do Capítulo OWASP Paraíba • Praticante de Ninjutsu • DJ nas horas vagas
Agenda • Compras Coletivas? • Atenção! • OWASP Top 10 • Vulnerabilidades • Ataques • Contramedidas 3
Compras Coletivas 4 Promoções por tempo limitado
5
6 Reconhece algum?
7 E esses?
Atenção! Número mínimo de compradores Limite máximo de vendas Preço “real” maior na promoção Não compre por impulso! Leia o regulamento! Verifique o tempo de duração da oferta 8
OWASP Top 10 (2010) 9
Vulnerabilidades
O grande problema... • Pequenas (máximo 8 caracteres) • Sem exigências de segurança • Senhas de 1 caracter?! • Não se importam com a proteção do usuário! 11
12
A2 – Cross Site Scripting (XSS) 13 • Dados não processados do atacante são enviados para um navegador de um usuário inocente Acontece a qualquer momento… • Armazenados em banco de dados • Refletidos de entrada da web (formulário, campo oculto, URL, etc…) • Enviado diretamente ao cliente JavaScript Dados brutos… • Tente isto no seu navegador – javascript:alert(document.cookie) Praticamente toda aplicação web tem este problema! • Roubar a sessão do usuário, roubar dados sensíveis, reescrever a página web ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites Impacto Típico
14
15
A3 – Falha de Autenticação e Gerência de Sessões 16 • Significa que as credenciais deve ser enviadas a cada requisição • Devemos utilizar SSL para tudo que necessite de autenticação HTTP é um protocolo “stateless” (sem estado) • SESSION ID usado para controlar o estado já que o HTTP não faz • E é tão bom quanto as credenciais para o atacante… • SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Falhas no controle das sessões • Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Cuidado com as alternativas! • Contas de usuários comprometidas ou sessões de usuários sequestradas Impacto Típico
A7 – Armazenamento com Criptografia Insegura 17 • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Falha em proteger devidamente estes dados em todos os locais Armazenando dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Obtém segredos para usá-los em novos ataques • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente • Empresas são processadas e/ou multadas Impacto Típico
18 A7 – Armazenamento com Criptografia Insegura Texto plano MD5 SHA-1 Email
19
20
Criptografar dados pra quê? 21
Depois não vai chorar... 22
A9 – Fraca Proteção na Camada de Transporte • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais que estes dados são enviados • Falha em devidamente proteger estes dados em todos os locais Transmitindo dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Atacantes obtém segredos para usar em ataques futuros • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Custos de limpar o incidente (forense) • Empresas são processadas e/ou multadas Impacto Típico
A9 – Fraca Proteção na Camada de Transporte • HTTP não é seguro! • Dados trafegam abertamente na rede • Sites dizem utilizar “protocolo seguro” • HTTPS não é lento! Porque não usar? 24
Custom Code Empregados Parceiros Vítima Externa Backend Systems Atacante Externo 1 Atacante externo rouba dados e credenciais da rede 2 Atacante interno rouba dados e credenciais da rede interna Atacante Interno (Insider) Dados trafegam abertamente na rede...
Cadê o protocolo seguro? 26
Único que utiliza?! 27
Ataques
Engenharia Social • Pessoas são o elo fraco da segurança • Utilizar um cupom falso ou já utilizado • Estabelecimentos raramente verificam autenticidade das informações • “Teoricamente” não há consequências! 29
É difícil forjar um desses? 30
• Facilmente realizado em redes sem fio • Utilizando sniffers ou o Firesheep • Captura as sessões do usuários • Imprime os cupons e pronto! • Sites permitem a mudança no nome do cupom 31 Captura de Sessões
Ainda não usa SSL? 32
Como fazer? • Firesheep + TamperData • Escolher um alvo • Obter o nome do cookie de sessão • Criar o script para o Firesheep • Começar a capturar! 33
Modelo de Script register({ name: “Site Alvo", url: "http://sitealvo.com/login”, domains: [ “sitealvocom" ], sessionCookieNames: [ "JSESSIONID" ], identifyUser: function () { var resp = this.httpGet(this.siteUrl); } }); 34
Site Falso • Criar um site de compra coletiva falso • Obter as senhas dos usuários • Testar em outros sites (senhas iguais?) • Obter os emails dos cadastrados • Enviar spam ou malware • Quantos cadastros você tem? 35
Você compraria neste site? 36
Contramedidas
Na hora da compra... 1. Visite o site do estabelecimento 2. Telefone 3. Verifique como funciona a desistência. 4. Conheça a política de privacidade 5. Fique atento à página de pagamento 6. Procure saber o telefone ou o endereço 38
Dicas Simples • Não salvar os dados do cartão de crédito • E utilizar um cartão específico (baixo limite) • Não informar dados pessoais: • CPF, RG, Data de Nasc, Endereço, Tel • Não clicar em ofertas recebidas por email • São facilmente forjáveis! 39
Dicas Técnicas Desenvolvedores/Compras Coletivas • Utilizar HTTPS para comunicação • Realizar a validação de paramêtros • Armazenar senhas em Hash + Salt • Realizar testes de invasão e auditorias 40
Dicas Técnicas Usuários/Consumidores • Add-ons Firefox ou Chrome 41
Caso ainda tenha problemas... 42
Projetos Futuros • Analisar e-commerces que implementam CaaS (Cashier-as-a-Service) brasileiros • PagSeguro, Mercado Pago, Pagamento Digital • Estudar Protocolo 3-D Secure • Verified by Visa e MasterCard SecureCode 43
Perguntas? 44
Referências http://www.owasp.org/index.php/Top_10_2010-Main http://www.baixaki.com.br/tecnologia/5995-como-funcionam- os-sites-de-compras-coletivas-e-quais-cuidados-devemos- tomar.htm http://www.higorjorge.com.br/258/comercio-eletronico-crimes- ciberneticos-e-procedimentos-preventivos http://miguelalmeida.pt/2010/12/comprar-na-internet-com- seguran%C3%A7a.html http://safeandsavvy.f-secure.com/2010/09/29/shop-savvy-7- practices-to-shop-safely-online 45
www.owasp.org |46 46

