Cleyton Kano, profile picture
Carregado porCleyton Kano
1,081 visualizações

WebGoat Project - Apresentação

O documento discute a crescente necessidade de segurança da informação, indicando que não é mais uma preocupação exclusiva de grandes empresas, mas sim uma questão relevante para médias e pequenas organizações. Utilizando a ferramenta WebGoat, o texto apresenta lições sobre vulnerabilidades e boas práticas em segurança de aplicações web. O objetivo é educar desenvolvedores e testadores em como identificar e corrigir falhas de segurança, enfatizando a importância de um uso ético e responsável do conhecimento adquirido.

Incorporar apresentação

Cleyton Tsukuda Kano Danilo Luiz Favacho Lopes Décio Vicente Castaldi Paulo Kuester Neto MBA em Gestão de Segurança da Informação 19º SEG São Paulo, Março de 2013
Sumário  Introdução  O Problema  Objetivo  Ambiente utilizado  Projeto WebGoat  OWASP  WebGoat  Didática  Colocando em prática  Resumo das lições  Vídeo  Conclusão  Bibliografia
Introdução – O Problema  Mundo dependente tecnologicamente  Popularização numa velocidade evolutiva nunca antes experimentada  Serviços vitais conectados:  Energia  Transportes  Alimentos  Sistemas financeiros  etc
Introdução – O Problema  ... E tudo isso gerou elevação dos riscos  Empresas devem ter preocupação e um plano estruturado que leve em conta a segurança da informação  Antes era privilégio ou motivo de preocupação para de organizações militares, governos ou grandes conglomerados empresariais  Hoje é parte do modelo de médias e pequenas empresas  Ernst & Young mostra que 55% das empresas elevarão seus investimentos com segurança da informação  Para muitas empresas a segurança da informação não é visualizada como estratégica, nem como um investimento para o negócio e sim como um custo a mais na planilha financeira
Introdução – O Problema SQL Injection no banco de currículos das organizações C.E.S.A.R e Pitang – Agile IT Fonte: (RODRIGUES, 2011)
Introdução - Objetivo Demonstrar de uma maneira geral e tomando como exemplo algumas das lições presentes na estudar a ferramenta web denominada de WebGoat (versão padrão, não sendo a versão de desenvolvedor), algumas das teorias discutidas na disciplina - gestão de ameaças e vulnerabilidades, explorando, além dos ensinamentos introdutórios apresentados pelo tópico da lição geral da ferramenta, as primeiras três lições de segurança da informação para aplicações web e a lição desafio. Dessa forma serão trabalhadas no total as seguintes cinco lições:  Lição Geral (HTML basics e HTML splitting);  Falhas no controle de acesso;  Segurança no AJAX;  Falhas de autenticação;  Lição Desafio.
Introdução - Ambiente utilizado  Sistema operacional Linux Ubuntu 10.10  Java Development Kit (JDK) 1.7.0.11  Apache Tomcat 7.0.35  WebGoat 5.4 Standard  WebScarab Lite v20070504-1631  Web-browser Mozilla Firefox 3.6.10 com Add-ons:  Tamper Data 11.0.1  Firebug 1.7.3
Introdução - Ambiente utilizado  Sistema operacional Linux Ubuntu 10.10  Java Development Kit (JDK) 1.7.0.11  Apache Tomcat 7.0.35  WebGoat 5.4 Standard  WebScarab Lite v20070504-1631  Web-browser Mozilla Firefox 3.6.10 com Add-ons:  Tamper Data 11.0.1  Firebug 1.7.3
Projeto WebGoat - OWASP  Ano de surgimento: 2001  Não possui associação com empresas ou serviços ditos comerciais  Fóruns, aplicativos e documentos são abertos ao público  Missão: promover o desenvolvimento seguro de aplicações e serviços de internet  Conferências  Artigos  Projetos
Projeto WebGoat - WebGoat  Aplicação web desenvolvida pela OWASP  Ambiente de aplicação web de aprendizado  Construída sob a linguagem de programação Java na plataforma J2EE  Concebida propositalmente para ser insegura  Contém falhas  Ensinar lições de segurança em aplicações web  Verificar diversos tipos de vulnerabilidades existentes  Origem do nome: alguém para culpar (scape-goat)  Navegação através de lições em diferentes níveis  A ideia não é sair verificando vulnerabilidades em aplicações de outrem sem a devida permissão  Pretensão futura de servir de Honeypot
Projeto WebGoat - WebGoat  Fundamental para:  Evitar que estas mesmas vulnerabilidades estejam presentes  Aprender a anatomia de ataques podem se valer de uma melhor prática de programação  Incluir a segurança da informação seja incluída em todo o ciclo de desenvolvimento de aplicações e serviços que são disponibilizados  Minimizar falhas e riscos desnecessários  Não se encontra hospedado em um servidor de internet  Necessidade de instalar em um ambiente de trabalho  Pré requisitos:  JVM  Servidor Apache Tomcat  SOs compatíveis:  Linux  OSX Tiger  Windows
