O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
O documento discute a vulnerabilidade XSS Injection, incluindo como é a vulnerabilidade mais comum em sistemas web, os tipos de ataque como armazenado e refletido, e as ações que empresas devem tomar como contratar especialistas em segurança e treinar funcionários.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
O documento fornece 10 dicas de segurança para desenvolvedores, incluindo a importância de um arquiteto de segurança, validação de dados de entrada, criptografia, logs e proteção de comunicações.
1) O documento discute os riscos de segurança mais críticos em aplicações web, conhecidos como OWASP Top 10.
2) A lista dos 10 riscos foi atualizada para 2010 com a adição de dois novos itens e remoção de dois itens anteriores.
3) O objetivo do Top 10 é educar sobre como avaliar e mitigar esses riscos nas aplicações, melhorando assim a segurança.
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
O documento discute os riscos de segurança de aplicações web e como desenvolvê-las de forma segura. Apresenta a arquitetura típica de aplicações web e os principais ataques como SQL injection, autenticação falha e cross-site scripting. Também discute a importância de avaliar a probabilidade de diferentes ameaças para determinar o risco para uma organização.
Vou apresentar e explorar as 5 maiores falhas cometidas pelos programadosres na hora de codar e identificar as práticas de codificação inseguras que levam a esses erros para instruir os desenvolvedores sobre alternativas seguras, as organizações podem adotar medidas proativas para ajudar a reduzir ou eliminar significativamente as vulnerabilidades no software antes da implantação.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
O documento discute a vulnerabilidade XSS Injection, incluindo como é a vulnerabilidade mais comum em sistemas web, os tipos de ataque como armazenado e refletido, e as ações que empresas devem tomar como contratar especialistas em segurança e treinar funcionários.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
O documento fornece 10 dicas de segurança para desenvolvedores, incluindo a importância de um arquiteto de segurança, validação de dados de entrada, criptografia, logs e proteção de comunicações.
1) O documento discute os riscos de segurança mais críticos em aplicações web, conhecidos como OWASP Top 10.
2) A lista dos 10 riscos foi atualizada para 2010 com a adição de dois novos itens e remoção de dois itens anteriores.
3) O objetivo do Top 10 é educar sobre como avaliar e mitigar esses riscos nas aplicações, melhorando assim a segurança.
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
O documento discute os riscos de segurança de aplicações web e como desenvolvê-las de forma segura. Apresenta a arquitetura típica de aplicações web e os principais ataques como SQL injection, autenticação falha e cross-site scripting. Também discute a importância de avaliar a probabilidade de diferentes ameaças para determinar o risco para uma organização.
Vou apresentar e explorar as 5 maiores falhas cometidas pelos programadosres na hora de codar e identificar as práticas de codificação inseguras que levam a esses erros para instruir os desenvolvedores sobre alternativas seguras, as organizações podem adotar medidas proativas para ajudar a reduzir ou eliminar significativamente as vulnerabilidades no software antes da implantação.
O documento discute a importância da segurança no desenvolvimento de software. Apresenta estatísticas mostrando que a maioria das vulnerabilidades estão em software e levam meses para serem corrigidas. Também descreve o Ciclo de Vida de Desenvolvimento Seguro (SDL) da Microsoft, um framework para integrar práticas de segurança ao longo do ciclo de vida do software.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
O documento apresenta Alcyon Junior, um especialista em segurança cibernética com diversas graduações e certificações na área. Ele atua como consultor de segurança cibernética para as Nações Unidas e professor na Universidade Católica de Brasília. O texto também descreve os passos de um teste de penetração, incluindo a coleta de informações, mapeamento da rede, busca por vulnerabilidades e formas de prevenção.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação;
(3) Ataques se concentram em aplicações web, onde estão as maiores vulnerabilidades.
A palestra apresenta conceitos básicos de desenvolvimento web em Java usando frameworks. O palestrante discute o que é um framework, critérios para escolha e apresenta o framework VRaptor, de código aberto e brasileiro, destacando vantagens como alta produtividade e flexibilidade e como lidar com desvantagens. Por fim, demonstra a criação de uma loja virtual usando VRaptor para cadastro de produtos.
O documento fornece uma visão geral do Firefox OS para desenvolvedores. Resume que o Firefox OS é um sistema operacional móvel desenvolvido pela Mozilla com conceitos de Open Web para dispositivos móveis, permitindo que desenvolvedores criem aplicativos usando HTML5, CSS e JavaScript sem precisar aprender APIs nativas de plataformas. Também discute algumas APIs como WebTelephony, WebSMS e status de bateria que podem ser usadas no Firefox OS.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
O documento discute testes de segurança de software, enfatizando:
A importância de testes de segurança para garantir confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
As abordagens de teste de segurança, incluindo white box, black box e fuzzing.
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
DevSecOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações para aproveitar os benefícios do DevOps sem negligenciar a segurança, adicionando etapas de segurança no ciclo de desenvolvimento de software de forma automatizada.
