Uma apresentação do que é o OWASP (Open Web Application Security Project), por que ele é relevante para o mercado e como ele pode beneficiar empresas, produtos e desenvolvedores.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Confira a apresentação deste estudo em:
http://www.slideshare.net/CleytonKano/webgoat-project-apresentao
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
Ao longo desta apresentação será fundamentalmente abordada a questão da privacidade online, e dos principais desafios e ameaça que coloca aos utilizadores, hoje em dia. Numa altura em que a utilização de redes sociais e de dispositivos móveis não pára de aumentar, e em que novas vagas tecnológicas se aproximam (IoT, entre outros), os desafios à privacidade e confidencialidade dos utilizadores são cada vez maiores.
Pretende-se com a apresentação focar alguns destes desafios de segurança e alertar para a forma como os utilizadores hoje em dia não estão atentos aos atentados à sua própria privacidade!
Uma apresentação do que é o OWASP (Open Web Application Security Project), por que ele é relevante para o mercado e como ele pode beneficiar empresas, produtos e desenvolvedores.
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Confira a apresentação deste estudo em:
http://www.slideshare.net/CleytonKano/webgoat-project-apresentao
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
Ao longo desta apresentação será fundamentalmente abordada a questão da privacidade online, e dos principais desafios e ameaça que coloca aos utilizadores, hoje em dia. Numa altura em que a utilização de redes sociais e de dispositivos móveis não pára de aumentar, e em que novas vagas tecnológicas se aproximam (IoT, entre outros), os desafios à privacidade e confidencialidade dos utilizadores são cada vez maiores.
Pretende-se com a apresentação focar alguns destes desafios de segurança e alertar para a forma como os utilizadores hoje em dia não estão atentos aos atentados à sua própria privacidade!
REST – Desmistificando A Implementação De Web Services REST Em Java Visite o blog: http://carledwinj.wordpress.com/2013/07/10/criando-web-service-e-web-service-client-com-jax-ws-passo-a-passo/
Ao longo deste trabalho diversos fatores serão apresentados, todos estes componentes são relevantes na implementação do projeto.
Inicialmente iremos abordar o help desk, um serviço de prestação de suporte prioritariamente voltado pra área de TI, quais seus benefícios, níveis de atendimento e comparação com service desk.
Posteriormente, ao embasarmos o software que utilizaremos para organizar os pedidos de chamado, o Ocomon. A fama deste software, seus testes, todos os serviços que o Ocomon oferece o que é o Invmon (inventário que trabalha em conjunto com o Ocomon), quais os passos para o usuário operá-lo, entre outros.
Citaremos o sistema operacional o qual escolhemos como servidor, o Slackware Linux, seu criador, o símbolo e suas versões.
O Ocomon, assim como muitos softwares possui um banco de dados, este projeto será realizado utilizando o Mysql. Assim explicarmos seus recursos e algumas características.
Para ter acesso à abertura de chamados, os usuários necessitam de login e senha, que serão autenticados através do protocolo LDAP.
Posteriormente é apresentado todos os dados resultantes da implementação, tais como objetivos iniciais, ferramentas para o levantamento de todo o sistema, os ocorridos ao longo do projeto (dificuldades e sucessos) e a que conclusão chegamos.
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
1. OWASP @ ISCTE-IUL
Workshop de Segurança Aplicacional
OWASP e OWASP Portugal
ISCTE-‐IUL/DCTI Carlos
Serrão
Instituto
Superior
de
Ciências
do
Trabalho
e
da
Empresa carlos.serrao@iscte.pt
Instituto
Universitário
de
Lisboa carlos.j.serrao@gmail.com
Departamento
de
Ciências
e
Tecnologias
de
Informação
http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao
2. agenda
2
Agenda
Sala:
B2.03
Apresentação
do
OWASP
e
OWASP
Portugal
14:00
-‐
14:30
Carlos
Serrão
OWASP
Top
10
(2010)
14:30
-‐
15:00
Carlos
Serrão
Segurança
em
PHP
15:00
-‐
15:45
Joaquim
Marques
Criptografia
em
PHP
15:45
-‐
16:15
Carlos
Serrão
Ferramentas
de
Auditoria
de
Vulnerabilidades
em
Aplicações
Web
16:15
-‐
17:00
Nuno
Teodoro
17:00
-‐
17:15 Conclusões/Encerramento
OWASP @ ISCTE-IUL Abril 2010
3. o que é o OWASP?
