SlideShare uma empresa Scribd logo

OWASP Top 10 e aplicações .Net - Tech-Ed 2007

Conviso Application Security
Conviso Application Security

O documento resume as 10 principais vulnerabilidades em aplicações web segundo o OWASP (Open Web Application Security Project) e os recursos do .NET para mitigá-las, como validação de dados, autenticação e gerenciamento de sessão, criptografia e configuração de erros.

Tecnologia
1 de 32
SLIDE OBRIGATÓRIO
SEG402 Top 10 OWASP de Vulnerabilidades em Aplicações Web Wagner Elias Research & Development Manager Conviso IT Security
[object Object],[object Object]
Projeto OWASP Top Ten 2004 x Top Ten 2007 As dez principais vulnerabilidades web Recursos do .Net para mitigar os riscos Feramentas Microsoft Conclusão
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Projeto OWASP
Top Ten 2004 x Top Ten 2007
Top Ten 2004 x Top Ten 2007 Top Ten 2004 Top Ten 2007 A1 Unvalidated Input A1 Cross Site Scripting (XSS) A2 Broken Access Control A2 Injection Flaws A3 Broken Authentication and Session Management A3 Malicious File Execution A4 Cross Site Scripting A4 Insecure Direct Object Reference A5 Buffer Overflow A5 Cross Site Request Forgery (CSRF) A6 Injection Flaws A6 Information Leakage and Improper Error Handling A7 Improper Error Handling A7 Broken Authentication and Session Management A8 Insecure Storage A8 Insecure Cryptographic Storage A9 Application Denial of Service A9 Insecure Communications A10 Insecure Configuration Management A10 Failure to Restrict URL Access
Top Ten 2007
As dez principais vulnerabilidades WEB ,[object Object]
[object Object],A1 Cross Site Scripting (XSS)
[object Object],A2 Injection Flaws
[object Object],A3 Malicious File Execution
[object Object],A4 Insecure Direct Object Reference
[object Object],A5 Cross Site Request Forgery
[object Object],A6 Information Leakage and Improper Error Handling
[object Object],A7 Broken Authentication and Session Management
[object Object],A8 Insecure Cryptographic Storage
[object Object],A9 Insecure Communication
[object Object],A10 Failure Restrict URL access
Recursos do .Net
[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Tratando Erros ,[object Object]
[object Object],Autenticação e Regras de acesso ,[object Object]
[object Object],Session Management ,[object Object]
[object Object],Criptografia ,[object Object]
[object Object],Upload de Arquivos ,[object Object]
[object Object],Comunicação Segura
[object Object],[object Object],[object Object],[object Object],Validação de dados
Ferramentas Microsoft
Threat Modeling ,[object Object]
XSS Detect ,[object Object]
Conclusão
[object Object],[object Object],[object Object],[object Object],Conclusão

Recomendados

OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Digital forum 2011 Wellington New Zealand, trends and higlights
Digital forum 2011 Wellington New Zealand, trends and higlightsDigital forum 2011 Wellington New Zealand, trends and higlights
Digital forum 2011 Wellington New Zealand, trends and higlightsAleš Vanek
 
Reflectioins Qur’An(49)Hujurat[1 8]Slideshare
Reflectioins Qur’An(49)Hujurat[1 8]SlideshareReflectioins Qur’An(49)Hujurat[1 8]Slideshare
Reflectioins Qur’An(49)Hujurat[1 8]SlideshareZhulkeflee Ismail
 
DR Grantee Ramsey County
DR Grantee Ramsey CountyDR Grantee Ramsey County
DR Grantee Ramsey CountyAdoptUSKids
 
Windows 7 For Geeks
Windows 7 For GeeksWindows 7 For Geeks
Windows 7 For GeeksAdil Mughal
 

Recomendados

OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Digital forum 2011 Wellington New Zealand, trends and higlights
Digital forum 2011 Wellington New Zealand, trends and higlightsDigital forum 2011 Wellington New Zealand, trends and higlights
Digital forum 2011 Wellington New Zealand, trends and higlightsAleš Vanek
 
Reflectioins Qur’An(49)Hujurat[1 8]Slideshare
Reflectioins Qur’An(49)Hujurat[1 8]SlideshareReflectioins Qur’An(49)Hujurat[1 8]Slideshare
Reflectioins Qur’An(49)Hujurat[1 8]SlideshareZhulkeflee Ismail
 
DR Grantee Ramsey County
DR Grantee Ramsey CountyDR Grantee Ramsey County
DR Grantee Ramsey CountyAdoptUSKids
 
Windows 7 For Geeks
Windows 7 For GeeksWindows 7 For Geeks
Windows 7 For GeeksAdil Mughal
 
Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01freshmarketing
 
Gerenciamento de Projetos
Gerenciamento de ProjetosGerenciamento de Projetos
Gerenciamento de ProjetosDocumentar Tecnologia e Informação
 