O documento discute estratégias para desenvolvimento de software seguro, incluindo metodologias como SDL e OWASP/CLASP, boas práticas como treinamento da equipe e modelagem de ameaças, testes de invasão como pentest, equipes especialistas em segurança e certificações na área.
Este conteúdo foi apresentado ao vivo no 3o. RootDay. Consiste de motivação com estatísticas, introdução à técnica de fuzzing, formas de usá-la, o software ZAP e uma demonstração.
O gerenciamento de software nas operações do dia a dia nas organizações é uma questão complexa. Se pensarmos sobre a típica infraestrutura tecnológica que suporta as operações nas organizações, vemos que é um elemento muito diversificado, com muitos componentes diferentes, de diferentes fontes. Neste artigo, vamos explorar o que podemos encontrar quando o software não é desenvolvido pela organização em primeira mão.
Este documento discute métodos para aumentar a segurança de sites, incluindo manter softwares atualizados, usar senhas complexas, validar código, e proteger contra ataques de cross-site scripting (XSS).
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento discute a importância de testar software da maneira correta, com três frases principais: (1) Testar sozinho não é suficiente, é preciso fazer direito; (2) Construir uma base sólida de segurança no desenvolvimento é fundamental; (3) A adoção de padrões como a ISO/IEC 27034 pode ajudar a orientar os processos de segurança no desenvolvimento de software.
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação para as empresas;
(3) É necessário incorporar requisitos de segurança desde o desenvolvimento de aplicações.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
O documento discute a importância da segurança no desenvolvimento de software. Apresenta estatísticas mostrando que a maioria das vulnerabilidades estão em software e levam meses para serem corrigidas. Também descreve o Ciclo de Vida de Desenvolvimento Seguro (SDL) da Microsoft, um framework para integrar práticas de segurança ao longo do ciclo de vida do software.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
O documento apresenta Alcyon Junior, um especialista em segurança cibernética com diversas graduações e certificações na área. Ele atua como consultor de segurança cibernética para as Nações Unidas e professor na Universidade Católica de Brasília. O texto também descreve os passos de um teste de penetração, incluindo a coleta de informações, mapeamento da rede, busca por vulnerabilidades e formas de prevenção.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação;
(3) Ataques se concentram em aplicações web, onde estão as maiores vulnerabilidades.
A palestra apresenta conceitos básicos de desenvolvimento web em Java usando frameworks. O palestrante discute o que é um framework, critérios para escolha e apresenta o framework VRaptor, de código aberto e brasileiro, destacando vantagens como alta produtividade e flexibilidade e como lidar com desvantagens. Por fim, demonstra a criação de uma loja virtual usando VRaptor para cadastro de produtos.
O documento fornece uma visão geral do Firefox OS para desenvolvedores. Resume que o Firefox OS é um sistema operacional móvel desenvolvido pela Mozilla com conceitos de Open Web para dispositivos móveis, permitindo que desenvolvedores criem aplicativos usando HTML5, CSS e JavaScript sem precisar aprender APIs nativas de plataformas. Também discute algumas APIs como WebTelephony, WebSMS e status de bateria que podem ser usadas no Firefox OS.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
O documento discute testes de segurança de software, enfatizando:
A importância de testes de segurança para garantir confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
As abordagens de teste de segurança, incluindo white box, black box e fuzzing.
DevSecOps - Integrando Segurança no Processo DevOpsAlessandra Soares
DevSecOps é a integração da equipe de segurança com as equipes de desenvolvimento e operações para aproveitar os benefícios do DevOps sem negligenciar a segurança, adicionando etapas de segurança no ciclo de desenvolvimento de software de forma automatizada.
O documento discute estratégias para desenvolvimento de software seguro, incluindo metodologias como SDL e OWASP/CLASP, boas práticas como treinamento da equipe e modelagem de ameaças, testes de invasão como pentest, equipes especialistas em segurança e certificações na área.
Este conteúdo foi apresentado ao vivo no 3o. RootDay. Consiste de motivação com estatísticas, introdução à técnica de fuzzing, formas de usá-la, o software ZAP e uma demonstração.
O gerenciamento de software nas operações do dia a dia nas organizações é uma questão complexa. Se pensarmos sobre a típica infraestrutura tecnológica que suporta as operações nas organizações, vemos que é um elemento muito diversificado, com muitos componentes diferentes, de diferentes fontes. Neste artigo, vamos explorar o que podemos encontrar quando o software não é desenvolvido pela organização em primeira mão.
Este documento discute métodos para aumentar a segurança de sites, incluindo manter softwares atualizados, usar senhas complexas, validar código, e proteger contra ataques de cross-site scripting (XSS).
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento discute a importância de testar software da maneira correta, com três frases principais: (1) Testar sozinho não é suficiente, é preciso fazer direito; (2) Construir uma base sólida de segurança no desenvolvimento é fundamental; (3) A adoção de padrões como a ISO/IEC 27034 pode ajudar a orientar os processos de segurança no desenvolvimento de software.