Projeto WebGoat - Didática  Baseada em ensinamentos sobre segurança em aplicações web  Cada uma das lições dá uma visão geral sobre a vulnerabilidade que está sendo trabalhada e contém problemas, tais como:  Cross-site Scripting (XSS);  Falhas no controle de acesso (cross site request forgery (CSRF), acesso remoto de administrador, etc.);  Falhas de autenticação e gerência de sessões (roubo de seção, spoof em cookie de autenticação, etc.);  Manipulação de campos ocultos/parâmetros;  Falhas de injeção (SQL Injection; Log spoofing, XPath injection, etc.);  Falhas em Web Services (web service SQL/SAX injection, WSDL scanning, etc.);  Vulnerabilidades no código (pistas e comentários no HTML);  Buffer overflows;  Segurança no AJAX (DOM/XML/JSON injection, etc.);  Lição desafio, cujo objetivo é quebrar a autenticação, roubar os dados de cartão de crédito e desfigurar o site, mais conhecido como deface.
Projeto WebGoat - Didática  A análise das lições envolvem basicamente:  análise do conteúdo no lado cliente (client side)  código fonte em HTML  scripts  comunicação entre o cliente o servidor  cookies  dados locais
Colocando em prática – Resumo das lições  Lição Geral (HTML basics e HTML splitting) Familiarizar-se com alguns campos de sessão do HTTP, cookies e códigos Possibilidade de inserir determinados caracteres, variáveis ou códigos em determinados campos que podem levar a um comportamento não previsto inicialmente pela aplicação
Colocando em prática – Resumo das lições  Falhas no controle de acesso Obtenção de acesso a arquivos indevidamente Acesso a ações privilegiadas, para usuários sem privilégio Acesso indevido das informações de perfil de outro usuário
Colocando em prática – Resumo das lições  Segurança no AJAX Possibilidade de inserir determinados códigos javascript em determinados campos que podem levar a um comportamento não previsto inicialmente pela aplicação Demonstrar os perigos em comportamentos AJAX ao enviar informações desnecessárias e que, supostamente, o usuário não deveria visualizar
Colocando em prática – Resumo das lições  Falhas de autenticação Verificar a força das senhas fornecidas, analisando o grau de complexidade e o tempo necessário para quebra-las Descoberta de senha através de dicas de senha Realizar acesso com um usuário e realizar ações com outro usuário
Colocando em prática – Resumo das lições  Lição Desafio Burlar o método de autenticação Descobrir todos os cartões de créditos registrados no banco de dados do sistema Desfigurar a página
Colocando em prática – Vídeo DEMO!
Conclusão  Cumpre sua função de aplicação web de aprendizado  Ilustrando as falhas de segurança de uma forma bem estruturada  Dividida em tópicos por tipos de vulnerabilidades, através das lições  Boa forma para desenvolvedores, testadores de software e estudantes de segurança da informação para se aprimorarem  Vale a pena lembrar que o objetivo da aplicação não é sair por ai procurando por vulnerabilidades nas aplicações de outrem sem a devida permissão.  Como a própria aplicação sugere que a pessoa que utilizar estas técnicas para realizar ataques, esta poderá ser pega e/ou demitida por este ato.  Portanto, deve-se utilizar este aprendizado na melhor forma possível e na legalidade.
Bibliografia APACHE SOFTWARE FOUNDATION. Apache Tomcat. [S.l.]: Apache Software Foundation, 2013. Disponível em: <http://tomcat.apache.org/>. Acesso em: 14 de março de 2013. HEWITT, J; ODVARKO, J.; CAMPBELL, R. Firebug. [S.l.]: Add-ons for Firefox, 2013. Disponível em: <https://addons.mozilla.org/pt-br/firefox/addon/firebug/>. Acesso em: 14 de março de 2013. JUDSON, A. Tamper Data. [S.l.]: Add-ons for Firefox, 2010. Disponível em: <https://addons.mozilla.org/pt-br/firefox/addon/tamper-data/>. Acesso em: 14 de março de 2013. MAYHEW, B.; WILLIAMS, J.. OWASP WebGoat, versão 5.4. [S.l.]: 2012. Aplicação web. OWASP. About OWASP. [S.l.]: Open Web Application Security Project Foundation, 2013a. Disponível em: <https://www.owasp.org/index.php/About_OWASP>. Acesso em: 6 de fevereiro de 2013.
Bibliografia OWASP. WebGoat Project. [S.l.]: Open Web Application Security Project Foundation, 2013b. Disponível em: <https://www.owasp.org/index.php/OWASP_WebGoat_Project>. Acesso em: 6 de fevereiro de 2013. OWASP. WebScarab Project. [S.l.]: Open Web Application Security Project Foundation, 2013c. Disponível em: <https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project>. Acesso em: 14 de março de 2013. OXFORD. 2 ed. Pocket Oxford American Dictionary. New York: Oxford University Press, 2008. RODRIGUES, M.. OWASP Top 10 + Java EE. [S.l.]: OWASP Paraíba, 2011. Disponível em: <https://www.owasp.org/images/7/7a/Magno_Logan_AppSec_Latam_2011_- _OWASP_Top_10_%2B_JavaEE.pdf>. Acesso em: 17 de fevereiro de 2013.

