O documento apresenta o OWASP Top 10 2013, que lista as 10 vulnerabilidades mais críticas em aplicações web. O OWASP é uma organização dedicada a melhorar a segurança de software, e o Top 10 destaca riscos como injeção, autenticação quebrada e exposição de dados para ajudar desenvolvedores a criar aplicações mais seguras.

1. OWASP TOP 10 2013
Jerônimo Zucco
jeronimo.zucco@owasp.org

2. About Me
• Blog: http://jczucco.blogspot.com
• Twitter: @jczucco
• http://www.linkedin.com/in/jeronimozucco
• http://www.owasp.org/index.php/User:Jeronimo_Zucco

3. OWASP
Open Web Application
Security Project
• Uma comunidade aberta dedicada
a ajudar as organizações a
desenvolver, comprar e manter
aplicações que possam ser
confiáveis.

4. OWASP
• Promover o desenvolvimento seguro
• Auxiliar a tomada de decisão quanto
ao risco
• Oferecer recursos gratuitos
• Promover a contribuição e
compartilhamento de informação
4

5. OWASP
• Organização sem fins lucrativos (US 501c3)
• Regida por voluntários
– Compartilhar conhecimento
– Liderar projetos
– Realizar apresentações
– Administração
• Financiada por patrocinadores
– Membership individuais/empresariais
– Projetos suportados por empresas
5

6. OWASP no Brasil
• 18 capítulos no Brasil:
• Belo Horizonte, Brasília, Campinas,
Cuiabá, Curitiba, Fortaleza, Goiânia,
Maceió, Manaus, Natal, Paraíba, Porto
Alegre, Recife, Rio de Janeiro, São Luís,
São Paulo, Vitória e Florianópolis.
6

7. OWASP no RS
7
https://www.owasp.org/index.php/Porto_Alegre

8. OWASP Top 10
• Top 10 Vulnerabilidades em Apps. Web
– Atualizado a cada 3 anos.
– Baseado em dados obtidos de aplicações
na Internet
– Aceitação crescente pela indústria
• Um bom começo para criação de
práticas seguras de desenvolvimento
nas organizações
8

9. OWASP Top Ten 2013
9

10. Top 10 2010 -> 2013
10

11. Riscos de Segurança na
Aplicação
11

12. A1 - Injeção
12

13. A2 - Autenticação e
Gerência de Sessão
Quebradas
13

14. A3 - Cross-Site Scripting
(XSS)
14

15. A4 - Referências Diretas à
Objetos de Forma
Insegura
15

16. A5 - Configuração
Insegura
16

17. A6 - Exposição de Dados
Sensíveis
17

18. A7 - Sem Controle de
Nível de Acesso
18

19. A8 - CSRF
19

20. A9 - Uso de Compontes
com Vulnerabilidades
Conhecidas
20

21. A10 - Redirecionamentose
Encaminhamentos
Inválidos
21

22. Top 10 - Riscos
22

23. 23
Demonstração

24. Desenvolvedores
• Requisitos de segurança de aplicações;
• Arquitetura de aplicações seguras;
• Controles de segurança padrões;
• Ciclo de vida de desenvolvimento (SDL)
• Educação sobre segurança de
aplicações
24

25. Como Participar?
25
• Acesse www.owasp.org
• Produção artigos/conteúdo
• Lista de discussões
• Envolvimento em projetos
• Apresentações/Divulgação
• Membership
• ...

26. Perguntas?
26
jeronimo.zucco@owasp.org
http://www.owasp-poa.org