O documento discute a segurança de aplicações web e lista as 10 principais falhas de segurança, incluindo injeção, autenticação quebrada, XSS, referências inseguras de objetos, configurações inseguras, falta de controle de nível de acesso. Ele fornece exemplos e orientações sobre como prevenir cada falha.
O documento resume as 10 principais vulnerabilidades de segurança em aplicações web segundo o OWASP Top 10, fornecendo dicas para tratá-las em PHP. São elas: XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furo de autenticação, armazenamento criptográfico inseguro, comunicações inseguras e restrições de acesso a URLs. O documento incentiva o uso de bibliotecas e boas práticas de codificação para pre
Este documento discute o PHPIDS, uma ferramenta de detecção de intrusão para aplicações PHP. Ele explica como o PHPIDS funciona com regras baseadas em regex para identificar possíveis ameaças, pode ser implementado em aplicações individuais ou globalmente, e permite customização das configurações e regras. Também discute a integração do PHPIDS com o HTML Purifier para sanitização de dados e o Memcached para melhorar o desempenho.
Este documento descreve um workshop sobre segurança de aplicações web realizado pela OWASP no ISCTE-IUL. O workshop abordou três tópicos principais: (1) a importância da segurança de aplicações web, (2) os principais tipos de ataques contra aplicações e como preveni-los, e (3) as melhores práticas de desenvolvimento seguro de aplicações web.
TDC2016SP - Programando PHP com mais segurança!tdc-globalcode
O documento discute técnicas para aumentar a segurança no desenvolvimento PHP, incluindo configurações do arquivo php.ini para limitar riscos, uso de criptografia forte como password_hash() para senhas, filtros de dados para prevenir XSS e outros ataques.
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
O documento discute os 10 principais riscos de segurança da web segundo a OWASP de 2013. São eles: 1) Injeção, 2) Autenticação/sessão incorreta, 3) Cross-site scripting (XSS), 4) Referências diretas não protegidas, 5) Configuração incorreta de segurança, 6) Exposição de dados confidenciais, 7) Falta de verificação de acesso, 8) Cross-site request forgery (CSRF), 9) Uso de componentes com falhas conhecidas e 10) Redirects e forwards não validados. Para
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
- O documento discute vários tópicos relacionados à segurança no desenvolvimento de aplicações PHP, incluindo segurança do sistema operacional, configuração do servidor web e PHP, processamento de formulários, interação com bancos de dados, inclusão de arquivos e sessões. O objetivo é fornecer diretrizes para que os desenvolvedores programem PHP de maneira segura.
O documento resume as 10 principais vulnerabilidades de segurança em aplicações web segundo o OWASP Top 10, fornecendo dicas para tratá-las em PHP. São elas: XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furo de autenticação, armazenamento criptográfico inseguro, comunicações inseguras e restrições de acesso a URLs. O documento incentiva o uso de bibliotecas e boas práticas de codificação para pre
Este documento discute o PHPIDS, uma ferramenta de detecção de intrusão para aplicações PHP. Ele explica como o PHPIDS funciona com regras baseadas em regex para identificar possíveis ameaças, pode ser implementado em aplicações individuais ou globalmente, e permite customização das configurações e regras. Também discute a integração do PHPIDS com o HTML Purifier para sanitização de dados e o Memcached para melhorar o desempenho.
Este documento descreve um workshop sobre segurança de aplicações web realizado pela OWASP no ISCTE-IUL. O workshop abordou três tópicos principais: (1) a importância da segurança de aplicações web, (2) os principais tipos de ataques contra aplicações e como preveni-los, e (3) as melhores práticas de desenvolvimento seguro de aplicações web.
TDC2016SP - Programando PHP com mais segurança!tdc-globalcode
O documento discute técnicas para aumentar a segurança no desenvolvimento PHP, incluindo configurações do arquivo php.ini para limitar riscos, uso de criptografia forte como password_hash() para senhas, filtros de dados para prevenir XSS e outros ataques.