Utilizando o AppLocker para proteger seu ambiente da execução de aplicações n...Rodrigo Immaginario
O documento discute o uso do AppLocker no Windows 7 para proteger ambientes contra a execução de aplicações não autorizadas. O AppLocker fornece controle de aplicação granular baseado em regras allow, deny e exception para executáveis, instaladores, scripts e DLLs. O documento também discute as melhores práticas para criar e implementar com sucesso uma política de AppLocker.
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação para as empresas;
(3) É necessário incorporar requisitos de segurança desde o desenvolvimento de aplicações.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
Este documento discute segurança de aplicações web, definindo o que são aplicações web e webservices, e abordando riscos, vulnerabilidades e exemplos comuns, como parâmetros inválidos, controle de acesso falho e injeção de comando/SQL. O foco é que a segurança começa com o código da aplicação e que a maioria das invasões ocorrem devido a vulnerabilidades na codificação.
O documento discute a importância da segurança de aplicações web ao longo do ciclo de desenvolvimento de software. Apresenta os principais vetores de ataque a aplicações web, como injeção de código e cross-site scripting. Defende a necessidade de testes de segurança desde as primeiras fases do desenvolvimento para identificar e corrigir vulnerabilidades.
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
O documento apresenta uma palestra sobre segurança em aplicações web ministrada pelo professor Alex Camargo. A palestra aborda três principais tipos de ataques: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection. O professor demonstra como esses ataques funcionam e apresenta boas práticas de programação para preveni-los, como filtrar entradas e escapar saídas.
1. O documento discute os dois maiores riscos de segurança cibernética enfrentados por organizações: software vulnerável no lado do cliente que permanece sem correções por longos períodos e sites vulneráveis acessíveis pela internet.
2. Softwares como Adobe PDF Reader, QuickTime e Adobe Flash são frequentemente explorados em ataques de spear phishing para infectar computadores, que são então usados para propagar a infecção. Vulnerabilidades em aplicações web também são amplamente exploradas.
3. Embora esses riscos sejam os mais
Este documento discute a importância dos testes de segurança de aplicativos para identificar vulnerabilidades e manter a segurança. Ele explica vários tipos de testes como SAST, DAST, IAST e SCA e como a HCL Software pode ajudar times de desenvolvimento a escrever código mais seguro e fornecer visibilidade sobre a segurança das aplicações. Estudos de caso mostram como clientes usaram soluções da HCL Software para melhorar a segurança de aplicativos web e sistemas.
Uma palestra prática mostrando as principais falhas em arquiteturas web e como desenvolver projetos com segurança. São exibidos também recursos do Azure para fortalecer tecnologias.
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
O documento apresenta a biografia e experiência da autora Edlaine Zamora, introduz conceitos de segurança da informação e lista as 10 vulnerabilidades mais críticas em aplicações web segundo a OWASP. É demonstrado como o Kali Linux pode ser usado para analisar vulnerabilidades, com foco em injeção SQL usando a ferramenta SQLMap em um site de teste.
Trata sobre a necessidade de envolvimento do time de desenvolvimento na segurança da aplicação. De que forma implementar e aferir a segurança do produto e faz um overview sobre testes de segurança e a importância da modelagem de riscos a ameaças
1) Cross-site scripting (XSS) é um tipo de ataque que permite a execução de scripts maliciosos nos navegadores da vítimas. Isso pode permitir o roubo de cookies e sessões, permitindo ao atacante se passar pela vítima.
2) Roubo de sessão refere-se à possibilidade de um atacante interceptar a comunicação entre dois computadores e roubar o identificador de sessão, permitindo-o se passar pelo usuário naquela sessão.
3) Ataques de negação de serviço não buscam roubar dados,
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
OSUG-BH - Desenvolvimento Seguro em OutSystemsfelipehorta14
Vamos falar de segurança (de novo!)
A conversa dessa vez é sobre a experiência com o desenvolvimento seguro. Vamos bater um papo com o Gustavo Fontinha, especialista em aplicações e em DevSecOps da Petrobrás, sobre alguns conceitos, melhores práticas e como construir aplicações seguras em OutSystems.
Vamos ver o que podemos fazer antes, durante e depois do desenvolvimento e lançamento em produção das aplicações.
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUMBruno Motta Rego
O documento apresenta uma proposta para integrar conceitos de segurança da informação e práticas de segurança de software à metodologia ágil SCRUM. Discute desafios como analisar riscos e modelar ameaças. Também aborda princípios de segurança como economia de mecanismos, mediação completa e privilégio mínimo.
O relatório resume um teste de intrusão realizado em uma aplicação web para verificar vulnerabilidades de segurança. O teste não encontrou vulnerabilidades e a aplicação estava em conformidade com as melhores práticas de segurança como configurações, criptografia e autenticação. O auditor responsável possui vasta experiência em segurança cibernética.
