O documento apresenta as principais vulnerabilidades em aplicações web e recomendações de acordo com o OWASP TOP10. Aborda riscos como injeção, quebra de autenticação, XSS e exposição de dados. Recomenda validar entradas, minimizar privilégios, usar HTTPS e inserir segurança no ciclo de desenvolvimento.
Apresentação explicando um pouco sobre:
- Testes de Segurança em Aplicações Web
- Análise de Segurança
- Engenharia Social
- Fiddler
- ZAP
- Top 10 OWASP
- Os maiores ataques Hackers
- Como realizar um ataque
- Metasploit
- Desenvolvimento Seguro
- Cross-site Scripting (XSS)
- SQL Injection
- DDOS
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
O objetivo da apresentação é demonstrar metodologias e ferramentas que são utilizadas para avaliar a segurança de aplicações web através de auditorias do tipo teste de invasão. As aplicações são expostas aos principais ataques conhecidos e, a partir daí, avalia-se os resultados obtidos: invasão, exposição de informação, execuções arbitrárias, entre outros. Também serão tratadas medidas de mitigação das vulnerabilidades
Apresentação explicando um pouco sobre:
- Testes de Segurança em Aplicações Web
- Análise de Segurança
- Engenharia Social
- Fiddler
- ZAP
- Top 10 OWASP
- Os maiores ataques Hackers
- Como realizar um ataque
- Metasploit
- Desenvolvimento Seguro
- Cross-site Scripting (XSS)
- SQL Injection
- DDOS
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
O objetivo da apresentação é demonstrar metodologias e ferramentas que são utilizadas para avaliar a segurança de aplicações web através de auditorias do tipo teste de invasão. As aplicações são expostas aos principais ataques conhecidos e, a partir daí, avalia-se os resultados obtidos: invasão, exposição de informação, execuções arbitrárias, entre outros. Também serão tratadas medidas de mitigação das vulnerabilidades
Palestra realizada no evento Coding Night #3 - Microsoft
- Cenário atual no Desenvolvimento Web;
- Mercado x Perfil dos usuários;
- Introdução à tecnologias Web;
- Design e Layout atualizado;
- Arquitetura de Processamento Web;
- HTML5 e CSS3;
- Utilizando Bootstrap;
- Introdução ao jQuery;
- Linguagens de Programação Web - Back End;
- Banco de dados;
- Introdução ao Desenvolvimento Seguro;
- Técnicas de Performance e Desempenho
O CJR Apresenta chega em sua segunda versão, de muitas, e dessa vez trás Thiago Stuckert e Leandro Silva dos Santos, formandos em Ciência da Computação, para falar de um assunto que jamais perderrá sua importância: Segurança na Web.
Nessa palestra, serão apresentados os 10 maiores riscos no desenvolvimento para Web, apontados através do OWASP (Open Web Application Security Project), projeto que a cada 3 anos, realiza esse estudo sobre os riscos na Web.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
Palestra realizada no 7º GUTS-SC.
Esta apresentação tem como objetivo explanar o básico de segurança em aplicações web, tendo como base o OWASP Top 10.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Vou mostrar o novo TOP 10 da OWASP, com exemplos práticos de testes que podemos fazer e que poderá trazer uma confiabilidade gigantesca em sua plataforma em um mundo onde todos estão começando a se importar com suas informações digitais. Não podemos ficar para trás, Segurança é necessária
Desvendando o desenvolvimento seguro de softwareAllyson Chiarini
O mundo atual está vivendo uma revolução no quesito aplicações onde cada vez mais temos temas como mobilidade, big data e consumerização, neste contexto a segurança da informação tem papel fundamental para garantir a mitigação de risco de exposição de informações. Atualmente o tema espionagem corporativa ou política está em volga devido ao caso NSA, ou seja, estamos vivendo uma época onde o tema segurança é de vital importância para as corporações. Com uma curva crescente de demanda por novas aplicações atualmente a área de desenvolvimento é forçada a entregar as aplicações em tempo cada vez menor, levando em consideração isso para otimização de esforço no ciclo de desenvolvimento se faz necessário adotar soluções que mitiguem o risco de segurança de informação em tempo de desenvolvimento. A família AppScan vem para endereçar este ponto, onde ela além de otimizar o processo de testes na disciplina de segurança de informação ela garante uma constante atualização em relação as ameaças correntes.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Palestra realizada no evento Coding Night #3 - Microsoft
- Cenário atual no Desenvolvimento Web;
- Mercado x Perfil dos usuários;
- Introdução à tecnologias Web;
- Design e Layout atualizado;
- Arquitetura de Processamento Web;
- HTML5 e CSS3;
- Utilizando Bootstrap;
- Introdução ao jQuery;
- Linguagens de Programação Web - Back End;
- Banco de dados;
- Introdução ao Desenvolvimento Seguro;
- Técnicas de Performance e Desempenho
O CJR Apresenta chega em sua segunda versão, de muitas, e dessa vez trás Thiago Stuckert e Leandro Silva dos Santos, formandos em Ciência da Computação, para falar de um assunto que jamais perderrá sua importância: Segurança na Web.