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
O documento discute os 10 principais riscos de segurança da web segundo a OWASP de 2013. São eles: 1) Injeção, 2) Autenticação/sessão incorreta, 3) Cross-site scripting (XSS), 4) Referências diretas não protegidas, 5) Configuração incorreta de segurança, 6) Exposição de dados confidenciais, 7) Falta de verificação de acesso, 8) Cross-site request forgery (CSRF), 9) Uso de componentes com falhas conhecidas e 10) Redirects e forwards não validados. Para
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
- O documento discute vários tópicos relacionados à segurança no desenvolvimento de aplicações PHP, incluindo segurança do sistema operacional, configuração do servidor web e PHP, processamento de formulários, interação com bancos de dados, inclusão de arquivos e sessões. O objetivo é fornecer diretrizes para que os desenvolvedores programem PHP de maneira segura.
O documento discute Redis, um banco de dados não-relacional criado para servir como cache e camada intermediária. Redis permite armazenar diversos tipos de dados como strings, listas e conjuntos na memória RAM ou disco, e pode ser usado na COTIC para cachear resultados de consultas intensivas e melhorar o desempenho de sistemas com alto fluxo de dados.
O documento descreve o Ansible, uma ferramenta de automação de tarefas open source que utiliza YAML para definir templates de tarefas. O Ansible conecta-se paralelamente a máquinas sem necessidade de software cliente, facilitando a configuração. Playbooks definem tarefas em arquivos e inventários gerenciam computadores via arquivos de texto, com o Ansible se comunicando via SSH.
LoopBack é um framework open source para criação de APIs RESTful em Node.js, desenvolvido e mantido pela IBM e StrongLoop. Ele permite construir APIs poderosas rapidamente com recursos como autenticação, banco de dados e integração com sistemas legados.
O documento descreve o que é Meteor, uma framework Javascript open-source para construção de aplicações web. Ele explica que Meteor roda em Node.js, é orientado a eventos e sem bloqueio, implementa Javascript isomórfico e possui 7 princípios como "dados na rede" e "reatividade full-stack". O texto também detalha como instalar e criar projetos com Meteor assim como seus benefícios como produtividade, aprendizagem fácil e deploy gratuito.
O documento compara os modelos tradicional e ágil de desenvolvimento de software, notando que o modelo tradicional cascata é determinista e focado na execução enquanto o modelo ágil espiral enfatiza a adaptação com base no feedback do cliente.
Este documento fornece uma introdução ao Canva, uma plataforma de design gráfico online. Ele explica como criar designs usando modelos pré-existentes ou dimensões personalizadas, escolher cores, fontes e imagens, e usar atalhos de teclado. O documento também fornece dicas sobre como criar uma marca consistente usando uma paleta de cores limitada, fontes familiares e logotipos claros.
O documento discute o sistema de controle de versão Git. Apresenta comandos básicos do Git como pull, commit e push. Também explica o que são branches no Git e como criar e alternar entre elas. Por fim, propõe um fluxo de trabalho linear centralizado para o time usar o Git de forma colaborativa.
This document provides contact information for Diego Lisbôa including his email address, links to his Slideshare and Facebook profiles, and blog. It lists Diego Lisbôa's email address as ait-proeg@ufpa.br and includes links to his Slideshare profile, Facebook profile for AIT Proeg, and blogspot blog.
Os 5 Sensos da Qualidade são práticas desenvolvidas no Japão para melhorar a qualidade de vida dos trabalhadores através da limpeza, organização e redução de desperdícios. Eles incluem SEIRI (utilização), SEITON (arrumação), SEISO (limpeza), SEIKETSU (saúde e higiene) e SHITSUKE (autodisciplina). A aplicação destes sensos promove a redução de custos, aumento da produtividade, prevenção de acidentes e melhoria do ambiente de trabalho.
Watson é um computador da IBM que venceu jogos de perguntas e respostas e é capaz de responder perguntas, processar grandes quantidades de informação e usar inteligência artificial. Ele usa 90 servidores IBM com processadores de 3.5 GHz e 2.880 núcleos para processar 500 gigabytes por segundo.
