SlideShare uma empresa Scribd logo
THE WebSec
2016
“ALCANÇAR QUALQUER OBJETIVO NA PRESENÇA DE ALGUM ADVERSÁRIO”
SEGURANÇA?!
SEGURANÇA
➤ POLÍTICA
➤ OBJETIVOS COMUNS
➤ MODELO DE AMEAÇA
➤ MECANISMO
➤ OBJETIVO RESULTANTE
PLANO DE ALTO NÍVEL SOBRE SEGURANÇA
SEGURANÇA
➤ SARAH PALIN’S EMAIL ACCOUNT
[HTTP://EN.WIKIPEDIA.ORG/WIKI/SARAH_PALIN_EMAIL_HACK]
ALGUNS EXEMPLOS DE FALHAS DE SEGURANÇA
➤ MAT HONAN'S ACCOUNTS AT AMAZON, APPLE,
GOOGLE, ETC.
[HTTP://WWW.WIRED.COM/GADGETLAB/2012/08/APPLE-AMAZON-MAT-HONAN-HACKING/ALL/]
SEGURANÇA
“VÁRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS
RISCOS/CONSEQUÊNCIAS DE VÁRIAS AÇÕES, JÁ
SISTEMAS INSEGUROS, PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUAL”
RISCO VS BENEFÍCIO
“UM RISCO É O CAMINHO ENTRE UM ADVERSÁRIO E O IMPACTO DE
NEGÓCIOS DE SUA APLICAÇÃO.”
RISCO?!
RISCOS DE SEGURANÇA
RISCOS DE SEGURANÇA
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Fácil
Especifico da
Aplicação
Especifico do
Negócio/
Aplicação
Média
Difícil
Generalizada
Comum
Rara
Fácil
Média
Difícil
Severo
Moderado
Pequeno
RISCO
1. INJEÇÃO
2. QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO
3. CROSS-SITE-SCRIPTING
4. REFERÊNCIA INSEGURA E DIRETA A OBJETOS
5. CONFIGURAÇÃO INCORRETA DE SEGURANÇA
6. EXPOSIÇÃO DE DADOS SENSÍVEIS
7. FALTA DE FUNÇÃO PARA CONTROLE DE NÍVEL DE ACESSO
8. CROSS-SITE-REQUEST-FORGERY
9. UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
10. REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
TOP 10 RISCOS
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Fácil
Prevalência
Comum
Detecção
Médio
Impacto
Severo
OWASP
Open Web Application
Security Project
A1 - INJEÇÃO
AS FALHAS DE INJEÇÃO OCORREM QUANDO UMA APLICAÇÃO ENVIA
DADOS NÃO CONFIÁVEIS PARA UM INTERPRETADOR
A1 - INJEÇÃO
OWASP
Open Web Application
Security Project
PROBLEMA
OWASP
Open Web Application
Security Project
ATACANTES MANIPULAM PARÂMETROS PARA INJETAR TRECHOS DE CÓDIGOS
http://example.com/app/accountView?id=' or '1'='1
A1 - INJEÇÃO
1. A OPÇÃO PREFERIDA É UTILIZAR UMA API SEGURA QUE EVITE O
USO DO INTERPRETADOR INTEIRAMENTE OU FORNEÇA UMA
INTERFACE PARAMETRIZADA.
SOLUÇÃO
A1 - INJEÇÃO
OWASP
Open Web Application
Security Project
SOLUÇÃO
2. SE UMA API PARAMETRIZADA NÃO ESTIVER DISPONÍVEL, VOCÊ DEVE
CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR. OWASP’S ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM. 

A1 - INJEÇÃO
OWASP
Open Web Application
Security Project
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Média
Prevalência
Generalizada
Detecção
Média
Impacto
Severo
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
OWASP
Open Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A
AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO EM SUAS APLICAÇÕES DE
FORMA PERSONALIZADA, MAS A IMPLEMENTAÇÃO CORRETA É DIFÍCIL.
PROBLEMA
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
OWASP
Open Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM
ÁREAS DO SISTEMA COMO LOGOUT, GESTÃO DE SENHAS, TEMPO DE EXPIRAÇÃO,
"LEMBRAR SENHA", PERGUNTA SECRETA, ATUALIZAR CONTA, ETC.
PROBLEMA
OWASP
Open Web Application
Security Project
UMA APLICAÇÃO DE RESERVAS DE PASSAGENS AÉREAS SUPORTA REESCRITA DE
URL, COLOCANDO IDS DE SESSÃO NA URL:
ENVIAR O LINK POR E-MAIL…
http://example.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSK
HCJUN2JV?dest=Hawaii
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
SOLUÇÃO
UM CONJUNTO ÚNICO DE CONTROLES FORTES DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO. TAIS CONTROLES DEVEM PROCURAR:
A)  CUMPRIR TODOS OS REQUISITOS DE AUTENTICAÇÃO E GERENCIAMENTO DE
SESSÃO DEFINIDOS NO PADRÃO DE VERIFICAÇÃO DE SEGURANÇA DA APLICAÇÃO DO
OWASP (ASVS), ÁREAS V2 (AUTENTICAÇÃO) E V3 (GERENCIAMENTO DE SESSÃO).
OWASP
Open Web Application
Security Project
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
SOLUÇÃO
UM CONJUNTO ÚNICO DE CONTROLES FORTES DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO. TAIS CONTROLES DEVEM PROCURAR:
B)  TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES. CONSIDERE O
ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR, USAR OU
CONSTRUIR COMO BASE.
OWASP
Open Web Application
Security Project
A2 -QUEBRA DE AUTENTICAÇÃO E
GERENCIAMENTO DE SESSÃO
A3 - CROSS-SITE SCRIPTING
(XSS)
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Média
Prevalência
Generalizada
Detecção
Média
Impacto
Moderado
OWASP
Open Web Application
Security Project
XSS É A MAIS PREDOMINANTE FALHA DE SEGURANÇA EM APLICAÇÕES WEB. AS
FALHAS DE XSS OCORREM QUANDO UMA APLICAÇÃO INCLUI OS DADOS
FORNECIDOS PELO USUÁRIO NA PÁGINA, ENVIADOS AO NAVEGADOR, SEM A
VALIDAÇÃO OU FILTRO APROPRIADOS DESSE CONTEÚDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING
(XSS)
OWASP
Open Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARÂMETRO “NOME” CONTENDO A
IDENTIFICAÇÃO DO USUÁRIO LEGÍTIMO E APRESENTE O CONTEÚDO SEM
QUAISQUER FILTROS:
http://www.vul.site/welcome.html?name=fulano
echo ‘<h1>Olá usuário ‘ + getParameter(‘name’) + ‘</h1>';
A3 - CROSS-SITE SCRIPTING
(XSS)
OWASP
Open Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARÂMETRO “NOME” CONTENDO A
IDENTIFICAÇÃO DO USUÁRIO LEGÍTIMO E APRESENTE O CONTEÚDO SEM
QUAISQUER FILTROS:
http://www.example.com/welcome.html?name=<script>alert(document.cookie)</
script>
echo ‘<h1>Olá usuário ‘ + getParameter(‘name’) + ‘</h1>';
A3 - CROSS-SITE SCRIPTING
(XSS)
OWASP
Open Web Application
Security Project
A3 - CROSS-SITE SCRIPTING
(XSS)
SOLUÇÃO
EVITAR XSS REQUER A SEPARAÇÃO DO DADO NÃO-CONFIÁVEL DO
CONTEÚDO ATIVO NO NAVEGADOR.
OWASP
Open Web Application
Security Project
A3 - CROSS-SITE SCRIPTING
(XSS)
SOLUÇÃO
OWASP
Open Web Application
Security Project
A3 - CROSS-SITE SCRIPTING
(XSS)
1. A OPÇÃO APROPRIADA É FILTRAR ADEQUADAMENTE TODOS OS DADOS NÃO-
CONFIÁVEIS COM BASE NO CONTEXTO HTML (CORPO, ATRIBUTO, JAVASCRIPT, CSS OU
URL) NO QUAL OS DADOS SERÃO COLOCADOS.
SOLUÇÃO
OWASP
Open Web Application
Security Project
A3 - CROSS-SITE SCRIPTING
(XSS)
2. “LISTA BRANCA" OU VALIDAÇÃO DE ENTRADA TAMBÉM É RECOMENDADA POIS AJUDA
A PROTEGER CONTRA XSS, MAS NÃO É UMA DEFESA COMPLETA, JÁ QUE MUITAS
APLICAÇÕES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA. TAL VALIDAÇÃO
DEVE, TANTO QUANTO POSSÍVEL, VALIDAR O TAMANHO, CARACTERES, FORMATO, E AS
REGRAS DE NEGÓCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA. 

