A apresentação discute frameworks para verificação de segurança de aplicações web, como OWASP Top Ten e Guia de Testes OWASP. O documento descreve os objetivos, OWASP, OWASP Top Ten, Guia de Testes OWASP, teste de intrusão e um estudo de caso, incluindo vulnerabilidades encontradas e recomendações.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento apresenta uma discussão sobre gerenciamento de vulnerabilidades em redes corporativas. Aborda tópicos como mapeamento de ativos, auditoria de redes automatizada, detecção e correção de vulnerabilidades, e a importância do monitoramento contínuo para identificar e mitigar riscos de segurança.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento apresenta uma discussão sobre gerenciamento de vulnerabilidades em redes corporativas. Aborda tópicos como mapeamento de ativos, auditoria de redes automatizada, detecção e correção de vulnerabilidades, e a importância do monitoramento contínuo para identificar e mitigar riscos de segurança.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
O documento discute técnicas de evasão para varreduras de rede com o scanner Nmap para evitar detecção por firewalls e sistemas de detecção de intrusão. Ele apresenta métodos como varreduras indiretas através de intermediários, contornando técnicas de detecção usando pacotes especiais e dificultando a identificação da origem com ruído de rede. O objetivo é testar a segurança da rede de forma ética sem ser detectado.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento discute os dez principais riscos de segurança em aplicações web (OWASP Top 10) e como preveni-los, incluindo injeção, cross-site scripting, autenticação falha e gerenciamento de sessão, referências diretas a objetos inseguros, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e redirecionamentos e encaminhamentos não validados.
O documento discute abordagens para segurança em desenvolvimento de software. Ele descreve as principais falhas de adotar apenas normas, testes ou documentação. Recomenda o uso do Software Assurance Maturity Model (SAMM) e do Comprehensive, Lightweight Application Security Process (CLASP) para fornecer uma estrutura para implementar segurança ao longo do ciclo de vida do software.
O documento discute a importância da segurança no desenvolvimento de software, destacando que apenas testes e documentação não são suficientes. É necessário um processo de desenvolvimento de software seguro que inclua requisitos claros, modelagem de ameaças, revisão de código, testes de segurança e gestão de vulnerabilidades após o lançamento. O documento também esclarece que os padrões ISO/IEC 15.408 e Common Criteria não devem ser usados como base para segurança no desenvolvimento, pois seu foco é a certificação de produtos prontos.
O documento discute as 10 principais vulnerabilidades em aplicações web, como injeção, quebra de autenticação, cross-site scripting e configuração insegura. Também fornece definições de termos como vulnerabilidade e ameaça, e aborda como projetar aplicações web de forma segura usando padrões como o ASVS.
O documento discute o processo de elicitação e análise de requisitos para o desenvolvimento de sistemas de software. Trata-se de uma aula sobre o tema ministrada pelo professor Wilker Bueno, abordando conceitos como definição de requisitos, objetivos da elicitação e análise, técnicas como entrevistas e cenários, e desafios do processo.
O documento discute o Security Development Lifecycle (SDL) ou Ciclo de Vida de Desenvolvimento Seguro, propondo uma abordagem ágil para incorporar práticas de segurança ao longo de todo o ciclo de desenvolvimento de software. A proposta divide o SDL em atividades discretas em cada fase, desde os requisitos até a manutenção, de forma flexível para ser adaptada a diferentes metodologias de desenvolvimento. O objetivo é tratar a segurança como outro atributo essencial do software, identificando e corrigindo vulnerabilidades o mais cedo possível.
Segurança de software na Administração Pública FederalOWASP Brasília
O documento resume a Norma Complementar 16 (NC16) da Administração Pública Federal brasileira, que estabelece diretrizes para o desenvolvimento e aquisição de software seguro. A NC16 cobre tópicos como requisitos de segurança, controles de segurança, verificação de requisitos e procedimentos contratuais. O objetivo é garantir a obtenção de software seguro nos órgãos e entidades da Administração Pública Federal.