O documento discute como manter a produtividade alta através de hábitos como focar no trabalho sem interrupções, delegar tarefas desnecessárias e revisar constantemente os planos de ação. Ele também diferencia entre pessoas produtivas e ocupadas, enfatizando a importância de aproveitar o tempo e fazer acontecer os resultados planejados.
O documento descreve JavaScript, incluindo suas características como linguagem baseada em C e orientada a objetos, e como integrá-la com HTML para interagir com o usuário sem precisar do servidor. Também explica como acessar e alterar propriedades de elementos e usar eventos.
Este documento fornece recursos sobre métodos ágeis de desenvolvimento de software, incluindo links para o Manifesto Ágil, uma introdução aos métodos ágeis por Daniel Cukier e Fabio Aguiar, e detalhes de contato de Diego Lisbôa.
O documento descreve o conceito de Big Data, definindo-o como conjuntos extremamente amplos de dados que requerem ferramentas especializadas para lidar com grandes volumes de forma rápida e sem perda de informação. Explica que os 5 V's (Volume, Velocidade, Variedade, Valor e Veracidade) caracterizam as particularidades do Big Data e o tornam importante para gerir a atual quantidade de dados gerados. Conclui afirmando que o Big Data reflete a realidade crescente de volumes gigantescos de dados que exigem novas abordagens para aproveit
Este documento discute métricas para times ágeis, definindo termos como métrica, medição e indicador. Ele explica que a medição de software permite aos envolvidos conhecer e melhorar o processo de forma contínua. O documento lista exemplos de métricas e discute quando e como escolhê-las, enfatizando que métricas devem ser usadas para prevenir problemas e melhorar continuamente.
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPACOTIC-PROEG (UFPA)
O documento descreve o que é o Framework de Gerenciamento de Projetos Complexos e o que não é. Ele também apresenta a equipe da Assessoria de Informação e Tecnologia da Pró-Reitoria de Ensino de Graduação da UFPA, suas áreas de atuação e meios de contato.
Diego Lisbôa é o autor do documento. Seu endereço de e-mail é ait-proeg@ufpa.br. O documento não fornece outras informações além do nome e e-mail do autor.
O documento discute a avaliação de desempenho de equipes ágeis, sugerindo que o valor está na inovação criada através do trabalho coletivo e que nenhum indivíduo é responsável sozinho pelo desempenho total de uma empresa. Ele fornece um link para um modelo chamado "Feedback Canvas" para avaliação de equipes.
O documento discute os desafios da multitarefa e mudança constante de prioridades, como atrasos, estimativas ampliadas e dificuldade em priorizar tarefas. Também reconhece que alguma multitarefa é natural, mas que projetos tendem a atrasar devido a adiamentos diários, enquanto é difícil adiantá-los.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
O documento discute Redis, um banco de dados não-relacional criado para servir como cache e camada intermediária. Redis permite armazenar diversos tipos de dados como strings, listas e conjuntos na memória RAM ou disco, e pode ser usado na COTIC para cachear resultados de consultas intensivas e melhorar o desempenho de sistemas com alto fluxo de dados.
O documento descreve o Ansible, uma ferramenta de automação de tarefas open source que utiliza YAML para definir templates de tarefas. O Ansible conecta-se paralelamente a máquinas sem necessidade de software cliente, facilitando a configuração. Playbooks definem tarefas em arquivos e inventários gerenciam computadores via arquivos de texto, com o Ansible se comunicando via SSH.
LoopBack é um framework open source para criação de APIs RESTful em Node.js, desenvolvido e mantido pela IBM e StrongLoop. Ele permite construir APIs poderosas rapidamente com recursos como autenticação, banco de dados e integração com sistemas legados.
O documento descreve o que é Meteor, uma framework Javascript open-source para construção de aplicações web. Ele explica que Meteor roda em Node.js, é orientado a eventos e sem bloqueio, implementa Javascript isomórfico e possui 7 princípios como "dados na rede" e "reatividade full-stack". O texto também detalha como instalar e criar projetos com Meteor assim como seus benefícios como produtividade, aprendizagem fácil e deploy gratuito.