SOLUÇÃO
OWASP
Open Web Application
Security Project
A3 - CROSS-SITE SCRIPTING
(XSS)
3. CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER
CONTRA XSS EM TODO O SEU SITE. 

A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Fácil
Prevalência
Comum
Detecção
Fácil
Impacto
Moderado
OWASP
Open Web Application
Security Project
APLICAÇÕES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM
OBJETO AO GERAR PÁGINAS WEB. APLICAÇÕES NEM SEMPRE VERIFICAM
SE O USUÁRIO É AUTORIZADO PARA O OBJETO ALVO. ISTO RESULTA NUMA
FALHA DE REFERÊNCIA INSEGURA E DIRETA A UM OBJETO.
PROBLEMA
A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
OWASP
Open Web Application
Security Project
ATACANTES MANIPULAM PARÂMETROS DE MANEIRA A ALTERAR AS REFERÊNCIAS,
CONSEGUINDO ASSIM ACESSO A DIRETÓRIOS OU OUTROS RECURSOS DA
APLICAÇÃO.
Tal código pode ser atacado usando uma string como “../../../../
etc/passwd%00”
A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
SOLUÇÃO
1. USO DE REFERÊNCIA INDIRETAS A OBJETOS POR USUÁRIO OU SESSÃO.
ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NÃO
AUTORIZADOS.
OWASP
Open Web Application
Security Project
A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
SOLUÇÃO
POR EXEMPLO:
OWASP
Open Web Application
Security Project
A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO, UMA LISTA DE
SEIS RECURSOS AUTORIZADOS PARA O USUÁRIO ATUAL PODERIA UTILIZAR OS
NÚMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUÁRIO SELECIONOU. A
APLICAÇÃO TEM QUE MAPEAR AS REFERÊNCIAS INDIRETAS POR USUÁRIO DE VOLTA
PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR.
SOLUÇÃO
OWASP
Open Web Application
Security Project
A4 - REFERÊNCIA INSEGURA E
DIRETA A OBJETOS
2. VERIFICAR O ACESSO. CADA UTILIZAÇÃO DE UMA REFERÊNCIA DIRETA A
OBJETO DE UMA ORIGEM NÃO CONFIÁVEL DEVE INCLUIR UMA VERIFICAÇÃO
DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUÁRIO ESTÁ
AUTORIZADO PARA O OBJETO REQUISITADO.
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Fácil
Prevalência
Comum
Detecção
Fácil
Impacto
Moderado
OWASP
Open Web Application
Security Project
CONFIGURAÇÕES INCORRETAS PODEM ACONTECER EM QUALQUER NÍVEL
DA PILHA DA APLICAÇÃO, INCLUINDO A PLATAFORMA, SERVIDOR WEB,
SERVIDOR DE APLICAÇÃO, BANCO DE DADOS, FRAMEWORK E CÓDIGO
PERSONALIZADO.
PROBLEMA
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
OWASP
Open Web Application
Security Project
O console de administração do servidor de aplicação é instalado
automaticamente e não é removido. Contas padrão não são
alteradas. Atacantes descobrem as páginas padrão de
administração que estão em seu servidor, fazem login com
senhas padrão e assumem o acesso do ambiente.
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
SOLUÇÃO
1. UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FÁCIL E RÁPIDO
DE IMPLANTAR OUTRO AMBIENTE QUE ESTÁ DEVIDAMENTE BLINDADO.
AMBIENTES DE DESENVOLVIMENTO, CONTROLE DE QUALIDADE E PRODUÇÃO
DEVEM SER TODOS CONFIGURADOS DE FORMA IDÊNTICA (COM SENHAS
DIFERENTES USADAS EM CADA AMBIENTE). ESTE PROCESSO DEVE SER
AUTOMATIZADO PARA MINIMIZAR O ESFORÇO NECESSÁRIO PARA CONFIGURAR
UM NOVO AMBIENTE SEGURO.
OWASP
Open Web Application
Security Project
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
SOLUÇÃO
2. UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS
NOVAS ATUALIZAÇÕES E CORREÇÕES DE SOFTWARE EM TEMPO HÁBIL E EM
PARA CADA AMBIENTE. ESTE PROCESSO, DEVE INCLUIR TODAS AS
BIBLIOTECAS DE CÓDIGO (VER NOVO A9).
OWASP
Open Web Application
Security Project
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
SOLUÇÃO
3. UMA ARQUITETURA DE APLICAÇÃO FORTE QUE FORNEÇA A
SEPARAÇÃO SEGURA E EFICAZ ENTRE OS COMPONENTES.
OWASP
Open Web Application
Security Project
A5 - CONFIGURAÇÃO
INCORRETA DE SEGURANÇA
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Difícil
Prevalência
Rara
Detecção
Média
Impacto
Severo
OWASP
Open Web Application
Security Project
A FALHA MAIS COMUM É SIMPLESMENTE NÃO CRIPTOGRAFAR DADOS
SENSÍVEIS. QUANDO A CRIPTOGRAFIA É UTILIZADA, A GERAÇÃO E
GERENCIAMENTO DE CHAVES É FRACA, ALÉM DA UTILIZAÇÃO DE
ALGORITMOS E TÉCNICAS DE HASHING FRACOS.
PROBLEMA
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
OWASP
Open Web Application
Security Project
Um site simplesmente não usa SSL em todas as páginas
autenticadas. O atacante simplesmente monitora o tráfego de
rede (como uma rede wireless aberta), e rouba o cookie de
sessão do usuário. O atacante então reproduz este cookie e
sequestra a sessão do usuário, acessando dados privados do
mesmo.
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
SOLUÇÃO
1. CONSIDERANDO QUE VOCÊ PRETENDE PROTEGER OS DADOS DE
AMEAÇAS (COMO POR EXEMPLO, ATAQUE INTERNO OU DE USUÁRIO
EXTERNO), TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS
SENSÍVEIS EM REPOUSO E EM TRÂNSITO DE UMA FORMA QUE INIBA ESTAS
AMEAÇAS.
OWASP
Open Web Application
Security Project
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
SOLUÇÃO
2. NÃO ARMAZENE DADOS SENSÍVEIS DESNECESSARIAMENTE.
DESCARTE-OS O MAIS RÁPIDO POSSÍVEL. DADOS QUE VOCÊ NÃO TEM NÃO
PODEM SER ROUBADOS.
OWASP
Open Web Application
Security Project
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
SOLUÇÃO
3. CERTIFIQUE-SE QUE O NÍVEL UTILIZADO NOS ALGORITMOS E CHAVES
SÃO FORTES, E QUE O GERENCIAMENTO DE CHAVES ESTÁ APLICADO
ADEQUADAMENTE. CONSIDERE UTILIZAR OS MÓDULOS CRIPTOGRÁFICOS
VALIDADOS DO FIPS-140.
OWASP
Open Web Application
Security Project
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
SOLUÇÃO
4. CERTIFIQUE-SE QUE AS SENHAS SÃO ARMAZENADAS COM UM
ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTEÇÃO DE SENHAS,
COMO O BCRYPT, PBKDF2 OU SCRYPT.
OWASP
Open Web Application
Security Project
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
SOLUÇÃO
5. DESABILITE O AUTOCOMPLETAR EM FORMULÁRIOS DE COLETA DE
DADOS SENSÍ- VEIS E DESABILITE O CACHE EM PÁGINAS QUE CONTENHAM
DADOS SENSÍVEIS.
OWASP
Open Web Application
Security Project
A6 - EXPOSIÇÃO DE DADOS
SENSÍVEIS
A7 - FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Fácil
Prevalência
Comum
Detecção
Médio
Impacto
Moderado
OWASP
Open Web Application
Security Project
APLICAÇÕES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNÇÃO DE
APLICAÇÃO. ÀS VEZES, A PROTEÇÃO EM NÍVEL DE FUNÇÃO É GERENCIADA
VIA CONFIGURAÇÃO, E O SISTEMA É MAL CONFIGURADO. ÀS VEZES,
DESENVOLVEDORES DEVEM INCLUIR VERIFICAÇÕES DE CÓDIGO
ADEQUADAS, E ELES ESQUECEM.
PROBLEMA
A7 - FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
OWASP
Open Web Application
Security Project
http://example.com/app/getappInfo
http://example.com/app/admin_getappInfo
O ATACANTE SIMPLESMENTE FORÇA A NAVEGAÇÃO PELAS URLS ALVO. AS
SEGUINTES URLS EXIGEM AUTENTICAÇÃO. DIREITOS DE ADMINISTRADOR
TAMBÉM SÃO EXIGIDOS PARA ACESSAR A PÁGINA “ADMIN_GETAPPINFO” .
A7 - FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
SOLUÇÃO
1. PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E
GARANTIR QUE VOCÊ POSSA ATUALIZAR E AUDITAR FACILMENTE. NÃO
CODIFIQUE DIRETAMENTE.
2. A EXECUÇÃO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR
PADRÃO, EXIGINDO DIREITOS EXPLÍCITOS PARA PAPÉIS ESPECÍFICOS NO
ACESSO A TODAS AS FUNÇÕES.
OWASP
Open Web Application
Security Project
A7 - FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
SOLUÇÃO
OWASP
Open Web Application
Security Project
A7 - FALTA DE FUNÇÃO PARA
CONTROLE DO NÍVEL DE ACESSO
3. SE A FUNÇÃO ESTÁ ENVOLVIDA EM UM FLUXO DE TRABALHO, VERIFIQUE,
PARA TER CERTEZA, SE AS CONDIÇÕES ESTÃO EM ESTADO ADEQUADO PARA
PERMITIR ACESSO. 

