Pedro Neto, profile picture
Carregado porPedro Neto
PDF, PPTX451 visualizações

Desenvolvimento web seguro para leigos

O documento discute desenvolvimento web seguro, abordando os tópicos: por que é importante desenvolver código seguro; vulnerabilidades comuns como spoofing, SQL injection e XSS; e medidas como validação de dados, uso de consultas parametrizadas e conversão de caracteres para prevenir ataques. O autor também fornece recursos adicionais sobre o assunto.

Incorporar apresentação

Transferir como PDF, PPTX
Desenvolvimento web seguro Pedro José <pjneto@gmail.com>
Roteiro ▫ Quem sou ▫ Por que desenvolver código seguro? ▫ Onde estamos? ▫ O que eles sabem? ▫ O que posso fazer? ▫ Saiba mais!
Quem sou? ▫ Pedro José ▫ Técnico em Desenvolvimento de Sistemas ▫ Graduando em ciências da computação ▫ Analista de sistemas na Moobi ▫ Técnico programador no Tribunal de Justiça/SE
Por que desenvolver código seguro? ▫ Quanto vale seu negócio? ▫ Quanto vale os dados de seus clientes? ▫ Valorização do profissional?
Onde estamos? ▫ WEB 2.0? E qual versão da sua segurança? ▫ Qualquer pessoa pode ser um “programador web” ▫ Por que não me falaram sobre desenvolvimento seguro?
O que eles sabem? ▫ Spoofing ▫ Tampering ▫ Cross-Site Scripting (XSS) ▫ SQL Injection ▫ Cookie Manipulation ▫ Path Transversal ▫ Error Management ▫ File Upload ▫ Code Execution ▫ Configuration Vulnerabilities ▫ Weak encryption
O que posso fazer? ▫ Spoofing:  Definição – “falsificação” ! ▫ Crítica aos dados ▫ Captchas
O que posso fazer? ▫ Data Tampering:  Definição – manipulação dos parâmetros na troca de dados entre usuário e aplicação! ▫ Crítica aos dados ▫ Validação de Permissões
O que posso fazer? ▫ Cross-Site Scripting (XSS):  Definição – injeção de tags HTML e Javascript ▫ Crítica na entrada dos dados ▫ Conversão de caracteres ▫ Formatação na saída dos dados ▫ Utilização de black-lists
O que posso fazer? ▫ SQL Injection:  Definição – injeção de strings nas instruções SQL ▫ Crítica na entrada dos dados ▫ Utilização de consultas parametrizadas ▫ Stored procedures ▫ Firewall para bancos de dados(green sql)
O que posso fazer? ▫ Cookie Manipulation:  Definição – manipulação dos dados armazenados no cookie(tampering!!) ▫ Evitar armazenamento de dados no cookie ▫ Tratamento das informações armazenadas ▫ Utilização de criptografia
O que posso fazer? ▫ Path Transversal:  Definição – descoberta de informações no sistema de arquivos do servidor através da aplicação ▫ Crítica na entrada dos dados ▫ Validação de caracteres
O que posso fazer? ▫ File Upload:  Definição – vulnerabilidades relacionadas ao upload de arquivos em nossos sites/sistema. ▫ Crítica na extensão dos arquivos ▫ Validação de conteúdo ▫ Validação de caracteres(nome do arquivo) ▫ Internet Explorer 7 :/
O que posso fazer? ▫ Error Management:  Definição – falhas no gerenciamento dos erros na aplicação web. ▫ Exibição de erros desativada em ambientes de produção ▫ Log e monitoramento dos logs para conhecer comportamento da aplicação e possíveis atacantes
O que posso fazer? ▫ Code Execution:  Definição – execução de instruções a parti de códigos injetados na aplicação ▫ Cuidado com a utilização de funções que executem código nativo. Ex: eval(), system(), exec(), shell_exec() ▫ Cuidado com a utilização de funções inseguras nas suas bases de dados. Ex: load_file(), xp_cmdshell()
O que posso fazer? ▫ Configuration Management:  Definição – erros relacionados a configuração de seu servidor/aplicação ▫ Desabilitar exibição de erros ▫ Alterar configurações padrões dos servidores ▫ Utilizar conexões SSL ▫ Weak Encription:  Definição – criptografia fraca ▫ MD5 está morto!!
O que posso fazer? ▫ Política de troca de senhas ▫ Força das senhas ▫ ACLs em nosso sistemas ▫ Logs e Auditoria ▫ Softwares livres X Minha segurança
O que posso fazer? ▫ Esteja Atualizado!! ▫ Use ferramentas para testar seu código  w3af  Acunetix  Pangolin  Hntool  GreenSQL  Samurai (distro live CD)
Saiba mais! ▫ OWASP  http://www.owasp.org/index.php/Main_Page ▫ Microsoft  http://msdn.microsoft.com/en-us/library/ff649874.aspx ▫ Google Code  http://code.google.com/intl/es-ES/edu/security/index.html
Saiba mais! ▫ Livros
Saiba mais! ▫ Livros
Dúvidas? Pedro José <pjneto@gmail.com>