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
O documento discute o levantamento de requisitos de segurança para a implantação da estrutura SAMM v1.0. Ele descreve os principais requisitos de segurança como confidencialidade, integridade, autenticação e autorização e métodos como brainstorming, análise de políticas e questionários para identificar requisitos.
O documento descreve diversas técnicas de elicitação de requisitos para projetos de hardware e software, incluindo entrevistas, workshops, questionários, prototipagem e storyboards. É explicado que nenhum método é eficiente isoladamente e que a escolha da técnica deve considerar o perfil do cliente para obter os melhores resultados.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
O documento discute o desenvolvimento seguro de aplicações, desde o planejamento inicial até o deploy. Primeiro, apresenta estatísticas sobre segurança de aplicações web. Em seguida, descreve o cenário atual de desenvolvimento e sugere o uso do OpenSAMM (Software Assurance Maturity Model) para incorporar práticas de segurança ao longo de todo o ciclo de vida do projeto. Por fim, explica os benefícios de adotar um modelo de maturidade como o OpenSAMM.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
O documento apresenta frameworks para verificação de segurança de aplicações web, como OWASP Top Ten e Guia de Testes OWASP. Os palestrantes discutem os objetivos da palestra, a organização OWASP, os frameworks mencionados e um estudo de caso de teste de intrusão.
O documento resume o projeto OWASP (Open Web Application Security Project) e sua lista de vulnerabilidades mais críticas, o OWASP Top 10. O projeto é uma comunidade aberta que promove a segurança de aplicações web através de publicações, ferramentas de teste e treinamento disponíveis gratuitamente. A lista Top 10 destaca as 10 vulnerabilidades mais comuns em aplicações web, como injeções, XSS e falhas de autenticação.
O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
O documento discute técnicas de evasão para varreduras de rede com o scanner Nmap para evitar detecção por firewalls e sistemas de detecção de intrusão. Ele apresenta métodos como varreduras indiretas através de intermediários, contornando técnicas de detecção usando pacotes especiais e dificultando a identificação da origem com ruído de rede. O objetivo é testar a segurança da rede de forma ética sem ser detectado.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento discute os dez principais riscos de segurança em aplicações web (OWASP Top 10) e como preveni-los, incluindo injeção, cross-site scripting, autenticação falha e gerenciamento de sessão, referências diretas a objetos inseguros, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e redirecionamentos e encaminhamentos não validados.
O documento discute abordagens para segurança em desenvolvimento de software. Ele descreve as principais falhas de adotar apenas normas, testes ou documentação. Recomenda o uso do Software Assurance Maturity Model (SAMM) e do Comprehensive, Lightweight Application Security Process (CLASP) para fornecer uma estrutura para implementar segurança ao longo do ciclo de vida do software.
O documento discute a importância da segurança no desenvolvimento de software, destacando que apenas testes e documentação não são suficientes. É necessário um processo de desenvolvimento de software seguro que inclua requisitos claros, modelagem de ameaças, revisão de código, testes de segurança e gestão de vulnerabilidades após o lançamento. O documento também esclarece que os padrões ISO/IEC 15.408 e Common Criteria não devem ser usados como base para segurança no desenvolvimento, pois seu foco é a certificação de produtos prontos.
O documento discute as 10 principais vulnerabilidades em aplicações web, como injeção, quebra de autenticação, cross-site scripting e configuração insegura. Também fornece definições de termos como vulnerabilidade e ameaça, e aborda como projetar aplicações web de forma segura usando padrões como o ASVS.
O documento discute o processo de elicitação e análise de requisitos para o desenvolvimento de sistemas de software. Trata-se de uma aula sobre o tema ministrada pelo professor Wilker Bueno, abordando conceitos como definição de requisitos, objetivos da elicitação e análise, técnicas como entrevistas e cenários, e desafios do processo.
O documento discute o Security Development Lifecycle (SDL) ou Ciclo de Vida de Desenvolvimento Seguro, propondo uma abordagem ágil para incorporar práticas de segurança ao longo de todo o ciclo de desenvolvimento de software. A proposta divide o SDL em atividades discretas em cada fase, desde os requisitos até a manutenção, de forma flexível para ser adaptada a diferentes metodologias de desenvolvimento. O objetivo é tratar a segurança como outro atributo essencial do software, identificando e corrigindo vulnerabilidades o mais cedo possível.