O documento compara os modelos tradicional e ágil de desenvolvimento de software, notando que o modelo tradicional cascata é determinista e focado na execução enquanto o modelo ágil espiral enfatiza a adaptação com base no feedback do cliente.
Este documento fornece uma introdução ao Canva, uma plataforma de design gráfico online. Ele explica como criar designs usando modelos pré-existentes ou dimensões personalizadas, escolher cores, fontes e imagens, e usar atalhos de teclado. O documento também fornece dicas sobre como criar uma marca consistente usando uma paleta de cores limitada, fontes familiares e logotipos claros.
O documento discute o sistema de controle de versão Git. Apresenta comandos básicos do Git como pull, commit e push. Também explica o que são branches no Git e como criar e alternar entre elas. Por fim, propõe um fluxo de trabalho linear centralizado para o time usar o Git de forma colaborativa.
This document provides contact information for Diego Lisbôa including his email address, links to his Slideshare and Facebook profiles, and blog. It lists Diego Lisbôa's email address as ait-proeg@ufpa.br and includes links to his Slideshare profile, Facebook profile for AIT Proeg, and blogspot blog.
Os 5 Sensos da Qualidade são práticas desenvolvidas no Japão para melhorar a qualidade de vida dos trabalhadores através da limpeza, organização e redução de desperdícios. Eles incluem SEIRI (utilização), SEITON (arrumação), SEISO (limpeza), SEIKETSU (saúde e higiene) e SHITSUKE (autodisciplina). A aplicação destes sensos promove a redução de custos, aumento da produtividade, prevenção de acidentes e melhoria do ambiente de trabalho.
Watson é um computador da IBM que venceu jogos de perguntas e respostas e é capaz de responder perguntas, processar grandes quantidades de informação e usar inteligência artificial. Ele usa 90 servidores IBM com processadores de 3.5 GHz e 2.880 núcleos para processar 500 gigabytes por segundo.
O documento discute como manter a produtividade alta através de hábitos como focar no trabalho sem interrupções, delegar tarefas desnecessárias e revisar constantemente os planos de ação. Ele também diferencia entre pessoas produtivas e ocupadas, enfatizando a importância de aproveitar o tempo e fazer acontecer os resultados planejados.
O documento descreve JavaScript, incluindo suas características como linguagem baseada em C e orientada a objetos, e como integrá-la com HTML para interagir com o usuário sem precisar do servidor. Também explica como acessar e alterar propriedades de elementos e usar eventos.
Este documento fornece recursos sobre métodos ágeis de desenvolvimento de software, incluindo links para o Manifesto Ágil, uma introdução aos métodos ágeis por Daniel Cukier e Fabio Aguiar, e detalhes de contato de Diego Lisbôa.
O documento descreve o conceito de Big Data, definindo-o como conjuntos extremamente amplos de dados que requerem ferramentas especializadas para lidar com grandes volumes de forma rápida e sem perda de informação. Explica que os 5 V's (Volume, Velocidade, Variedade, Valor e Veracidade) caracterizam as particularidades do Big Data e o tornam importante para gerir a atual quantidade de dados gerados. Conclui afirmando que o Big Data reflete a realidade crescente de volumes gigantescos de dados que exigem novas abordagens para aproveit
Este documento discute métricas para times ágeis, definindo termos como métrica, medição e indicador. Ele explica que a medição de software permite aos envolvidos conhecer e melhorar o processo de forma contínua. O documento lista exemplos de métricas e discute quando e como escolhê-las, enfatizando que métricas devem ser usadas para prevenir problemas e melhorar continuamente.
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPACOTIC-PROEG (UFPA)
O documento descreve o que é o Framework de Gerenciamento de Projetos Complexos e o que não é. Ele também apresenta a equipe da Assessoria de Informação e Tecnologia da Pró-Reitoria de Ensino de Graduação da UFPA, suas áreas de atuação e meios de contato.