Mais conteúdo relacionado

PDF
(2) O Processo de Gerenciamento de Vulnerabilidades Web
porEduardo Lanna
 
PPT
Sunlit technologies portfolio produtos &amp; serviços agosto2016
porAntonio Carlos Scola - MSc
 
PDF
(4) Comparando o N-Stalker WAS com o RedeSegura
porEduardo Lanna
 
PPTX
Java security
porarmeniocardoso
 
PDF
Testes de segurança desafios e oportunidades
porQualister
 
PDF
10 atributos que o seu firewall precisa ter
porTechBiz Forense Digital
 
PDF
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
PPTX
Apresentação JAGUAR Software Público
porPowerlogic Consultoria e Sistemas
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
porEduardo Lanna
 
Sunlit technologies portfolio produtos &amp; serviços agosto2016
porAntonio Carlos Scola - MSc
 
(4) Comparando o N-Stalker WAS com o RedeSegura
porEduardo Lanna
 
Java security
porarmeniocardoso
 
Testes de segurança desafios e oportunidades
porQualister
 
10 atributos que o seu firewall precisa ter
porTechBiz Forense Digital
 
Segurança no Desenvolvimento de Software
porMarcelo Fleury
 
Apresentação JAGUAR Software Público
porPowerlogic Consultoria e Sistemas
 

Mais procurados

PDF
jCompany for SAP NetWeaver
porPowerlogic Consultoria e Sistemas
 
PPTX
Palestra Gerenciamento de Projetos com Scrum e MPS.Br
porPowerlogic Consultoria e Sistemas
 