Recomendados

AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasAppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasMagno Logan
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
Segurança em aplicações
Segurança em aplicaçõesSegurança em aplicações
Segurança em aplicaçõesRodrigo Caneppele
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 

Recomendados

AppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasAppSec Latam 2011 - Segurança em Sites de Compras Coletivas
AppSec Latam 2011 - Segurança em Sites de Compras ColetivasMagno Logan
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
Segurança em aplicações
Segurança em aplicaçõesSegurança em aplicações
Segurança em aplicaçõesRodrigo Caneppele
 
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesPHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael Jaques
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas
WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas PráticasWSO2
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronicaguestee820be4
 
Mantenimiento g
Mantenimiento gMantenimiento g
Mantenimiento gdionicio56
 
Tema 6 animagia
Tema 6 animagiaTema 6 animagia
Tema 6 animagiaMika Granger
 
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...Alex Pelati
 
Palestra federasul final
Palestra federasul finalPalestra federasul final
Palestra federasul finalWinehouse
 
ITS 28 maio_2012_vf
ITS 28 maio_2012_vfITS 28 maio_2012_vf
ITS 28 maio_2012_vfCarla Falcão / @CarlaFalcao_
 
Slide problemas de família
Slide problemas de famíliaSlide problemas de família
Slide problemas de famíliabudcesar13
 
Bitacoras Isla Proyecto
Bitacoras Isla ProyectoBitacoras Isla Proyecto
Bitacoras Isla ProyectoSanti Lds Ptte
 
Produção de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes SociaisProdução de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes SociaisMarcio Salles
 
El plan de_cuentas
El plan de_cuentasEl plan de_cuentas
El plan de_cuentasEnder Faria
 
Eleccion de esteban
Eleccion de estebanEleccion de esteban
Eleccion de estebanSanti Lds Ptte
 
Portfólio novo
Portfólio novoPortfólio novo
Portfólio novoBrasilis Playback Theatre
 
Nosso jeito de fazer
Nosso jeito de fazerNosso jeito de fazer
Nosso jeito de fazerEscola São Paulo
 
BLOQUE 1
BLOQUE 1BLOQUE 1
BLOQUE 1isabelb1
 
Aula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh EmpregabilidAula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh EmpregabilidRecursos Humanos
 
Minuta002
Minuta002Minuta002
Minuta002rbsapple
 

Mais conteúdo relacionado

Mais procurados

Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 

Mais procurados (6)

Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
Geraldo Bravo - Pós APT / Segurança da tática à prática - Mind The Sec (2015)
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 

Destaque

2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronicaguestee820be4
 
Mantenimiento g
Mantenimiento gMantenimiento g
Mantenimiento gdionicio56
 
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...Alex Pelati
 
Palestra federasul final
Palestra federasul finalPalestra federasul final
Palestra federasul finalWinehouse
 
