SlideShare uma empresa Scribd logo

HTML5 Segurança Riscos

Conviso Application Security
Conviso Application Security

O documento discute se o HTML5 é seguro ou inseguro. Apresenta o que é HTML5, quais recursos possui como localStorage e WebSockets. Discutem como esses recursos podem ser usados para ataques como botnets, além de explorações como SQL injection e XSS armazenados. Conclui que o HTML5 traz avanços, mas precisa de mais testes de segurança antes de ser amplamente adotado.

Tecnologia
1 de 22
Baixar para ler offline
HTML5 Seguro ou Inseguro? Wagner Elias Gerente de Pesquisa e Desenvolvimento sexta-feira, 3 de dezembro de 2010
Agenda • HTML5 • Uma nova e eficaz abordagem para • O que é? Botnets • Quem usa? • Geolocation • Alguns Recursos • WebSocket • localStorage • LocalStorage • Websocket • Explorando • Ele pode ser um big • Client-Side SQLi brother • Navigator • Stored XSS • Geolocation • Conclusão CONVISO IT SECURITY 2 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
HTML5 CONVISO IT SECURITY 3 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
O que é? Morra Geolocation Flash Video Canvas Offline Web App CONVISO IT SECURITY 4 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Quem usa? CONVISO IT SECURITY 5 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Alguns Recursos CONVISO IT SECURITY 6 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
localStorage 5Mb (No browser) CONVISO IT SECURITY 7 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Websockets CONVISO IT SECURITY 8 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Ele pode ser um Big Brother CONVISO IT SECURITY 9 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Navigator Você está online? Qual o seu sistema Operacional? Qual o seu histórico de navegação? CONVISO IT SECURITY 10 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Geolocation CONVISO IT SECURITY 11 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Uma nova e eficaz abordagem para Botnets CONVISO IT SECURITY 12 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Abordagem segmentada por região com Geolocation CONVISO IT SECURITY 13 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta CONVISO IT SECURITY 14 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5) CONVISO IT SECURITY 15 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Client-Side Exploit CONVISO IT SECURITY 16 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Client-Side SQLi * PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html CONVISO IT SECURITY 17 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Stored XSS CONVISO IT SECURITY 18 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Conclusão CONVISO IT SECURITY 19 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Conclusão • Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela • Um novo desafio para ferramentas e profissionais que testam aplicações web • Alguns recursos serão alvo de ataques e ações criminosas CONVISO IT SECURITY 20 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Referências • http://HTML5Rocks.com • http://html5demos.com/ • http://websockets.org/ • http://dev.w3.org/html5/websockets/ CONVISO IT SECURITY 21 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
Obrigado... • Blog: http://wagnerelias.com • E-mail: welias@conviso.com.br • Twitter: @welias CONVISO IT SECURITY 22 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010

Recomendados

Lucia
LuciaLucia
Luciaedilife
 
Comprension lectora
Comprension lectoraComprension lectora
Comprension lectoraNoelia Salas Herrera
 
Smou. Serviços Móveis Orientados ao Usuário
Smou. Serviços Móveis Orientados ao UsuárioSmou. Serviços Móveis Orientados ao Usuário
Smou. Serviços Móveis Orientados ao Usuáriopopap
 
Canta alegremente
Canta alegrementeCanta alegremente
Canta alegrementeIMQ
 
Internet das coisas - Uma Abordagem Prática
Internet das coisas - Uma Abordagem PráticaInternet das coisas - Uma Abordagem Prática
Internet das coisas - Uma Abordagem PráticaGustavo Ferreira Palma
 
Blockchain of Things ou Internet of Blockchain ?
Blockchain of Things ou Internet of Blockchain ?Blockchain of Things ou Internet of Blockchain ?
Blockchain of Things ou Internet of Blockchain ?everis
 
5º ck o java e o android no iot
5º ck o java e o android no iot5º ck o java e o android no iot
5º ck o java e o android no iotHeider Lopes
 
Ai1516 ad-tp2-g3-a
Ai1516 ad-tp2-g3-aAi1516 ad-tp2-g3-a
Ai1516 ad-tp2-g3-aMaria_Tinoco
 

Recomendados

Lucia
LuciaLucia
Luciaedilife
 
Comprension lectora
Comprension lectoraComprension lectora
Comprension lectoraNoelia Salas Herrera
 