Nessa palestra, serão apresentados os 10 maiores riscos no desenvolvimento para Web, apontados através do OWASP (Open Web Application Security Project), projeto que a cada 3 anos, realiza esse estudo sobre os riscos na Web.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
Palestra realizada no 7º GUTS-SC.
Esta apresentação tem como objetivo explanar o básico de segurança em aplicações web, tendo como base o OWASP Top 10.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Vou mostrar o novo TOP 10 da OWASP, com exemplos práticos de testes que podemos fazer e que poderá trazer uma confiabilidade gigantesca em sua plataforma em um mundo onde todos estão começando a se importar com suas informações digitais. Não podemos ficar para trás, Segurança é necessária
Desvendando o desenvolvimento seguro de softwareAllyson Chiarini
O mundo atual está vivendo uma revolução no quesito aplicações onde cada vez mais temos temas como mobilidade, big data e consumerização, neste contexto a segurança da informação tem papel fundamental para garantir a mitigação de risco de exposição de informações. Atualmente o tema espionagem corporativa ou política está em volga devido ao caso NSA, ou seja, estamos vivendo uma época onde o tema segurança é de vital importância para as corporações. Com uma curva crescente de demanda por novas aplicações atualmente a área de desenvolvimento é forçada a entregar as aplicações em tempo cada vez menor, levando em consideração isso para otimização de esforço no ciclo de desenvolvimento se faz necessário adotar soluções que mitiguem o risco de segurança de informação em tempo de desenvolvimento. A família AppScan vem para endereçar este ponto, onde ela além de otimizar o processo de testes na disciplina de segurança de informação ela garante uma constante atualização em relação as ameaças correntes.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Palestra sobre Desenvolvimento seguro realizada no WorkSec 2019 ministrado pelo professor Alcyon Junior https://worksec.congressodeti.com.br/ A maior imersão em segurança totalmente digital
Palestra PHP Seguro em 2013 apresentada no evento PHPSC Conf 2013 dia 26.10.2013 em Chapecó (SC) pelo especialista em Segurança de Sistemas Patrick Kaminski http://patrickkaminski.com/
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Thiago Dieb
Palestra demonstrou como é possível encontrar tutorias e dicas em sites conhecidos e famosos trazendo informações incompletas e algumas incoerentes sobre desenvolvimento seguro, influenciando desenvolvedores na criação de códigos vulneráveis. A partir desses exemplos será possível indicar as correções e provar como é fácil criar um código com falhas e se tornar mais uma vítima.
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Uma palestra prática mostrando as principais falhas em arquiteturas web e como desenvolver projetos com segurança. São exibidos também recursos do Azure para fortalecer tecnologias.
Palestra para apresentação de técnicas de Defensive programming no Departamento de Ciência e Tecnologia - #DCT do Exército Brasileiro para os integrantes do Centro de Desenvolvimento de Sistemas - #CDS (A casa da Engenharia de Software).
A programação defensiva é uma forma de design defensivo que visa garantir a função contínua de um software sob circunstâncias imprevistas. As práticas de programação defensiva são frequentemente usadas onde alta disponibilidade, segurança ou proteção são necessárias.
Vou apresentar e explorar as 5 maiores falhas cometidas pelos programadosres na hora de codar e identificar as práticas de codificação inseguras que levam a esses erros para instruir os desenvolvedores sobre alternativas seguras, as organizações podem adotar medidas proativas para ajudar a reduzir ou eliminar significativamente as vulnerabilidades no software antes da implantação.