A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Médio
Prevalência
Comum
Detecção
Fácil
Impacto
Moderado
OWASP
Open Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICAÇÕES WEB
PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA
AÇÃO PARTICULAR DA APLICAÇÃO. COMO OS NAVEGADORES
AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSÃO,
OS ATACANTES PODEM CRIAR PÁGINAS WEB MALICIOSAS QUE GERAM
REQUISIÇÕES FORJADAS INDISTINGUÍVEIS DAS LEGÍTIMAS.
PROBLEMA
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
OWASP
Open Web Application
Security Project
http://exemplo.com/app/transferirFundos?quantia=1500
&contaDestino=4673243243
A APLICAÇÃO PERMITE QUE UM USUÁRIO SUBMETA UMA REQUISIÇÃO DE
MUDANÇA DE ESTADO QUE NÃO INCLUI QUALQUER SEGREDO. POR EXEMPLO:
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
OWASP
Open Web Application
Security Project
<img src="http://exemplo.com/app/transferirFundos?
quantia=1500&contaDestino=contaAtacante#“ width="0"
height="0" />
COM ISSO, O ATACANTE CONSTRÓI UMA REQUISIÇÃO QUE IRÁ TRANSFERIR
DINHEIRO DA CONTA DA VÍTIMA PARA A CONTA DO ATACANTE, E ENTÃO
INCORPORA ESTE ATAQUE EM UMA REQUISIÇÃO ARMAZENADA EM UMA
IMAGEM OU IFRAME EM VÁRIOS SITES SOB O CONTROLE DO ATACANTE:
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
OWASP
Open Web Application
Security Project
SE A VÍTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO
ESTIVER AUTENTICADO EM EXEMPLO.COM, ESSAS REQUISIÇÕES FORJADAS
IRÃO INCLUIR AUTOMATICAMENTE INFORMAÇÕES DE SESSÃO DO USUÁRIO,
AUTORIZANDO O PEDIDO DO ATACANTE.
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
SOLUÇÃO
OWASP
Open Web Application
Security Project
A PREVENÇÃO DE UM CSRF GERALMENTE REQUER A INCLUSÃO DE UM TOKEN
IMPREVISÍVEL EM CADA REQUISIÇÃO HTTP. TAIS TOKENS DEVEM, NO MÍNIMO,
SER ÚNICOS POR SESSÃO DE USUÁRIO.
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
SOLUÇÃO
OWASP
Open Web Application
Security Project
1. A OPÇÃO PREFERIDA CONSISTE EM INCLUIR UM TOKEN ÚNICO EM UM CAMPO
OCULTO. ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISIÇÃO
HTTP, EVITANDO-SE A SUA INSERÇÃO NA URL, QUE É MAIS PROPENSA A
EXPOSIÇÃO.
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
SOLUÇÃO
OWASP
Open Web Application
Security Project
2. O TOKEN ÚNICO PODE SER INCLUÍDO NA PRÓPRIA URL, OU EM
PARÂMETROS DA URL. CONTUDO, TAL POSICIONAMENTO CORRE UM RISCO
MAIOR JÁ QUE A URL SERÁ EXPOSTA AO ATACANTE, COMPROMETENDO ASSIM
O TOKEN SECRETO
A8 - CROSS-SITE REQUEST
FORGERY (CSRF)
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Médio
Prevalência
Generalizada
Detecção
Difícil
Impacto
Moderado
OWASP
Open Web Application
Security Project
VIRTUALMENTE TODAS APLICAÇÕES POSSUEM ESTES PROBLEMAS
PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NÃO FOCAM EM
GARANTIR QUE SEUS COMPONENTES E/OU BIBLIOTECAS ESTEJAM
ATUALIZADOS. EM MUITOS CASOS, OS DESENVOLVEDORES SEQUER
CONHECEM TODOS OS COMPONENTES QUE ESTÃO USANDO, MUITO MENOS
SUAS VERSÕES.
PROBLEMA
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NÃO CRIAM CORREÇÕES DE
VULNERABILIDADES PARA VERSÕES ANTIGAS. EM VEZ DISSO, É MAIS
SIMPLES CORRIGIR O PROBLEMA NA PRÓXIMA VERSÃO. ENTÃO ATUALIZAR
PARA ESSAS NOVAS VERSÕES É CRÍTICO. PROJETOS DE SOFTWARE DEVEM
TER PROCESSOS PARA:
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSÕES QUE VOCÊ ESTÁ
UTILIZANDO, INCLUINDO TODAS AS DEPENDÊNCIAS. (EX., VERSÕES DOS
PLUGINS).
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
B) MONITORAR A SEGURANÇA DESSES COMPONENTES EM BANCO DE DADOS
PÚBLICOS, LISTAS DE E-MAIL DE PROJETOS E SEGURANÇA, E MANTÊ-LOS
ATUALIZADOS.
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
C) ESTABELECER POLÍTICAS DE SEGURANÇA QUE DEFINAM O USO DO
COMPONENTE, ASSIM COMO EXIGIR CERTAS PRÁTICAS DE DESENVOLVIMENTO
DE SOFTWARE, PASSANDO EM TESTES DE SEGURANÇA, E LICENÇAS
ACEITÁVEIS.
A9 - UTILIZAÇÃO DE COMPONENTES
VULNERÁVEIS CONHECIDOS
OWASP
Open Web Application
Security Project
Agente da
Ameaça
Vetor de Ataque Vulnerabilidade Impactos Técnicos
Impactos de
Negócios
Exploração
Médio
Prevalência
Rara
Detecção
Fácil
Impacto
Moderado
A10 -REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS
OWASP
Open Web Application
Security Project
APLICAÇÕES FREQUENTEMENTE REDIRECIONAM USUÁRIOS PARA OUTRAS
PÁGINAS, OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA
SIMILAR. POR VEZES A PÁGINA DE DESTINO É ESPECIFICADA ATRAVÉS DE
UM PARÂMETRO QUE NÃO É VALIDADO, PERMITINDO QUE O ATACANTE
ESCOLHA ESSA PÁGINA DE DESTINO.
PROBLEMA
A10 -REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS
OWASP
Open Web Application
Security Project
A APLICAÇÃO POSSUI UMA PÁGINA CHAMADA “REDIRECT.JSP” QUE RECEBE
APENAS UM PARÂMETRO “URL”. O ATACANTE CRIA UMA URL MALICIOUSA QUE
REDIRECIONA OS USUÁRIOS PARA O SITE MALICIOSO, QUE EXECUTA PHISHING
E INSTALA MALWARE.
http://www.example.com/redirect.jsp?url=evil.com
A10 -REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER
FEITO DE VÁRIAS FORMAS:
A10 -REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS
SOLUÇÃO
OWASP
Open Web Application
Security Project
1. SIMPLESMENTE EVITAR USÁ-LOS.
2. SE FOREM USADOS, NÃO ENVOLVA PARÂMETROS DO USUÁRIO NO CÁLCULO 

