O documento fornece 10 dicas de segurança para desenvolvedores, incluindo a importância de um arquiteto de segurança, validação de dados de entrada, criptografia, logs e proteção de comunicações.
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
Este documento fornece dicas sobre como tornar aplicações PHP mais seguras, abordando tópicos como: 1) filtrar todas as entradas para evitar SQL injection e outros ataques; 2) escapar todas as saídas para evitar erros de renderização; 3) usar criptografia forte para dados sensíveis. O objetivo é ajudar desenvolvedores a corrigirem vulnerabilidades comuns e blindarem seu código.
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29cadiego
O documento apresenta as principais vulnerabilidades em aplicações web e recomendações de acordo com o OWASP TOP10. Aborda riscos como injeção, quebra de autenticação, XSS e exposição de dados. Recomenda validar entradas, minimizar privilégios, usar HTTPS e inserir segurança no ciclo de desenvolvimento.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
O CJR Apresenta chega em sua segunda versão, de muitas, e dessa vez trás Thiago Stuckert e Leandro Silva dos Santos, formandos em Ciência da Computação, para falar de um assunto que jamais perderrá sua importância: Segurança na Web.
Nessa palestra, serão apresentados os 10 maiores riscos no desenvolvimento para Web, apontados através do OWASP (Open Web Application Security Project), projeto que a cada 3 anos, realiza esse estudo sobre os riscos na Web.
O documento fornece dicas sobre como criar aplicações Node.js de forma segura, discutindo riscos comuns como XSS, SSJSi, CSRF e ataques DoS. Ele recomenda validar dados de entrada, evitar eval(), atualizar versões, usar corretamente métodos HTTP, remover cabeçalhos desnecessários e incluir testes de segurança no desenvolvimento.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
Este documento fornece dicas sobre como tornar aplicações PHP mais seguras, abordando tópicos como: 1) filtrar todas as entradas para evitar SQL injection e outros ataques; 2) escapar todas as saídas para evitar erros de renderização; 3) usar criptografia forte para dados sensíveis. O objetivo é ajudar desenvolvedores a corrigirem vulnerabilidades comuns e blindarem seu código.
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29cadiego
O documento apresenta as principais vulnerabilidades em aplicações web e recomendações de acordo com o OWASP TOP10. Aborda riscos como injeção, quebra de autenticação, XSS e exposição de dados. Recomenda validar entradas, minimizar privilégios, usar HTTPS e inserir segurança no ciclo de desenvolvimento.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
O CJR Apresenta chega em sua segunda versão, de muitas, e dessa vez trás Thiago Stuckert e Leandro Silva dos Santos, formandos em Ciência da Computação, para falar de um assunto que jamais perderrá sua importância: Segurança na Web.
Nessa palestra, serão apresentados os 10 maiores riscos no desenvolvimento para Web, apontados através do OWASP (Open Web Application Security Project), projeto que a cada 3 anos, realiza esse estudo sobre os riscos na Web.
O documento fornece dicas sobre como criar aplicações Node.js de forma segura, discutindo riscos comuns como XSS, SSJSi, CSRF e ataques DoS. Ele recomenda validar dados de entrada, evitar eval(), atualizar versões, usar corretamente métodos HTTP, remover cabeçalhos desnecessários e incluir testes de segurança no desenvolvimento.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
1) O documento discute testes de segurança de software, abordagens como white-box e black-box, e a importância da modelagem de ameaças para planejar testes.
2) É explicado que testes de segurança buscam garantir não repúdio, controle de acesso e privacidade de dados.
3) A modelagem de ameaças mapeia riscos e ajuda a definir requisitos de segurança.
As 10 maiores falhas de segurança e como executá-lasWalter Dias
O documento apresenta as 10 principais falhas de segurança segundo a OWASP (Open Web Application Security Project) e como executá-las, incluindo injeção, cross-site scripting, autenticação e gerenciamento de sessão falhos, referências de objetos diretos inseguras, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e execução maliciosa de arquivos. O documento discute cada falha
Desenvolvendo sistemas seguros com PHPFlavio Souza
O documento discute técnicas de desenvolvimento seguro com PHP, abordando tipos de ataques comuns como XSS, CSRF e SQL Injection. Ele fornece explicações sobre cada ataque e contramedidas como validação de entrada e saída de dados, limitação de recursos e uso de frameworks. O documento também apresenta configurações no php.ini para tornar o PHP mais seguro, desabilitando funções perigosas e exibição de erros.