Mais conteúdo relacionado

PDF
Sessões (in portuguese)
porBruno Pedro
 
PPTX
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 
PPTX
Software Seguro
porRafael Alves
 
PPT
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
PPTX
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
PDF
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
ODP
Fundamentos de linux
porPedro Neto
 
Sessões (in portuguese)
porBruno Pedro
 
Desenvolvimento de Software Seguro
porAugusto Lüdtke
 
Software Seguro
porRafael Alves
 
Desenvolvimento Seguro- 2011
porKleitor Franklint Correa Araujo
 
Desenvolvimento de Aplicações Web Seguras
porDércio Luiz Reis
 
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
Fundamentos de linux
porPedro Neto
 

Destaque

ODP
Primeiro módulo de kernel
porDiego Ruggeri
 
PDF
Monografia eng soft1_halan
porHalan Ridolphi
 
PDF
Proposta de Boas Práticas e Padrões de Desenvolvimento Web
porEr Galvão Abbott
 
PDF
Gcc
porRicardo Liyushiro Chikasawa
 
PDF
Pentaho data integration
porPedro Neto
 
PDF
Análise de Código Malicioso no Linux
porcrimesciberneticos
 
PDF
Big Data para Leigos
porPedro Neto
 
PPTX
MySQL - copiando, movendo e restaurando dados
porPedro Neto
 
PDF
Requisitos de Segurança
porOWASP Brasília
 
PPT
Entendendo o Ciclo de Desenvolvimento Seguro
porKleitor Franklint Correa Araujo
 
PPT
Linux Educacional 4.0
porRafael Delmonego
 
PPTX
Sistemas de arquivos
porPedro Neto
 
PPT
Comandos Linux
porlol
 
PDF
Linux para leigos
porGuilherme Hinkelmann
 
Primeiro módulo de kernel
porDiego Ruggeri
 
Monografia eng soft1_halan
porHalan Ridolphi
 
Proposta de Boas Práticas e Padrões de Desenvolvimento Web
porEr Galvão Abbott
 
Gcc
porRicardo Liyushiro Chikasawa
 
Pentaho data integration
porPedro Neto
 
Análise de Código Malicioso no Linux
porcrimesciberneticos
 
Big Data para Leigos
porPedro Neto
 
MySQL - copiando, movendo e restaurando dados
porPedro Neto
 
Requisitos de Segurança
porOWASP Brasília
 
Entendendo o Ciclo de Desenvolvimento Seguro
porKleitor Franklint Correa Araujo
 
Linux Educacional 4.0
porRafael Delmonego
 
Sistemas de arquivos
porPedro Neto
 
Comandos Linux
porlol
 
Linux para leigos
porGuilherme Hinkelmann
 

Semelhante a Desenvolvimento web seguro para leigos

PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Segurança no desenvolvimento web
porRafael Monteiro
 
KEY
Segurança em PHP
porAugusto Pascutti
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
PDF
Segurança Web com PHP5
porDouglas V. Pasqua
 
PPT
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
PPTX
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PPTX
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
PPTX
Desenvolvimento seguro - WorkSec 2019
porAlcyon Ferreira de Souza Junior, MSc
 
KEY
Construindo uma Aplicação PHP à Prova de Balas - 2010
porRafael Jaques
 
PDF
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
poriMasters
 
PPTX
Aula 1 - Testando a Segurança de Sua Aplicação Web
porMatheus Fidelis
 
PDF
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
porRafael Jaques
 
PPT
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
porTchelinux
 
PPT
Construindo uma Aplicação PHP à Prova de Balas
porRafael Jaques
 
PPTX
CJR Apresenta: OWASP TOP10
porCJR, UnB
 
PPT
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
PDF
Desenvolvimento seguro
porMarcelo Fleury
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança no desenvolvimento web
porRafael Monteiro
 
Segurança em PHP
porAugusto Pascutti
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
Segurança Web com PHP5
porDouglas V. Pasqua
 
Tratando as vulnerabilidades do Top 10 com php
porConviso Application Security
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
porAlcyon Ferreira de Souza Junior, MSc
 
OWASP Top Ten 2004
porCarlos Serrao
 
Desenvolvendo sistemas seguros com PHP
porFlavio Souza
 
Desenvolvimento seguro - WorkSec 2019
porAlcyon Ferreira de Souza Junior, MSc
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
porRafael Jaques
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
poriMasters
 
Aula 1 - Testando a Segurança de Sua Aplicação Web
porMatheus Fidelis
 
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
porRafael Jaques
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
porTchelinux
 
Construindo uma Aplicação PHP à Prova de Balas
porRafael Jaques
 
CJR Apresenta: OWASP TOP10
porCJR, UnB
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
porMagno Logan
 