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...EMERSON EDUARDO RODRIGUES
Os ataques mais comuns em aplicações web incluem técnicas como injeção de código malicioso no navegador do usuário (XSS), fazer com que o usuário execute ações sem consentimento (CSRF), enviar arquivos maliciosos para o servidor (upload arbitrário de arquivos), assumir o controle de subdomínios desprotegidos e obter acesso à conta de usuários (account takeover). A segurança de aplicações é essencial para proteger dados, prevenir ataques, manter a continuidade dos negócios e a
Segurança no Desenvolvimento de Aplicações - DextraVinícius Schmidt
O documento discute a importância crescente da segurança da informação no mercado de tecnologia. Ele também resume 11 tópicos da norma ISO/IEC 17799:2005 relacionados à segurança e explica como hackers e especialistas constroem ferramentas tanto para atacar quanto defender sistemas, ilustrando potenciais vulnerabilidades. Finalmente, sugere que a empresa Dextra crie uma equipe focada em segurança para cuidar dos próprios sistemas e serviços.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
O documento apresenta uma introdução ao Projeto OWASP (Open Web Application Security Project), descrevendo sua metodologia para segurança da informação aplicada a ambientes web. É feita uma explicação dos 10 principais riscos de segurança (OWASP TOP 10), com exemplos de cada um, e seus possíveis impactos. Referências em português e inglês são fornecidas no final para mais informações.
Semelhante a Desenvolvimento de Aplicações Web Seguras (20)
This document is a registration form for a systems information course and the ENADE exam. It requests the student's CPF number, name, address, email, telephone number, identity card number including issuing body and state, and the year they completed high school.
O documento apresenta as etapas para formulação de um projeto de pesquisa, incluindo a definição do problema, justificativa, objetivos gerais e específicos, hipóteses, metodologia, plano de trabalho e resultados esperados. Ele fornece perguntas e critérios para guiar o pesquisador em cada etapa do processo de desenvolvimento do projeto.
Este documento fornece diretrizes sobre o Trabalho de Conclusão de Curso (TCC) para alunos do curso de Sistemas de Informação da Faculdade La Salle Manaus. Ele descreve (1) o coordenador e orientadores do TCC, (2) as etapas do projeto de pesquisa e monografia, e (3) os requisitos e prazos para a conclusão do TCC.
As três frases são:
1) Todos os alunos devem ter um orientador alocado do curso de Sistemas de Informação e seguir o modelo ABNT para o TCC.
2) Os alunos devem comparecer semanalmente às aulas de acompanhamento com o material produzido e ajustar os cronogramas com os orientadores até 19/03.
3) Haverá seminários sobre temas, normas ABNT e apresentação em 12/03, 26/03 e 16/04 respectivamente, e uma qualificação do trabalho entre 02 a 05/05 ger
O documento descreve o que é Web 2.0, destacando seus principais conceitos como colaboração, conteúdo gerado pelo usuário e simplicidade. O texto também discute como blogs podem ser usados na educação para promover a aprendizagem colaborativa.
Este documento discute o projeto Ambiente Virtual de Aprendizagem (AVA) desenvolvido na Universidade do Vale do Rio dos Sinos. O AVA foi criado para apoiar professores no uso de novas tecnologias e metodologias de ensino, como o ensino a distância. Inicialmente, o AVA foi usado em cursos de Pedagogia para apoiar o aprendizado de forma interdisciplinar e cooperativa.
O documento discute como ambientes virtuais de aprendizagem (AVA) podem ser projetados de acordo com princípios construtivistas. Ele analisa a importância de uma base epistemológica clara, dos estudantes como produtores de conteúdo na internet, e da promoção da autonomia, interatividade e aprendizagem colaborativa nos AVAs.
O documento é um pedido de um aluno para revisão do seu histórico escolar para colação de grau no semestre especificado, fornecendo seus dados pessoais e assinatura para autorizar a coordenação do curso a verificar se ele está apto a se formar ou pendências.
O documento apresenta o currículo de referência da SBC para cursos de graduação em computação e informática. Ele define os objetivos, escopo e organização do currículo, incluindo a estruturação das matérias em seis núcleos de conhecimento e a relação das matérias para os cursos de bacharelado em ciência da computação e engenharia de computação.
O documento resume as transformações históricas do exercício da cidadania no Brasil, discutindo as constituições de 1824, 1891, 1934, 1937, 1946, 1967, 1969 e 1988. Ele também define ética e cidadania e lista atividades a serem desenvolvidas como agente cívico e tecnológico.
This document provides a guide to building secure web applications and web services. It discusses technologies used in web applications, both small-to-medium and large scale. It also covers security architecture and design considerations, as well as policy frameworks for organizational commitment to security, development methodology, coding standards, and source code control. The guide has gone through several revisions and editors over time.
