SlideShare uma empresa Scribd logo

Segurança em aplicações web: pequenas ideias, grandes resultados

Alex Camargo
Alex Camargo

O documento apresenta uma palestra sobre segurança em aplicações web ministrada pelo professor Alex Camargo. A palestra aborda três principais tipos de ataques: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection. O professor demonstra como esses ataques funcionam e apresenta boas práticas de programação para preveni-los, como filtrar entradas e escapar saídas.

Software
1 de 34
Baixar para ler offline
Segurança em aplicações web:Segurança em aplicações web: pequenas ideias, grandes resultadospequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO
Sobre o professor Formação acadêmica:  Bacharel em Sistemas de Informação (URCAMP, 2010) TCC: Web sistema integrado a uma rede social para academias de ginástica. Orientador: Prof. Me. Abner Guedes  Especialista em Sistemas Distribuídos com Ênfase em Banco de Dados (UNIPAMPA, 2013) TCC: Interligando bases de dados do sistema Controle de Marcas e Sinais utilizando o MySQL Cluster. Orientadores: Prof. Me. Érico Amaral e Prof. Me. Rafael Bastos Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor Formação acadêmica:  Mestrando em Engenharia de Computação (FURG, 2016) Linha de pesquisa: Bioinformática. Orientador: Ainda não definido Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor Antes da UNIPAMPA:  Programador Web e DBA Local: Prefeitura Municipal de Bagé  Professor das disciplinas de Banco de Dados e Análise de Sistemas Local: Capacitar Escola Técnica Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor Atualmente:  Professor da disciplina de Algoritmos e Programação Turmas: Engenharia de Computação, Engenharia de Alimentos, Engenharia de Energias Renováveis e Ambiente, Engenharia Química e Licenciatura em Física  Professor da disciplina de Laboratório de Programação II Turma: Engenharia de Computação Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Esta palestra é sobre... Segurança em aplicações web.  Boas práticas de programação.  Erros comuns.  Tipos de ataques.  Foco na implementação com PHP e MySQL Pode ser aplicado para outras linguagens e bancos de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Esta palestra NÃO é sobre... Segurança em servidores.  Configuração de servidores.  Firewalls.  DNS, FTP, SSH, HTTPS.  DoS, IP spoofing, phishing. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
The beginning... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
The beginning Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução Atualmente as vulnerabilidades nas aplicações web são o maior vetor para os ataques contra a segurança de TI.  Falhas ou em erros de programação nas linguagens usadas para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc).  Tais vulnerabilidades podem ser complexas e se manifestarem em muitas situações diferentes. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo Fonte: (Gartner, 2008)
Introdução Principais causas das vulnerabilidades:  Imaturidade em segurança  Desenvolvimento in-house  Restrições de recursos e tempo Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução Por que o PHP?  Facilidade, rapidez, versatilidade, etc.  Ampla documentação e cases de sucesso.  Acabou se tornando a linguagem server-side mais utilizada na web. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Aplicações web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Aplicações Web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Vamos à prática... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Tipos de ataque Nesta palestra serão abordadas as principais ameaças a aplicações web, dentre elas:  Cross-Site Scripting (XSS)  Cross-Site Request Forgery (CSRF)  SQL Injection  Outras vulnerabilidades... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS) Para se proteger, basta:  Filtrar a entrada strip_tags: Retira as tags HTML e PHP de uma string.  Escapar a saída htmlespecialchars: Exibe as tags HTML sem interpretá-las. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS) Demonstração: XSS Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF) Como se defender do CSRF?  O método GET deve ser utilizado apenas para consultas Exibição de páginas, listagens, pesquisas.  O método POST deve ser utilizado para as operações Cadastros, atualização, exclusão, autenticação.  Utilizar tokens na sessão Gerados de forma aleatória e comparados ao receber a sessão. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF) Demonstração: CSRF Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection Felizmente, é muito fácil se proteger contra esse tipo de ataque.  Basta escapar os dados enviados nas queries mysql_escape_string: Escapa uma string para usar em uma consulta MySQL. addslashes: Adiciona barras invertidas a uma string. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection Demonstração: SQL Injection Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Boas práticas em PHP  URLs seguras e amigáveis.  Senhas criptografadas.  Monitore os erros de senha. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Considerações finais  Crie o hábito de programar de forma segura.  Toda entrada deve ser filtrada e toda saída deve ser escapada.  Visualize as brechas e implemente soluções simples para elas.  Esteja atualizado. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Referências PROBLEMAS COMUNS DE SEGURANÇA EM APLICAÇÕES WEB http://klauslaube.com.br/2012/04/15/problemas-de-seguranca-em-aplicacoes-web.html MANUAL DO PHP http://php.net/ (IN)SEGURANÇA EM APLICAÇÕES WEB http://www.detaileventos.com.br/ibm_dc2008/download/(In)Seguranca%20em%20Aplicacoes %20Web.pdf SEGURANÇA PARA APLICAÇÕES WEB http://www.siteblindado.com/pt/pags/view/files/WhitePaper+QualysGuard+Vulnerability+Web+Applic ations.pdf SEGURANÇA EM APLICAÇÕES WEB COM PHP http://pt.slideshare.net/gedvan/segurana-em-aplicaes-web-com-php-8676135 SEGURANÇA EM PHP - BLINDE SEU CÓDIGO DE VOCÊ MESMO! http://pt.slideshare.net/gustavonevesgn/segurana-em-php-blinde-seu-cdigo-de-voc-mesmo WEB HACKING: ATAQUES E VULNERABILIDADES EM APLICAÇÕES WEB http://blog.corujadeti.com.br/web-hacking-ataques-e-vulnerabilidades-em-aplicacoes-web/ Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Fim Agradeço a atenção de todos. Dúvidas, críticas ou sugestões? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Recomendados