El credito documentario 4907
El credito documentario 4907 El credito documentario 4907
El credito documentario 4907 Claudy QC
 
Semana 10 y 11
Semana 10 y 11Semana 10 y 11
Semana 10 y 11Larry Mendoza
 
Limites y continuidad
Limites y continuidadLimites y continuidad
Limites y continuidadangiegutierrez11
 
Total Quality Service Management Book 1
Total Quality Service Management Book 1Total Quality Service Management Book 1
Total Quality Service Management Book 1aireen clores
 
Segmentacion del mercado
Segmentacion del mercado Segmentacion del mercado
Segmentacion del mercado Lucila Vargas Puscan
 
Gerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completaGerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completaPaulo Junior
 
Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.Dianet Rocio Segura Diaz
 
Sist. gestión de calidad
Sist. gestión de calidadSist. gestión de calidad
Sist. gestión de calidadRonald Paul Torrejon Infante
 
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...Noor Aini Samsusah
 
Dolca
DolcaDolca
DolcaDannu26
 
C:\Fakepath\Christie
C:\Fakepath\ChristieC:\Fakepath\Christie
C:\Fakepath\ChristieNerissaemerald
 
Cápsula 1. estudios de mercado
Cápsula 1. estudios de mercadoCápsula 1. estudios de mercado
Cápsula 1. estudios de mercadoAudias Torres Coronel
 
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar SerranoCurso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar SerranoMiguel Aguilar
 
Estrategias competitivas básicas
Estrategias competitivas básicasEstrategias competitivas básicas
Estrategias competitivas básicasLarryJimenez
 
Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?goodfriday
 
PPT do Road Show - Infra
PPT do Road Show - InfraPPT do Road Show - Infra
PPT do Road Show - InfraFabio Hara
 
pm workshop - Microsoft SureStep
pm workshop - Microsoft SureSteppm workshop - Microsoft SureStep
pm workshop - Microsoft SureStepGPMS
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 

Mais conteúdo relacionado

Destaque

Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01freshmarketing
 
El credito documentario 4907
El credito documentario 4907 El credito documentario 4907
El credito documentario 4907 Claudy QC
 
Total Quality Service Management Book 1
Total Quality Service Management Book 1Total Quality Service Management Book 1
Total Quality Service Management Book 1aireen clores
 
Gerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completaGerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completaPaulo Junior
 
Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.Dianet Rocio Segura Diaz
 
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...Noor Aini Samsusah
 
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar SerranoCurso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar SerranoMiguel Aguilar
 
Estrategias competitivas básicas
Estrategias competitivas básicasEstrategias competitivas básicas
Estrategias competitivas básicasLarryJimenez
 
Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?goodfriday
 
PPT do Road Show - Infra
PPT do Road Show - InfraPPT do Road Show - Infra
PPT do Road Show - InfraFabio Hara
 
pm workshop - Microsoft SureStep
pm workshop - Microsoft SureSteppm workshop - Microsoft SureStep
pm workshop - Microsoft SureStepGPMS
 

Destaque (19)

Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01Windows7metro 120426092643-phpapp01
Windows7metro 120426092643-phpapp01
 
Gerenciamento de Projetos
Gerenciamento de ProjetosGerenciamento de Projetos
Gerenciamento de Projetos
 
El credito documentario 4907
El credito documentario 4907 El credito documentario 4907
El credito documentario 4907
 
Semana 10 y 11
Semana 10 y 11Semana 10 y 11
Semana 10 y 11
 
Limites y continuidad
Limites y continuidadLimites y continuidad
Limites y continuidad
 
Total Quality Service Management Book 1
Total Quality Service Management Book 1Total Quality Service Management Book 1
Total Quality Service Management Book 1
 
Segmentacion del mercado
Segmentacion del mercado Segmentacion del mercado
Segmentacion del mercado
 
Gerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completaGerenciamento de projetos apostila completa
Gerenciamento de projetos apostila completa
 
Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.Monografía de Análisis de Estados Financieros.
Monografía de Análisis de Estados Financieros.
 
Sist. gestión de calidad
Sist. gestión de calidadSist. gestión de calidad
Sist. gestión de calidad
 
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
http://ainsamadi.blogspot.com/2013/03/panduan-pelaksanaan-dan-modul-program m...
 
Dolca
DolcaDolca
Dolca
 
C:\Fakepath\Christie
C:\Fakepath\ChristieC:\Fakepath\Christie
C:\Fakepath\Christie
 
Cápsula 1. estudios de mercado
Cápsula 1. estudios de mercadoCápsula 1. estudios de mercado
Cápsula 1. estudios de mercado
 
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar SerranoCurso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
Curso Gestión de Procesos FEB.2014 - Dr. Miguel Aguilar Serrano
 
Estrategias competitivas básicas
Estrategias competitivas básicasEstrategias competitivas básicas
Estrategias competitivas básicas
 
Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?Microsoft ASP.NET 4.0 : What's Next?
Microsoft ASP.NET 4.0 : What's Next?
 