O documento discute o desenvolvimento de software seguro, destacando que a maioria das vulnerabilidades são resultados de má codificação. Apresenta a injeção de código como a principal causa de vulnerabilidades e exemplifica um ataque de SQL injection. Reforça a importância de usar boas práticas de programação segura, como tratar todas as entradas de usuário como parâmetros e usar privilégios mínimos.
Palestra realizada no evento Coding Night #3 - Microsoft
- Cenário atual no Desenvolvimento Web;
- Mercado x Perfil dos usuários;
- Introdução à tecnologias Web;
- Design e Layout atualizado;
- Arquitetura de Processamento Web;
- HTML5 e CSS3;
- Utilizando Bootstrap;
- Introdução ao jQuery;
- Linguagens de Programação Web - Back End;
- Banco de dados;
- Introdução ao Desenvolvimento Seguro;
- Técnicas de Performance e Desempenho
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
Este documento apresenta políticas de segurança para os profissionais de TI, incluindo: 1) respeitar todas as normas de segurança; 2) sanções por não cumprimento das políticas; 3) diretrizes para uso seguro de e-mail e internet.
The document provides a list of negatives and positives about various locations in Estherville. Among the negatives are that the railroad tracks are messy, dangerous and inconvenient; Thoreson's bathrooms are un-sanitary and smelly; the tunnel is vandalized, old and beat up; the trestle is rusted, run down and dangerous; the storage behind Napa is ugly with chipping paint and old; and the Honda shop is messy, unkept and dirty. The positives include that Fort Defiance Lodge is clean, pleasant and nice; Thoreson Park is clean, kid-friendly and colorful; RWC is spacious, new and fun; the library is quiet, beautiful and historical;
Curso de comprensión lectora en inglés grupo 4Alicia Garcia
Este curso de comprensión lectora en inglés está dirigido a estudiantes universitarios de ingeniería electrónica hispanohablantes con un nivel de inglés entre A2 y B1. Los objetivos son analizar críticamente textos en inglés, prepararse académicamente para el trabajo y reconocer diferencias entre el inglés y la lengua materna. El curso utilizará textos genuinos, foros, tareas grupales y evaluaciones continuas para desarrollar habilidades de lectura como identificar ideas y funciones del lenguaje.
Creating a single, consistent experience across the Queensland Government website
Presented by David Beal & Andrew Ramsden, Queensland Government
The Queensland Government is a diverse and complicated organisation, spanning over 13 different departments, covering everything in the state from running the treasury to issuing fishing licenses. As more and more services have been provided online the Government's web presence has also grown to reflect this diversity and complexity, which can make it hard for the public to realise the full benefits of the available services. Through their hard work researching, designing and implementing a common, single website experience, the Queensland Government Online team is in the process of changing this to make Queensland a world leader in the online space. In this case study, David and Andrew will share the highs, lows and challenges they have faced along their journey.
The document lists the winners of various awards at a 2012 awards banquet, including New Event of the Year awarded to Chris Goad for "Life Rolls On", Volunteer of the Year awarded to Ryan "Awesome Dude" Venable, and Most Valuable Person awarded to Joel Hendrix nicknamed "Peanut".
The document discusses the overrepresentation of Aboriginal children in Canada's child welfare system and calls for increased funding to support preventative and proactive practices led by Aboriginal agencies. It notes that colonization, residential schools, and the 60's Scoop contributed to the current crisis, and that poverty and lack of resources - rather than abuse - are typically the causes for Aboriginal children being taken into care. The document advocates for a rights-based, culturally-appropriate approach guided by self-determination to address this issue in line with the UN Convention on the Rights of the Child.
O documento resume os resultados da equipe de hóquei FC Porto nas competições nacionais e distritais de juniores para a temporada 2008/2009. Na competição nacional, o FC Porto terminou em primeiro lugar na primeira fase e terceiro lugar na segunda fase. No campeonato distrital da série B, o FC Porto foi o campeão invicto com 37 pontos.
How To Keep Your Business: Focus On Your CustomerMasterBizCoach
Focusing too much on daily operations can take your attention away from customers, who choose companies that treat them like royalty by providing an enhanced experience. While running a business comes with challenges, addressing operational problems immediately and prioritizing excellent customer service will help keep your business successful.