PDF
Dextra Sistemas: A linguagem PHP no modelo de Fábrica de Software
porDextra
 
PDF
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
[Pt br] - 36751 - mitre att&amp;ck - azure
porEnrique Gustavo Dutra
 
PDF
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
porBruno Motta Rego
 
PDF
Relatório de Teste Invasão fícticio
porVitor Melo
 
PDF
Modular Monoliths - Como é possível organizar sua aplicação para habilitar um...
porLuiz Costa
 
PDF
Hexagonal Rails
porLuiz Costa
 
jCompany for SAP NetWeaver
porPowerlogic Consultoria e Sistemas
 
Palestra Gerenciamento de Projetos com Scrum e MPS.Br
porPowerlogic Consultoria e Sistemas
 
Dextra Sistemas: A linguagem PHP no modelo de Fábrica de Software
porDextra
 
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
[Pt br] - 36751 - mitre att&amp;ck - azure
porEnrique Gustavo Dutra
 
Artigo - Segurança no desenvolvimento de sistemas com metodologia ágil SCRUM
porBruno Motta Rego
 
Relatório de Teste Invasão fícticio
porVitor Melo
 
Modular Monoliths - Como é possível organizar sua aplicação para habilitar um...
porLuiz Costa
 
Hexagonal Rails
porLuiz Costa
 

Semelhante a WebGoat Project - Apresentação

PPTX
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
WebGoat Project
porDécio Castaldi, MBA/FIAP
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PDF
WebGoat Project
porCleyton Kano
 
PPT
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PPT
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
PDF
OWASP Top Ten 2004
porCarlos Serrao
 
PPTX
OWASP Top Ten
porGiovani Decusati
 
PPTX
CWI - Núcleo de tecnologia - OWASP Top Ten
porPOANETMeetup
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
PPSX
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
PDF
Apresentação Ismael Rocha e Fabricio Braz
porOWASP Brasília
 
PDF
Website security
porthiagosenac
 
PDF
Ferranentas OWASP
porCarlos Serrao
 
PPT
Seguranca web testday2012
porMarcio Cunha
 
PPTX
Desenvolvimento seguro - WorkSec 2019
porAlcyon Ferreira de Souza Junior, MSc
 
PDF
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
WebGoat Project
porDécio Castaldi, MBA/FIAP
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
WebGoat Project
porCleyton Kano
 
Ameacas e Vulnerabilidades em Apps Web-2013
porKleitor Franklint Correa Araujo
 
Ameaças e Vulnerabilidade em Apps Web-2013
porKleitor Franklint Correa Araujo
 
OWASP Top Ten 2004
porCarlos Serrao
 
OWASP Top Ten
porGiovani Decusati
 
CWI - Núcleo de tecnologia - OWASP Top Ten
porPOANETMeetup
 
OWASP - Ferramentas
porCarlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
Segurança Web: O MMA da Tecnologia
porCarlos Nilton Araújo Corrêa
 
Apresentação Ismael Rocha e Fabricio Braz
porOWASP Brasília
 
Website security
porthiagosenac
 
Ferranentas OWASP
porCarlos Serrao
 
Seguranca web testday2012
porMarcio Cunha
 
Desenvolvimento seguro - WorkSec 2019
porAlcyon Ferreira de Souza Junior, MSc
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
porOWASP Brasília
 

Último

PDF
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 
PPTX
Impacto das micotoxinas na alimentação de bovinos
pordavifrancisco9
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
PPT
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
PDF
Gerenciamento-de-Portfolio-de-Projetos.pdf
porAragon Salvador
 
PPTX
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
PDF
Dev In The Loop - Quando e Como o Desenvolvedor Atua no Ciclo de Desenvolvime...
porDouglas Siviotti
 
PDF
Um projeto de redes para fins educacionais
porLorran17
 
PPTX
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
PPTX
SEQUENCIA DE PARTIDA DE QUEIMADORES INDUSTRIAIS
porantonskyrda
 