Segurança de software na Administração Pública FederalOWASP Brasília
O documento resume a Norma Complementar 16 (NC16) da Administração Pública Federal brasileira, que estabelece diretrizes para o desenvolvimento e aquisição de software seguro. A NC16 cobre tópicos como requisitos de segurança, controles de segurança, verificação de requisitos e procedimentos contratuais. O objetivo é garantir a obtenção de software seguro nos órgãos e entidades da Administração Pública Federal.
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
O documento discute o levantamento de requisitos de segurança para a implantação da estrutura SAMM v1.0. Ele descreve os principais requisitos de segurança como confidencialidade, integridade, autenticação e autorização e métodos como brainstorming, análise de políticas e questionários para identificar requisitos.
O documento descreve diversas técnicas de elicitação de requisitos para projetos de hardware e software, incluindo entrevistas, workshops, questionários, prototipagem e storyboards. É explicado que nenhum método é eficiente isoladamente e que a escolha da técnica deve considerar o perfil do cliente para obter os melhores resultados.
O documento discute a implementação de segurança no desenvolvimento de software de acordo com a ISO 27001. Apresenta o conceito de Software Security Assurance (SSA) e suas práticas de governança, construção, verificação e implementação. Também descreve os papéis e responsabilidades no SSA e fornece detalhes sobre a ISO 27001 e suas partes futuras.
PHP Conference Brasil 2011 - Desenvolvendo Seguro (do rascunho ao deploy)Erick Belluci Tedeschi
O documento discute o desenvolvimento seguro de aplicações, desde o planejamento inicial até o deploy. Primeiro, apresenta estatísticas sobre segurança de aplicações web. Em seguida, descreve o cenário atual de desenvolvimento e sugere o uso do OpenSAMM (Software Assurance Maturity Model) para incorporar práticas de segurança ao longo de todo o ciclo de vida do projeto. Por fim, explica os benefícios de adotar um modelo de maturidade como o OpenSAMM.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
O documento apresenta frameworks para verificação de segurança de aplicações web, como OWASP Top Ten e Guia de Testes OWASP. Os palestrantes discutem os objetivos da palestra, a organização OWASP, os frameworks mencionados e um estudo de caso de teste de intrusão.
O documento resume o projeto OWASP (Open Web Application Security Project) e sua lista de vulnerabilidades mais críticas, o OWASP Top 10. O projeto é uma comunidade aberta que promove a segurança de aplicações web através de publicações, ferramentas de teste e treinamento disponíveis gratuitamente. A lista Top 10 destaca as 10 vulnerabilidades mais comuns em aplicações web, como injeções, XSS e falhas de autenticação.
O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
O documento fornece diretrizes para criar APIs de nuvem seguras, de alto desempenho e amigáveis ao usuário. As principais recomendações incluem: 1) seguir padrões web como URIs consistentes e uso correto de métodos HTTP; 2) melhorar o desempenho com compressão, cache e bancos de dados adequados; 3) garantir a segurança com SSL, autenticação, rate limiting e validação de dados.
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
O documento fornece uma introdução sobre técnicas de teste de segurança, incluindo falsos positivos e negativos, camadas indetectáveis, análise de resultados com foco em riscos, criticidade e impacto. Também resume as principais fases de um pentest, como modelagem de ameaças, coleta de informações e exploração.
Otimização de Desempenho de Websites desenvolvidos em Microsoft ASP.NET e hos...Rafael Schettino
O documento discute estratégias para otimização de desempenho de websites desenvolvidos em Microsoft ASP.NET e hospedados em servidores Microsoft IIS. Aborda otimizações no lado do servidor como monitoramento, memória, CPU e rede, e no lado do cliente como redução de requisições HTTP, uso de CDNs e minificação.
O documento discute as propostas para o JSR-375, que visa modernizar e simplificar a API de segurança do Java EE. As principais idéias incluem: 1) introduzir uma terminologia unificada; 2) simplificar a API de autenticação; e 3) fornecer uma API padronizada para armazenamento de identidades.