PPT do Road Show - Infra
PPT do Road Show - InfraPPT do Road Show - Infra
PPT do Road Show - Infra
 
pm workshop - Microsoft SureStep
pm workshop - Microsoft SureSteppm workshop - Microsoft SureStep
pm workshop - Microsoft SureStep
 

Semelhante a OWASP Top 10 e aplicações .Net - Tech-Ed 2007

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Renato Groff
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityMarlon Bernardes
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebMarcio Roberto de Souza Godoi
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaTécnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaAlexandre Tarifa
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 

Semelhante a OWASP Top 10 e aplicações .Net - Tech-Ed 2007 (20)

Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escalaTécnicas e recursos para desenvolvimento Web em cenários de grande escala
Técnicas e recursos para desenvolvimento Web em cenários de grande escala
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 

Mais de Conviso Application Security

Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareConviso Application Security
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Conviso Application Security
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web HackingConviso Application Security
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOConviso Application Security
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebConviso Application Security
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...Conviso Application Security
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408Conviso Application Security
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashConviso Application Security
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Conviso Application Security
 

Mais de Conviso Application Security (20)

Entendendo o PCI-DSS
Entendendo o PCI-DSSEntendendo o PCI-DSS
Entendendo o PCI-DSS
 
Integrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de softwareIntegrando testes de segurança ao processo de desenvolvimento de software
Integrando testes de segurança ao processo de desenvolvimento de software
 
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações? Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
Uma verdade inconveniente - Quem é responsável pela INsegurança das aplicações?
 
“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking“Web Spiders” – Automação para Web Hacking
“Web Spiders” – Automação para Web Hacking
 
Building Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 FeaturesBuilding Client-Side Attacks with HTML5 Features
Building Client-Side Attacks with HTML5 Features
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!Testar não é suficiente. Tem que fazer direito!
Testar não é suficiente. Tem que fazer direito!
 
Implementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISOImplementando Segurança em desenvolvimento com a verdadeira ISO
Implementando Segurança em desenvolvimento com a verdadeira ISO
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?Você confia nas suas aplicações mobile?
Você confia nas suas aplicações mobile?
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...MASP: Um processo racional para garantir o nível de proteção das aplicações w...
MASP: Um processo racional para garantir o nível de proteção das aplicações w...
 
HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?HTML5 Seguro ou Inseguro?
HTML5 Seguro ou Inseguro?
 
Threats from economical improvement rss 2010
Threats from economical improvement rss 2010Threats from economical improvement rss 2010
Threats from economical improvement rss 2010
 
O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408O processo de segurança em desenvolvimento, que não é ISO 15.408
O processo de segurança em desenvolvimento, que não é ISO 15.408
 
Encontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flashEncontrando falhas em aplicações web baseadas em flash
Encontrando falhas em aplicações web baseadas em flash
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009
 
Abotoaduras & Bonés
Abotoaduras & BonésAbotoaduras & Bonés
Abotoaduras & Bonés
 
Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008Extreme Web Hacking - h2hc 2008
Extreme Web Hacking - h2hc 2008
 

OWASP Top 10 e aplicações .Net - Tech-Ed 2007

  • 2. SEG402 Top 10 OWASP de Vulnerabilidades em Aplicações Web Wagner Elias Research & Development Manager Conviso IT Security
  • 3.
  • 4. Projeto OWASP Top Ten 2004 x Top Ten 2007 As dez principais vulnerabilidades web Recursos do .Net para mitigar os riscos Feramentas Microsoft Conclusão
  • 5.
  • 6. Top Ten 2004 x Top Ten 2007
  • 7. Top Ten 2004 x Top Ten 2007 Top Ten 2004 Top Ten 2007 A1 Unvalidated Input A1 Cross Site Scripting (XSS) A2 Broken Access Control A2 Injection Flaws A3 Broken Authentication and Session Management A3 Malicious File Execution A4 Cross Site Scripting A4 Insecure Direct Object Reference A5 Buffer Overflow A5 Cross Site Request Forgery (CSRF) A6 Injection Flaws A6 Information Leakage and Improper Error Handling A7 Improper Error Handling A7 Broken Authentication and Session Management A8 Insecure Storage A8 Insecure Cryptographic Storage A9 Application Denial of Service A9 Insecure Communications A10 Insecure Configuration Management A10 Failure to Restrict URL Access
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 29.
  • 30.
  • 32.

Notas do Editor

  1. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  2. 12/01/09 13:02 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
  3. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  4. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  5. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  6. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
  7. 12/01/09 13:02 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.