3
Open Web Application Security Project
Promove o desenvolvimento seguro de software
Orientado para o desenvolvimento de serviços baseados na
web
Focado principalmente em aspectos de desenvolvimento do
que em web-design
Um fórum aberto para discussão
Um recurso gratuito e livre para qualquer equipa de
desenvolvimento
OWASP @ ISCTE-IUL Abril 2010
4. o que é o OWASP?
4
Open Web Application Security Project
an open community dedicated to enabling organizations to
develop, purchase, and maintain applications that can be
trusted
Promover o desenvolvimento seguro
Auxiliar a tomada de decisão quanto ao risco
Oferecer recursos gratuitos
Promover a contribuição e partilha de informação
OWASP @ ISCTE-IUL Abril 2010
5. o que é o OWASP?
5
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço
voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projectos
Patrocínios pessoais por parte dos membros
OWASP @ ISCTE-IUL Abril 2010
7. o que é o OWASP?
7
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
OWASP @ ISCTE-IUL Abril 2010
9. publicações - OWASP top 10
9
Top 10 Web Application Security Risks/Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Actualizado numa base anual
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adoptado como um standard de segurança
para aplicações web
OWASP @ ISCTE-IUL Abril 2010
10. publicações - OWASP guide
10
Guia para o Desenvolvimento Seguro de Web Apps
Oferece um conjunto de linhas gerais para o desenvolvimento de
software seguro
Introdução à segurança em geral
Introdução à segurança aplicacional
Discute áreas-chave de implementação
Arquitectura
Autenticação
Gestão de Sessões
Controlo de Acesso e Autorização
Registo de Eventos
Validação de Dados
Em contínuo desenvolvimento
OWASP @ ISCTE-IUL Abril 2010
11. software - OWASP WebGoat
11
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre
segurança aplicacional
Uma ferramenta para testar ferramentas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
Fácil de usar
Ilustra cenários credíveis
Ensina ataques realistas e soluções viáveis
OWASP @ ISCTE-IUL Abril 2010
12. software - OWASP WebScarab
12
WebScarab
Uma framework para analisar tráfego HTTP/HTTPS
Escrito em Java
Múltiplas utilizações
Programador: fazer o debug das trocas entre o cliente e servidor
Analista de Segurança: analisa o tráfego e identifica vulnerabilidades
Ferramenta técnica
Focada em programadores de software
Arquitectura extensível de plug-ins
Open source; de fácil expansão
Poderosa
Obter a ferramenta
http://www.owasp.org/software/webscarab.html
OWASP @ ISCTE-IUL Abril 2010
13. chapters locais da OWASP
13
Desenvolvimento de comunidades
Os Chapters locais proporcionam oportunidades para os
membros OWASP poderem partilhar ideias e aprender mais
sobre segurança da informação
Aberto a *TODOS*
Oferecer um fórum para discussão de assuntos em contextos
locais/regionais
Oferecer o local para convidados poderem apresentar
novas ideias e projectos
OWASP @ ISCTE-IUL Abril 2010
15. chapters locais da OWASP
15
O que oferecem?
Reuniões (regulares)
Mailing Lists
Apresentações e Grupos
Ambientes independentes do vendedor
Fóruns de discussão aberta
OWASP @ ISCTE-IUL Abril 2010
16. chapters locais da OWASP
16
O que oferecem?
Como contribuir?