Este documento promueve una oportunidad de negocio basada en la venta de toallas sanitarias absorbentes con propiedades terapéuticas a través de un modelo de marketing multinivel. Se destaca que es un producto de consumo masivo mundial y de uso obligatorio con compra repetitiva. Se ofrece ganar dinero a través de ventas directas, comisiones por patrocinio, ventas de equipos y liderazgo, así como premios. Se invita a contactar a la persona indicada para más información.
A União Europeia está enfrentando desafios sem precedentes devido à pandemia de COVID-19 e à invasão russa da Ucrânia. Isso destacou a necessidade de autonomia estratégica da UE em áreas como energia, defesa e tecnologia digital para proteger seus cidadãos e valores fundamentais. Ao mesmo tempo, a UE deve manter a cooperação com parceiros que compartilham os mesmos princípios para enfrentar essas ameaças globais.
1) O documento discute testes de segurança de software, abordagens como white-box e black-box, e a importância da modelagem de ameaças para planejar testes.
2) É explicado que testes de segurança buscam garantir não repúdio, controle de acesso e privacidade de dados.
3) A modelagem de ameaças mapeia riscos e ajuda a definir requisitos de segurança.
As 10 maiores falhas de segurança e como executá-lasWalter Dias
O documento apresenta as 10 principais falhas de segurança segundo a OWASP (Open Web Application Security Project) e como executá-las, incluindo injeção, cross-site scripting, autenticação e gerenciamento de sessão falhos, referências de objetos diretos inseguras, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e execução maliciosa de arquivos. O documento discute cada falha
Desenvolvendo sistemas seguros com PHPFlavio Souza
O documento discute técnicas de desenvolvimento seguro com PHP, abordando tipos de ataques comuns como XSS, CSRF e SQL Injection. Ele fornece explicações sobre cada ataque e contramedidas como validação de entrada e saída de dados, limitação de recursos e uso de frameworks. O documento também apresenta configurações no php.ini para tornar o PHP mais seguro, desabilitando funções perigosas e exibição de erros.
O documento discute o desenvolvimento de software seguro, destacando que a maioria das vulnerabilidades são resultados de má codificação. Apresenta a injeção de código como a principal causa de vulnerabilidades e exemplifica um ataque de SQL injection. Reforça a importância de usar boas práticas de programação segura, como tratar todas as entradas de usuário como parâmetros e usar privilégios mínimos.
Palestra realizada no evento Coding Night #3 - Microsoft
- Cenário atual no Desenvolvimento Web;
- Mercado x Perfil dos usuários;
- Introdução à tecnologias Web;
- Design e Layout atualizado;
- Arquitetura de Processamento Web;
- HTML5 e CSS3;
- Utilizando Bootstrap;
- Introdução ao jQuery;
- Linguagens de Programação Web - Back End;
- Banco de dados;
- Introdução ao Desenvolvimento Seguro;
- Técnicas de Performance e Desempenho
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
Este documento apresenta políticas de segurança para os profissionais de TI, incluindo: 1) respeitar todas as normas de segurança; 2) sanções por não cumprimento das políticas; 3) diretrizes para uso seguro de e-mail e internet.
The document provides a list of negatives and positives about various locations in Estherville. Among the negatives are that the railroad tracks are messy, dangerous and inconvenient; Thoreson's bathrooms are un-sanitary and smelly; the tunnel is vandalized, old and beat up; the trestle is rusted, run down and dangerous; the storage behind Napa is ugly with chipping paint and old; and the Honda shop is messy, unkept and dirty. The positives include that Fort Defiance Lodge is clean, pleasant and nice; Thoreson Park is clean, kid-friendly and colorful; RWC is spacious, new and fun; the library is quiet, beautiful and historical;
Curso de comprensión lectora en inglés grupo 4Alicia Garcia
Este curso de comprensión lectora en inglés está dirigido a estudiantes universitarios de ingeniería electrónica hispanohablantes con un nivel de inglés entre A2 y B1. Los objetivos son analizar críticamente textos en inglés, prepararse académicamente para el trabajo y reconocer diferencias entre el inglés y la lengua materna. El curso utilizará textos genuinos, foros, tareas grupales y evaluaciones continuas para desarrollar habilidades de lectura como identificar ideas y funciones del lenguaje.
Creating a single, consistent experience across the Queensland Government website
Presented by David Beal & Andrew Ramsden, Queensland Government
The Queensland Government is a diverse and complicated organisation, spanning over 13 different departments, covering everything in the state from running the treasury to issuing fishing licenses. As more and more services have been provided online the Government's web presence has also grown to reflect this diversity and complexity, which can make it hard for the public to realise the full benefits of the available services. Through their hard work researching, designing and implementing a common, single website experience, the Queensland Government Online team is in the process of changing this to make Queensland a world leader in the online space. In this case study, David and Andrew will share the highs, lows and challenges they have faced along their journey.