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 

Recomendados

Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Alcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 

Mais conteúdo relacionado

Mais procurados

Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEMagno Logan
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 

Mais procurados (20)

Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 

Semelhante a Segurança em aplicações web: pequenas ideias, grandes resultados

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesTchelinux
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanAlexandre Almeida
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...EMERSON EDUARDO RODRIGUES
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite Blindado S.A.
 

Semelhante a Segurança em aplicações web: pequenas ideias, grandes resultados (20)

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Website security
Website securityWebsite security
Website security
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender maisSite blindado como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 

Mais de Alex Camargo

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaAlex Camargo
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - DemonologiaAlex Camargo
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosAlex Camargo
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?Alex Camargo
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasAlex Camargo
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaAlex Camargo
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Alex Camargo
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Alex Camargo
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoAlex Camargo
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlex Camargo
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeAlex Camargo
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoAlex Camargo
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)Alex Camargo
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Alex Camargo
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoAlex Camargo
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020Alex Camargo
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alexAlex Camargo
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial IntelligenceAlex Camargo
 
Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finaisAlex Camargo
 
Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)Alex Camargo
 

Mais de Alex Camargo (20)

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - Eclesiologia
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - Demonologia
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeiros
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínas
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurança
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom Samaritano
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem pratica
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alex
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence
 
Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finais
 
Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)
 