DO DESTINO. NORMALMENTE, ISTO PODE SER FEITO.
3. SE OS PARÂMETROS DE DESTINO NÃO PODEM SER EVITADOS, TENHA 

CERTEZA QUE O VALOR FORNECIDO É VÁLIDO, E AUTORIZADO PARA O
USUÁRIO.
A10 -REDIRECIONAMENTOS E
ENCAMINHAMENTOS INVÁLIDOS
THE WebSec
2016
BIBLIOGRÁFIA
INTRODUÇÃO: MIT HTTP://OCW.MIT.EDU/COURSES/
ELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE/
6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014/
LECTURE-NOTES/
PRINCIPAIS ERROS: OWASP HTTPS://WWW.OWASP.ORG/
INDEX.PHP/TOP_10_2013-TOP_10
CSRF: CAELUM HTTP://BLOG.CAELUM.COM.BR/PROTEGENDO-
SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-
FORGERYCSRF/
THE WebSec
2016

Mais conteúdo relacionado

Mais procurados

Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
Patrick Kaminski
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Edlaine Zamora
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken Authentication
Fernando Galves
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações web
Igor Carneiro
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Giovani Decusati
 

Mais procurados (20)

Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken Authentication
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações web
 
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 02 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 03 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 

Destaque

Angie rendon
Angie rendonAngie rendon
Plots in neemrana behror,nh8 10
Plots in neemrana behror,nh8 10Plots in neemrana behror,nh8 10
Plots in neemrana behror,nh8 10
Baburaj Patel
 
OFERTAS DE EMPLEO TIC
OFERTAS DE EMPLEO TICOFERTAS DE EMPLEO TIC
OFERTAS DE EMPLEO TIC
Verónica Sánchez
 
Amcrest HDCVI DVR User Manual
Amcrest HDCVI DVR User Manual Amcrest HDCVI DVR User Manual
Amcrest HDCVI DVR User Manual
Amcrest Security
 
Mural mod. iii didactica critica
Mural mod. iii didactica criticaMural mod. iii didactica critica
Mural mod. iii didactica critica
said silva hernandez
 
Prezi.para saber más de la demografía
Prezi.para saber más de la demografíaPrezi.para saber más de la demografía
Prezi.para saber más de la demografía
Ulises Humberto Guillén Urbina
 
ZX Spectrum Universe
ZX Spectrum UniverseZX Spectrum Universe
ZX Spectrum Universe
Yuri Voynalovich
 
Unimex sociedad y economía de méxico - estadísticas del cfe
Unimex   sociedad y economía de méxico - estadísticas del cfeUnimex   sociedad y economía de méxico - estadísticas del cfe
Unimex sociedad y economía de méxico - estadísticas del cfe
Ulises Humberto Guillén Urbina
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Marco Antonio Maciel
 
CIRRICULUM VITAE- FLORENCE MAGURU _2_
CIRRICULUM VITAE- FLORENCE MAGURU _2_CIRRICULUM VITAE- FLORENCE MAGURU _2_
CIRRICULUM VITAE- FLORENCE MAGURU _2_
Florence Maguru
 
Mexico, A Nation of Contrast and Opportunity
Mexico, A Nation of Contrast and OpportunityMexico, A Nation of Contrast and Opportunity
Mexico, A Nation of Contrast and Opportunity
Juan Saldívar v. Wuthenau
 

Destaque (12)

Math
MathMath
Math
 
Angie rendon
Angie rendonAngie rendon
Angie rendon
 
Plots in neemrana behror,nh8 10
Plots in neemrana behror,nh8 10Plots in neemrana behror,nh8 10
Plots in neemrana behror,nh8 10
 