The document lists the winners of various awards at a 2012 awards banquet, including New Event of the Year awarded to Chris Goad for "Life Rolls On", Volunteer of the Year awarded to Ryan "Awesome Dude" Venable, and Most Valuable Person awarded to Joel Hendrix nicknamed "Peanut".
The document discusses the overrepresentation of Aboriginal children in Canada's child welfare system and calls for increased funding to support preventative and proactive practices led by Aboriginal agencies. It notes that colonization, residential schools, and the 60's Scoop contributed to the current crisis, and that poverty and lack of resources - rather than abuse - are typically the causes for Aboriginal children being taken into care. The document advocates for a rights-based, culturally-appropriate approach guided by self-determination to address this issue in line with the UN Convention on the Rights of the Child.
O documento resume os resultados da equipe de hóquei FC Porto nas competições nacionais e distritais de juniores para a temporada 2008/2009. Na competição nacional, o FC Porto terminou em primeiro lugar na primeira fase e terceiro lugar na segunda fase. No campeonato distrital da série B, o FC Porto foi o campeão invicto com 37 pontos.
How To Keep Your Business: Focus On Your CustomerMasterBizCoach
Focusing too much on daily operations can take your attention away from customers, who choose companies that treat them like royalty by providing an enhanced experience. While running a business comes with challenges, addressing operational problems immediately and prioritizing excellent customer service will help keep your business successful.
Este documento promueve una oportunidad de negocio basada en la venta de toallas sanitarias absorbentes con propiedades terapéuticas a través de un modelo de marketing multinivel. Se destaca que es un producto de consumo masivo mundial y de uso obligatorio con compra repetitiva. Se ofrece ganar dinero a través de ventas directas, comisiones por patrocinio, ventas de equipos y liderazgo, así como premios. Se invita a contactar a la persona indicada para más información.
A União Europeia está enfrentando desafios sem precedentes devido à pandemia de COVID-19 e à invasão russa da Ucrânia. Isso destacou a necessidade de autonomia estratégica da UE em áreas como energia, defesa e tecnologia digital para proteger seus cidadãos e valores fundamentais. Ao mesmo tempo, a UE deve manter a cooperação com parceiros que compartilham os mesmos princípios para enfrentar essas ameaças globais.
The document discusses the history of copyright and how it has evolved from initially being limited to a term of 14 years to essentially being indefinite. It argues that current copyright law and technology are overly restrictive and control creativity, moving society away from a free culture. It calls for more transparent and freely shared creative works using open formats and licenses to promote innovation as in earlier eras when copyright terms were shorter.
La tecnología es el conjunto de conocimientos técnicos ordenados científicamente que permiten diseñar y crear bienes y servicios para facilitar la adaptación al medio ambiente y satisfacer las necesidades y deseos de las personas. Se origina de las palabras griegas "téchnē" que significa arte u oficio y "logía" que significa estudio. La tecnología puede referirse a una disciplina teórica que estudia los saberes comunes a todas las tecnologías o a la educación tecnológica para familiarizarse con las tecnologías
The document is a presentation about how to know you are going to heaven. It states that heaven is a free gift from God that cannot be earned, only received through faith in Jesus Christ. It explains that all people are sinners, but God solved this through Jesus, who died for our sins and rose from the dead. To receive salvation, one must repent of sins and accept Jesus alone as Savior by faith, trusting in Him rather than oneself for eternal life. The presentation encourages viewing all the slides, then praying a sample prayer to commit to Jesus if ready to be saved.
La nutrigenética estudia cómo los genes de una persona afectan la forma en que el cuerpo procesa y metaboliza los alimentos, y cómo los alimentos y nutrientes afectan la expresión de los genes y el riesgo de enfermedades. Se centra en cómo los alimentos, los nutrientes y los componentes dietéticos interactúan con los genes para afectar la salud y el riesgo de enfermedades.
