SlideShare uma empresa Scribd logo
Segurança em aplicações web:Segurança em aplicações web:
pequenas ideias, grandes resultadospequenas ideias, grandes resultados
Prof. Alex Camargo
alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA
CAMPUS BAGÉ
ENGENHARIA DE COMPUTAÇÃO
Sobre o professor
Formação acadêmica:
 Bacharel em Sistemas de Informação (URCAMP, 2010)
TCC: Web sistema integrado a uma rede social para academias
de ginástica.
Orientador: Prof. Me. Abner Guedes
 Especialista em Sistemas Distribuídos com Ênfase em
Banco de Dados (UNIPAMPA, 2013)
TCC: Interligando bases de dados do sistema Controle de Marcas
e Sinais utilizando o MySQL Cluster.
Orientadores: Prof. Me. Érico Amaral e Prof. Me. Rafael Bastos
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor
Formação acadêmica:
 Mestrando em Engenharia de Computação (FURG, 2016)
Linha de pesquisa: Bioinformática.
Orientador: Ainda não definido
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor
Antes da UNIPAMPA:
 Programador Web e DBA
Local: Prefeitura Municipal de Bagé
 Professor das disciplinas de Banco de Dados e Análise
de Sistemas
Local: Capacitar Escola Técnica
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Sobre o professor
Atualmente:
 Professor da disciplina de Algoritmos e Programação
Turmas: Engenharia de Computação, Engenharia de Alimentos,
Engenharia de Energias Renováveis e Ambiente, Engenharia
Química e Licenciatura em Física
 Professor da disciplina de Laboratório de Programação II
Turma: Engenharia de Computação
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Esta palestra é sobre...
Segurança em aplicações web.
 Boas práticas de programação.
 Erros comuns.
 Tipos de ataques.
 Foco na implementação com PHP e MySQL
Pode ser aplicado para outras linguagens e bancos de dados.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Esta palestra NÃO é sobre...
Segurança em servidores.
 Configuração de servidores.
 Firewalls.
 DNS, FTP, SSH, HTTPS.
 DoS, IP spoofing, phishing.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
The beginning...
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
The beginning
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução
Atualmente as vulnerabilidades nas aplicações web são o maior
vetor para os ataques contra a segurança de TI.
 Falhas ou em erros de programação nas linguagens usadas
para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc).
 Tais vulnerabilidades podem ser complexas e se manifestarem
em muitas situações diferentes.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução
Porque segurança em aplicações é prioridade?
 75% dos ataques acontecem na camada da aplicação (Gartner)
 90% dos sites são vulneráveis à ataques (Watchfire)
 78% das vulnerabilidades facilmente exploráveis afetam
aplicações web (Symantec)
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução
Porque segurança em aplicações é prioridade?
 75% dos ataques acontecem na camada da aplicação (Gartner)
 90% dos sites são vulneráveis à ataques (Watchfire)
 78% das vulnerabilidades facilmente exploráveis afetam
aplicações web (Symantec)
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Fonte: (Gartner, 2008)
Introdução
Principais causas das vulnerabilidades:
 Imaturidade em segurança
 Desenvolvimento in-house
 Restrições de recursos e tempo
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Introdução
Por que o PHP?
 Facilidade, rapidez, versatilidade, etc.
 Ampla documentação e cases de sucesso.
 Acabou se tornando a linguagem server-side mais utilizada na
web.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Aplicações web
Como funcionam as aplicações web?
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Aplicações Web
Como funcionam as aplicações web?
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Vamos à prática...
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Tipos de ataque
Nesta palestra serão abordadas as principais ameaças a
aplicações web, dentre elas:
 Cross-Site Scripting (XSS)
 Cross-Site Request Forgery (CSRF)
 SQL Injection
 Outras vulnerabilidades...
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS)
O atacante normalmente explorará essa falha inserindo tags e
código Javascript no seu HTML.
 Tags <iframe> chamando páginas maliciosas
 Código js para ler os cookies do usuário
 Código js para alterar as informações do site (defacement)
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS)
O atacante normalmente explorará essa falha inserindo tags e
código Javascript no seu HTML.
 Tags <iframe> chamando páginas maliciosas