OFERTAS DE EMPLEO TIC
OFERTAS DE EMPLEO TICOFERTAS DE EMPLEO TIC
OFERTAS DE EMPLEO TIC
 
Amcrest HDCVI DVR User Manual
Amcrest HDCVI DVR User Manual Amcrest HDCVI DVR User Manual
Amcrest HDCVI DVR User Manual
 
Mural mod. iii didactica critica
Mural mod. iii didactica criticaMural mod. iii didactica critica
Mural mod. iii didactica critica
 
Prezi.para saber más de la demografía
Prezi.para saber más de la demografíaPrezi.para saber más de la demografía
Prezi.para saber más de la demografía
 
ZX Spectrum Universe
ZX Spectrum UniverseZX Spectrum Universe
ZX Spectrum Universe
 
Unimex sociedad y economía de méxico - estadísticas del cfe
Unimex   sociedad y economía de méxico - estadísticas del cfeUnimex   sociedad y economía de méxico - estadísticas del cfe
Unimex sociedad y economía de méxico - estadísticas del cfe
 
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EEUso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
Uso de Critérios de Seleção para Frameworks Livres em Plataforma Java EE
 
CIRRICULUM VITAE- FLORENCE MAGURU _2_
CIRRICULUM VITAE- FLORENCE MAGURU _2_CIRRICULUM VITAE- FLORENCE MAGURU _2_
CIRRICULUM VITAE- FLORENCE MAGURU _2_
 
Mexico, A Nation of Contrast and Opportunity
Mexico, A Nation of Contrast and OpportunityMexico, A Nation of Contrast and Opportunity
Mexico, A Nation of Contrast and Opportunity
 

Semelhante a THE WebSec

Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
Marcio Cunha
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
Kleitor Franklint Correa Araujo
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
Kaito Queiroz
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
Site Blindado S.A.
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix   scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix   scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
SUNLIT Technologies
 
E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
Alexandre Almeida
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
iBLISS Segurança & Inteligência
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
ibliss-seguranca
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
E-Commerce Brasil
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
Kemp
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindado
Site Blindado S.A.
 

Semelhante a THE WebSec (20)

Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Introdução de teste de segurança app web
Introdução de teste de segurança app webIntrodução de teste de segurança app web
Introdução de teste de segurança app web
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix   scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix   scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 
E scan tech i - bem vindos ao escan
E scan   tech i - bem vindos ao escanE scan   tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
 
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian MayanTIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
TIRE O MÁXIMO PROVEITO DE SEU FIREWALL DE APLICAÇÃO - Willian Mayan
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindado
 

Mais de Kelvin Campelo

Lander Eventos
Lander EventosLander Eventos
Lander Eventos
Kelvin Campelo
 
Hackathon Strans Inthegra - Teresina
Hackathon Strans Inthegra - TeresinaHackathon Strans Inthegra - Teresina
Hackathon Strans Inthegra - Teresina
Kelvin Campelo
 
Engenharia Direta
Engenharia DiretaEngenharia Direta
Engenharia Direta
Kelvin Campelo
 
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & ScapinAvaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
Kelvin Campelo
 
Pitch
PitchPitch
Pitch
PitchPitch

Mais de Kelvin Campelo (6)

Lander Eventos
Lander EventosLander Eventos
Lander Eventos
 
Hackathon Strans Inthegra - Teresina
Hackathon Strans Inthegra - TeresinaHackathon Strans Inthegra - Teresina
Hackathon Strans Inthegra - Teresina
 
Engenharia Direta
Engenharia DiretaEngenharia Direta
Engenharia Direta
 
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & ScapinAvaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
Avaliação do Google Docs utilizando critérios ergonômicos de Batien & Scapin
 