Este documento discute segurança de aplicações web, definindo o que são aplicações web e webservices, e abordando riscos, vulnerabilidades e exemplos comuns, como parâmetros inválidos, controle de acesso falho e injeção de comando/SQL. O foco é que a segurança começa com o código da aplicação e que a maioria das invasões ocorrem devido a vulnerabilidades na codificação.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
O documento apresenta Alcyon Junior, um especialista em segurança cibernética com diversas graduações e certificações na área. Ele atua como consultor de segurança cibernética para as Nações Unidas e professor na Universidade Católica de Brasília. O texto também descreve os passos de um teste de penetração, incluindo a coleta de informações, mapeamento da rede, busca por vulnerabilidades e formas de prevenção.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
Vou apresentar e explorar as 5 maiores falhas cometidas pelos programadosres na hora de codar e identificar as práticas de codificação inseguras que levam a esses erros para instruir os desenvolvedores sobre alternativas seguras, as organizações podem adotar medidas proativas para ajudar a reduzir ou eliminar significativamente as vulnerabilidades no software antes da implantação.
Vou apresentar e explorar as 5 maiores falhas cometidas pelos programadosres na hora de codar e identificar as práticas de codificação inseguras que levam a esses erros para instruir os desenvolvedores sobre alternativas seguras, as organizações podem adotar medidas proativas para ajudar a reduzir ou eliminar significativamente as vulnerabilidades no software antes da implantação.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
OSUG-BH - Desenvolvimento Seguro em OutSystemsfelipehorta14
Vamos falar de segurança (de novo!)
A conversa dessa vez é sobre a experiência com o desenvolvimento seguro. Vamos bater um papo com o Gustavo Fontinha, especialista em aplicações e em DevSecOps da Petrobrás, sobre alguns conceitos, melhores práticas e como construir aplicações seguras em OutSystems.
Vamos ver o que podemos fazer antes, durante e depois do desenvolvimento e lançamento em produção das aplicações.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
O documento fornece informações sobre como se tornar um especialista em desenvolvimento seguro de software, discutindo boas práticas de segurança, ameaças comuns como SQL injection e XSS, e certificações como SPF EXIN e CSSLP para validar conhecimentos.
Uma palestra prática mostrando as principais falhas em arquiteturas web e como desenvolver projetos com segurança. São exibidos também recursos do Azure para fortalecer tecnologias.
O documento apresenta Alcyon Junior, um especialista em segurança cibernética que discute testes de penetração (PenTest) realizados com a ferramenta Kali Linux. Ele descreve as etapas de um PenTest, incluindo coleta de informações, mapeamento de rede, enumeração de serviços, busca por vulnerabilidades e formas de prevenção.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
O documento apresenta uma palestra sobre segurança em aplicações web ministrada pelo professor Alex Camargo. A palestra aborda três principais tipos de ataques: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection. O professor demonstra como esses ataques funcionam e apresenta boas práticas de programação para preveni-los, como filtrar entradas e escapar saídas.
O documento discute tópicos sobre segurança na plataforma Java, abordando a metodologia SD3 de desenvolvimento seguro, categorias de ameaças como STRIDE e OWASP Top 10, e implementações e ferramentas de segurança como autenticação, criptografia, certificados digitais e mecanismos de autorização.
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
O documento discute boas práticas de segurança para aplicações web PHP, cobrindo tópicos como injeção de código, autenticação, sessões, XSS, CSRF e outras vulnerabilidades do OWASP Top 10. Ele também fornece exemplos de como implementar filtros, hashes de senha, verificação de tokens e outras técnicas para melhorar a segurança.
O documento apresenta um curso sobre Codificação Segura - Fundamentos. O objetivo do curso é capacitar os participantes em habilidades e conhecimentos de Programação Segura. O curso aborda tópicos como ataques de injeção, validação de entrada do usuário e prevenção de estouros de buffer e cross-site scripting.
O documento discute ransomware, incluindo: (1) o que é ransomware e como funciona um ataque; (2) como se proteger implementando melhorias na segurança do servidor, rede e aplicação; (3) como diminuir o impacto de um ataque e reestabelecer o ambiente.
O documento descreve o Open-Audit, uma solução gratuita para realizar inventário de ativos de TI em redes locais. Ele explica como instalar e configurar o Open-Audit em um servidor web com PHP e MySQL, e como usar scripts para coletar informações de hardware e software de computadores Windows e Linux sem a necessidade de instalar agentes. O Open-Audit fornece relatórios e pesquisas sobre os ativos inventariados através de uma interface web.