 Código js para ler os cookies do usuário
 Código js para alterar as informações do site (defacement)
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS)
Para se proteger, basta:
 Filtrar a entrada
strip_tags: Retira as tags HTML e PHP de uma string.
 Escapar a saída
htmlespecialchars: Exibe as tags HTML sem interpretá-las.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Scripting (XSS)
Demonstração: XSS
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF)
Como o nome diz, consiste em tentar forjar uma requisição de
um site para outro. O ataque pode ser feito da seguinte forma:
 Você recebe um e-mail com uma URL oculta, geralmente
algum e-mail do tipo "Veja as nossas fotos".
 Esta URL executa alguma ação em uma aplicação que você
esteja autenticado no momento (por exemplo, o Facebook).
 Esta ação pode dar poderes ao atacante para remover os
seus dados (ou do seu cliente) permanentemente.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF)
Como o nome diz, consiste em tentar forjar uma requisição de
um site para outro. O ataque pode ser feito da seguinte forma:
 Você recebe um e-mail com uma URL oculta, geralmente
algum e-mail do tipo "Veja as nossas fotos".
 Esta URL executa alguma ação em uma aplicação que você
esteja autenticado no momento (por exemplo, o Facebook).
 Esta ação pode dar poderes ao atacante para remover os
seus dados (ou do seu cliente) permanentemente.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF)
Como se defender do CSRF?
 O método GET deve ser utilizado apenas para consultas
Exibição de páginas, listagens, pesquisas.
 O método POST deve ser utilizado para as operações
Cadastros, atualização, exclusão, autenticação.
 Utilizar tokens na sessão
Gerados de forma aleatória e comparados ao receber a sessão.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Cross-Site Request Forgery (CSRF)
Demonstração: CSRF
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection
Entre as vulnerabilidades citadas, o SQL Injection é uma das
mais destrutivas, tanto para a aplicação quanto para os seus
usuários.
 Entrada do usuário inserida em comandos SQL.
 Informação maliciosa fornecida pelo atacante engana o
interpretador.
 Uma exploração da injeção de SQL bem sucedida pode
ler/alterar/excluir dados sigilosos do banco de dados.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection
Entre as vulnerabilidades citadas, o SQL Injection é uma das
mais destrutivas, tanto para a aplicação quanto para os seus
usuários.
 Entrada do usuário inserida em comandos SQL.
 Informação maliciosa fornecida pelo atacante engana o
interpretador.
 Uma exploração da injeção de SQL bem sucedida pode
ler/alterar/excluir dados sigilosos do banco de dados.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection
Felizmente, é muito fácil se proteger contra esse tipo de ataque.
 Basta escapar os dados enviados nas queries
mysql_escape_string: Escapa uma string para usar em uma
consulta MySQL.
addslashes: Adiciona barras invertidas a uma string.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
SQL Injection
Demonstração: SQL Injection
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Boas práticas em PHP
 URLs seguras e amigáveis.
 Senhas criptografadas.
 Monitore os erros de senha.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Considerações finais
 Crie o hábito de programar de forma segura.
 Toda entrada deve ser filtrada e toda saída deve ser escapada.
 Visualize as brechas e implemente soluções simples para elas.
 Esteja atualizado.
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Referências
PROBLEMAS COMUNS DE SEGURANÇA EM APLICAÇÕES WEB
http://klauslaube.com.br/2012/04/15/problemas-de-seguranca-em-aplicacoes-web.html
MANUAL DO PHP
http://php.net/
(IN)SEGURANÇA EM APLICAÇÕES WEB
http://www.detaileventos.com.br/ibm_dc2008/download/(In)Seguranca%20em%20Aplicacoes
%20Web.pdf
SEGURANÇA PARA APLICAÇÕES WEB
http://www.siteblindado.com/pt/pags/view/files/WhitePaper+QualysGuard+Vulnerability+Web+Applic
ations.pdf
SEGURANÇA EM APLICAÇÕES WEB COM PHP
http://pt.slideshare.net/gedvan/segurana-em-aplicaes-web-com-php-8676135
SEGURANÇA EM PHP - BLINDE SEU CÓDIGO DE VOCÊ MESMO!
http://pt.slideshare.net/gustavonevesgn/segurana-em-php-blinde-seu-cdigo-de-voc-mesmo
WEB HACKING: ATAQUES E VULNERABILIDADES EM APLICAÇÕES WEB
http://blog.corujadeti.com.br/web-hacking-ataques-e-vulnerabilidades-em-aplicacoes-web/
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
Fim
Agradeço a atenção de todos.
Dúvidas, críticas ou sugestões?
Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
alexcamargoweb@gmail.com

