O documento discute vulnerabilidades e segurança em aplicações web. Ele aborda riscos à segurança, privacidade e financeiros e como trabalhar juntos para mitigá-los através de boas práticas de desenvolvimento seguro, ferramentas, educação e responsabilidade social.

1. Campus Party Brasil - 2011
Vulnerabilidades e Segurança
em Aplicações Web
Leonardo Andrade
Nelson Novaes Neto

2. A Web é 100% BUG
Free?
All rights reserved.

3. O gigante adormecido...

4. Quem quer dinheiro?

5. Como acessar informações de
1 milhão de amigos?

6. Como acessar informações de
1 milhão de amigos?
“...Within just 20 hours of its October 4, 2005 release, over one million users had run the payload,
making Samy one of the fastest spreading viruses of all time...

7. Vulnerabilidade no
Controle de Privacidade?

8. Vetores de Ataques
(TrustWave, 2011)

9. Código = Dinheiro?
“...o custo total de
falhas de segurança é
de aproximadamente
180 bilhões de doláres
ao ano.” (Rice, 2010)

10. Quais são os riscos?
All rights reserved.

11. Quais são os riscos?
‣ Segurança?
All rights reserved.

12. Quais são os riscos?
‣ Segurança?
‣ Privacidade?
All rights reserved.

13. Quais são os riscos?
‣ Segurança?
‣ Privacidade?
‣ Financeiro? All rights reserved.

14. Quais são os riscos?
‣ Segurança?
‣ Privacidade?
‣ Financeiro? All rights reserved.
‣ Outros?

15. Quais são os riscos?
‣ Segurança?
‣ Privacidade?
‣ Financeiro? All rights reserved.
‣ Outros?
‣ Quem paga o Bug?

16. Quais são os riscos?
‣ Segurança?
‣ Privacidade?
‣ Financeiro? All rights reserved.
‣ Outros?
‣ Quem paga o Bug?
‣ DO IT RIGHT!

17. 0 Bugs + Segurança + Privacidade
+ WAF + IPS + Firewall + $$$
All rights reserved.

18. No Silver Bullet
All rights reserved.

19. Como trabalhar juntos?
All rights reserved.

20. Responsabilidade Social
All rights reserved.

21. Segurança em Profundidade
All rights reserved.

22. Secure Development
Lifecycle
Fonte: Software Security - Building Security In (Gary McGraw, 2006)

23. $./Behavior-based-safety --help |
grep “Análise do Comportamento”
(McSween, 2003)
All rights reserved.

24. Educação
All rights reserved.

25. International Information Systems
Security Certification Consortium
(ISC)2
http://www.isc2.org

26. Ferramentas de Trabalho
http://www.cert.br

27. Ferramentas de Trabalho
http://www.cert.br

28. Ferramentas de Trabalho
http://www.cert.br

29. Ferramentas de Trabalho

30. Ferramentas de Trabalho

31. Ferramentas de Trabalho

32. Ferramentas de Trabalho

33. Ferramentas de Trabalho

34. Open Web Application
Security Project
http://owasp.org

35. Open Web Application
Security Project
http://owasp.org

36. Open Web Application
Security Project
http://owasp.org

37. Open Web Application
Security Project
http://owasp.org

38. Open Web Application
Security Project
http://owasp.org

39. Microsoft - Melhorias de
Segurança Mensuráveis

40. O final será mais
econômico, considerando:
All rights reserved.

41. O final será mais
econômico, considerando:
‣ Redução do retrabalho
All rights reserved.

42. O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
All rights reserved.

43. O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
‣ Aspectos legais
All rights reserved.

44. O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
‣ Aspectos legais
All rights reserved.
‣ Credibilidade da marca

45. O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
‣ Aspectos legais
All rights reserved.
‣ Credibilidade da marca
‣ Gestão de Risco

46. O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
‣ Aspectos legais
All rights reserved.
‣ Credibilidade da marca
‣ Gestão de Risco
‣ Seu sucesso!

47. Scripture, 1895

48. Educação + Segurança +
Privacidade
All rights reserved.

49. Educação + Segurança +
Privacidade
A nossa Web pode ser 10!
All rights reserved.

51. Obrigado!
Leonardo Andrade <leonardobuonsanti@uol.com.br>
Nelson Novaes Neto <nnovaes@psyzone.org>