Conheça os software de Segurança da Informação e Infra que ofertamos ao mercado. Destaques para :Acunetix (scan vuln apl web), SenhaSegura (Cofre Eletronico de Senhas), ControlUP (gerenciamento de ambientes VDI) - além de serviços de consultoria (pentest, scan aplicações web, auditoria de TI, etc).
Semelhante a Segurança de Aplicações WEB e OpenSource (20)
Jesus responde a oração do Pai-Nosso oferecendo consolo e promessas de amor e proteção. Ele pede que confiemos nele, compartilhemos com os outros, perdoemos como ele perdoa, e lembremos que ele sempre nos amará como um pai amoroso.
O documento discute o uso crescente de smartphones para acessar redes sociais. Aponta que 75% dos brasileiros usam celulares para redes sociais, a taxa mais alta entre dez países pesquisados. Também discute aplicativos de redes sociais para Android entre os mais baixados e define social hubs como ferramentas para unificar o uso de vários sistemas sociais em smartphones.
O documento descreve uma cirurgia realizada no útero de uma mãe para corrigir uma fissura na coluna vertebral do feto. Durante a cirurgia, o feto estendeu a mão e agarrou o dedo do médico, em um momento capturado em foto. O bebê, chamado Samuel Alexander Armas, nasceu saudável após a cirurgia ter sido um sucesso.
O documento lista várias bênçãos comuns que as pessoas dão como certas, como saúde, liberdade religiosa e acesso a comida e abrigo. No entanto, destaca que bilhões de pessoas no mundo não desfrutam dessas mesmas bênçãos. Recomenda que as pessoas contem suas próprias bênçãos e as apreciem.
A Lei Maria da Penha garante mecanismos de defesa mais abrangentes para mulheres vítimas de violência doméstica. Ela aumenta as penas para agressores e permite medidas protetivas imediatas. A lei homenageia Maria da Penha, que sofreu tentativas de homicídio pelo marido e lutou por justiça durante 20 anos.
Um jovem de 28 anos, formado em Harvard, administrador de empresas e advogado herda a presidência de uma empresa, a Semco. O ex-roqueiro substitui o pai, homem-chave, que conduzia a empresa como todo homem chave costuma conduzir: sua empresa é sua vida. Neste quadro, Semler necessita “Virar a Mesa” de uma organização em má situação financeira, com métodos de gestão atrasados e com seu único produto em declínio no mercado.
O documento é uma oração pedindo a Deus para acalmar o passo da pessoa, diminuindo seu ritmo apressado e tensão através da contemplação da natureza, do sono reparador e de pequenos momentos de descanso e conexão com os outros. A oração pede também para perceber a presença constante de Deus e ser inspirado a plantar raízes nos valores duradouros para crescer em direção ao seu destino.
O nadador costumava molhar o dedo do pé antes de pular na piscina para se lembrar da noite em que quase morreu ao pular em uma piscina esvaziada. Naquela noite, ele viu sua sombra na parede formando uma cruz e refletiu sobre o significado do sacrifício de Jesus. Isso o levou a se converter e dedicar sua vida a Deus, que o salvou duas vezes naquela noite.
O documento discute a "Alegoria da Caverna" de Platão e como ela é reinterpretada por Maurício de Souza. Maurício ilustra de forma humorística como as pessoas ainda são influenciadas pelo ambiente ao seu redor, comparando a televisão moderna com as sombras na caverna de Platão.
A comunicação entre Roberto e seu colega se torna confusa devido ao uso excessivo de diferentes meios de comunicação como e-mail, fax e telefone. Eles tentam, sem sucesso, trocar seus contatos através destes meios, ilustrando como a dependência excessiva da tecnologia pode acabar gerando perda de tempo.
1. Segurança de Aplicações WEB e
Open Source
10 dicas de segurança para desenvolvedores
AlexandreMarcolino
2. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
A segurança de um sistema inicia da primeira linha de código ?
NÃO !
10 dicas de segurança para desenvolvedores
3. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
10 dicas para orientar
você a
desenvolver/projetar
aplicações de forma
mais segura.
10 dicas de segurança para desenvolvedores
4. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
01 – O Arquiteto de Segurança
Profissional capacitado em segurança que irá determinar as diretrizes a serem
seguidas para garantir a segurança de sua aplicação, dados e servidores.
Desenvolvedores desenvolvem. Arquitetos de segurança não.
Arquitetos de segurança querem fechar tudo. Aplicações WEB são PÚBLICAS.
Deve ser estabelecido então um consenso sobre o nível de RISCO.