Smou. Serviços Móveis Orientados ao Usuário
Smou. Serviços Móveis Orientados ao UsuárioSmou. Serviços Móveis Orientados ao Usuário
Smou. Serviços Móveis Orientados ao Usuáriopopap
 
Canta alegremente
Canta alegrementeCanta alegremente
Canta alegrementeIMQ
 
Internet das coisas - Uma Abordagem Prática
Internet das coisas - Uma Abordagem PráticaInternet das coisas - Uma Abordagem Prática
Internet das coisas - Uma Abordagem PráticaGustavo Ferreira Palma
 
Blockchain of Things ou Internet of Blockchain ?
Blockchain of Things ou Internet of Blockchain ?Blockchain of Things ou Internet of Blockchain ?
Blockchain of Things ou Internet of Blockchain ?everis
 
5º ck o java e o android no iot
5º ck o java e o android no iot5º ck o java e o android no iot
5º ck o java e o android no iotHeider Lopes
 
Ai1516 ad-tp2-g3-a
Ai1516 ad-tp2-g3-aAi1516 ad-tp2-g3-a
Ai1516 ad-tp2-g3-aMaria_Tinoco
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Renato Groff
 
Internet e Web NÃO SÃO as mesmas coisas
Internet e Web NÃO SÃO as mesmas coisasInternet e Web NÃO SÃO as mesmas coisas
Internet e Web NÃO SÃO as mesmas coisasEscola de Governança da Internet no Brasil
 
Ago techdoc
Ago techdocAgo techdoc
Ago techdocCarlo Henrique
 
Palestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfPalestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfGustavo Ferreira Palma
 
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...Alvaro Viebrantz
 
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...tdc-globalcode
 
Kuwaiba primeiros passos
Kuwaiba primeiros passosKuwaiba primeiros passos
Kuwaiba primeiros passosJorge Ferreira
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Renato Groff
 
Segurança e Cloud Computing
Segurança e Cloud ComputingSegurança e Cloud Computing
Segurança e Cloud ComputingOWASP Chapter Recife
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosVanessa Me Tonini
 
Minicurso Intel XDK
Minicurso Intel XDKMinicurso Intel XDK
Minicurso Intel XDKDiego Cavalca
 
Minicurso Intel XDK
Minicurso Intel XDKMinicurso Intel XDK
Minicurso Intel XDKDiego Cavalca
 
Tecnologia e Inovação - YPO
Tecnologia e Inovação - YPOTecnologia e Inovação - YPO
Tecnologia e Inovação - YPORichard Chaves
 
Windows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de VozWindows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de VozLuiz Otávio Gava
 
Isso é Mozy
Isso é MozyIsso é Mozy
Isso é MozyGVTech
 
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021Renato Groffe
 
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009MobileMonday Rio de Janeiro
 
WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"Rui Ribeiro
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Carlos Serrano
 
TDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para MakersTDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para Makerstdc-globalcode
 
Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSSConviso Application Security
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 

Mais conteúdo relacionado

Semelhante a HTML5 Segurança Riscos

Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Renato Groff
 
Palestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfPalestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfGustavo Ferreira Palma
 
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...Alvaro Viebrantz
 
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...tdc-globalcode
 
Kuwaiba primeiros passos
Kuwaiba primeiros passosKuwaiba primeiros passos
Kuwaiba primeiros passosJorge Ferreira
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Renato Groff
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosVanessa Me Tonini
 
Tecnologia e Inovação - YPO
Tecnologia e Inovação - YPOTecnologia e Inovação - YPO
Tecnologia e Inovação - YPORichard Chaves
 
Windows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de VozWindows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de VozLuiz Otávio Gava
 
Isso é Mozy
Isso é MozyIsso é Mozy
Isso é MozyGVTech
 
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021Renato Groffe
 
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009MobileMonday Rio de Janeiro
 
WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"Rui Ribeiro
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Carlos Serrano
 
TDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para MakersTDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para Makerstdc-globalcode
 

Semelhante a HTML5 Segurança Riscos (20)

Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
 
Internet e Web NÃO SÃO as mesmas coisas
Internet e Web NÃO SÃO as mesmas coisasInternet e Web NÃO SÃO as mesmas coisas
Internet e Web NÃO SÃO as mesmas coisas
 
Ago techdoc
Ago techdocAgo techdoc
Ago techdoc
 
Palestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdfPalestra Edge Computing Sistemas Embarcados.pdf
Palestra Edge Computing Sistemas Embarcados.pdf
 
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
Criando soluções de IoT usando Javascript de Ponta a Ponta: do Hardware até a...
 