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
O documento apresenta uma palestra sobre segurança na web e ferramentas de teste de vulnerabilidades. Resume as principais vulnerabilidades do OWASP Top 10, como injeção de SQL, XSS e falhas de autenticação. Demonstra exemplos e explica como evitar essas falhas. Também apresenta ferramentas open source como OWASP ZAP, Mantra e SQLmap para teste de aplicações.
O documento discute como automatizar o processo de desenvolvimento de uma aplicação mesmo quando a empresa cliente não permite DevOps. Ele apresenta como a equipe automatizou o ambiente de desenvolvimento usando Docker para criar containers com o banco de dados e servidores de aplicação, e Jenkins para integração contínua. A automação reduziu problemas com VPNs e tempos de configuração, permitindo que outras aplicações do cliente também adotassem o Docker.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
1) O documento discute a vulnerabilidade de injeção SQL em aplicações web, como ocorre e como pode ser explorada.
2) São apresentadas técnicas para descobrir falhas de SQL injection, como union queries, erros, out-of-band e blind queries.
3) O documento fornece dicas para analisar e burlar filtros, acessar o sistema de arquivos e evitar a vulnerabilidade usando queries parametrizadas.
ï€1⁄4 O documento apresenta o Open Web Application Security Project (OWASP), um projeto aberto dedicado à segurança de aplicações web.
ï€1⁄4 O OWASP fornece publicações, ferramentas e software livres para auxiliar na criação de aplicações web seguras, como o guia OWASP Top 10 e as ferramentas WebGoat e WebScarab.
ï€1⁄4 O documento também descreve o funcionamento do OWASP Portugal e suas atividades, como o capítulo local e participação em eventos para promover a segurança de aplicações web
O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações web, discutindo cada uma em detalhe e fornecendo recomendações de como abordá-las. As vulnerabilidades incluem parâmetros não validados, quebras nos controles de acesso, falhas na gestão de sessões, cross-site scripting, buffer overflows, injeções de comandos, problemas na gestão de erros, uso inseguro de criptografia, falhas na administração remota e configurações inseguras de servidores. O documento defende a import
O documento discute a importância de testes automatizados para sustentar Continuous Delivery e DevOps. Ele explica os benefícios de testes automatizados, como feedback rápido e menos erros, e discute vários tipos de testes como testes unitários, de serviço, funcionais e de desempenho. Também fornece exemplos de ferramentas para cada tipo de teste.
- O documento discute vulnerabilidades em redes Wi-Fi, incluindo padrões de rede sem fio, tipos de autenticação, problemas de configuração e tipos de ataques. Ele também cobre recursos de segurança como WEP e WPA, além de defesas e procedimentos para melhorar a segurança.
O documento discute como os cabeçalhos HTTP podem ser usados para proteger aplicações web contra vulnerabilidades, mencionando cabeçalhos como X-Frame-Options, X-XSS-Protection, Strict-Transport-Security e outros, e como eles ajudam a mitigar ataques como clickjacking, XSS e man-in-the-middle.
O documento discute como proteger bancos de dados MySQL, destacando:
1) 43% das empresas sofreram violações de dados no ano passado, com 552 milhões de identidades expostas em 2013;
2) É necessário adotar medidas como criptografia, controles de acesso, backups protegidos e monitoramento para prevenir ataques e vazamentos.