10 dicas de segurança para desenvolvedores
5. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
02 – Autenticação
A primeira coisa que uma aplicação precisa ter bem desenvolvida é o módulo
de autenticação de usuário.
Existem frameworks ótimos no mercado, pagos e não pagos, que cuidam
exclusivamente disso.
Opensource – OpenAM ( Antigo OpenSSO, descontinuado pela Oracle/Sun )
Exemplo-openAM.txt
10 dicas de segurança para desenvolvedores
6. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
03 – Gerenciamento de Sessão
Aplicações WEB são ASSÍNCRONAS, isto é, cada transação desconecta o
usuário do servidor ao fim da execução.
Isto delega à camada CLIENTE ( Insegura e não controlável ) a informação
sobre a autenticação, autorizações e estado de utilização da aplicação.
Não transfira DADOS. Coloque um ID na sessão e mantenha uma relação
IDxDADOS em uma TABELA!
Criptografe os DADOS e o ID com um hash ( segredo ) mutante, que é
alterado todo dia pelo menos sem intervenção humana.
WADI – Framework que gerencia o ID da sessão, para aplicações WEB
10 dicas de segurança para desenvolvedores
7. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
04 – Controle de Acesso
Controle de Acesso é a política de o que pode ser acessado por quem!
Não é o DESENVOLVEDOR que define isso.Não se dê ao trabalho de decidir
quem acessa o que.
Coloque o seu MENU de opções em uma tabela e associe grupos de acesso
aos MENUS. Seus programas ficarão mais limpos e fáceis de permissionar.
Não crie grupos demais. Não foque permissionamento em grupos ou
usuários, tenha os dois. Coloque o usuário como precedente.
Mantenha em LOG todas as alterações de permissionamento, registrando
quem deu o ACESSO a QUEM! Isso pode salvar seu emprego.
Mantenha os LOGS de ACESSO a salvo. Isso pode salvar seu emprego.
10 dicas de segurança para desenvolvedores
8. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
05 – Validação de dados de Entrada
Basta ter tempo e imaginação ( conhecimento técnico é obrigação )
para descobrir uma forma de injetar código em um formulário WEB.
Campos do tipo ALFANUMÉRICOS são os mais vulneráveis.
Crie validações em duas camadas:
a) Com javascript, antes de submeter a página já elimine os
&$%| e outros caracteres maliciosos, usados para injeção de código.
b) Antes de sair submetendo ao banco, busque na string
palavras chave. Afinal ninguém se chama DROP SYSTEM CASCADE;Framework utilizando Struts 1.2
struts-config.xml
<plug-in className="org.apache.struts.validator.ValidatorPlugIn">
<set-property property="pathnames" value="/technology/WEB-INF/
validator-rules.xml, /WEB-INF/validation.xml"/>
</plug-in>
Código em Java do plugin
package com.pcs.necronomicon
import org.apache.struts.validator.ValidatorForm;
public class LogonForm extends ValidatorForm {
private String username;
private String password;
public String getUsername() {
return username;
}
public void setUsername(String username) {
this.username = username;
}
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
}
Publicação do objeto (struts-config.xml de novo )
<form-beans>
<form-bean name="logonForm"
type=" com.pcs.necronomicon.LogonForm"/>
</form-beans>
Arquivo validation.xml
<form-validation>
<formset>
<form name="logonForm">
<field property="username"
depends="required">
<arg0 key="prompt.username"/>
</field>
</form>
</formset>
</form-validation>
CUIDADO COM TUDO NO XML! Lembre-se, XML é case sensitive!
10 dicas de segurança para desenvolvedores
9. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
06 – Codifique sua saída
Uma saída codificada impede que um atacante saiba como injetar
código ou colher dados de sua aplicação.
Exemplo de errado:
https://www.google.com/a/webviva.com.br/ServiceLogin?service=mail&passive=true&rm=false&contin
ue=http://mail.google.com/a/webviva.com.br/<mpl=googlemail
Exemplo certo:
https://painel.host.uol.com.br/painel.php?fn=authUser&gr=35&a=8c57776b63174afa529a253814e1bd
e72e316fab|d4de5c0447858bb08ee0760043a6abb8589a8a39&x=XOmoVd124LaIf03i2sgD|d4de5c044
7858bb08ee0760043a6abb8589a8a39&z=d4de5c0447858bb08ee0760043a6abb8589a8a39&t=0&pane
lOpen=inicio
10 dicas de segurança para desenvolvedores
10. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
07 – Criptografia ( SSL, TLS, etc... ) e certificados digitais
Algo tão simples e tão no dia a dia que a galera simplesmente deixa
de usar por displiscência, igual a preservativos!