Pitch
PitchPitch
Pitch
 
Pitch
PitchPitch
Pitch
 

THE WebSec

  • 2. “ALCANÇAR QUALQUER OBJETIVO NA PRESENÇA DE ALGUM ADVERSÁRIO” SEGURANÇA?!
  • 3. SEGURANÇA ➤ POLÍTICA ➤ OBJETIVOS COMUNS ➤ MODELO DE AMEAÇA ➤ MECANISMO ➤ OBJETIVO RESULTANTE PLANO DE ALTO NÍVEL SOBRE SEGURANÇA
  • 4. SEGURANÇA ➤ SARAH PALIN’S EMAIL ACCOUNT [HTTP://EN.WIKIPEDIA.ORG/WIKI/SARAH_PALIN_EMAIL_HACK] ALGUNS EXEMPLOS DE FALHAS DE SEGURANÇA ➤ MAT HONAN'S ACCOUNTS AT AMAZON, APPLE, GOOGLE, ETC. [HTTP://WWW.WIRED.COM/GADGETLAB/2012/08/APPLE-AMAZON-MAT-HONAN-HACKING/ALL/]
  • 5. SEGURANÇA “VÁRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOS/CONSEQUÊNCIAS DE VÁRIAS AÇÕES, JÁ SISTEMAS INSEGUROS, PODEM NECESSITAR DE UM GERENCIAMENTO DE ATAQUES MANUAL” RISCO VS BENEFÍCIO
  • 6. “UM RISCO É O CAMINHO ENTRE UM ADVERSÁRIO E O IMPACTO DE NEGÓCIOS DE SUA APLICAÇÃO.” RISCO?!
  • 8. RISCOS DE SEGURANÇA Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Fácil Especifico da Aplicação Especifico do Negócio/ Aplicação Média Difícil Generalizada Comum Rara Fácil Média Difícil Severo Moderado Pequeno
  • 9. RISCO 1. INJEÇÃO 2. QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO 3. CROSS-SITE-SCRIPTING 4. REFERÊNCIA INSEGURA E DIRETA A OBJETOS 5. CONFIGURAÇÃO INCORRETA DE SEGURANÇA 6. EXPOSIÇÃO DE DADOS SENSÍVEIS 7. FALTA DE FUNÇÃO PARA CONTROLE DE NÍVEL DE ACESSO 8. CROSS-SITE-REQUEST-FORGERY 9. UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS 10. REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS TOP 10 RISCOS OWASP Open Web Application Security Project
  • 10. Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Fácil Prevalência Comum Detecção Médio Impacto Severo OWASP Open Web Application Security Project A1 - INJEÇÃO
  • 11. AS FALHAS DE INJEÇÃO OCORREM QUANDO UMA APLICAÇÃO ENVIA DADOS NÃO CONFIÁVEIS PARA UM INTERPRETADOR A1 - INJEÇÃO OWASP Open Web Application Security Project PROBLEMA
  • 12. OWASP Open Web Application Security Project ATACANTES MANIPULAM PARÂMETROS PARA INJETAR TRECHOS DE CÓDIGOS http://example.com/app/accountView?id=' or '1'='1 A1 - INJEÇÃO
  • 13. 1. A OPÇÃO PREFERIDA É UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNEÇA UMA INTERFACE PARAMETRIZADA. SOLUÇÃO A1 - INJEÇÃO OWASP Open Web Application Security Project
  • 14. SOLUÇÃO 2. SE UMA API PARAMETRIZADA NÃO ESTIVER DISPONÍVEL, VOCÊ DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE INTERPRETADOR. OWASP’S ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM. 
 A1 - INJEÇÃO OWASP Open Web Application Security Project
  • 15. A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Média Prevalência Generalizada Detecção Média Impacto Severo
  • 16. A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO OWASP Open Web Application Security Project OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO EM SUAS APLICAÇÕES DE FORMA PERSONALIZADA, MAS A IMPLEMENTAÇÃO CORRETA É DIFÍCIL. PROBLEMA
  • 17. A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO OWASP Open Web Application Security Project ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM ÁREAS DO SISTEMA COMO LOGOUT, GESTÃO DE SENHAS, TEMPO DE EXPIRAÇÃO, "LEMBRAR SENHA", PERGUNTA SECRETA, ATUALIZAR CONTA, ETC. PROBLEMA
  • 18. OWASP Open Web Application Security Project UMA APLICAÇÃO DE RESERVAS DE PASSAGENS AÉREAS SUPORTA REESCRITA DE URL, COLOCANDO IDS DE SESSÃO NA URL: ENVIAR O LINK POR E-MAIL… http://example.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSK HCJUN2JV?dest=Hawaii A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO
  • 19. SOLUÇÃO UM CONJUNTO ÚNICO DE CONTROLES FORTES DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO. TAIS CONTROLES DEVEM PROCURAR: A)  CUMPRIR TODOS OS REQUISITOS DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO DEFINIDOS NO PADRÃO DE VERIFICAÇÃO DE SEGURANÇA DA APLICAÇÃO DO OWASP (ASVS), ÁREAS V2 (AUTENTICAÇÃO) E V3 (GERENCIAMENTO DE SESSÃO). OWASP Open Web Application Security Project A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO
  • 20. SOLUÇÃO UM CONJUNTO ÚNICO DE CONTROLES FORTES DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO. TAIS CONTROLES DEVEM PROCURAR: B)  TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES. CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR, USAR OU CONSTRUIR COMO BASE. OWASP Open Web Application Security Project A2 -QUEBRA DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO
  • 21. A3 - CROSS-SITE SCRIPTING (XSS) OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Média Prevalência Generalizada Detecção Média Impacto Moderado
  • 22. OWASP Open Web Application Security Project XSS É A MAIS PREDOMINANTE FALHA DE SEGURANÇA EM APLICAÇÕES WEB. AS FALHAS DE XSS OCORREM QUANDO UMA APLICAÇÃO INCLUI OS DADOS FORNECIDOS PELO USUÁRIO NA PÁGINA, ENVIADOS AO NAVEGADOR, SEM A VALIDAÇÃO OU FILTRO APROPRIADOS DESSE CONTEÚDO PROBLEMA A3 - CROSS-SITE SCRIPTING (XSS)
  • 23. OWASP Open Web Application Security Project UM APLICATIVO WEB QUE RECEBA UM PARÂMETRO “NOME” CONTENDO A IDENTIFICAÇÃO DO USUÁRIO LEGÍTIMO E APRESENTE O CONTEÚDO SEM QUAISQUER FILTROS: http://www.vul.site/welcome.html?name=fulano echo ‘<h1>Olá usuário ‘ + getParameter(‘name’) + ‘</h1>'; A3 - CROSS-SITE SCRIPTING (XSS)
  • 24. OWASP Open Web Application Security Project UM APLICATIVO WEB QUE RECEBA UM PARÂMETRO “NOME” CONTENDO A IDENTIFICAÇÃO DO USUÁRIO LEGÍTIMO E APRESENTE O CONTEÚDO SEM QUAISQUER FILTROS: http://www.example.com/welcome.html?name=<script>alert(document.cookie)</ script> echo ‘<h1>Olá usuário ‘ + getParameter(‘name’) + ‘</h1>'; A3 - CROSS-SITE SCRIPTING (XSS)
  • 25. OWASP Open Web Application Security Project A3 - CROSS-SITE SCRIPTING (XSS)
  • 26. SOLUÇÃO EVITAR XSS REQUER A SEPARAÇÃO DO DADO NÃO-CONFIÁVEL DO CONTEÚDO ATIVO NO NAVEGADOR. OWASP Open Web Application Security Project A3 - CROSS-SITE SCRIPTING (XSS)
  • 27. SOLUÇÃO OWASP Open Web Application Security Project A3 - CROSS-SITE SCRIPTING (XSS) 1. A OPÇÃO APROPRIADA É FILTRAR ADEQUADAMENTE TODOS OS DADOS NÃO- CONFIÁVEIS COM BASE NO CONTEXTO HTML (CORPO, ATRIBUTO, JAVASCRIPT, CSS OU URL) NO QUAL OS DADOS SERÃO COLOCADOS.
  • 28. SOLUÇÃO OWASP Open Web Application Security Project A3 - CROSS-SITE SCRIPTING (XSS) 2. “LISTA BRANCA" OU VALIDAÇÃO DE ENTRADA TAMBÉM É RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS, MAS NÃO É UMA DEFESA COMPLETA, JÁ QUE MUITAS APLICAÇÕES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA. TAL VALIDAÇÃO DEVE, TANTO QUANTO POSSÍVEL, VALIDAR O TAMANHO, CARACTERES, FORMATO, E AS REGRAS DE NEGÓCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA. 

  • 29. SOLUÇÃO OWASP Open Web Application Security Project A3 - CROSS-SITE SCRIPTING (XSS) 3. CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE. 

