SlideShare uma empresa Scribd logo

Segurança em aplicações web

COTIC-PROEG (UFPA)
COTIC-PROEG (UFPA)

O documento discute as vulnerabilidades mais comuns em aplicações web, incluindo injeção SQL, cross-site scripting (XSS), sistemas de autenticação fracos, sequestro de sessões e elevação de privilégios. Ele fornece recomendações para prevenir cada vulnerabilidade, como validação de dados de entrada, uso de prepared statements para SQL, filtragem de scripts indesejados, evitar mensagens de erro detalhadas e garantir que todos os recursos protegidos exijam autenticação.

1 de 12
Baixar para ler offline
Segurança em aplicações Web Porque é tão importante?
Considerações iniciais
INTRODUÇÃO • Facilidade de acesso. • Estatísticas desfavoráveis. • O desinteresse dos desenvolvedores. • XSS
VULNERABILIDADES MAIS COMUNS • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • Validação : dados de entrada. • Permitir somente caracteres selecionados previamente. • Prepared Statement: Impede a alteração da sintaxe do comando SQL.
VULNERABILIDADES MAIS COMUNS • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código malicioso. • Aplicação web sem validação. • Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page. • Recomendações: • Verificar se o conteúdo da Page não contenha scripts indesejados. • Filtragem de dados. (Entrada e saída).
VULNERABILIDADES MAIS COMUNS • SISTEMAS DE AUTENTICAÇÃO • Login e senha válidos. • Perigo nas mensagens de erro! • Problemas - Mensagens de erro: • - Enumeração de logins válidos: Usuários listados. • - Ataque de dicionário: Tentativa e erro. • - Ataque de força bruta: Formações de palavra. • Recomendações: • Evitar mensagens de erro detalhadas.
VULNERABILIDADES MAIS COMUNS • SEQUESTRO DE SESSÕES. • Utilização de cookies. • Servidor captura o cookie. • Ataque pode surgir quando: captura ou adiviha o cookie de outro usuário. • Recomendações: • HTTPS: garante a criptografia. • Eliminação de vulnerabilidade.
VULNERABILIDADES MAIS COMUNS • ARQUIVOS INDEVIDOS. • Arquivos de configuração e informações sigilosas. • Arquivos com senha. • Recomendações: • Mover os arquivos de configuração, backup e sigilosos.
VULNERABILIDADES MAIS COMUNS • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as mesmas permissões. • Recomendações: • Dados dos usuários validados antes da execução. • Chamar as bibliotecas.
VULNERABILIDADES MAIS COMUNS • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao usuário. • Pode ser encontrada em apps web com menus criados dinamicamente. • Recomendações: • Todo controle deve ser validado. • Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados. • Todos os recursos protegidos precisam de um controle implementado .
VULNERABILIDADES MAIS COMUNS • OUTRAS RECOMENDAÇÕES. • Protocolo HTTPS. • Política de senhas. (8 caracteres). • UPLOAD de arquivos. • Privilégios mínimos no Banco de Dados. • Criptografia das senhas. • Campos hidden no código HTML. • Atualização de softwares. • Configuração de softwares.
VULNERABILIDADES MAIS COMUNS • Referências: Agência Estadual de Tecnologia da Informação.

Recomendados

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
Dirceu Resende
 
Api todo list
Api todo listApi todo list
Api todo list
Jhonathan de Souza Soares
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
Jeronimo Zucco
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
Giovane Liberato
 
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do InteriorPrimeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Zabbix BR
 

Recomendados

Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
SQL Saturday #844 - Belo Horizonte - Segurança no SQL Server: Você está deixa...
Dirceu Resende
 
Api todo list
Api todo listApi todo list
Api todo list
Jhonathan de Souza Soares
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
Jeronimo Zucco
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
Giovane Liberato
 
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do InteriorPrimeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Primeiros passos com a API do Zabbix - 3º Zabbix Meetup do Interior
Zabbix BR
 
Apresentacao zabbix
Apresentacao zabbixApresentacao zabbix
Apresentacao zabbix
Daniel Peres
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
Rodrigo Cândido da Silva
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Renato Groff
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com Zabbix
Zabbix BR
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Patricia Ladislau Silva
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPMonitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Zabbix BR
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbix
Rafael Gomes
 