PPTX
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
PDF
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
PDF
Global_Innovation_Tour_in_Silicon_Valley_&_RSA_2026
porOBr.global
 
PDF
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 
MODOS DE AÇÃO DOS FUNGICIDAS - JÚLIA E DIEGO
porGETA - UFG
 
Impacto das micotoxinas na alimentação de bovinos
pordavifrancisco9
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DA SOJA - FELIPE ...
porGETA - UFG
 
redes_Ind_topologias estrutura de dados.ppt
porbacasandro2024
 
Gerenciamento-de-Portfolio-de-Projetos.pdf
porAragon Salvador
 
pt-BR_Google Cloud Computing Foundations M9_ You Have the Data but What Are Y...
porArlimar Jacinto
 
Dev In The Loop - Quando e Como o Desenvolvedor Atua no Ciclo de Desenvolvime...
porDouglas Siviotti
 
Um projeto de redes para fins educacionais
porLorran17
 
IA, Machine Learning e Deep Learning.pptx
porArlimar Jacinto
 
SEQUENCIA DE PARTIDA DE QUEIMADORES INDUSTRIAIS
porantonskyrda
 
API e Endpoints para Google Cloud para IA
porArlimar Jacinto
 
COLHEITA, ARMAZENAMENTO, COMERCIALIZAÇÃO E INDUSTRIALIZAÇÃO DO MILHO – JULIA ...
porGETA - UFG
 
Global_Innovation_Tour_in_Silicon_Valley_&_RSA_2026
porOBr.global
 
FISIOLOGIA E FENOLOGIA DO MILHO - FELIPE CRUVINEL E CAIRO
porGETA - UFG
 

WebGoat Project - Apresentação

  • 1.
    Cleyton Tsukuda Kano Danilo Luiz Favacho Lopes Décio Vicente Castaldi Paulo Kuester Neto MBA em Gestão de Segurança da Informação 19º SEG São Paulo, Março de 2013
  • 2.
    Sumário  Introdução  O Problema  Objetivo  Ambiente utilizado  Projeto WebGoat  OWASP  WebGoat  Didática  Colocando em prática  Resumo das lições  Vídeo  Conclusão  Bibliografia
  • 3.
    Introdução – OProblema  Mundo dependente tecnologicamente  Popularização numa velocidade evolutiva nunca antes experimentada  Serviços vitais conectados:  Energia  Transportes  Alimentos  Sistemas financeiros  etc
  • 4.
    Introdução – OProblema  ... E tudo isso gerou elevação dos riscos  Empresas devem ter preocupação e um plano estruturado que leve em conta a segurança da informação  Antes era privilégio ou motivo de preocupação para de organizações militares, governos ou grandes conglomerados empresariais  Hoje é parte do modelo de médias e pequenas empresas  Ernst & Young mostra que 55% das empresas elevarão seus investimentos com segurança da informação  Para muitas empresas a segurança da informação não é visualizada como estratégica, nem como um investimento para o negócio e sim como um custo a mais na planilha financeira
  • 5.
    Introdução – OProblema SQL Injection no banco de currículos das organizações C.E.S.A.R e Pitang – Agile IT Fonte: (RODRIGUES, 2011)
  • 6.
    Introdução - Objetivo Demonstrarde uma maneira geral e tomando como exemplo algumas das lições presentes na estudar a ferramenta web denominada de WebGoat (versão padrão, não sendo a versão de desenvolvedor), algumas das teorias discutidas na disciplina - gestão de ameaças e vulnerabilidades, explorando, além dos ensinamentos introdutórios apresentados pelo tópico da lição geral da ferramenta, as primeiras três lições de segurança da informação para aplicações web e a lição desafio. Dessa forma serão trabalhadas no total as seguintes cinco lições:  Lição Geral (HTML basics e HTML splitting);  Falhas no controle de acesso;  Segurança no AJAX;  Falhas de autenticação;  Lição Desafio.
  • 7.