  • 30. A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Fácil Prevalência Comum Detecção Fácil Impacto Moderado
  • 31. OWASP Open Web Application Security Project APLICAÇÕES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PÁGINAS WEB. APLICAÇÕES NEM SEMPRE VERIFICAM SE O USUÁRIO É AUTORIZADO PARA O OBJETO ALVO. ISTO RESULTA NUMA FALHA DE REFERÊNCIA INSEGURA E DIRETA A UM OBJETO. PROBLEMA A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS
  • 32. OWASP Open Web Application Security Project ATACANTES MANIPULAM PARÂMETROS DE MANEIRA A ALTERAR AS REFERÊNCIAS, CONSEGUINDO ASSIM ACESSO A DIRETÓRIOS OU OUTROS RECURSOS DA APLICAÇÃO. Tal código pode ser atacado usando uma string como “../../../../ etc/passwd%00” A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS
  • 33. SOLUÇÃO 1. USO DE REFERÊNCIA INDIRETAS A OBJETOS POR USUÁRIO OU SESSÃO. ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NÃO AUTORIZADOS. OWASP Open Web Application Security Project A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS
  • 34. SOLUÇÃO POR EXEMPLO: OWASP Open Web Application Security Project A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO, UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUÁRIO ATUAL PODERIA UTILIZAR OS NÚMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUÁRIO SELECIONOU. A APLICAÇÃO TEM QUE MAPEAR AS REFERÊNCIAS INDIRETAS POR USUÁRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR.
  • 35. SOLUÇÃO OWASP Open Web Application Security Project A4 - REFERÊNCIA INSEGURA E DIRETA A OBJETOS 2. VERIFICAR O ACESSO. CADA UTILIZAÇÃO DE UMA REFERÊNCIA DIRETA A OBJETO DE UMA ORIGEM NÃO CONFIÁVEL DEVE INCLUIR UMA VERIFICAÇÃO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUÁRIO ESTÁ AUTORIZADO PARA O OBJETO REQUISITADO.
  • 36. A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Fácil Prevalência Comum Detecção Fácil Impacto Moderado
  • 37. OWASP Open Web Application Security Project CONFIGURAÇÕES INCORRETAS PODEM ACONTECER EM QUALQUER NÍVEL DA PILHA DA APLICAÇÃO, INCLUINDO A PLATAFORMA, SERVIDOR WEB, SERVIDOR DE APLICAÇÃO, BANCO DE DADOS, FRAMEWORK E CÓDIGO PERSONALIZADO. PROBLEMA A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA
  • 38. OWASP Open Web Application Security Project O console de administração do servidor de aplicação é instalado automaticamente e não é removido. Contas padrão não são alteradas. Atacantes descobrem as páginas padrão de administração que estão em seu servidor, fazem login com senhas padrão e assumem o acesso do ambiente. A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA
  • 39. SOLUÇÃO 1. UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FÁCIL E RÁPIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTÁ DEVIDAMENTE BLINDADO. AMBIENTES DE DESENVOLVIMENTO, CONTROLE DE QUALIDADE E PRODUÇÃO DEVEM SER TODOS CONFIGURADOS DE FORMA IDÊNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE). ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORÇO NECESSÁRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO. OWASP Open Web Application Security Project A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA
  • 40. SOLUÇÃO 2. UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZAÇÕES E CORREÇÕES DE SOFTWARE EM TEMPO HÁBIL E EM PARA CADA AMBIENTE. ESTE PROCESSO, DEVE INCLUIR TODAS AS BIBLIOTECAS DE CÓDIGO (VER NOVO A9). OWASP Open Web Application Security Project A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA
  • 41. SOLUÇÃO 3. UMA ARQUITETURA DE APLICAÇÃO FORTE QUE FORNEÇA A SEPARAÇÃO SEGURA E EFICAZ ENTRE OS COMPONENTES. OWASP Open Web Application Security Project A5 - CONFIGURAÇÃO INCORRETA DE SEGURANÇA
  • 42. A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Difícil Prevalência Rara Detecção Média Impacto Severo
  • 43. OWASP Open Web Application Security Project A FALHA MAIS COMUM É SIMPLESMENTE NÃO CRIPTOGRAFAR DADOS SENSÍVEIS. QUANDO A CRIPTOGRAFIA É UTILIZADA, A GERAÇÃO E GERENCIAMENTO DE CHAVES É FRACA, ALÉM DA UTILIZAÇÃO DE ALGORITMOS E TÉCNICAS DE HASHING FRACOS. PROBLEMA A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 44. OWASP Open Web Application Security Project Um site simplesmente não usa SSL em todas as páginas autenticadas. O atacante simplesmente monitora o tráfego de rede (como uma rede wireless aberta), e rouba o cookie de sessão do usuário. O atacante então reproduz este cookie e sequestra a sessão do usuário, acessando dados privados do mesmo. A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 45. SOLUÇÃO 1. CONSIDERANDO QUE VOCÊ PRETENDE PROTEGER OS DADOS DE AMEAÇAS (COMO POR EXEMPLO, ATAQUE INTERNO OU DE USUÁRIO EXTERNO), TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSÍVEIS EM REPOUSO E EM TRÂNSITO DE UMA FORMA QUE INIBA ESTAS AMEAÇAS. OWASP Open Web Application Security Project A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 46. SOLUÇÃO 2. NÃO ARMAZENE DADOS SENSÍVEIS DESNECESSARIAMENTE. DESCARTE-OS O MAIS RÁPIDO POSSÍVEL. DADOS QUE VOCÊ NÃO TEM NÃO PODEM SER ROUBADOS. OWASP Open Web Application Security Project A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 47. SOLUÇÃO 3. CERTIFIQUE-SE QUE O NÍVEL UTILIZADO NOS ALGORITMOS E CHAVES SÃO FORTES, E QUE O GERENCIAMENTO DE CHAVES ESTÁ APLICADO ADEQUADAMENTE. CONSIDERE UTILIZAR OS MÓDULOS CRIPTOGRÁFICOS VALIDADOS DO FIPS-140. OWASP Open Web Application Security Project A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 48. SOLUÇÃO 4. CERTIFIQUE-SE QUE AS SENHAS SÃO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTEÇÃO DE SENHAS, COMO O BCRYPT, PBKDF2 OU SCRYPT. OWASP Open Web Application Security Project A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 49. SOLUÇÃO 5. DESABILITE O AUTOCOMPLETAR EM FORMULÁRIOS DE COLETA DE DADOS SENSÍ- VEIS E DESABILITE O CACHE EM PÁGINAS QUE CONTENHAM DADOS SENSÍVEIS. OWASP Open Web Application Security Project A6 - EXPOSIÇÃO DE DADOS SENSÍVEIS
  • 50. A7 - FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Fácil Prevalência Comum Detecção Médio Impacto Moderado
  • 51. OWASP Open Web Application Security Project APLICAÇÕES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNÇÃO DE APLICAÇÃO. ÀS VEZES, A PROTEÇÃO EM NÍVEL DE FUNÇÃO É GERENCIADA VIA CONFIGURAÇÃO, E O SISTEMA É MAL CONFIGURADO. ÀS VEZES, DESENVOLVEDORES DEVEM INCLUIR VERIFICAÇÕES DE CÓDIGO ADEQUADAS, E ELES ESQUECEM. PROBLEMA A7 - FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO
  • 52. OWASP Open Web Application Security Project http://example.com/app/getappInfo http://example.com/app/admin_getappInfo O ATACANTE SIMPLESMENTE FORÇA A NAVEGAÇÃO PELAS URLS ALVO. AS SEGUINTES URLS EXIGEM AUTENTICAÇÃO. DIREITOS DE ADMINISTRADOR TAMBÉM SÃO EXIGIDOS PARA ACESSAR A PÁGINA “ADMIN_GETAPPINFO” . A7 - FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO
  • 53. SOLUÇÃO 1. PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCÊ POSSA ATUALIZAR E AUDITAR FACILMENTE. NÃO CODIFIQUE DIRETAMENTE. 2. A EXECUÇÃO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRÃO, EXIGINDO DIREITOS EXPLÍCITOS PARA PAPÉIS ESPECÍFICOS NO ACESSO A TODAS AS FUNÇÕES. OWASP Open Web Application Security Project A7 - FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO
  • 54. SOLUÇÃO OWASP Open Web Application Security Project A7 - FALTA DE FUNÇÃO PARA CONTROLE DO NÍVEL DE ACESSO 3. SE A FUNÇÃO ESTÁ ENVOLVIDA EM UM FLUXO DE TRABALHO, VERIFIQUE, PARA TER CERTEZA, SE AS CONDIÇÕES ESTÃO EM ESTADO ADEQUADO PARA PERMITIR ACESSO. 