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
2. Porque segurança de aplicações é prioridade? Aplicações web são o foco número 1 dos hackers: 75% dos ataques acontecem na camada da aplicação (Gartner) A maior parte das páginas web estão vulneráveis: 90% dos sites são vulneráveis à ataques na aplicação (Watchfire) 78% das vulnerabilidadesfacilmenteexploráveisafetamaplicações Web (Symantec) 09/06/2010 Prof. Dércio Luiz Reis, Dr* 2
3. Porque segurança de aplicações é prioridade? 80% das organizações irão experimentar um incidente em segurança de aplicações até 2010 (Gartner) Aplicações web são alvos de alto valor para hackers: Dados de clientes, cartão de crédito, roubo de identidade, fraude, etc. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 3
4. Porque segurança de aplicações é prioridade? No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão (Módulo); Estudo realizado com 200 empresas brasileiras afirma que : 67,5% sofreram algum tipo de ataquenosúltimos 12 meses (ISS); Instituiçõesfinanceirasnacionaistêmsofrido até 100 ataques frustrados por dia. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 4
5. Principaiscausas de vulnerabilidades 09/06/2010 Prof. Dércio Luiz Reis, Dr* 5 Principal problema de segurança Usuários podem submeter dados de entradaarbitrários Principaissinais de problemas: – Imaturidadeemsegurança; – Desenvolvimentoin-house; – Percepção de simplicidade; – Restrições de recursos e tempo; – Mau uso de tecnologias.
6. O Mito: Nosso site está seguro? Firewall; Network Scanners; Auditorias de Segurança. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 6
18. Alguns Problemas descartados no estudo do OWASP (Open Web Application Security Project) TOP 10 Entrada de dados não validados é o maior desafio para qualquer time de desenvolvimento e é a origem dos problemas de segurança de muitas aplicações. A recomendação é criar um mecanismo de validação centralizado como parte de sua aplicação. Para maiores informações, leia os seguintes documentos de validação de dados da OWASP: http://www.owasp.org/index.php/Data_Validation http://www.owasp.org/index.php/Testing_for_Data_Validation 09/06/2010 Prof. Dércio Luiz Reis, Dr* 18
19. Alguns Problemas descartados no estudo do OWASP (Open Web Application Security Project) TOP 10 Problemas de estouro de pilhas, estouro de inteiros e formato de strings são vulnerabilidades extremamente sérias para programas escritos em linguagem C ou C++. A remediação para estes tipos de problemas são tratados por comunidades de segurança de aplicações tradicionais, como o SANS, CERT e pelos fornecedores de linguagem de programação. Se o código é escrito em uma linguagem que é passível a estouros de pilha, recomenda-se ler os conteúdos a este respeito no site da OWASP: http://www.owasp.org/index.php/Buffer_overflow http://www.owasp.org/index.php/Testing_for_Buffer_Overflow 09/06/2010 Prof. Dércio Luiz Reis, Dr* 19
20. Alguns Problemas descartados no estudo do OWASP (Open Web Application Security Project) TOP 10 Gerenciamento de configuração insegura afeta todos os sistemas em alguma extensão, particularmente o PHP. Quando implementando sua aplicação, você deve consultar a última versão do OWASP Guide e o OWASP testingGuide para informações detalhadas a respeito do gerenciamento de configuração segura e testes: http://www.owasp.org/index.php/Configuration http://www.owasp.org/index.php/Testing_for_infrastructure_configuration_management 09/06/2010 Prof. Dércio Luiz Reis, Dr* 20
21. Vulnerabilidades Considerando que o desenvolvedor observe os pontos abordados pelo documento será possível verificar uma redução direta nos seguintes pontos: Ataques de phishing, que podem explorar qualquer uma dessas vulnerabilidades, particularmente, XSS e problemas de autenticação e autorização (A1,A4,A7,A10) Violação de privacidadedevido à validação fraca, regras de negócio e verificações de autorização fracas (A2, A4, A6, A7, A10) Roubo de identidade por meio de controles de criptografia fracos ou não existentes (A8 e A9), inclusão de arquivo remoto (A3) e autenticação, regras de negócio e verificação de autorização (A4, A7, A10) 09/06/2010 Prof. Dércio Luiz Reis, Dr* 21
22. POR QUE CONSIDERAR ALGUNS PROBLEMAS IMPORTANTES Cross Site RequestForgery (CSRF) é a maior nova inclusão da edição do OWASP Top 10. Embora ocupe a 36ª posição na classificação original, acredita-se que ela seja de tamanha importância, que as aplicações devem iniciar seus esforços de proteção hoje, particularmente para aplicações de alto risco e criticidade. O CSRF é mais prevalente do que sua atual classificação e pode ser mais perigoso. Criptografia. O uso incorreto da criptografia não ocupam as posições 8 e 9 da classificação, conforme as informações do MITRE, porém representam a origem de muitos problemas de quebra de privacidade e conformidade (particularmente a conformidade com o PCI DSS 1.1). 09/06/2010 Prof. Dércio Luiz Reis, Dr* 22