Mais conteúdo relacionado

Mais procurados

Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Clavis Segurança da Informação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
Alcyon Ferreira de Souza Junior, MSc
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 

Mais procurados (20)

Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 

Semelhante a Segurança em aplicações web: pequenas ideias, grandes resultados

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
Alex Hübner
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
Antar Ferreira
 
Website security
Website securityWebsite security
Website security
thiagosenac
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
Alexandre Jesus Marcolino
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
Dércio Luiz Reis
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
Rafael Jaques
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Tchelinux
 
E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
Alexandre Almeida
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
EMERSON EDUARDO RODRIGUES
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
Mauricio Corrêa
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado  - Como tornar loja virtual mais segura e vender maisSite blindado  - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
Mauro Risonho de Paula Assumpcao
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado   como tornar loja virtual mais segura e vender maisSite blindado   como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
Site Blindado S.A.
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux  - LatinoWare 2015Pentest com Kali Linux  - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
Alcyon Ferreira de Souza Junior, MSc
 

Semelhante a Segurança em aplicações web: pequenas ideias, grandes resultados (20)

Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Website security
Website securityWebsite security
Website security
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
 
E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado  - Como tornar loja virtual mais segura e vender maisSite blindado  - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Site blindado como tornar loja virtual mais segura e vender mais
Site blindado   como tornar loja virtual mais segura e vender maisSite blindado   como tornar loja virtual mais segura e vender mais
Site blindado como tornar loja virtual mais segura e vender mais
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux  - LatinoWare 2015Pentest com Kali Linux  - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 

Mais de Alex Camargo

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - Eclesiologia
Alex Camargo
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - Demonologia
Alex Camargo
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeiros
Alex Camargo
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?
Alex Camargo
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínas
Alex Camargo
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurança
Alex Camargo
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas:  criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas:  criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Alex Camargo
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Alex Camargo
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom Samaritano
Alex Camargo
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem pratica
Alex Camargo
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Alex Camargo
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Alex Camargo
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
Alex Camargo
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Alex Camargo
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Alex Camargo
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020
Alex Camargo
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alex
Alex Camargo
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence
Alex Camargo
 
Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finais
Alex Camargo
 
Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)
Alex Camargo
 

Mais de Alex Camargo (20)

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - Eclesiologia
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - Demonologia
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeiros
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínas
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurança
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas:  criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas:  criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom Samaritano
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem pratica
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alex
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence
 
Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finais
 
Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)Aula 04 - Injeção de código (Cross-Site Scripting)
Aula 04 - Injeção de código (Cross-Site Scripting)
 