  • 55. A8 - CROSS-SITE REQUEST FORGERY (CSRF) OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Médio Prevalência Comum Detecção Fácil Impacto Moderado
  • 56. OWASP Open Web Application Security Project O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICAÇÕES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA AÇÃO PARTICULAR DA APLICAÇÃO. COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSÃO, OS ATACANTES PODEM CRIAR PÁGINAS WEB MALICIOSAS QUE GERAM REQUISIÇÕES FORJADAS INDISTINGUÍVEIS DAS LEGÍTIMAS. PROBLEMA A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 57. OWASP Open Web Application Security Project http://exemplo.com/app/transferirFundos?quantia=1500 &contaDestino=4673243243 A APLICAÇÃO PERMITE QUE UM USUÁRIO SUBMETA UMA REQUISIÇÃO DE MUDANÇA DE ESTADO QUE NÃO INCLUI QUALQUER SEGREDO. POR EXEMPLO: A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 58. OWASP Open Web Application Security Project <img src="http://exemplo.com/app/transferirFundos? quantia=1500&contaDestino=contaAtacante#“ width="0" height="0" /> COM ISSO, O ATACANTE CONSTRÓI UMA REQUISIÇÃO QUE IRÁ TRANSFERIR DINHEIRO DA CONTA DA VÍTIMA PARA A CONTA DO ATACANTE, E ENTÃO INCORPORA ESTE ATAQUE EM UMA REQUISIÇÃO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VÁRIOS SITES SOB O CONTROLE DO ATACANTE: A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 59. OWASP Open Web Application Security Project SE A VÍTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLO.COM, ESSAS REQUISIÇÕES FORJADAS IRÃO INCLUIR AUTOMATICAMENTE INFORMAÇÕES DE SESSÃO DO USUÁRIO, AUTORIZANDO O PEDIDO DO ATACANTE. A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 60. SOLUÇÃO OWASP Open Web Application Security Project A PREVENÇÃO DE UM CSRF GERALMENTE REQUER A INCLUSÃO DE UM TOKEN IMPREVISÍVEL EM CADA REQUISIÇÃO HTTP. TAIS TOKENS DEVEM, NO MÍNIMO, SER ÚNICOS POR SESSÃO DE USUÁRIO. A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 61. SOLUÇÃO OWASP Open Web Application Security Project 1. A OPÇÃO PREFERIDA CONSISTE EM INCLUIR UM TOKEN ÚNICO EM UM CAMPO OCULTO. ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISIÇÃO HTTP, EVITANDO-SE A SUA INSERÇÃO NA URL, QUE É MAIS PROPENSA A EXPOSIÇÃO. A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 62. SOLUÇÃO OWASP Open Web Application Security Project 2. O TOKEN ÚNICO PODE SER INCLUÍDO NA PRÓPRIA URL, OU EM PARÂMETROS DA URL. CONTUDO, TAL POSICIONAMENTO CORRE UM RISCO MAIOR JÁ QUE A URL SERÁ EXPOSTA AO ATACANTE, COMPROMETENDO ASSIM O TOKEN SECRETO A8 - CROSS-SITE REQUEST FORGERY (CSRF)
  • 63. A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Médio Prevalência Generalizada Detecção Difícil Impacto Moderado
  • 64. OWASP Open Web Application Security Project VIRTUALMENTE TODAS APLICAÇÕES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NÃO FOCAM EM GARANTIR QUE SEUS COMPONENTES E/OU BIBLIOTECAS ESTEJAM ATUALIZADOS. EM MUITOS CASOS, OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTÃO USANDO, MUITO MENOS SUAS VERSÕES. PROBLEMA A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
  • 65. SOLUÇÃO OWASP Open Web Application Security Project MUITOS PROJETOS DE COMPONENTES NÃO CRIAM CORREÇÕES DE VULNERABILIDADES PARA VERSÕES ANTIGAS. EM VEZ DISSO, É MAIS SIMPLES CORRIGIR O PROBLEMA NA PRÓXIMA VERSÃO. ENTÃO ATUALIZAR PARA ESSAS NOVAS VERSÕES É CRÍTICO. PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA: A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
  • 66. SOLUÇÃO OWASP Open Web Application Security Project A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSÕES QUE VOCÊ ESTÁ UTILIZANDO, INCLUINDO TODAS AS DEPENDÊNCIAS. (EX., VERSÕES DOS PLUGINS). A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
  • 67. SOLUÇÃO OWASP Open Web Application Security Project B) MONITORAR A SEGURANÇA DESSES COMPONENTES EM BANCO DE DADOS PÚBLICOS, LISTAS DE E-MAIL DE PROJETOS E SEGURANÇA, E MANTÊ-LOS ATUALIZADOS. A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
  • 68. SOLUÇÃO OWASP Open Web Application Security Project C) ESTABELECER POLÍTICAS DE SEGURANÇA QUE DEFINAM O USO DO COMPONENTE, ASSIM COMO EXIGIR CERTAS PRÁTICAS DE DESENVOLVIMENTO DE SOFTWARE, PASSANDO EM TESTES DE SEGURANÇA, E LICENÇAS ACEITÁVEIS. A9 - UTILIZAÇÃO DE COMPONENTES VULNERÁVEIS CONHECIDOS
  • 69. OWASP Open Web Application Security Project Agente da Ameaça Vetor de Ataque Vulnerabilidade Impactos Técnicos Impactos de Negócios Exploração Médio Prevalência Rara Detecção Fácil Impacto Moderado A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
  • 70. OWASP Open Web Application Security Project APLICAÇÕES FREQUENTEMENTE REDIRECIONAM USUÁRIOS PARA OUTRAS PÁGINAS, OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR. POR VEZES A PÁGINA DE DESTINO É ESPECIFICADA ATRAVÉS DE UM PARÂMETRO QUE NÃO É VALIDADO, PERMITINDO QUE O ATACANTE ESCOLHA ESSA PÁGINA DE DESTINO. PROBLEMA A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
  • 71. OWASP Open Web Application Security Project A APLICAÇÃO POSSUI UMA PÁGINA CHAMADA “REDIRECT.JSP” QUE RECEBE APENAS UM PARÂMETRO “URL”. O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUÁRIOS PARA O SITE MALICIOSO, QUE EXECUTA PHISHING E INSTALA MALWARE. http://www.example.com/redirect.jsp?url=evil.com A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
  • 72. SOLUÇÃO OWASP Open Web Application Security Project USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VÁRIAS FORMAS: A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
  • 73. SOLUÇÃO OWASP Open Web Application Security Project 1. SIMPLESMENTE EVITAR USÁ-LOS. 2. SE FOREM USADOS, NÃO ENVOLVA PARÂMETROS DO USUÁRIO NO CÁLCULO 
 DO DESTINO. NORMALMENTE, ISTO PODE SER FEITO. 3. SE OS PARÂMETROS DE DESTINO NÃO PODEM SER EVITADOS, TENHA 
 CERTEZA QUE O VALOR FORNECIDO É VÁLIDO, E AUTORIZADO PARA O USUÁRIO. A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVÁLIDOS
  • 74. THE WebSec 2016 BIBLIOGRÁFIA INTRODUÇÃO: MIT HTTP://OCW.MIT.EDU/COURSES/ ELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE/ 6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014/ LECTURE-NOTES/ PRINCIPAIS ERROS: OWASP HTTPS://WWW.OWASP.ORG/ INDEX.PHP/TOP_10_2013-TOP_10 CSRF: CAELUM HTTP://BLOG.CAELUM.COM.BR/PROTEGENDO- SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST- FORGERYCSRF/