23. VULNERABILIDADES, NÃO ATAQUES O foco é unicamente em vulnerabilidades, embora a terminologia utilizada comumente combine vulnerabilidades e ataques. Se as organizações usam este documento para tornar suas aplicações seguras e, consequentemente, reduzir o risco para seus negócios, será possível observar uma redução direta nos seguintes pontos: 09/06/2010 Prof. Dércio Luiz Reis, Dr* 23
24. VULNERABILIDADES, NÃO ATAQUES Ataques de phishing, que podem explorar qualquer uma dessas vulnerabilidades, particularmente, XSS e problemas de autenticação e autorização (A1,A4,A7,A10) Violação de privacidade devido à validação fraca, regras de negócio e verificações de autorização fracas (A2, A4, A6, A7, A10) Roubo de identidade por meio de controles de criptografia fracos ou não existentes (A8 e A9), inclusão de arquivo remoto (A3) e autenticação, regras de negócio e verificação de autorização (A4, A7, A10) 09/06/2010 Prof. Dércio Luiz Reis, Dr* 24
25. Vulnerabilidades Comprometimento de sistema, alteração de informações e destruição de dados por ataques de injeção (A2) e inclusão de arquivo remoto (A3) Perda financeira por meio de transações não autorizadas e ataques CSRF (A4, A5, A7, A10) Perda de reputação devido à exploração de qualquer uma das vulnerabilidades acima (A1 à A10) 09/06/2010 Prof. Dércio Luiz Reis, Dr* 25
27. #1 – Cross Site Scripting (XSS) O que é? – Script malicioso ecoado de volta, embutido no código HTML retornado de um site confiável; Quaissão as implicações? – Sequestro de sessões; – Atacantes podem executar scripts no navegador da vítima; – Conteúdodapáginacomprometido; – Introduzir worms. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 27
28. #1 – Cross Site Scripting (XSS) 09/06/2010 Prof. Dércio Luiz Reis, Dr* 28
30. #3 – Cross Site Request Forgery (CSRF) O que é? Transmite e executa comandos maliciosos entre sites sem que o usuário perceba. Quaissão as implicações? - Roubo de informações do usuário, como cookies e sessões; - Possibilidade de executar transações entre sites os quais o usuário esteja autenticado; - Risco se agrava quando o tempo de expiração de sessão é muitolongo. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 30
31. Quais preocupações os profissionais de T.I. devem ter ? O que os desenvolvedores e testadores da minha organização sabem sobre segurança da informação? • Eles têm meios de prevenir vulnerabilidades? • Apesar de nosso investimento em segurança de rede, será querealmenteestamosseguros? • Ainda que esteja seguro hoje, tenho como garantir que não haverá falhas de segurança no futuro? 09/06/2010 Prof. Dércio Luiz Reis, Dr* 31
32. Segurança: Parte do Cliclo de Vida 09/06/2010 Prof. Dércio Luiz Reis, Dr* 32
33. Testes de Segurança 09/06/2010 Prof. Dércio Luiz Reis, Dr* 33 Atuação de Softwares de Segurança
34. PROTEÇÃO Tendo o tempo para planejar a autorização criando uma matriz para mapear as regras e as funções da aplicação é o passo primordial para alcançar a proteção contra acessos não autorizados. Aplicações web devem garantir controle de acesso em cada URL e funções de negócio. Não é suficiente colocar o controle de acesso na camada de apresentação e deixar a regra de negócio desprotegida. Também não é suficiente verificar uma vez o usuário autorizado e não verificar novamente nos passos seguintes. De outra forma, um atacante pode simplesmente burlar o passo onde a autorização é verificada e forjar o valor do parâmetro necessário e continuar no passo seguinte. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 34
35. PROTEÇÃO Garanta que a matriz do controle de acesso é parte do negócio, da arquitetura e do design daaplicação; Garanta que todas URLs e funções de negócio são protegidas por um mecanismo de controle de acesso efetivo que verifique as funções e direitos do usuário antes que qualquer processamento ocorra. Certifique-se que este processo é realizado em todos os passos do fluxo e não apenas no passo inicial de um processo, pois pode haver vários passos a seremverificados; 09/06/2010 Prof. Dércio Luiz Reis, Dr* 35
36. PROTEÇÃO Realize um teste invasão (penetrationtest) antes do código entrar em produção a fim de garantir que a aplicação não poderá ser utilizada de má fé por um atacante motivado ou com conhecimentos avançados. Preste muita atenção em arquivos de includes/bibliotecas, especialmente se eles possuem extensões executáveis como .php. Sempre que possível, devem ser mantidos fora da raiz web. Devem ser verificados se não estão sendo acessados diretamente, porexemplo, verificando por uma constante que pode somente ser criada através de uma biblioteca do chamador. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 36
37. PROTEÇÃO Não suponha que usuários não estarão atentos ao acessar URLs ou APIs escondidas ou especiais. Sempre se assegure que ações com privilégios altos e administrativos estarão protegidos. Bloqueie acesso a todos os tipos de arquivos que a sua aplicação não deva executar. Este filtro deve seguir a abordagem “acceptknowngood” na qual apenas são permitidos tipos de arquivos que a aplicação deva executar, como por exemplo .html .pdf, .php. Isto irá bloquear qualquer tentativa de acesso a arquivos de log, arquivos XML, entre outros, aos quais se espera nunca serem executados diretamente. Mantenha o antivírus e as correções de segurança atualizados para componentes como processadores XML, processadores de texto, processadores de imagem, entre outros que manipulam arquivos fornecidos por usuários. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 37
