SlideShare uma empresa Scribd logo

Segurança em aplicações

Transferir como PPTX, PDF
Rodrigo Caneppele
Rodrigo Caneppele

Palestra sobre segurança em aplicações, apresentada no Brasília Dev Festival em 06/2018

Tecnologia
1 de 60
RODRIGO CANEPPELE Desenvolvedor/ Instrutor ~ 10 anos exp.
Segurança?
Agora está seguro! #soquenao
Antigamente…
Hoje em dia…
O foco mudou…
Como proteger?
Pilares CONTROLE DE ACESSO
Pilares TRATAMENTO DAS INFORMAÇÕES CONTROLE DE ACESSO
Pilares TRATAMENTO DAS INFORMAÇÕES CONTROLE DE ACESSO GERENCIAMENTO DE ATAQUES
Controle de acesso AUTENTICAÇÃO
Controle de acesso AUTORIZAÇÃO
ATENÇÃO! AUTORIZAÇÃO
ATENÇÃO! AUTORIZAÇÃO
Controle de acesso GERENCIAMENTO DE SESSÃO
ATENÇÃO! GERENCIAMENTO DE SESSÃO
Tratamento das informações Principal dificuldade em relação à segurança:
Tratamento das informações + Principal dificuldade em relação à segurança:
Tratamento das informações Regra de ouro
Tratamento das informações Regra de ouro Usuário == hacker
Tratamento das informações Regra de ouro Usuário == hacker Toda informação é um script do mal!
Tratamento das informações 2ª Regra de ouro
Tratamento das informações 2ª Regra de ouro Validação
Tratamento das informações 2ª Regra de ouro Validação Tratamento
Gerenciamento de ataques TRATAMENTO DE ERROS
ATENÇÃO! TRATAMENTO DE ERROS
ATENÇÃO! TRATAMENTO DE ERROS
Gerenciamento de ataques LOGS DE AUDITORIA
Gerenciamento de ataques MONITORAMENTO/ALERTAS
Agora está seguro! Aparentemente…
Como testar?
Pentest!
O que testar?
A1: Injection SQL Injection XPath Injection LDAP Injection Parameter Injection(Mass Assignment)
A2: Broken Authentication Login via Brute Force Session Hijacking
A3: Sensitive Data Exposure Man In The Middle Dados em cookies/hidden inputs Acesso a URL’s desprotegidas
A4: XML External Entities Enviar XML com referências
A5: Broken Access Control Acessar URL’s sem autenticação Acessar dados de outros usuários Executar ações sem permissão Simular CSRF
A6: Security Misconfiguration Acessar configurações default Obter informações em páginas de erro
A7: Cross-Site Scripting Descobrir falhas no CSP Header Simular ataques XSS
A8: Insecure Deserialization Enviar arquivos com scripts
A9: Using Components with Known Vulnerabilities Descobrir libs/frameworks Explorar vulnerabilidades conhecidas
A10: Insufficient Logging & Monitoring Executar brute force Executar DOS
Ferramentas BURP SUITE
Ferramentas NETSPARKER
Ferramentas OWASP ZAP
Ferramentas DEV TOOLS
Outras abordagens…
Outras abordagens…
Enfim… Segurança é uma área extensa e complexa
Com vários desafios Segurança Comodidade
Dúvidas???
OBRIGADO! Rodrigo Caneppele github.com/rcaneppele r.caneppele@gmail.com @rcaneppele linkedin.com/in/rcaneppele

Recomendados

Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021Equipe SíndicoNet
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Spyware
SpywareSpyware
Spywareinstitutoduartelemos
 
Informativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeiroInformativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeirosindiconet
 
Uso Seguro da Internet
Uso Seguro da InternetUso Seguro da Internet
Uso Seguro da InternetLeandro Matanovich Araújo
 
Seguranca sindiconet
Seguranca sindiconetSeguranca sindiconet
Seguranca sindiconetsindiconet
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 

Recomendados

Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021Equipe SíndicoNet
 
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...Magno Logan
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Spyware
SpywareSpyware
Spywareinstitutoduartelemos
 
Informativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeiroInformativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeirosindiconet
 
Uso Seguro da Internet
Uso Seguro da InternetUso Seguro da Internet
Uso Seguro da InternetLeandro Matanovich Araújo
 
Seguranca sindiconet
Seguranca sindiconetSeguranca sindiconet
Seguranca sindiconetsindiconet
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 

Mais conteúdo relacionado

Semelhante a Segurança em aplicações

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 

Semelhante a Segurança em aplicações (6)

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
 

Segurança em aplicações