Semelhante a Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29 (20)
Explorando 5 falhas graves de segurança que os programadores sempre cometem
Palestra - Desenvolvimento Seguro de Aplicações WEB - IFC 2013-09-29
1. iTFLEX Tecnologia http://www.itflex.com.br
Desenvolvimento Seguro de Aplicações WEB
Principais vulnerabilidades e recomendações
(Baseado no OWASP TOP10)
Carlos Diego Russo Medeiros
Diretor Executivo – iTFLEX Tecnologia
cdiego@itflex.com.br / cdiego@gmail.com
2. iTFLEX Tecnologia http://www.itflex.com.br
Agenda
Apresentação
Pontos para reflexão
OWASP
TOP10
A1-Injeção
A2-Quebra de autenticação / sessão
A3-Cross-Site Scripting (XSS)
A4-Referências inseguras diretas de
objetos
A5-Falhas das configurações de
segurança
A6-Exposição de dados sensíveis
A7-A10 Visão Geral
Recomendações
Perguntas
3. iTFLEX Tecnologia http://www.itflex.com.br
Apresentação
Fundador e Diretor Executivo da iTFLEX (2004)
15 anos de experiência em linux, segurança e redes
http://br.linkedin.com/in/cadiego
MBA em Gestão Empresarial pela FGV/Sociesc (2005)
Bacharel em Informática pela Univille (2001)
Técnico pela Escola Técnica Tupy (1997)
Certficação ITILv3 Foundation (2012)
Cisco Certified Network Associate (2002)
Módulo Certified Security Officer (2002)
4. iTFLEX Tecnologia http://www.itflex.com.br
Reflexão
A maioria dos desenvolvedores pensa que suas ferramentas são seguras
A segurança não é apenas responsabilidade de equipe de infra-estrutura
Crescimento do cloud computing x segurança nas aplicações WEB
Você se preocupa com a segurança no desenvolvimento das suas aplicações?
Não confie cegamente na sua linguagem ou framework
5. iTFLEX Tecnologia http://www.itflex.com.br
OWASP
Open Web Application Security Project
Projeto aberto dedicado a capacitar as organizações a desenvolver e manter
aplicações seguras.
Subprojetos, ferramentas, bibliotecas, documentos, padrões, livros, realiza
eventos, grupos locais de discussão (Chapter)
2011 - OWASP AppSEC Latin America
2012 – OWASP Floripa Day
Chapters próximos (Florianópolis, Curitiba...)
7. iTFLEX Tecnologia http://www.itflex.com.br
OWASP TOP10 2013
A1-Injeção
A2-Quebra de autenticação / Sessão
A3-Cross-Site Scripting (XSS)
A4-Referências inseguras diretas de objetos
A5-Falhas das configurações de segurança
A6-Exposição de dados sensíveis
A7-Falta de controle do nível de acesso
A8-Cross-Site Request Forgery (CSRF) - Requisição forjada Cross-Site
A9-Uso de componentes com vulnerabilidade conhecidas
A10-Redirecionamentos e encaminhamentos não validados
11. iTFLEX Tecnologia http://www.itflex.com.br
A1-Injeção
E se no no lugar do ' or '1'='1 ?
● minhasenha'; DROP ALL DATABASES; --
● minhasenha'; INSERT INTO admins VALUES
('meu_admin','minha_senha'); --
● minhasenha'; UPDATE usuarios SET senha='123456' WHERE
user='admin; --
E se a aplicação web estiver conectando no banco com as credenciais:
● root / sysdba ?
● Execução de comandos no sistema operacional
● Acesso a outros bancos dados
13. iTFLEX Tecnologia http://www.itflex.com.br
A1-Injeção
Ferramenta
SQLMAP – Automatic SQL injection and database takeover tool
Realiza as injeções (Já com payloads de consultas)
Descobre o sistema de banco de dados
MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2,
SQLite, Firebird, Sybase and SAP MaxDB database management systems.
Realizar blind injection quando não é retorno (timing)
Permite conexão direta ao banco de dados
http://sqlmap.org/
14. iTFLEX Tecnologia http://www.itflex.com.br
A1-Injeção
SQL não é único tipo de injeção
Exemplo de Shell Injection (OS Commands)
Comandos do sistema operacional chamados pela aplicação
Digite o host para obter IP: _______________
$ip = System(“/bin/host $hostname”); echo “Endereço IP: $ip”;
Digite o host para obter IP: itflex.com.br%20%3B%20/bin/ls%20-la
System(“/bin/host itflex.com.br ; /bin/ls -la”); echo ?????
15. iTFLEX Tecnologia http://www.itflex.com.br
A2-Quebra de autenticação / Sessão
HTTP por sua origem é stateless, criado com foco na web estática ou
não era necessária autenticação ou sessão
Para aplicações web modernas poderem relacionar as transações dos
usuários é necessário o conceito de sessão.
Depende do estratégia usada pelo desenvolvedor
● session_id, cookies, etc..