Semelhante a OWASP_BSB_20120827_TOP10_ISMAELROCHA (20)
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
1. OWASP Top Ten e Guia de Testes OWASP como
frameworks para verificação de segurança para
aplicações web
Ismael Rocha Gonçalves
ismaelrg@gmail.com
2. AGENDA
• Palestrante
• Objetivos
• OWASP
• OWASP Top Ten
• Guia de Testes OWASP
• Teste de Intrusão
• Estudo de Caso
• Demo
3. PALESTRANTE
• Especialista em SI, CISSP, MCSO
• Mais de 5 anos de experiência em SI para
aplicações web e desktop
• Projetos
• Contribuidor OWASP
4. OBJETIVOS
• Fornecer em linhas gerais SI para web
– OWASP Top Ten
– Guia de Testes OWASP
• Processo estruturado de verificação de
segurança
– OWASP Application Security Verification Standard
• Ciclo de Desenvolvimento Seguro
– OpenSAMM/Microsoft SDLC
5. OWASP
• OWASP Foundation
– Sem fins lucrativos, comunidade, segurança em
software
– DISA (EUA), ENISA (Europa), CCRIC (Canadá),
ANSSI (França)
– Projetos com foco em proteção, detecção e ciclo
de vida de software
– Ferramentas, documentos, fóruns e capítulos
livres
6. OWASP TOP TEN
• 2003,2004,2007 e 2010
• Foco em riscos críticos
• Foco na educação de desenvolvedores,
engenheiros, gerentes, organizações
• Referência PCI DSS, DISA etc.
7. OWASP TOP TEN
A1 – Injeção
A2 – Cross site scripting (XSS)
A3 – Falha no gerenciamento de sessão
A4 – Referência insegura a objetos
A5 – Cross site request forgery (CSRF)
A6 – Configuração de Segurança Defeituosa
A7 – Armazenamento criptográfico inseguro
A8 – Falha de Restrição acesso URL
A9 – Proteção insuficiente camada de transporte
A10 – Redirecionamento e reenvio não validados
8. Guia de Testes OWASP
• Framework de testes de segurança
• Entender o que, por quê, quando, onde e
como testar aplicações web
• Metodologia de classificação de riscos
– Identificação dos riscos
– Fatores para estima de probabilidade
– Fatores para estima de impacto no negócio
– Determinação da severidade do risco
9. TESTE DE INTRUSÃO
• Técnica exploratória para determinar o nível
de risco associado a uma vulnerabilidade ou a
um conjunto de vulnerabilidades de
determinado alvo
• Simula um ataque real a um sistema ou
infraestrutura
• Processo amplo, fases pré e pós-ataques
11. ESTUDO DE CASO
• Planejamento
– Tipo de teste
• Gray-box
– Estratégia de teste:
• Externo à rede
• Informação de vulnerabilidades para correção
• Sem credenciais e sem conhecimento de detalhes de
infraestrutura, exceto endereço IP
– Escopo
• http://www.alvo.com.br
12. ESTUDO DE CASO
• Planejamento
– Restrições
• Inspeção de segurança código-fonte
• Engenharia social
• Negação de serviço
• Modificação/exclusão de informações restritas
• Testes de lógica de negócio
• Testes em áreas restritas da aplicação
– Período:
• De 2 a 9 de MM de YYYY
• Sem restrição de horário
13. ESTUDO DE CASO
• Descobrimento
– Levantamento de Informações
• Ferramenta automatizada
– Versão do Servidor, bibliotecas, tecnologias
– Árvore de diretórios com pontos de entradas
– Informações sensíveis
• Inspeção manual de códigos HTML
– Ajax
14. ESTUDO DE CASO
• Descobrimento
– Resultados
• Versão do Servidor Web: Apache
• Tecnologia PHP: versão 5.1.6
• Scripts com ponto de entrada (ferramenta): 167
• Scripts Ajax: 4
15. ESTUDO DE CASO
• Descobrimento
– Análise de Vulnerabilidades
• Em acordo com escopo e limitações
• Utilização dos testes Guia de Testes OWASP
• Análise automatizada e manual e análise crítica
• CVE
16. ESTUDO DE CASO
• Descobrimento
– Testes realizados (Gerência de Configuração)
• OWASP-CM-001 – SSL/TLS Testing
• OWASP-CM-002 – DB Listener Testing
• OWASP-CM-003 – Infrastructure configuration Mgt test
• OWASP-CM-007 – Infrastructure and app admin
interfaces
17. ESTUDO DE CASO
• Descobrimento
– Testes realizados (Testes de Autenticação)
• OWASP-AT-001 – Credential transport over encrypted
channel
• OWASP-AT-002 – Test for user enumeration
• OWASP-AT-006 – Test for vulnerable remember me
password
18. ESTUDO DE CASO
• Descobrimento
– Testes realizados (Gerência de sessão)
• OWASP-SM-001 – Testing for session mgt schema
• OWASP-SM-003 – Testing for session fixation
19. ESTUDO DE CASO
• Descobrimento
– Testes realizados (Validação de dados)
• OWASP-DV-001 – Testing for Reflected XSS
• OWASP-DV-005 – SQL Injection
20. ESTUDO DE CASO
• Ataque
– Verifica grau de profundidade das
vulnerabilidades
– OWASP-DV-005 Sql Injection
– Conformidade com regras acordadas na fase de
planejamento
– Desenvolvido exploits
21. ESTUDO DE CASO
• Ataque
– Exemplo exploit:
• http://www.alvo.com.br/site/ajax/ajax.php?id=12222%20un
ion%20select%201,1,concat%28nome,%20%27%20%27,%2
0login,%20%27%20%27,%20senha%29,1%20from%20USUA
RIOS--
– Objetivo
• Obter os campos nome, login e senha da tabela USUARIOS
banco de dados ALVO.