Servidor Proxy com squid
Servidor Proxy com squidServidor Proxy com squid
Servidor Proxy com squid
Ayslan Ferrari
 
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoProtegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Rodrigo Cândido da Silva
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
Thiago Finardi
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
Aécio Pires
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
Fernando Piancastelli
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
Rafael Mendonça
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauMonitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Patricia Ladislau Silva
 
Instalando hudson
Instalando hudsonInstalando hudson
Instalando hudson
Ricardo Machado
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Renato Groff
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
Jeison Barros
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
POANETMeetup
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Giovani Decusati
 

Mais conteúdo relacionado

Mais procurados

Apresentacao zabbix
Apresentacao zabbixApresentacao zabbix
Apresentacao zabbix
Daniel Peres
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
Rodrigo Cândido da Silva
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Renato Groff
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com Zabbix
Zabbix BR
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Patricia Ladislau Silva
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPMonitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Zabbix BR
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbix
Rafael Gomes
 
Servidor Proxy com squid
Servidor Proxy com squidServidor Proxy com squid
Servidor Proxy com squid
Ayslan Ferrari
 
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoProtegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Rodrigo Cândido da Silva
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
Thiago Finardi
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
Aécio Pires
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
Fernando Piancastelli
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
Rafael Mendonça
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauMonitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Patricia Ladislau Silva
 
Instalando hudson
Instalando hudsonInstalando hudson
Instalando hudson
Ricardo Machado
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Renato Groff
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
Jeison Barros
 

Mais procurados (18)

Apresentacao zabbix
Apresentacao zabbixApresentacao zabbix
Apresentacao zabbix
 
GUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em JavaGUJavaSC - Protegendo Microservices em Java
GUJavaSC - Protegendo Microservices em Java
 
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
Boas práticas de segurança no acesso a dados em aplicações Web - SQLSaturday ...
 
Monitorando ativos com Zabbix
Monitorando ativos com ZabbixMonitorando ativos com Zabbix
Monitorando ativos com Zabbix
 
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
Monitoramento de Bancos de Dados MS SQL Server com Zabbix - SQL Technology Da...
 
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SPMonitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
Monitorando Bancos Oracle - 2º ZABBIX MEETUP DO INTERIOR-SP
 
Monitoramento de ativos com zabbix
Monitoramento de ativos com zabbixMonitoramento de ativos com zabbix
Monitoramento de ativos com zabbix
 
Servidor Proxy com squid
Servidor Proxy com squidServidor Proxy com squid
Servidor Proxy com squid
 
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de ImplementaçãoProtegendo Microservices: Boas Práticas e Estratégias de Implementação
Protegendo Microservices: Boas Práticas e Estratégias de Implementação
 
Monitoramento de Redes com Zabbix
Monitoramento de Redes com ZabbixMonitoramento de Redes com Zabbix
Monitoramento de Redes com Zabbix
 
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
SNMP/Zabbix - Vulnerabilidades e Contramedidas 2
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Segurança em Angular SPA
Segurança em Angular SPASegurança em Angular SPA
Segurança em Angular SPA
 
Apresentacao_Zabbix
Apresentacao_ZabbixApresentacao_Zabbix
Apresentacao_Zabbix
 
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia LadislauMonitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
Monitoramento e Gerenciamento de Infraestrutura com Zabbix - Patrícia Ladislau
 
Instalando hudson
Instalando hudsonInstalando hudson
Instalando hudson
 
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
Boas práticas de segurança no acesso a dados em aplicações Web - DBA BRASIL 4.0
 
Mule pe salesforce mule security
Mule pe salesforce mule securityMule pe salesforce mule security
Mule pe salesforce mule security
 

Semelhante a Segurança em aplicações web

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
POANETMeetup
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Giovani Decusati
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
Marlon Bernardes
 
Secure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptxSecure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptx
Thiago Bertuzzi
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerce
Thauã Cícero Santos Silva
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
Thauã Cícero Santos Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Floripa on Rails - Security Tips
Floripa on Rails - Security TipsFloripa on Rails - Security Tips
Floripa on Rails - Security Tips
Rafael Besen - Hiring Awesome Devs
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
Júlio Coutinho
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
Amazon Web Services LATAM
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
Michel Pereira
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Renato Groff
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Filtro de conteúdo Proxy
Filtro de conteúdo ProxyFiltro de conteúdo Proxy
Filtro de conteúdo Proxy
Carlos Rodrigo de Araujo
 