Segurança em aplicações web: pequenas ideias, grandes resultados

  • 1. Segurança em aplicações web:Segurança em aplicações web: pequenas ideias, grandes resultadospequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO
  • 2. Sobre o professor Formação acadêmica:  Bacharel em Sistemas de Informação (URCAMP, 2010) TCC: Web sistema integrado a uma rede social para academias de ginástica. Orientador: Prof. Me. Abner Guedes  Especialista em Sistemas Distribuídos com Ênfase em Banco de Dados (UNIPAMPA, 2013) TCC: Interligando bases de dados do sistema Controle de Marcas e Sinais utilizando o MySQL Cluster. Orientadores: Prof. Me. Érico Amaral e Prof. Me. Rafael Bastos Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 3. Sobre o professor Formação acadêmica:  Mestrando em Engenharia de Computação (FURG, 2016) Linha de pesquisa: Bioinformática. Orientador: Ainda não definido Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 4. Sobre o professor Antes da UNIPAMPA:  Programador Web e DBA Local: Prefeitura Municipal de Bagé  Professor das disciplinas de Banco de Dados e Análise de Sistemas Local: Capacitar Escola Técnica Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 5. Sobre o professor Atualmente:  Professor da disciplina de Algoritmos e Programação Turmas: Engenharia de Computação, Engenharia de Alimentos, Engenharia de Energias Renováveis e Ambiente, Engenharia Química e Licenciatura em Física  Professor da disciplina de Laboratório de Programação II Turma: Engenharia de Computação Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 6. Esta palestra é sobre... Segurança em aplicações web.  Boas práticas de programação.  Erros comuns.  Tipos de ataques.  Foco na implementação com PHP e MySQL Pode ser aplicado para outras linguagens e bancos de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 7. Esta palestra NÃO é sobre... Segurança em servidores.  Configuração de servidores.  Firewalls.  DNS, FTP, SSH, HTTPS.  DoS, IP spoofing, phishing. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 8. The beginning... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 9. The beginning Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 10. Introdução Atualmente as vulnerabilidades nas aplicações web são o maior vetor para os ataques contra a segurança de TI.  Falhas ou em erros de programação nas linguagens usadas para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc).  Tais vulnerabilidades podem ser complexas e se manifestarem em muitas situações diferentes. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 11. Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 12. Introdução Porque segurança em aplicações é prioridade?  75% dos ataques acontecem na camada da aplicação (Gartner)  90% dos sites são vulneráveis à ataques (Watchfire)  78% das vulnerabilidades facilmente exploráveis afetam aplicações web (Symantec) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo Fonte: (Gartner, 2008)
  • 13. Introdução Principais causas das vulnerabilidades:  Imaturidade em segurança  Desenvolvimento in-house  Restrições de recursos e tempo Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 14. Introdução Por que o PHP?  Facilidade, rapidez, versatilidade, etc.  Ampla documentação e cases de sucesso.  Acabou se tornando a linguagem server-side mais utilizada na web. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 15. Aplicações web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 16. Aplicações Web Como funcionam as aplicações web? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 17. Vamos à prática... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 18. Tipos de ataque Nesta palestra serão abordadas as principais ameaças a aplicações web, dentre elas:  Cross-Site Scripting (XSS)  Cross-Site Request Forgery (CSRF)  SQL Injection  Outras vulnerabilidades... Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 19. Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 20. Cross-Site Scripting (XSS) O atacante normalmente explorará essa falha inserindo tags e código Javascript no seu HTML.  Tags <iframe> chamando páginas maliciosas  Código js para ler os cookies do usuário  Código js para alterar as informações do site (defacement) Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 21. Cross-Site Scripting (XSS) Para se proteger, basta:  Filtrar a entrada strip_tags: Retira as tags HTML e PHP de uma string.  Escapar a saída htmlespecialchars: Exibe as tags HTML sem interpretá-las. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 22. Cross-Site Scripting (XSS) Demonstração: XSS Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 23. Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 24. Cross-Site Request Forgery (CSRF) Como o nome diz, consiste em tentar forjar uma requisição de um site para outro. O ataque pode ser feito da seguinte forma:  Você recebe um e-mail com uma URL oculta, geralmente algum e-mail do tipo "Veja as nossas fotos".  Esta URL executa alguma ação em uma aplicação que você esteja autenticado no momento (por exemplo, o Facebook).  Esta ação pode dar poderes ao atacante para remover os seus dados (ou do seu cliente) permanentemente. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 25. Cross-Site Request Forgery (CSRF) Como se defender do CSRF?  O método GET deve ser utilizado apenas para consultas Exibição de páginas, listagens, pesquisas.  O método POST deve ser utilizado para as operações Cadastros, atualização, exclusão, autenticação.  Utilizar tokens na sessão Gerados de forma aleatória e comparados ao receber a sessão. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 26. Cross-Site Request Forgery (CSRF) Demonstração: CSRF Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 27. SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 28. SQL Injection Entre as vulnerabilidades citadas, o SQL Injection é uma das mais destrutivas, tanto para a aplicação quanto para os seus usuários.  Entrada do usuário inserida em comandos SQL.  Informação maliciosa fornecida pelo atacante engana o interpretador.  Uma exploração da injeção de SQL bem sucedida pode ler/alterar/excluir dados sigilosos do banco de dados. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 29. SQL Injection Felizmente, é muito fácil se proteger contra esse tipo de ataque.  Basta escapar os dados enviados nas queries mysql_escape_string: Escapa uma string para usar em uma consulta MySQL. addslashes: Adiciona barras invertidas a uma string. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 30. SQL Injection Demonstração: SQL Injection Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 31. Boas práticas em PHP  URLs seguras e amigáveis.  Senhas criptografadas.  Monitore os erros de senha. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 32. Considerações finais  Crie o hábito de programar de forma segura.  Toda entrada deve ser filtrada e toda saída deve ser escapada.  Visualize as brechas e implemente soluções simples para elas.  Esteja atualizado. Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 33. Referências PROBLEMAS COMUNS DE SEGURANÇA EM APLICAÇÕES WEB http://klauslaube.com.br/2012/04/15/problemas-de-seguranca-em-aplicacoes-web.html MANUAL DO PHP http://php.net/ (IN)SEGURANÇA EM APLICAÇÕES WEB http://www.detaileventos.com.br/ibm_dc2008/download/(In)Seguranca%20em%20Aplicacoes %20Web.pdf SEGURANÇA PARA APLICAÇÕES WEB http://www.siteblindado.com/pt/pags/view/files/WhitePaper+QualysGuard+Vulnerability+Web+Applic ations.pdf SEGURANÇA EM APLICAÇÕES WEB COM PHP http://pt.slideshare.net/gedvan/segurana-em-aplicaes-web-com-php-8676135 SEGURANÇA EM PHP - BLINDE SEU CÓDIGO DE VOCÊ MESMO! http://pt.slideshare.net/gustavonevesgn/segurana-em-php-blinde-seu-cdigo-de-voc-mesmo WEB HACKING: ATAQUES E VULNERABILIDADES EM APLICAÇÕES WEB http://blog.corujadeti.com.br/web-hacking-ataques-e-vulnerabilidades-em-aplicacoes-web/ Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo
  • 34. Fim Agradeço a atenção de todos. Dúvidas, críticas ou sugestões? Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com