38. RECOMENDAÇÕES AOS DESENVOLVEDORES Para garantir uma segurança efetiva no desenvolvimento de aplicações Web requer muita experiência, pois qualquer leigo pode atacar um sistema. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 38
39. RECOMENDAÇÕES AOS DESENVOLVEDORES Faça parte da comunidade e OWASP e freqüente as reuniões regionais. Procure por treinamentos sobre desenvolvimento de código seguro. Desenvolva suas aplicações com segurança, Crie códigos simples e com profunda segurança. Desenvolva com aplicações que favoreçam a segurança do código. Reconstrua o código de forma segura de acordo com a sua plataforma utilizando pesquisasotimizadas. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 39
40. RECOMENDAÇÕES AOS DESENVOLVEDORES Leia o guia OWASP e comece a aplicar controles mais seguros a seu código, diferente do outros guias ele é desenvolvido para ajudá-lo a criar aplicações seguras e não a quebrá-las. Faça os testes de segurança e defeitos do seu código e torne esta prática constante no seudia-a-dia. Revise o livro de referências e veja se existem opções que se aplicam ao seu ambiente de trabalho. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 40
41. Ferramentas Free (Instalação) A utilização dos softwares apresentados em seguida destinam-se ao teste e verificação de vulnerabilidades de segurança e seu dependerá do contexto e da necessidade de verificação da segurança dos aplicativos. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 41
42. Firefox Instalando o Firefox O Firefox web browser com sua arquitetura extensível add-on, é o melhor browser para teste de segurança de aplicações Web. A recomendação é que ele seja utilizado como o browser padrão do seu sistema. Proceda o download e complete sua instalação. Visite www.mozilla.com Mesmo que sua aplicação não seja especificamente escrita para compatibilidade com o Firefox, os aspectos de seguranças podem ser verificados por ele. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 42
43. Firefox Extensions As extensões do Firefox permitem adicionar várias funcionalidades ao Firefox. Recomendamos algumas extensões em particular para teste de segurança de aplicações. Recomenda-se as seguintes Extensões : View source Chart https://addons.mozzila.org/en-US/firefox/addon/655 Firebug https://addons.mozzila.org/en-US/firefox/addon/1843 Tamper Data https://addons.mozzila.org/en-US/firefox/addon/966 Edit Cookies https://addons.mozzila.org/en-US/firefox/addon/4510 UserAgent Switch https://addons.mozzila.org/en-US/firefox/addon/59 Switch Proxy https://addons.mozzila.org/en-US/firefox/addon/125 09/06/2010 Prof. Dércio Luiz Reis, Dr* 43
44. Firebug Talvez seja a extensão mais utilizada do Firefox e oferece uma variedade de funções que são empregadas para atender diversas finalidades. Quando ativa mostra um círculo pequeno indicando que está instalado. Se o círculo estiver verde indica que o Firebug está rodando e não encontrou erros na página. Se estiver vermelho indica que está rodando e foram encontrados erros no Java Script e se estiver cinza indica que o Firebug está desativado; É considerado o canivete suiço no desenvolvimento e testes de aplicações Web; Auxilia na escrita de códigos HTML, JavaScript e DocumentObjectModel (DOM); Não salva as alterações no servidor que só ficam válidas durante a sua execução. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 44
45. OSWASP’sWebScarab Popular Web Proxy para teste de segurança de aplicações Web. Web Proxies são vitais para a interceptação de requisições e respostas entre o browser e o servidor. Existem diversas formas de instalar o WebScarab, mas recomenda-se a versão Java Web Start ou a versão Standalone. Estas versões facilitam a a cópia para o ambiente de teste sem a necessidade de uma instalação completa. Está disponível no site da Owasp. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 45
46. Instalação de Perl e pacotes no Windows É considerada a duct tape (algo como o remendo) das linguagens de programação. Esta visão está ligada ao fato de não ser uma linguagem elegante mas que cumpre sua função de forma rápida; Muito utilizada para automatizar cases de teste de segurança automatizado; Pode ser instalada em ambiente Unix ou Windows e existem diferentes formas de instalação; Active Perl (permite execução em commandpropmpt) vem junto como Perl Package Manager. Alguns sistemas operacionais (fora Windows) podem vir com o Perl instalado. Porém pode ser necessário compilar o fonte do Perl (por exemplo se você tem o sistemas 64 bits). 09/06/2010 Prof. Dércio Luiz Reis, Dr* 46