Semelhante a Segurança em aplicações web (20)

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
CWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top TenCWI - Núcleo de tecnologia - OWASP Top Ten
CWI - Núcleo de tecnologia - OWASP Top Ten
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
OWASP TOP 10 - Web Security
OWASP TOP 10 - Web SecurityOWASP TOP 10 - Web Security
OWASP TOP 10 - Web Security
 
Secure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptxSecure Coding with OWASP & SSDLC.pptx
Secure Coding with OWASP & SSDLC.pptx
 
Segurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerceSegurança da informação para WordPress e WooCommerce
Segurança da informação para WordPress e WooCommerce
 
Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016Segurança da informação palestra wordcamp sp 2016
Segurança da informação palestra wordcamp sp 2016
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Floripa on Rails - Security Tips
Floripa on Rails - Security TipsFloripa on Rails - Security Tips
Floripa on Rails - Security Tips
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
Segurança na Nuvem da AWS
Segurança na Nuvem da AWSSegurança na Nuvem da AWS
Segurança na Nuvem da AWS
 
Segurança na Nuvem AWS
Segurança na Nuvem AWSSegurança na Nuvem AWS
Segurança na Nuvem AWS
 
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
Boas práticas de segurança no acesso a dados em Web Apps - SQLSaturday #972 -...
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Filtro de conteúdo Proxy
Filtro de conteúdo ProxyFiltro de conteúdo Proxy
Filtro de conteúdo Proxy
 

Mais de COTIC-PROEG (UFPA)

LT - Redis
LT - RedisLT - Redis
LT - Redis
COTIC-PROEG (UFPA)
 
LT Ansible
LT AnsibleLT Ansible
LT Ansible
COTIC-PROEG (UFPA)
 
Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com Cypress
COTIC-PROEG (UFPA)
 
Loop back
Loop backLoop back
Loop back
COTIC-PROEG (UFPA)
 
METEOR
METEORMETEOR
METEOR
COTIC-PROEG (UFPA)
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágil
COTIC-PROEG (UFPA)
 
Canva
CanvaCanva
Canva
COTIC-PROEG (UFPA)
 
Git v2
Git v2Git v2
Git v2
COTIC-PROEG (UFPA)
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissional
COTIC-PROEG (UFPA)
 
Os 5 Sensos da Qualidade
Os 5 Sensos da QualidadeOs 5 Sensos da Qualidade
Os 5 Sensos da Qualidade
COTIC-PROEG (UFPA)
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBM
COTIC-PROEG (UFPA)
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolação
COTIC-PROEG (UFPA)
 
LAB JavaScript
LAB JavaScriptLAB JavaScript
LAB JavaScript
COTIC-PROEG (UFPA)
 
Principios e Valores Ágeis
Principios e Valores ÁgeisPrincipios e Valores Ágeis
Principios e Valores Ágeis
COTIC-PROEG (UFPA)
 
Big data
Big dataBig data
Big data
COTIC-PROEG (UFPA)
 
Metricas para Times Ágeis
Metricas para Times ÁgeisMetricas para Times Ágeis
Metricas para Times Ágeis
COTIC-PROEG (UFPA)
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
COTIC-PROEG (UFPA)
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em Par
COTIC-PROEG (UFPA)
 
Feedback Canvas
Feedback CanvasFeedback Canvas
Feedback Canvas
COTIC-PROEG (UFPA)
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos
COTIC-PROEG (UFPA)
 

Mais de COTIC-PROEG (UFPA) (20)

LT - Redis
LT - RedisLT - Redis
LT - Redis
 
LT Ansible
LT AnsibleLT Ansible
LT Ansible
 
Testes automatizados com Cypress
Testes automatizados com CypressTestes automatizados com Cypress
Testes automatizados com Cypress
 
Loop back
Loop backLoop back
Loop back
 
METEOR
METEORMETEOR
METEOR
 
Desenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágilDesenvolvimento de software tradicional vs ágil
Desenvolvimento de software tradicional vs ágil
 
Canva
CanvaCanva
Canva
 
Git v2
Git v2Git v2
Git v2
 
Atitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissionalAtitudes que levam ao Fracasso profissional
Atitudes que levam ao Fracasso profissional
 