Slide problemas de família
Slide problemas de famíliaSlide problemas de família
Slide problemas de famíliabudcesar13
 
Bitacoras Isla Proyecto
Bitacoras Isla ProyectoBitacoras Isla Proyecto
Bitacoras Isla ProyectoSanti Lds Ptte
 
Produção de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes SociaisProdução de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes SociaisMarcio Salles
 
El plan de_cuentas
El plan de_cuentasEl plan de_cuentas
El plan de_cuentasEnder Faria
 
Aula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh EmpregabilidAula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh EmpregabilidRecursos Humanos
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroMagno Logan
 
Recursos educativos y medios didácticos
Recursos educativos y medios didácticosRecursos educativos y medios didácticos
Recursos educativos y medios didácticosAndrea Mora Lizano
 
Python na Google App Engine (v3)
Python na Google App Engine (v3)Python na Google App Engine (v3)
Python na Google App Engine (v3)Luiz Cláudio Silva
 

Destaque (20)

2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
2009-11-pesquisa-imagem-fornecedores-supply-chain-nota-fiscal-eletronica
 
Mantenimiento g
Mantenimiento gMantenimiento g
Mantenimiento g
 
Tema 6 animagia
Tema 6 animagiaTema 6 animagia
Tema 6 animagia
 
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
Qual Parafuso Apertar? Como ter Sucesso em seu Projeto de SEO - Search Master...
 
Palestra federasul final
Palestra federasul finalPalestra federasul final
Palestra federasul final
 
ITS 28 maio_2012_vf
ITS 28 maio_2012_vfITS 28 maio_2012_vf
ITS 28 maio_2012_vf
 
Slide problemas de família
Slide problemas de famíliaSlide problemas de família
Slide problemas de família
 
Bitacoras Isla Proyecto
Bitacoras Isla ProyectoBitacoras Isla Proyecto
Bitacoras Isla Proyecto
 
Produção de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes SociaisProdução de Conteúdos para Redes Sociais
Produção de Conteúdos para Redes Sociais
 
El plan de_cuentas
El plan de_cuentasEl plan de_cuentas
El plan de_cuentas
 
Eleccion de esteban
Eleccion de estebanEleccion de esteban
Eleccion de esteban
 
Portfólio novo
Portfólio novoPortfólio novo
Portfólio novo
 
Nosso jeito de fazer
Nosso jeito de fazerNosso jeito de fazer
Nosso jeito de fazer
 
BLOQUE 1
BLOQUE 1BLOQUE 1
BLOQUE 1
 
Aula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh EmpregabilidAula 05 3 ¦ Sem Rh Empregabilid
Aula 05 3 ¦ Sem Rh Empregabilid
 
Minuta002
Minuta002Minuta002
Minuta002
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguro
 
Recursos educativos y medios didácticos
Recursos educativos y medios didácticosRecursos educativos y medios didácticos
Recursos educativos y medios didácticos
 
La Cassola 25
La Cassola 25La Cassola 25
La Cassola 25
 
Python na Google App Engine (v3)
Python na Google App Engine (v3)Python na Google App Engine (v3)
Python na Google App Engine (v3)
 

Semelhante a Segurança em Sites de Compras Coletivas

ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
 
Segurança em Rails
Segurança em RailsSegurança em Rails
Segurança em RailsJuan Maiz
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Rafael Biriba
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on RailsJulio Monteiro
 
Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Jairo Junior
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
 
Segurança da Informação na Internet atual
Segurança da Informação na Internet atualSegurança da Informação na Internet atual
Segurança da Informação na Internet atualcpericao
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenPOANETMeetup
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoAdilmar Dantas
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalJefferson Costa
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Jump Call
 
Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?Sucuri
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 

Semelhante a Segurança em Sites de Compras Coletivas (20)

ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHP
 
Segurança em Rails
Segurança em RailsSegurança em Rails
Segurança em Rails
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
Faculdade: Trabalho sobre Seguranca Digital ( Versão em Slides )
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on Rails
 
Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)Certificação Digital (Conceitos e Tendências)
Certificação Digital (Conceitos e Tendências)
 
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...
 
Segurança da Informação na Internet atual
Segurança da Informação na Internet atualSegurança da Informação na Internet atual
Segurança da Informação na Internet atual
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
Segurança Cibernética - Conheça o ATA, a solução da Microsoft para proteger s...
 