Segurança em aplicações web: pequenas ideias, grandes resultados

  • 1. Segurança em aplicações web:Segurança em aplicações web: pequenas ideias, grandes resultadospequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO
  • 2. Sobre o professor Formação acadêmica:  Bacharel em Sistemas de Informação (URCAMP, 2010) TCC: Web sistema integrado a uma rede social para academias de ginástica. Orientador: Prof. Me. Abner Guedes  Especialista em Sistemas Distribuídos com Ênfase em Banco de Dados (UNIPAMPA, 2013) TCC: Interligando bases de dados do sistema Controle de Marcas e Sinais utilizando o MySQL Cluster. Orientadores: Prof. Me. Érico Amaral e Prof. Me. Rafael Bastos Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 3. Sobre o professor Formação acadêmica:  Mestrando em Engenharia de Computação (FURG, 2016) Linha de pesquisa: Bioinformática. Orientador: Ainda não definido Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 4. Sobre o professor Antes da UNIPAMPA:  Programador Web e DBA Local: Prefeitura Municipal de Bagé  Professor das disciplinas de Banco de Dados e Análise de Sistemas Local: Capacitar Escola Técnica Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 5. Sobre o professor Atualmente:  Professor da disciplina de Algoritmos e Programação Turmas: Engenharia de Computação, Engenharia de Alimentos, Engenharia de Energias Renováveis e Ambiente, Engenharia Química e Licenciatura em Física  Professor da disciplina de Laboratório de Programação II Turma: Engenharia de Computação Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 6. Esta palestra é sobre... Segurança em aplicações web.  Boas práticas de programação.  Erros comuns.  Tipos de ataques.  Foco na implementação com PHP e MySQL Pode ser aplicado para outras linguagens e bancos de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 7. Esta palestra NÃO é sobre... Segurança em servidores.  Configuração de servidores.  Firewalls.  DNS, FTP, SSH, HTTPS.  DoS, IP spoofing, phishing. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 8. The beginning... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 9. The beginning Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 10. Introdução Atualmente as vulnerabilidades nas aplicações web são o maior vetor para os ataques contra a segurança de TI.  Falhas ou em erros de programação nas linguagens usadas para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc).  Tais vulnerabilidades podem ser complexas e se manifestarem em muitas situações diferentes. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 11. Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 12. Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo Fonte: (Gartner, 2008)
  • 13. Introdução Principais causas das vulnerabilidades:  Imaturidade em segurança  Desenvolvimento in-house  Restrições de recursos e tempo Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 14. Introdução Por que o PHP?  Facilidade, rapidez, versatilidade, etc.  Ampla documentação e cases de sucesso.  Acabou se tornando a linguagem server-side mais utilizada na web. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 15. Aplicações web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 16. Aplicações Web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 17. Vamos à prática... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 18. Tipos de ataque Nesta palestra serão abordadas as principais ameaças a aplicações web, dentre elas:  Cross-Site Scripting (XSS)  Cross-Site Request Forgery (CSRF)  SQL Injection  Outras vulnerabilidades... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 19. Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 20. Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 21. Cross-Site Scripting (XSS) Para se proteger, basta:  Filtrar a entrada strip_tags: Retira as tags HTML e PHP de uma string.  Escapar a saída htmlespecialchars: Exibe as tags HTML sem interpretá-las. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 22. Cross-Site Scripting (XSS) Demonstração: XSS Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 23. Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 24. Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 25. Cross-Site Request Forgery (CSRF) Como se defender do CSRF?  O método GET deve ser utilizado apenas para consultas Exibição de páginas, listagens, pesquisas.  O método POST deve ser utilizado para as operações Cadastros, atualização, exclusão, autenticação.  Utilizar tokens na sessão Gerados de forma aleatória e comparados ao receber a sessão. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 26. Cross-Site Request Forgery (CSRF) Demonstração: CSRF Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 27. SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 28. SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 29. SQL Injection Felizmente, é muito fácil se proteger contra esse tipo de ataque.  Basta escapar os dados enviados nas queries mysql_escape_string: Escapa uma string para usar em uma consulta MySQL. addslashes: Adiciona barras invertidas a uma string. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 30. SQL Injection Demonstração: SQL Injection Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 31. Boas práticas em PHP  URLs seguras e amigáveis.  Senhas criptografadas.  Monitore os erros de senha. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 32. Considerações finais  Crie o hábito de programar de forma segura.  Toda entrada deve ser filtrada e toda saída deve ser escapada.  Visualize as brechas e implemente soluções simples para elas.  Esteja atualizado. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 33. Referências PROBLEMAS COMUNS DE SEGURANÇA EM APLICAÇÕES WEB http://klauslaube.com.br/2012/04/15/problemas-de-seguranca-em-aplicacoes-web.html MANUAL DO PHP http://php.net/ (IN)SEGURANÇA EM APLICAÇÕES WEB http://www.detaileventos.com.br/ibm_dc2008/download/(In)Seguranca%20em%20Aplicacoes %20Web.pdf SEGURANÇA PARA APLICAÇÕES WEB http://www.siteblindado.com/pt/pags/view/files/WhitePaper+QualysGuard+Vulnerability+Web+Applic ations.pdf SEGURANÇA EM APLICAÇÕES WEB COM PHP http://pt.slideshare.net/gedvan/segurana-em-aplicaes-web-com-php-8676135 SEGURANÇA EM PHP - BLINDE SEU CÓDIGO DE VOCÊ MESMO! http://pt.slideshare.net/gustavonevesgn/segurana-em-php-blinde-seu-cdigo-de-voc-mesmo WEB HACKING: ATAQUES E VULNERABILIDADES EM APLICAÇÕES WEB http://blog.corujadeti.com.br/web-hacking-ataques-e-vulnerabilidades-em-aplicacoes-web/ Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 34. Fim Agradeço a atenção de todos. Dúvidas, críticas ou sugestões? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com