22. ESTUDO DE CASO
• Ataque
– Resultados: mais de 2700 contas de
usuários/senhas, acesso administrativo.
– Senhas armazenadas em hash:
– Rainbow Tables, tabelas com entradas pré-
computadas
HASH MD5 Texto Claro
4a45c297942c77ad3a47ac4650e7e90a !@#123qwe
1ac0111bb4011eeb099059a87548bcb2 kelly12!@
e10adc3949ba59abbe56e057f20f883e 123456
64760ea431d3ace72ffa9065ed1b706e 1005197
eb52b9e89e7272b9742ce97bed92a98a 04010612
23. ESTUDO DE CASO
• Relato (riscos OWASP Top Ten)
Item OWASP Top Id Vulnerabilidade Item OWASP Testing Risco
Ten Guide
A1 – Injeção 01 Injeção de Comandos SQL OWASP-DV-005 Muito Alto
A2 – Cross Site 02 Cross-site-scripting OWASP-DV-001 Médio
Scripting
A6 – Configuração de 03 Versão insegura PHP OWASP-CM-003 Alto
segurança defeituosa 04 Slow HTTP OWASP-CM-003 Alto
05 Interfaces administrativas abertas OWASP-CM-007 Alto
A7 – Armazenamento 06 Armazenamento de senhas com - Médio
criptográfico inseguro hash sem salt
A9 – Proteção 07 Canal inseguro para autenticação OWASP-AT-001 Alto
insuficiente da camada
de transporte
24. ESTUDO DE CASO
• Relato (recomendações)
Id Vulnerabilidade Recomendação
01 Injeção de Comandos SQL Utilizar APIs que forneçam suporte para queries parametrizadas
(STTUTARD, 2008).
02 Cross-site-scripting Validar os dados de entrada e saída oriundos de formulários e requisições get;
utilizar entidades HTML (>, < etc). (STTUTARD, 2008)
03 Versão insegura PHP Atualizar versão do PHP (STTUTARD, 2008).
04 Slow HTTP Aplicar processo de hardening no servidor web (QUALYS).
05 Interfaces administrativas abertas Restringir acesso às interfaces administrativas a uma rede segura/interna.
06 Armazenamento de senhas com hash Utilizar algoritmo de hash seguro e aplicar técnica de salt (STTUTARD,
sem salt 2008).
07 Canal inseguro para autenticação Implementar protocolo SSL/TLS compatível com as melhores práticas
(STTUTARD, 2008) .
25. DEMO
• A1 – Injeção
• A2 – XSS
• A3/A7 – Falha no Gerenciamento de
Sessão/Armazenamento criptográfico inseguro
• A10 – Redirecionamento e reenvios não
validados
26. CONCLUSÃO
• Segurança permeia todos os processos e
sistemas não foge à regra
• Sempre haverá riscos, mas apoiado em boas
práticas pode-se levá-los a um nível adequado
• OWASP Top Ten – Boa referência/introdução
• Guia de testes OWASP – Base sólida para
testes web
• Ferramentas não são tudo