17. iTFLEX Tecnologia http://www.itflex.com.br
A2-Quebra de autenticação / Sessão
Possibilidades de exploração
● session_id fixo ou session_id previsível (guestable) -> força bruta
● session_id com tempo de vida muito longo (Pode ser reutilizado)
● reutilização de session_id antigo (Não altera no logon)
● credenciais enviadas por canais inseguros - firesheep (wifi)
Lógica de autenticação falha
● Manipulação de variáveis da requisição
● if ( $logado = '1'); then echo “Usuário logado”; fi;
● http://site.com.br/adm/list_users?logado=1;
18. iTFLEX Tecnologia http://www.itflex.com.br
A3-Cross-Site Scripting (XSS)
Introdução ao A3-Cross-Site Scripting (XSS)
Falha no tratamento de entradas ou saídas da aplicação
Permite enviar código malicioso ao browser do usuários
Todo o browser é 'explorável'
Vulnerabilidade é na aplicação, mas a vítima é o usuário
20. iTFLEX Tecnologia http://www.itflex.com.br
A3-Cross-Site Scripting (XSS)
Possibilidades de ataque
Roubo de sessão
Fazer um deface no site (alterar, substituir conteúdo)
Inserir código malicioso (vírus)
Redirecionar o usuário para sites maliciosos
Enviar requisições involuntárias (A8-CSRF)
Exemplo do banco (duas senha, token, cartão numérico)
22. iTFLEX Tecnologia http://www.itflex.com.br
A4-Referências inseguras diretas de objetos
http://example.com/app/accountinfo=carlos
Referências inseguras a arquivos
http://example.com/view_file.php?arquivo=log.txt
http://example.com/view_file.php?arquivo=config.php
Usuário http://example.com/app/view.php?page=user
Administrador http://example.com/app/view.php?page=admin
(A7-Falta de controle do nível de acesso)
23. iTFLEX Tecnologia http://www.itflex.com.br
A5-Falhas de Configuração
Exemplos de pontos de falha
Sistema operacional desatualizado, com vulnerabilidades
Servidor de aplicação mal configurado,
configurações default, aplicações de exemplos
Consoles de administração expostos, ou com senha padrão
Configurações expostas (config.php.bkp)
Mensagem de erros não tratadas
Excesso de privilégio para aplicação
24. iTFLEX Tecnologia http://www.itflex.com.br
A6-Exposição de dados sensíveis
HTTPS (HTTP+SSL) protege confidencialidade da transação do usuário
não protege aplicação, nem dados armazenados
SSL obrigatório x opcional
Criptografia no front-end x backend (simétrico x assimétrico)
Uso de algorítimos de criptografia fracos
Armazenamento desnecessário de dados sensíveis
Auto-preenchimento dos forms com dados sensíveis
25. iTFLEX Tecnologia http://www.itflex.com.br
OWASP TOP10 2013
A1-Injeção
A2-Quebra de autenticação / Sessão
A3-Cross-Site Scripting (XSS)
A4-Referências inseguras diretas de objetos
A5-Falhas das configurações de segurança
A6-Exposição de dados sensíveis
A7-Falta de controle do nível de acesso
A8-Cross-Site Request Forgery (CSRF): Requisição forjada Cross-Site
A9-Uso de componentes com vulnerabilidade conhecidas
A10-Redirecionamentos e encaminhamentos não validados
26. iTFLEX Tecnologia http://www.itflex.com.br
Recomendações
Assuma que você também é responsável
Estude o OWASP TOP10: http://goo.gl/ZKj23a
Faça o tratamento das entradas e da saídas
Sanitize Inputs -> Higienizar entradas
Canonicalize Inputs -> Passar para codificação única
Validação sempre por whitelist
Minimize o privilégios da aplicação (Somente o necessário)
27. iTFLEX Tecnologia http://www.itflex.com.br
Recomendações
Assuma que você também é responsável
Estude o OWASP TOP10: http://goo.gl/ZKj23a
Faça o tratamento das entradas e da saídas
Sanitize Inputs -> Higienizar entradas
Canonicalize Inputs -> Passar para codificação única
Validação sempre por whitelist
Minimize o privilégios da aplicação (Somente o necessário)
30. iTFLEX Tecnologia http://www.itflex.com.br
Recomendações
Pratique: OWASP Broken Web Applications Project: http://goo.gl/75j5PF
Pesquise sobre os recursos de segurança da sua linguagem
Exemplo: http://www.pythonsecurity.org/
Python x Owasp Top 10: http://goo.gl/xXlZcy
ESAPI: OWASP Enterprise Security API http://goo.gl/6dumHS
Youtube: OWASP Appsec Tutorial Series http://goo.gl/W1GrVJ