O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.

1. Como se tornar um
especialista em
Desenvolvimento Seguro
de Software
Alcyon Junior

2. Aviso Legal
Meu empregador não tem qualquer
responsabilidade sobre o que será
tratado aqui. Este documento
contém informações confidenciais
e/ou privilegiadas.
AVISO DE CONFIDENCIALIDADE
Se você não for o destinatário ou a
pessoa autorizada a receber este
documento, não deve usar, copiar ou
divulgar as informações nele
contidas ou tomar qualquer ação
baseada nessas informações.

3. Alcyon Junior
Head of Cyber Security na
POUPEX
Três graduações
Redes de
Computadores
Pós em Redes pela
Cisco | MBA em
Governança de TI |
Pós em
CyberSecurity
Mestrado em
Segurança
Cibernética
Autor de livros
sobre Segurança
Cibernética
EHF | ISO27002
| ITILF | CNAP |
CEH | MVM |
LPIC-1
Instrutor
credenciado
pela EXIN e
Líder da OWASP
BSB
#WHOAMI

4. Autor do capítulo 19
Configurações de segurança

6. http://t.me/SecCastOficial http://t.me/devsecica
@seccast @devsecica

7. Hackers roubaram dados de mais de 2
milhões de clientes da T-Mobile
Dados capturados: nome, e-mail, código postal, número de telefone, e tipo
das contas (pré ou pós-pago).
detectado e contido na segunda-feira, dia 20
3% da base de 77 milhões de clientes foi afetada
hackers – parte de um “grupo internacional” – utilizaram uma API para
acessar o servidor de dados, que foi desativada rapidamente.
houve o comprometimento de um domínio interno de acesso restrito a
funcionários.
O domínio estava respondendo requisições vindas da internet com
informações confidenciais.
Faltava um sistema de controle de borda que validasse as comunicações

8. 8

9. 9

10. 10

11. COMO ACONTECE HOJE?

15. Modelo de DEV = Bom Sistema?
O Modelo em Cascata (Waterfall Mode, em inglês). Por ser um dos primeiros
modelos a serem criados, foi altamente adotado, ainda que possuísse falhas. Suas
etapas são:
• verificação dos requerimentos de software e sistema;
• analise e criação da estrutura do software
• desenvolvimento do código do programa;
• teste, depuração e busca por erros;
• instalação, suporte e manutenção de todos os sistemas interligados ao software.

16. Boas práticas de segurança de software
A adoção de um modelo de desenvolvimento tradicional não deve ser visto como
um motivo para a não implementação de rotinas de segurança.
Exemplos de como tornar o seu sistema mais seguro:
• Na etapa de classificação de requisitos: identificar a necessidade de utilização de
métodos de criptografia, segurança de usuários, treinamento
• Quando a arquitetura do software for projetada: as possíveis vulnerabilidades
que o sistema pode apresentar e quando e como os métodos de autenticação e
envio de dados seguro serão utilizados;

17. Boas práticas de segurança de software
Exemplos de como tornar o seu sistema mais seguro:
• Procure oferecer uma documentação com todos os requerimentos de segurança
listados para a sua equipe. Além disso, garanta que o seu time trabalhe de acordo
com as definições de segurança do projeto;
• Antes de lançar o seu sistema para o público geral, faça testes nos seus métodos
de segurança e tente pensar como alguém que deseja comprometer a segurança
do sistema;
• Por fim, quando o produto for finalmente adotado pelo mercado, continue
fazendo monitoramento em busca de falhas de segurança. Permita (e incentive)
que o seu usuário envie logs com dados de uso e falhas de software.

18. COMO DEVO FAZER?

19. TOP 10 OWASP 2013-2017

20. Como um invasor pensa?

21. CERTIFICAÇÕES

22. CERTIFICAÇÕES - SPF EXIN
O programa EXIN Secure Programming Foundation
busca a prevenção contra ataques integrando a
segurança durante a fase de desenvolvimento.
Ele tem linguagem neutra e promove a
conscientização das práticas da programação
segura.
A certificação garante que os candidatos
entendam as ameaças à segurança e as medidas
preventivas necessárias.
O plano de estudos consiste em:
Introdução Gerenciamento de sessão e
autenticação Gerenciamento as entradas de
usuário Autorização Configuração, gerenciamento
e registro de erros Criptografia Engenharia de
software seguro.

23. CERTIFICAÇÕES - CSSLP (ISC)²
A certificação Certified Secure Software Lifecycle
Professional (CSSLP®) é a única no setor criada para
garantir que a segurança seja levada em conta em todo o
ciclo de vida de desenvolvimento do software.
Do conceito e planejamento a operações e manutenção
e, finalmente, à eliminação, ela estabelece padrões e
práticas recomendadas do setor para a integração de
segurança em cada fase.
Sigilo, integridade, disponibilidade, autenticação,
autorização e auditoria – os princípios básicos da
segurança – devem se tornar requisitos no ciclo de vida
do software.
Incorporar desde cedo a segurança e mantê-la durante
todas as fases do ciclo de vida do software é,
comprovadamente, 30 a 100 vezes mais barato e
incalculavelmente mais eficiente do que a metodologia
de lançar e corrigir.

24. QUIZ

25. QUIZ
O que mais se aproxima ao conceito de Clickjacking:
A. Roubo de Senhas de autenticação por força bruta;
B. Acontece quando o invasor prepara uma armadilha e utiliza CSS ou JavaScript
para fazer com que a vítima clique em algo que não tem intenção,
ocasionando um furto de cliques;
C. Ocorre quando um site realiza uma solicitação ou uma referência cruzada em
outro site sem o consentimento do usuário;
D. Método utilizado para invalidar uma sessão ativa em HTTP;

26. Qual destas alternativas não é uma solução possível para evitar
ataques de SQL Injection?
A. Realizar consultas parametrizadas;
B. Utilizar a técnica de saída para neutralizar meta-
caracteres;
C. Realizar a validação de entrada;
D. Realizar um CSRF;
QUIZ

27. Quais destes não é um método aplicável à validação de entrada?
A. Lista Branca e Lista Preta
B. Higienização
C. Buffer Overflow ou Transbordamento de Buffer.
D. Usar expressões regulares
QUIZ

28. O cross-site scripting ou XSS ou script cruzado entre sites é um ataque
onde um invasor pode executar um JavaScript na saída. Qual destes não
é um tipo de XSS?
A. XSS de Transbordamento de Pilha;
B. XSS Refletido;
C. XSS Armazenado;
D. XSS baseado em DOM;
QUIZ

29. Alcyon Junior
alcyon@portaltic.com
Telegram @alcyjones
Facebook - facebook.com/alcyon.junior
Linkedin - linkedin.com/in/alcyon/