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
TDC2018SP | Trilha JavaScript - Criando solucoes de IoT usando Javascript de ...
 
Kuwaiba primeiros passos
Kuwaiba primeiros passosKuwaiba primeiros passos
Kuwaiba primeiros passos
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
 
Segurança e Cloud Computing
Segurança e Cloud ComputingSegurança e Cloud Computing
Segurança e Cloud Computing
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passos
 
Minicurso Intel XDK
Minicurso Intel XDKMinicurso Intel XDK
Minicurso Intel XDK
 
Minicurso Intel XDK
Minicurso Intel XDKMinicurso Intel XDK
Minicurso Intel XDK
 
Tecnologia e Inovação - YPO
Tecnologia e Inovação - YPOTecnologia e Inovação - YPO
Tecnologia e Inovação - YPO
 
Windows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de VozWindows Phone e Reconhecimento de Voz
Windows Phone e Reconhecimento de Voz
 
Isso é Mozy
Isso é MozyIsso é Mozy
Isso é Mozy
 
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
Boas Práticas em Aplicações na Nuvem: Twelve-Factor App | MVPConf Latam 2021
 
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
MobileMonday Rio - W3C e 
Mobile Web - 9 Nov. 2009
 
WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"WebRTC, muito mais do que "Talking Heads"
WebRTC, muito mais do que "Talking Heads"
 
Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)Fornetix lgpd-whitepaper-portuguese (3)
Fornetix lgpd-whitepaper-portuguese (3)
 
TDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para MakersTDC2016SP - Conhecendo o Ecossistema Linkit para Makers
TDC2016SP - Conhecendo o Ecossistema Linkit para Makers
 

Mais de Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Mais de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 

HTML5 Segurança Riscos

  • 1. HTML5 Seguro ou Inseguro? Wagner Elias Gerente de Pesquisa e Desenvolvimento sexta-feira, 3 de dezembro de 2010
  • 2. Agenda • HTML5 • Uma nova e eficaz abordagem para • O que é? Botnets • Quem usa? • Geolocation • Alguns Recursos • WebSocket • localStorage • LocalStorage • Websocket • Explorando • Ele pode ser um big • Client-Side SQLi brother • Navigator • Stored XSS • Geolocation • Conclusão CONVISO IT SECURITY 2 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 3. HTML5 CONVISO IT SECURITY 3 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 4. O que é? Morra Geolocation Flash Video Canvas Offline Web App CONVISO IT SECURITY 4 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 5. Quem usa? CONVISO IT SECURITY 5 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 6. Alguns Recursos CONVISO IT SECURITY 6 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 7. localStorage 5Mb (No browser) CONVISO IT SECURITY 7 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 8. Websockets CONVISO IT SECURITY 8 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 9. Ele pode ser um Big Brother CONVISO IT SECURITY 9 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 10. Navigator Você está online? Qual o seu sistema Operacional? Qual o seu histórico de navegação? CONVISO IT SECURITY 10 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 11. Geolocation CONVISO IT SECURITY 11 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 12. Uma nova e eficaz abordagem para Botnets CONVISO IT SECURITY 12 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 13. Abordagem segmentada por região com Geolocation CONVISO IT SECURITY 13 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 14. Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta CONVISO IT SECURITY 14 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 15. LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5) CONVISO IT SECURITY 15 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 16. Client-Side Exploit CONVISO IT SECURITY 16 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 17. Client-Side SQLi * PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html CONVISO IT SECURITY 17 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 18. Stored XSS CONVISO IT SECURITY 18 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 19. Conclusão CONVISO IT SECURITY 19 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 20. Conclusão • Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela • Um novo desafio para ferramentas e profissionais que testam aplicações web • Alguns recursos serão alvo de ataques e ações criminosas CONVISO IT SECURITY 20 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 21. Referências • http://HTML5Rocks.com • http://html5demos.com/ • http://websockets.org/ • http://dev.w3.org/html5/websockets/ CONVISO IT SECURITY 21 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010
  • 22. Obrigado... • Blog: http://wagnerelias.com • E-mail: welias@conviso.com.br • Twitter: @welias CONVISO IT SECURITY 22 HTML5 SEGURO OU INSEGURO? sexta-feira, 3 de dezembro de 2010