Diego Lisbôa é o autor do documento. Seu endereço de e-mail é ait-proeg@ufpa.br. O documento não fornece outras informações além do nome e e-mail do autor.
O documento discute a avaliação de desempenho de equipes ágeis, sugerindo que o valor está na inovação criada através do trabalho coletivo e que nenhum indivíduo é responsável sozinho pelo desempenho total de uma empresa. Ele fornece um link para um modelo chamado "Feedback Canvas" para avaliação de equipes.
O documento discute os desafios da multitarefa e mudança constante de prioridades, como atrasos, estimativas ampliadas e dificuldade em priorizar tarefas. Também reconhece que alguma multitarefa é natural, mas que projetos tendem a atrasar devido a adiamentos diários, enquanto é difícil adiantá-los.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
4. TOP 10 - 2013
10 PRINCIPAIS FALHAS DE SEGURANÇA WEB
quinta-feira, 28 de março de 13
5. TOP 10 - 2013
• AI - Injeção
• A2 - Autenticação quebrada e gerenciamento de sessão
• A3 - XSS
• A4 - Referências inseguras diretas de objetos
• A5 - Segurança das configurações
• A6 - Exposição sensível de dados
• A7 - Falta de controle do nível de acesso
• A8 - Cross-Site Requisição forjada
• A9 - Uso de componentes com vulnerabilidade conhecida
• A10 - Redirecionamento inválidos
quinta-feira, 28 de março de 13
6. A1 - Injeção
• Vulnerabilidade
• Qualquer fonte de entrada de dados
pode ser um vetor de injecção, incluindo
as fontes internas.
quinta-feira, 28 de março de 13
7. A1 - Injeção
• Ex: String query = "SELECT * FROM
accounts WHERE custID='" +
request.getParameter("id") +"'";
• Ex: http://example.com/app/accountView?
id=' or '1'='1
quinta-feira, 28 de março de 13
8. A1 - Injeção
• Prevenção
• Usar biblioteca de interpretação de
dados
quinta-feira, 28 de março de 13
9. A4 - Referências inseguras
diretas de objetos
• Vulnerabilidade
• Para referências diretas a recursos
limitados, o aplicativo precisa verificar se o
usuário está autorizado a acessar o recurso.
• Se a referência é uma referência indireta, o
mapeamento para a referência direta deve
ser limitada aos valores autorizados para o
usuário atual.
quinta-feira, 28 de março de 13
10. A4 - Referências inseguras
diretas de objetos
• Ex: example.com?id=400
• Ex: example.com?
id=18d8042386b79e2c279fd162df0205c8
• Ex: example.com/promocao_de_pascoa
quinta-feira, 28 de março de 13
11. A4 - Referências inseguras
diretas de objetos
• Prevenção
• Usar referências indiretas
• Verificar o acesso
quinta-feira, 28 de março de 13
12. A7 - Falta de controle de
nível de acesso
• Vulnerabilidade
• Será que a navegação mostra URL para
funções não autorizadas ?
• São verificadas as autenticação e
autorização ?
• São verificações feitas no servidor, sem
depender de informações fornecidas pelo
atacante?
quinta-feira, 28 de março de 13
13. A7 - Falta de controle de
nível de acesso
• Ex: example.com/user
• Ex: example.com/admin
• Ex: example.com/user/new
• Ex: example.com/admin/user/new
quinta-feira, 28 de março de 13
14. A7 - Falta de controle de
nível de acesso
• Prevenção
• Autenticação e autorização.
• Não exibir link ou botões de funções não
autorizadas.
quinta-feira, 28 de março de 13
15. Referências
• https://www.owasp.org/index.php/
Main_Page
• http://owasptop10.googlecode.com/files/
OWASP%20Top%2010%20-%202013%20-
%20RC1.pdf
quinta-feira, 28 de março de 13
16. Obrigado
facebook.com/aitproeg
slideshare.net/aitproeg
quinta-feira, 28 de março de 13