Desenvolvimento seguro
porMarcelo Fleury
 

Desenvolvimento web seguro para leigos

  • 1.
    Desenvolvimento web seguro PedroJosé <pjneto@gmail.com>
  • 2.
    Roteiro ▫ Quem sou ▫Por que desenvolver código seguro? ▫ Onde estamos? ▫ O que eles sabem? ▫ O que posso fazer? ▫ Saiba mais!
  • 3.
    Quem sou? ▫ PedroJosé ▫ Técnico em Desenvolvimento de Sistemas ▫ Graduando em ciências da computação ▫ Analista de sistemas na Moobi ▫ Técnico programador no Tribunal de Justiça/SE
  • 4.
    Por que desenvolvercódigo seguro? ▫ Quanto vale seu negócio? ▫ Quanto vale os dados de seus clientes? ▫ Valorização do profissional?
  • 5.
    Onde estamos? ▫ WEB2.0? E qual versão da sua segurança? ▫ Qualquer pessoa pode ser um “programador web” ▫ Por que não me falaram sobre desenvolvimento seguro?
  • 6.
    O que elessabem? ▫ Spoofing ▫ Tampering ▫ Cross-Site Scripting (XSS) ▫ SQL Injection ▫ Cookie Manipulation ▫ Path Transversal ▫ Error Management ▫ File Upload ▫ Code Execution ▫ Configuration Vulnerabilities ▫ Weak encryption
  • 7.
    O que possofazer? ▫ Spoofing:  Definição – “falsificação” ! ▫ Crítica aos dados ▫ Captchas
  • 8.
    O que possofazer? ▫ Data Tampering:  Definição – manipulação dos parâmetros na troca de dados entre usuário e aplicação! ▫ Crítica aos dados ▫ Validação de Permissões
  • 9.
    O que possofazer? ▫ Cross-Site Scripting (XSS):  Definição – injeção de tags HTML e Javascript ▫ Crítica na entrada dos dados ▫ Conversão de caracteres ▫ Formatação na saída dos dados ▫ Utilização de black-lists
  • 10.
    O que possofazer? ▫ SQL Injection:  Definição – injeção de strings nas instruções SQL ▫ Crítica na entrada dos dados ▫ Utilização de consultas parametrizadas ▫ Stored procedures ▫ Firewall para bancos de dados(green sql)
  • 11.
    O que possofazer? ▫ Cookie Manipulation:  Definição – manipulação dos dados armazenados no cookie(tampering!!) ▫ Evitar armazenamento de dados no cookie ▫ Tratamento das informações armazenadas ▫ Utilização de criptografia
  • 12.
    O que possofazer? ▫ Path Transversal:  Definição – descoberta de informações no sistema de arquivos do servidor através da aplicação ▫ Crítica na entrada dos dados ▫ Validação de caracteres
  • 13.
    O que possofazer? ▫ File Upload:  Definição – vulnerabilidades relacionadas ao upload de arquivos em nossos sites/sistema. ▫ Crítica na extensão dos arquivos ▫ Validação de conteúdo ▫ Validação de caracteres(nome do arquivo) ▫ Internet Explorer 7 :/
  • 14.
    O que possofazer? ▫ Error Management:  Definição – falhas no gerenciamento dos erros na aplicação web. ▫ Exibição de erros desativada em ambientes de produção ▫ Log e monitoramento dos logs para conhecer comportamento da aplicação e possíveis atacantes
  • 15.
    O que possofazer? ▫ Code Execution:  Definição – execução de instruções a parti de códigos injetados na aplicação ▫ Cuidado com a utilização de funções que executem código nativo. Ex: eval(), system(), exec(), shell_exec() ▫ Cuidado com a utilização de funções inseguras nas suas bases de dados. Ex: load_file(), xp_cmdshell()
  • 16.
    O que possofazer? ▫ Configuration Management:  Definição – erros relacionados a configuração de seu servidor/aplicação ▫ Desabilitar exibição de erros ▫ Alterar configurações padrões dos servidores ▫ Utilizar conexões SSL ▫ Weak Encription:  Definição – criptografia fraca ▫ MD5 está morto!!
  • 17.
    O que possofazer? ▫ Política de troca de senhas ▫ Força das senhas ▫ ACLs em nosso sistemas ▫ Logs e Auditoria ▫ Softwares livres X Minha segurança
  • 18.
    O que possofazer? ▫ Esteja Atualizado!! ▫ Use ferramentas para testar seu código  w3af  Acunetix  Pangolin  Hntool  GreenSQL  Samurai (distro live CD)
  • 19.
    Saiba mais! ▫ OWASP http://www.owasp.org/index.php/Main_Page ▫ Microsoft  http://msdn.microsoft.com/en-us/library/ff649874.aspx ▫ Google Code  http://code.google.com/intl/es-ES/edu/security/index.html
  • 20.
  • 21.
  • 22.