    Introdução - Ambienteutilizado  Sistema operacional Linux Ubuntu 10.10  Java Development Kit (JDK) 1.7.0.11  Apache Tomcat 7.0.35  WebGoat 5.4 Standard  WebScarab Lite v20070504-1631  Web-browser Mozilla Firefox 3.6.10 com Add-ons:  Tamper Data 11.0.1  Firebug 1.7.3
  • 8.
    Introdução - Ambienteutilizado  Sistema operacional Linux Ubuntu 10.10  Java Development Kit (JDK) 1.7.0.11  Apache Tomcat 7.0.35  WebGoat 5.4 Standard  WebScarab Lite v20070504-1631  Web-browser Mozilla Firefox 3.6.10 com Add-ons:  Tamper Data 11.0.1  Firebug 1.7.3
  • 9.
    Projeto WebGoat -OWASP  Ano de surgimento: 2001  Não possui associação com empresas ou serviços ditos comerciais  Fóruns, aplicativos e documentos são abertos ao público  Missão: promover o desenvolvimento seguro de aplicações e serviços de internet  Conferências  Artigos  Projetos
  • 10.
    Projeto WebGoat -WebGoat  Aplicação web desenvolvida pela OWASP  Ambiente de aplicação web de aprendizado  Construída sob a linguagem de programação Java na plataforma J2EE  Concebida propositalmente para ser insegura  Contém falhas  Ensinar lições de segurança em aplicações web  Verificar diversos tipos de vulnerabilidades existentes  Origem do nome: alguém para culpar (scape-goat)  Navegação através de lições em diferentes níveis  A ideia não é sair verificando vulnerabilidades em aplicações de outrem sem a devida permissão  Pretensão futura de servir de Honeypot
  • 11.
    Projeto WebGoat -WebGoat  Fundamental para:  Evitar que estas mesmas vulnerabilidades estejam presentes  Aprender a anatomia de ataques podem se valer de uma melhor prática de programação  Incluir a segurança da informação seja incluída em todo o ciclo de desenvolvimento de aplicações e serviços que são disponibilizados  Minimizar falhas e riscos desnecessários  Não se encontra hospedado em um servidor de internet  Necessidade de instalar em um ambiente de trabalho  Pré requisitos:  JVM  Servidor Apache Tomcat  SOs compatíveis:  Linux  OSX Tiger  Windows
  • 12.
    Projeto WebGoat -Didática  Baseada em ensinamentos sobre segurança em aplicações web  Cada uma das lições dá uma visão geral sobre a vulnerabilidade que está sendo trabalhada e contém problemas, tais como:  Cross-site Scripting (XSS);  Falhas no controle de acesso (cross site request forgery (CSRF), acesso remoto de administrador, etc.);  Falhas de autenticação e gerência de sessões (roubo de seção, spoof em cookie de autenticação, etc.);  Manipulação de campos ocultos/parâmetros;  Falhas de injeção (SQL Injection; Log spoofing, XPath injection, etc.);  Falhas em Web Services (web service SQL/SAX injection, WSDL scanning, etc.);  Vulnerabilidades no código (pistas e comentários no HTML);  Buffer overflows;  Segurança no AJAX (DOM/XML/JSON injection, etc.);  Lição desafio, cujo objetivo é quebrar a autenticação, roubar os dados de cartão de crédito e desfigurar o site, mais conhecido como deface.
  • 13.
    Projeto WebGoat -Didática  A análise das lições envolvem basicamente:  análise do conteúdo no lado cliente (client side)  código fonte em HTML  scripts  comunicação entre o cliente o servidor  cookies  dados locais
  • 14.
    Colocando em prática– Resumo das lições  Lição Geral (HTML basics e HTML splitting) Familiarizar-se com alguns campos de sessão do HTTP, cookies e códigos Possibilidade de inserir determinados caracteres, variáveis ou códigos em determinados campos que podem levar a um comportamento não previsto inicialmente pela aplicação