PHP Anti Patterns
PHP Anti PatternsPHP Anti Patterns
PHP Anti Patterns
 
Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?Gambiarra e PHP. Por que você deveria usar um WAF?
Gambiarra e PHP. Por que você deveria usar um WAF?
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 

Mais de Magno Logan

DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...Magno Logan
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoMagno Logan
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
XST - Cross Site Tracing
XST - Cross Site TracingXST - Cross Site Tracing
XST - Cross Site TracingMagno Logan
 
OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE Magno Logan
 
SQL Injection Tutorial
SQL Injection TutorialSQL Injection Tutorial
SQL Injection TutorialMagno Logan
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMagno Logan
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...Magno Logan
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsAppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsMagno Logan
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...Magno Logan
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisAppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisMagno Logan
 
Just4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsJust4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsMagno Logan
 
BHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsBHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsMagno Logan
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 

Mais de Magno Logan (19)

DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
DevSecOps - Integrating Security in the Development Process (with memes) - Ma...
 
Katana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da InformaçãoKatana Security - Consultoria em Segurança da Informação
Katana Security - Consultoria em Segurança da Informação
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
XST - Cross Site Tracing
XST - Cross Site TracingXST - Cross Site Tracing
XST - Cross Site Tracing
 
OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE OWASP Top 10 2007 for JavaEE
OWASP Top 10 2007 for JavaEE
 
XPath Injection
XPath InjectionXPath Injection
XPath Injection
 
SQL Injection
SQL InjectionSQL Injection
SQL Injection
 
SQL Injection Tutorial
SQL Injection TutorialSQL Injection Tutorial
SQL Injection Tutorial
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka IrongeekMutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
Mutillidae and the OWASP Top 10 by Adrian Crenshaw aka Irongeek
 
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
AppSec EU 2009 - HTTP Parameter Pollution by Luca Carettoni and Stefano di P...
 
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon BennettsAppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
AppSec EU 2011 - An Introduction to ZAP by Simon Bennetts
 
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
OWASP Floripa - Web Spiders: Automação para Web Hacking by Antonio Costa aka ...
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
AppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck WillisAppSec DC 2009 - Learning by breaking by Chuck Willis
AppSec DC 2009 - Learning by breaking by Chuck Willis
 
Just4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applicationsJust4Meeting 2012 - How to protect your web applications
Just4Meeting 2012 - How to protect your web applications
 
BHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applicationsBHack 2012 - How to protect your web applications
BHack 2012 - How to protect your web applications
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 

