Enviar pesquisa
Carregar
Segurança em aplicações
•
Transferir como PPTX, PDF
•
1 gostou
•
155 visualizações
Rodrigo Caneppele
Seguir
Palestra sobre segurança em aplicações, apresentada no Brasília Dev Festival em 06/2018
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 60
Baixar agora
Recomendados
Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021
Equipe SíndicoNet
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Magno Logan
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
Spyware
Spyware
institutoduartelemos
Informativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeiro
sindiconet
Uso Seguro da Internet
Uso Seguro da Internet
Leandro Matanovich Araújo
Seguranca sindiconet
Seguranca sindiconet
sindiconet
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Symantec Brasil
Recomendados
Informativo Síndiconet - Junho 2021
Informativo Síndiconet - Junho 2021
Equipe SíndicoNet
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Co0L 2011 - Segurança em Sites de Compras Coletivas: Vulnerabilidades, Ataqu...
Magno Logan
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
Spyware
Spyware
institutoduartelemos
Informativo sindiconet 2017_janeiro
Informativo sindiconet 2017_janeiro
sindiconet
Uso Seguro da Internet
Uso Seguro da Internet
Leandro Matanovich Araújo
Seguranca sindiconet
Seguranca sindiconet
sindiconet
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Symantec Brasil
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Clavis Segurança da Informação
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Clavis Segurança da Informação
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Clavis Segurança da Informação
Mais conteúdo relacionado
Semelhante a Segurança em aplicações
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Clavis Segurança da Informação
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Paulo Renato Lopes Seixas
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Clavis Segurança da Informação
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Clavis Segurança da Informação
Semelhante a Segurança em aplicações
(6)
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Segurança em aplicações
1.
2.
RODRIGO CANEPPELE Desenvolvedor/ Instrutor ~ 10
anos exp.
3.
Segurança?
4.
5.
6.
7.
Agora está seguro! #soquenao
8.
Antigamente…
9.
10.
Hoje em dia…
11.
12.
O foco mudou…
13.
Como proteger?
14.
Pilares CONTROLE DE ACESSO
15.
Pilares TRATAMENTO DAS INFORMAÇÕES CONTROLE
DE ACESSO
16.
Pilares TRATAMENTO DAS INFORMAÇÕES CONTROLE
DE ACESSO GERENCIAMENTO DE ATAQUES
17.
Controle de acesso AUTENTICAÇÃO
18.
Controle de acesso AUTORIZAÇÃO
19.
ATENÇÃO! AUTORIZAÇÃO
20.
ATENÇÃO! AUTORIZAÇÃO
21.
Controle de acesso GERENCIAMENTO
DE SESSÃO
22.
ATENÇÃO! GERENCIAMENTO DE SESSÃO
23.
Tratamento das informações Principal
dificuldade em relação à segurança:
24.
Tratamento das informações + Principal
dificuldade em relação à segurança:
25.
Tratamento das informações Regra
de ouro
26.
Tratamento das informações Regra
de ouro Usuário == hacker
27.
Tratamento das informações Regra
de ouro Usuário == hacker Toda informação é um script do mal!
28.
Tratamento das informações 2ª
Regra de ouro
29.
Tratamento das informações 2ª
Regra de ouro Validação
30.
Tratamento das informações 2ª
Regra de ouro Validação Tratamento
31.
Gerenciamento de ataques TRATAMENTO
DE ERROS
32.
ATENÇÃO! TRATAMENTO DE ERROS
33.
ATENÇÃO! TRATAMENTO DE ERROS
34.
Gerenciamento de ataques LOGS
DE AUDITORIA
35.
Gerenciamento de ataques MONITORAMENTO/ALERTAS
36.
Agora está seguro! Aparentemente…
37.
Como testar?
38.
Pentest!
39.
O que testar?
40.
41.
A1: Injection SQL Injection XPath
Injection LDAP Injection Parameter Injection(Mass Assignment)
42.
A2: Broken Authentication Login
via Brute Force Session Hijacking
43.
A3: Sensitive Data
Exposure Man In The Middle Dados em cookies/hidden inputs Acesso a URL’s desprotegidas
44.
A4: XML External
Entities Enviar XML com referências
45.
A5: Broken Access
Control Acessar URL’s sem autenticação Acessar dados de outros usuários Executar ações sem permissão Simular CSRF
46.
A6: Security Misconfiguration Acessar
configurações default Obter informações em páginas de erro
47.
A7: Cross-Site Scripting Descobrir
falhas no CSP Header Simular ataques XSS
48.
A8: Insecure Deserialization Enviar
arquivos com scripts
49.
A9: Using Components
with Known Vulnerabilities Descobrir libs/frameworks Explorar vulnerabilidades conhecidas
50.
A10: Insufficient Logging
& Monitoring Executar brute force Executar DOS
51.
Ferramentas BURP SUITE
52.
Ferramentas NETSPARKER
53.
Ferramentas OWASP ZAP
54.
Ferramentas DEV TOOLS
55.
Outras abordagens…
56.
Outras abordagens…
57.
Enfim… Segurança é uma
área extensa e complexa
58.
Com vários desafios Segurança Comodidade
59.
Dúvidas???
60.
OBRIGADO! Rodrigo Caneppele github.com/rcaneppele r.caneppele@gmail.com @rcaneppele linkedin.com/in/rcaneppele
Baixar agora