Os 5 Sensos da Qualidade
Os 5 Sensos da QualidadeOs 5 Sensos da Qualidade
Os 5 Sensos da Qualidade
 
WATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBMWATSON - O Fascinante Computador da IBM
WATSON - O Fascinante Computador da IBM
 
Produtividade sem enrrolação
Produtividade sem enrrolaçãoProdutividade sem enrrolação
Produtividade sem enrrolação
 
LAB JavaScript
LAB JavaScriptLAB JavaScript
LAB JavaScript
 
Principios e Valores Ágeis
Principios e Valores ÁgeisPrincipios e Valores Ágeis
Principios e Valores Ágeis
 
Big data
Big dataBig data
Big data
 
Metricas para Times Ágeis
Metricas para Times ÁgeisMetricas para Times Ágeis
Metricas para Times Ágeis
 
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPAAplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
Aplicação de Abordagens Ágeis: Estudo de Caso de utlização do SCRUM – PROEG/UFPA
 
Técnicas para Programação em Par
Técnicas para Programação em ParTécnicas para Programação em Par
Técnicas para Programação em Par
 
Feedback Canvas
Feedback CanvasFeedback Canvas
Feedback Canvas
 
5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos5 Doenças do Gerenciamento de Projetos
5 Doenças do Gerenciamento de Projetos
 

Último

TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 

Último (8)

TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 

Segurança em aplicações web

  • 1. Segurança em aplicações Web Porque é tão importante?
  • 3. INTRODUÇÃO • Facilidade de acesso. • Estatísticas desfavoráveis. • O desinteresse dos desenvolvedores. • XSS
  • 4. VULNERABILIDADES MAIS COMUNS • INJEÇÃO SQL • Atacante insere comandos SQL. • Utiliza formulários. • Recomendações: • Validação : dados de entrada. • Permitir somente caracteres selecionados previamente. • Prepared Statement: Impede a alteração da sintaxe do comando SQL.
  • 5. VULNERABILIDADES MAIS COMUNS • CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código malicioso. • Aplicação web sem validação. • Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page. • Recomendações: • Verificar se o conteúdo da Page não contenha scripts indesejados. • Filtragem de dados. (Entrada e saída).
  • 6. VULNERABILIDADES MAIS COMUNS • SISTEMAS DE AUTENTICAÇÃO • Login e senha válidos. • Perigo nas mensagens de erro! • Problemas - Mensagens de erro: • - Enumeração de logins válidos: Usuários listados. • - Ataque de dicionário: Tentativa e erro. • - Ataque de força bruta: Formações de palavra. • Recomendações: • Evitar mensagens de erro detalhadas.
  • 7. VULNERABILIDADES MAIS COMUNS • SEQUESTRO DE SESSÕES. • Utilização de cookies. • Servidor captura o cookie. • Ataque pode surgir quando: captura ou adiviha o cookie de outro usuário. • Recomendações: • HTTPS: garante a criptografia. • Eliminação de vulnerabilidade.
  • 8. VULNERABILIDADES MAIS COMUNS • ARQUIVOS INDEVIDOS. • Arquivos de configuração e informações sigilosas. • Arquivos com senha. • Recomendações: • Mover os arquivos de configuração, backup e sigilosos.
  • 9. VULNERABILIDADES MAIS COMUNS • EXECUÇÃO DE COMANDOS. • Manipulação das entradas de dados. • Comandos executam com as mesmas permissões. • Recomendações: • Dados dos usuários validados antes da execução. • Chamar as bibliotecas.
  • 10. VULNERABILIDADES MAIS COMUNS • ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao usuário. • Pode ser encontrada em apps web com menus criados dinamicamente. • Recomendações: • Todo controle deve ser validado. • Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados. • Todos os recursos protegidos precisam de um controle implementado .
  • 11. VULNERABILIDADES MAIS COMUNS • OUTRAS RECOMENDAÇÕES. • Protocolo HTTPS. • Política de senhas. (8 caracteres). • UPLOAD de arquivos. • Privilégios mínimos no Banco de Dados. • Criptografia das senhas. • Campos hidden no código HTML. • Atualização de softwares. • Configuração de softwares.
  • 12. VULNERABILIDADES MAIS COMUNS • Referências: Agência Estadual de Tecnologia da Informação.