OpenSSL é seu amigo!
10 dicas de segurança para desenvolvedores
11. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
08 – LOG e Tratamento de Erros
Armazenar os LOGS de forma simples, de fácil acesso e compreensão,
preservados e gerenciados adequadamente.
SYSLOG-NG
Não cuspa o erro no LOG só porque você é capaz de saber o que ele
significa. Crie uma transação única que trata todos os erros e documenta
eles adequadamente nos LOGS. Isso servirá como uma evidência real.
Guarde junto com o seu erro TUDO QUE PUDER sobre o que o usuário
estava transacionando. E sincronize isso com o registro da AUDITORIA da
aplicação. Você vai me agradecer um dia.
10 dicas de segurança para desenvolvedores
12. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
08 – LOG e Tratamento de Erros
Log MUITO RUIM:
[Thread-4986] 26-04-2012 11:56:36.736 > ERROR (?:?) - Ocorreu erro no tratamento ou envio do
socket do BANCO XXXX br.com.sistema.cartao.exception.IFException: Ocorreu erro ao efetivar o
bloqueio do cartão PL - CPF 71304421734 at br.com.
sistema.cartao.business.IFBusiness.efetivaBloqueioCartaoPL(IFBusiness.java:664)
at br.com. sistema.cartao.if.socket.ComunicadorIF.run(ComunicadorIF.java(Compiled Code))
at java.lang.Thread.run(Thread.java(Compiled Code))
Caused by: br.com. sistema.cartao.if.exception.IFException: O cliente 71304421734 não será
desbloqueado porque não está aguardando desbloqueio. At br.com.
sistema.cartao.if.business.IFBusiness.efetivaBloqueioCartaoPL(IFBusiness.java:631)
... 2 more
10 dicas de segurança para desenvolvedores
13. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
08 – LOG e Tratamento de Erros
Log MELHORZINHO:
2012-04-26 13:09:27,452 ERROR br.com.neurotech.shr.util.NUtils - [Frontend] [erro] => StackTrace da Exceção: [26/04/2012 13:09:27]
........................................................
- Id da Exceção: #133545656744625137141665
- Nome da Classe: br.com.neurotech.excecoes.ExcecaoSistema
- Servidor: mari111 - 128.1.30.49
- CPF do Usuário: 1607680475
- Nome do Usuário: MARIA LUCIANA OLIVEIRA DE SOUSA
- Login do Usuário: L506_MARIAL
- Filial do Usuário: 506
- Debug: br.com.neurotech.cadastro.sql.DAOGenericBD | pSql = SELECT CCM_DOCUMENTO.DOC_COD
| pExcecao = java.sql.SQLSyntaxErrorException: ORA-01722: invalid number
[ORA-01722: invalid number
]
- Data Hora: 26/04/2012 13:09:27
- Stack Trace:
java.sql.SQLSyntaxErrorException: ORA-01722: invalid number
10 dicas de segurança para desenvolvedores
14. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
09 – Proteção dos Dados
Backup
Não adianta a aplicação ser segura e as fitas ficarem na mesa do operador.
Não adianta a aplicação ser segura e o backup não existir.
SGBD de VERDADE – PostgreSQL, MySQL, Oracle...DB2.
Se a aplicação é aderente às melhores práticas de segurança, a solução de
banco tem que acompanhar isso. O ideal é que o usuário que loga no sistema
seja o que existe no banco e ambos tenham seus repositórios de usuários
aderentes a solução de SSO escolhida.
10 dicas de segurança para desenvolvedores
15. Segurança de Aplicações WEB e Open Source
AlexandreMarcolino
10 – Proteção das Comunicações
Redes de dados controladas e certificadas.
Se você pretende usar WIFI, Criptografia.
Internet, Firewall, IDS, Proxy Reverso para um filtro inicial de conexões
indesejadas e outros ativos de segurança devem fazer parte do aparato de que
sustenta as comunicações.
Na rede INTERNA, na comunicação entre a Aplicação e o SGBD, criptografa.
Não é exagero. Cada elo da corrente é importante.
10 dicas de segurança para desenvolvedores
16. Sim, eu quero saber mais!
facebook.com/AlexandreMarcolino
twitter.com/ajmarcol
www.owasp.org
AlexandreMarcolino