47. CAL9000 Incorpora uma grande quantidade de ferramentas de segurança em um único “pacote”. É uma ferramenta típica de hackercontendo uma variedade de truques; Com esse aplicativo é possível ajuda para identificar problemas e corrigir a partir de uma variedade de testes durante a execução dos aplicativos. No Firefox vá para : http://www.owasp.org/index.php/Category:OWASP_9000_Project Faça o download e descompacte no diretório desejado. Execute o CAL9000.html no Firefox para abrir a aplicação; Não exige instalação ou requer direitos de acesso. Pode rodar localmente ou em um servidor ou outra máquina. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 47
48. ViewStateDecoder Aplicações Web escritas em ASP.NET incluem uma variável escondida chamada ViewState em cada uma de suas páginas. Esta variável mantém os dados entre requisições HTTP. Esta ferramenta é executável no Windows e considerada complexa; O objetivo é verificar se o desenvolvedor não enviou ao cliente informações demais e inapropriadas como (registros internos, detalhes de conexão a banco de dados ou registros de debug). Este é um teste básico de segurança. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 48
49. cURL Esta ferramenta é um utilitário de linha de comando que suporta um array de protocolos Web e componentes. Pode ser usado como um browser sem browser pois implementa as mesmas características dos browsers e pode ser chamado em uma linha de comando a partir de um shell; Manuseia cookies, autenticação e protocolos Web melhor do que qualquer outra ferramenta de linha de comando. Para instalar vá até http://curl.haxx.se/download.html 09/06/2010 Prof. Dércio Luiz Reis, Dr* 49
50. Pornzilla Não é uma ferramenta individual e sim uma coleção de bookmarklets e extensões do Firefox, Provê um conveniente número de ferramentas usadas em testes de segurança em aplicações Web; Todos os componentes podem ser encontrados em http://www.squarefree.com/pornzilla Para instalar o bookmarklet simplesmente arraste e solte o link em sua barra de ferramentas ou organizador de bookmark; Para instalar a extensão siga os links e instale como qualquer outra extensão Firefox; 09/06/2010 Prof. Dércio Luiz Reis, Dr* 50
51. Cygwin Esta ferramenta permite que utilitários e scripts construídos para rodas em Linux possam ser executados em Windows sem uma instalação full do Linux; É necessário instalar outras ferramentas; Quem trabalha no Unix, Linux ou MacOS não precisa do Cygwin, pois pode utilizar o standard terminal; Download em http:// www.cygwin.com/ Você deve selecionar os pacotes desejados.Os pacotes são scripts e aplicações pré-compiladas . Recomenda-se selecionar o diretório Perl inteiro e as ferramentas de desenvolvimento e editores que possibilitam escrever scripts para ambiente Linux. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 51
52. Nikto 2 É o scanner de vulnerabilidades mais empregado dos open source . Pode ser configurado para detectar uma variedade de problemas sem grandes esforços de configuração. É um script Perl e pode ser baixado em http://www.cirt.net/nikto2 que deverá ser descompactado e rodado em Cygwin ou em ambiente Unix/Linux; Possui uma dependência externa do módulo LibWhisker cuja última versão deve ser baixada em http://souceforge.net/projects/whisker/ ; A chamada deve ser via Perl através da linha de comando perlnikto.pl –h 192.168.0.1 09/06/2010 Prof. Dércio Luiz Reis, Dr* 52
53. BurpSuite É uma coleção de ferramentas de segurança, diferente do WebScarab da OWASP, que inclui componentes para interceptar, repetir, analisar ou injetar requisições em aplicativos Web; Disponível em http://portswigger.net/suite/download.html É uma aplicação JAVA e pode não rodar em todos os sistemas operacionais mesmo se você tiver o Java RuntimeEnvironment; Burpproxy Intercepta requisições como um web proxy; Burpspider Executa lentamente a aplicação Web logando cada página. Usa credenciais para acesso e mantém cookies entre conexões; Burpsequencer Executa análises em sessões token, identificadores de sessão ou outras chaves que requerem seguança randômica; Burprepeater Permite o salto ou resubimissão de requisições previamente gravadas. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 53
54. Apache HTTP Server Open Source Web Service que é hoje o mais popular servidor de páginas da WWW; É preciso configurar corretamente um HTTP server para impedir problemas com a vulnerabilidade XSS (Cross-sitescripting); A instalação é simples em Windows (pacotes binários) mas em Unix é necessário baixa o source e compilar os fontes e configurar o firewall (que deve existir!) para permitir o acesso externo liberando as portas de acesso do TCP (80 ou 8080); Com o Apache HTTP rodando, arquivos do seu sistema estarão disponíveis para qualquer um que possa enviar pacotes para seu sistema. Tome cuidado e não coloque nenhuma informação sensível no diretório htdocs; Quando não estiver em uso derrube o servidor Apache. 09/06/2010 Prof. Dércio Luiz Reis, Dr* 54
55. Referências OWASP (Open Web Application Security Project) TOP 10: How to build, design and test the security of web applications and web services. – http://www.owasp.org Watchfire Web Site: referências, white-papers, demonstrações e trials http://www.watchfire.com ISS Internet Security Systems http://www.iss.net 09/06/2010 Prof. Dércio Luiz Reis, Dr* 55