Segurança em Sites de Compras Coletivas

  • 1. The OWASP Foundation http://www.owasp.org Segurança em Sites de Compras Coletivas Vulnerabilidades, Ataques e Contramedidas Magno Logan magno.logan@owasp.org Líder do capítulo OWASP Paraíba Membro do OWASP Portuguese Language Project OWASP BRASIL A work in progress...
  • 2. Magno Logan? • Desenvolvedor + Segurança • Analista da Politec • Fundador do Capítulo OWASP Paraíba • Praticante de Ninjutsu • DJ nas horas vagas
  • 3. Agenda • Compras Coletivas? • Atenção! • OWASP Top 10 • Vulnerabilidades • Ataques • Contramedidas 3
  • 5. 5
  • 8. Atenção! Número mínimo de compradores Limite máximo de vendas Preço “real” maior na promoção Não compre por impulso! Leia o regulamento! Verifique o tempo de duração da oferta 8
  • 9. OWASP Top 10 (2010) 9
  • 11. O grande problema... • Pequenas (máximo 8 caracteres) • Sem exigências de segurança • Senhas de 1 caracter?! • Não se importam com a proteção do usuário! 11
  • 12. 12
  • 13. A2 – Cross Site Scripting (XSS) 13 • Dados não processados do atacante são enviados para um navegador de um usuário inocente Acontece a qualquer momento… • Armazenados em banco de dados • Refletidos de entrada da web (formulário, campo oculto, URL, etc…) • Enviado diretamente ao cliente JavaScript Dados brutos… • Tente isto no seu navegador – javascript:alert(document.cookie) Praticamente toda aplicação web tem este problema! • Roubar a sessão do usuário, roubar dados sensíveis, reescrever a página web ou redirecionar usuário para sites de phishing ou malware • Mais severo: Instalar proxy XSS que permita atacante observar e direcionar todo o comportamento do usuário em sites vulneráveis e forçar o usuário a outros sites Impacto Típico
  • 14. 14
  • 15. 15
  • 16. A3 – Falha de Autenticação e Gerência de Sessões 16 • Significa que as credenciais deve ser enviadas a cada requisição • Devemos utilizar SSL para tudo que necessite de autenticação HTTP é um protocolo “stateless” (sem estado) • SESSION ID usado para controlar o estado já que o HTTP não faz • E é tão bom quanto as credenciais para o atacante… • SESSION ID é comumente exposto na rede, no navegador, nos logs, etc Falhas no controle das sessões • Mudar minha senha, lembrar minha senha, esqueci minha senha, pergunta secreta, logout, email, etc… Cuidado com as alternativas! • Contas de usuários comprometidas ou sessões de usuários sequestradas Impacto Típico
  • 17. A7 – Armazenamento com Criptografia Insegura 17 • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais onde os dados sensíveis são armazenados • Falha em proteger devidamente estes dados em todos os locais Armazenando dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Obtém segredos para usá-los em novos ataques • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Gastos para limpar o incidente • Empresas são processadas e/ou multadas Impacto Típico
  • 18. 18 A7 – Armazenamento com Criptografia Insegura Texto plano MD5 SHA-1 Email
  • 19. 19
  • 20. 20
  • 22. Depois não vai chorar... 22
  • 23. A9 – Fraca Proteção na Camada de Transporte • Falha em identificar todos os dados sensíveis • Falha em identificar todos os locais que estes dados são enviados • Falha em devidamente proteger estes dados em todos os locais Transmitindo dados sensíveis de forma insegura • Atacantes acessam ou modificam informações privadas ou confidenciais • Atacantes obtém segredos para usar em ataques futuros • Embaraço da empresa, insatisfação dos clientes e perda de confiança • Custos de limpar o incidente (forense) • Empresas são processadas e/ou multadas Impacto Típico
  • 24. A9 – Fraca Proteção na Camada de Transporte • HTTP não é seguro! • Dados trafegam abertamente na rede • Sites dizem utilizar “protocolo seguro” • HTTPS não é lento! Porque não usar? 24
  • 25. Custom Code Empregados Parceiros Vítima Externa Backend Systems Atacante Externo 1 Atacante externo rouba dados e credenciais da rede 2 Atacante interno rouba dados e credenciais da rede interna Atacante Interno (Insider) Dados trafegam abertamente na rede...
  • 26. Cadê o protocolo seguro? 26
  • 29. Engenharia Social • Pessoas são o elo fraco da segurança • Utilizar um cupom falso ou já utilizado • Estabelecimentos raramente verificam autenticidade das informações • “Teoricamente” não há consequências! 29
  • 30. É difícil forjar um desses? 30
  • 31. • Facilmente realizado em redes sem fio • Utilizando sniffers ou o Firesheep • Captura as sessões do usuários • Imprime os cupons e pronto! • Sites permitem a mudança no nome do cupom 31 Captura de Sessões
  • 32. Ainda não usa SSL? 32
  • 33. Como fazer? • Firesheep + TamperData • Escolher um alvo • Obter o nome do cookie de sessão • Criar o script para o Firesheep • Começar a capturar! 33
  • 34. Modelo de Script register({ name: “Site Alvo", url: "http://sitealvo.com/login”, domains: [ “sitealvocom" ], sessionCookieNames: [ "JSESSIONID" ], identifyUser: function () { var resp = this.httpGet(this.siteUrl); } }); 34
  • 35. Site Falso • Criar um site de compra coletiva falso • Obter as senhas dos usuários • Testar em outros sites (senhas iguais?) • Obter os emails dos cadastrados • Enviar spam ou malware • Quantos cadastros você tem? 35
  • 38. Na hora da compra... 1. Visite o site do estabelecimento 2. Telefone 3. Verifique como funciona a desistência. 4. Conheça a política de privacidade 5. Fique atento à página de pagamento 6. Procure saber o telefone ou o endereço 38
  • 39. Dicas Simples • Não salvar os dados do cartão de crédito • E utilizar um cartão específico (baixo limite) • Não informar dados pessoais: • CPF, RG, Data de Nasc, Endereço, Tel • Não clicar em ofertas recebidas por email • São facilmente forjáveis! 39
  • 40. Dicas Técnicas Desenvolvedores/Compras Coletivas • Utilizar HTTPS para comunicação • Realizar a validação de paramêtros • Armazenar senhas em Hash + Salt • Realizar testes de invasão e auditorias 40
  • 42. Caso ainda tenha problemas... 42
  • 43. Projetos Futuros • Analisar e-commerces que implementam CaaS (Cashier-as-a-Service) brasileiros • PagSeguro, Mercado Pago, Pagamento Digital • Estudar Protocolo 3-D Secure • Verified by Visa e MasterCard SecureCode 43