  • 15.
    Colocando em prática– Resumo das lições  Falhas no controle de acesso Obtenção de acesso a arquivos indevidamente Acesso a ações privilegiadas, para usuários sem privilégio Acesso indevido das informações de perfil de outro usuário
  • 16.
    Colocando em prática– Resumo das lições  Segurança no AJAX Possibilidade de inserir determinados códigos javascript em determinados campos que podem levar a um comportamento não previsto inicialmente pela aplicação Demonstrar os perigos em comportamentos AJAX ao enviar informações desnecessárias e que, supostamente, o usuário não deveria visualizar
  • 17.
    Colocando em prática– Resumo das lições  Falhas de autenticação Verificar a força das senhas fornecidas, analisando o grau de complexidade e o tempo necessário para quebra-las Descoberta de senha através de dicas de senha Realizar acesso com um usuário e realizar ações com outro usuário
  • 18.
    Colocando em prática– Resumo das lições  Lição Desafio Burlar o método de autenticação Descobrir todos os cartões de créditos registrados no banco de dados do sistema Desfigurar a página
  • 19.
    Colocando em prática– Vídeo DEMO!
  • 20.
    Conclusão  Cumpre suafunção de aplicação web de aprendizado  Ilustrando as falhas de segurança de uma forma bem estruturada  Dividida em tópicos por tipos de vulnerabilidades, através das lições  Boa forma para desenvolvedores, testadores de software e estudantes de segurança da informação para se aprimorarem  Vale a pena lembrar que o objetivo da aplicação não é sair por ai procurando por vulnerabilidades nas aplicações de outrem sem a devida permissão.  Como a própria aplicação sugere que a pessoa que utilizar estas técnicas para realizar ataques, esta poderá ser pega e/ou demitida por este ato.  Portanto, deve-se utilizar este aprendizado na melhor forma possível e na legalidade.
  • 21.
    Bibliografia APACHE SOFTWARE FOUNDATION.Apache Tomcat. [S.l.]: Apache Software Foundation, 2013. Disponível em: <http://tomcat.apache.org/>. Acesso em: 14 de março de 2013. HEWITT, J; ODVARKO, J.; CAMPBELL, R. Firebug. [S.l.]: Add-ons for Firefox, 2013. Disponível em: <https://addons.mozilla.org/pt-br/firefox/addon/firebug/>. Acesso em: 14 de março de 2013. JUDSON, A. Tamper Data. [S.l.]: Add-ons for Firefox, 2010. Disponível em: <https://addons.mozilla.org/pt-br/firefox/addon/tamper-data/>. Acesso em: 14 de março de 2013. MAYHEW, B.; WILLIAMS, J.. OWASP WebGoat, versão 5.4. [S.l.]: 2012. Aplicação web. OWASP. About OWASP. [S.l.]: Open Web Application Security Project Foundation, 2013a. Disponível em: <https://www.owasp.org/index.php/About_OWASP>. Acesso em: 6 de fevereiro de 2013.
  • 22.
    Bibliografia OWASP. WebGoat Project.[S.l.]: Open Web Application Security Project Foundation, 2013b. Disponível em: <https://www.owasp.org/index.php/OWASP_WebGoat_Project>. Acesso em: 6 de fevereiro de 2013. OWASP. WebScarab Project. [S.l.]: Open Web Application Security Project Foundation, 2013c. Disponível em: <https://www.owasp.org/index.php/Category:OWASP_WebScarab_Project>. Acesso em: 14 de março de 2013. OXFORD. 2 ed. Pocket Oxford American Dictionary. New York: Oxford University Press, 2008. RODRIGUES, M.. OWASP Top 10 + Java EE. [S.l.]: OWASP Paraíba, 2011. Disponível em: <https://www.owasp.org/images/7/7a/Magno_Logan_AppSec_Latam_2011_- _OWASP_Top_10_%2B_JavaEE.pdf>. Acesso em: 17 de fevereiro de 2013.