Através
das ML, reuniões e dos grupos de discussão
Os membros são encorajados a levantarem questões
Os membros são encorajados a participar em projectos OWASP
Contribuir para projectos existentes
Propor novos projectos
Lançar novas iniciativas
O Chapter Local deve trabalhar no sentido de manter a
organização como um recurso livre, aberto e orientado
tecnicamente para o público em geral e para os membros
OWASP @ ISCTE-IUL Abril 2010
17. OWASP Portugal
17
… alguns dados
Membros
47 membros
Web-site
http://www.owasp.org/index.php/Portuguese
Mailling-List
owasp-portuguese@lists.owasp.org
Chapter Leader
Carlos Serrão (carlos.serrao@iscte.pt)
algumas alterações no Futuro
OWASP @ ISCTE-IUL Abril 2010
18. objectivos
18
Participação em alguns dos projectos activos do OWASP
(documentação e ferramentas)
Propor o lançamento de novos projectos
Promover a discussão de ideias na nossa lista de correio
electrónico
Dinamizar a participação nas nossas reuniões
Organização de conferências
Promover e oferecer suporte à comunidade OWASP em
geral, em particular a comunidade portuguesa
OWASP @ ISCTE-IUL Abril 2010
19. actividade
19
2007
Nasce o chapter português
Actividade quase nula
2008
OWASP EU Summit 08
Albufeira, Algarve, Portugal
2009
owasp@IPCB, owasp@IPViseu, owasp@UBI
IBWAS’09, Madrid
2010
owasp@ISCTE-IUL
IBWAS’10, Lisboa
OWASP @ ISCTE-IUL Abril 2010
20. OWASP EU SUMMIT 2008
20
O *maior* evento OWASP de sempre
1 semana, +100 pessoas (de todo o Mundo)
Apresentação de Projectos
Sessões de Trabalho
Formação
+ 1 dia de Demo na UAlg
OWASP @ ISCTE-IUL Abril 2010
21. reuniões
21
Objectivos:
Manter um calendário de reuniões periódicas
Realista: 1 reunião/evento a cada 3 ou 4 meses
Promover a missão da OWASP
Promover os projectos, ferramentas e documentação da
OWASP
Promover a troca e disseminação livre de informação sobre
segurança de informação e segurança de aplicações e
sistemas web-based
Promover o lançamento de novas ideias e de novos projectos
Envolver os membros em projectos on-going
OWASP @ ISCTE-IUL Abril 2010
22. reuniões
22
A participação nas reuniões da OWASP Portugal é livre
e gratuita
Modelo: aparece e traz um amigo (e ideias para partilhar)
Apresentação sobre um tema
Discussão de uma ideia
Debate de problemas
Lançar iniciativas
Planear actividades
OWASP @ ISCTE-IUL Abril 2010
23. ideias e projectos
23
Reuniões periódicas
Blog/Site oficial da OWASP@PT
http://www.owasp.org/index.php/Portuguese
http://webappsec.netmust.eu/
Eventos de disseminação/formação
Conferências
Projectos de tradução de documentação e ferramentas (em
conjunto com OWASP Brasil)
Lançamento de novos projectos
Estreitar relações com OWASP Espanha
OWASP @ ISCTE-IUL Abril 2010
24. ideias e projectos
24
Disseminação/Formação
“Evangelizar”
Espalhar a “mensagem” e missão do OWASP
Percorrer Portugal, com enfoque em Instituições de Ensino
Superior
Participação em sessões específicas ou integradas em aulas
OWASP Summer School (a pensar no futuro)
OWASP @ ISCTE-IUL Abril 2010
25. ideias e projectos
25
Conferências
Organização de conferências abertas quer à participação da
comunidade científica quer à comunidade empresarial
Criar o mix perfeito
Realizado e Planeado
IBWAS’09 – First Iberic Conference on Web-Applications Security
Madrid, Espanha
No final de 2009
IBWAS’10 - Ibero-American Web-Applications Security
Lisboa, Portugal
Inicio de Novembro 2010
OWASP @ ISCTE-IUL Abril 2010
26. ideias e projectos
26
Tradução
Ferramentas e documentos da OWASP devem chegar à
maior audiência possível
A língua não pode ser uma barreira
Traduzir documentos
OWASP Top Ten
OWASP Web Applications Security Assessment
Traduzir ferramentas
Webgoat
Webscarab
Aproveitar o trabalho já iniciado pelo OWASP Brasil
OWASP @ ISCTE-IUL Abril 2010
27. ideias e projectos
27
Novos Projectos
Lançamento de novos projectos inovadores
Apostar em I&D
Estreitar a colaboração com Departamentos de Instituições de
Ensino Superior (e não só)
Lançamento e (co-)orientação de
Projectos de Fim de Curso
Projectos de Mestrado e Doutoramento
Captar fundos e incentivos à I&D
FCT
EU
Outros.
OWASP @ ISCTE-IUL Abril 2010
28. para finalizar...
28
… juntem-se a nós.
Participem!
Mailing List
Blog
Reuniões
Eventos
Projectos
Ideias
Informação útil
http://www.owasp.org
http://www.owasp.org/index.php/Portuguese
http://webappsec.netmust.eu
OWASP @ ISCTE-IUL Abril 2010
29. OWASP @ ISCTE-IUL
Workshop de Segurança Aplicacional
OWASP e OWASP Portugal
ISCTE-‐IUL/DCTI Carlos
Serrão
Instituto
Superior
de
Ciências
do
Trabalho
e
da
Empresa carlos.serrao@iscte.pt
Instituto
Universitário
de
Lisboa carlos.j.serrao@gmail.com
Departamento
de
Ciências
e
Tecnologias
de
Informação
http://www.carlosserrao.net
http://blog.carlosserrao.net
http://www.linkedin.com/in/carlosserrao