Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
Fundamentos, arquiteturas de serviços de rede baseadas na disposição física/lógico dos componentes básicos de um serviço além de alguns exemplos de serviços e seus propósitos
Telnet é um protocolo de rede utilizado na Internet ou redes locais para proporcionar uma facilidade de comunicação baseada em texto interativo bidirecional usando uma conexão de terminal virtual.
Modelos de Processos de Software, Modelo Cascata (waterfall), Desenvolvimento incremental, Engenharia de Software Orientada a Reuso, Atividades do Processo, Especificação, Prototipação
Treinamento sobre Domain Name System (DNS) especificando:
Internet Protocol (IP)
IP interno vs IP de internet
Entendendo um domínio
Autoridade DNS
Entendendo a Zona de DNS
Tipos de entredas na Zona DNS mais usadas
Roteamento de e-mail
Fundamentos, arquiteturas de serviços de rede baseadas na disposição física/lógico dos componentes básicos de um serviço além de alguns exemplos de serviços e seus propósitos
Telnet é um protocolo de rede utilizado na Internet ou redes locais para proporcionar uma facilidade de comunicação baseada em texto interativo bidirecional usando uma conexão de terminal virtual.
Modelos de Processos de Software, Modelo Cascata (waterfall), Desenvolvimento incremental, Engenharia de Software Orientada a Reuso, Atividades do Processo, Especificação, Prototipação
Treinamento sobre Domain Name System (DNS) especificando:
Internet Protocol (IP)
IP interno vs IP de internet
Entendendo um domínio
Autoridade DNS
Entendendo a Zona de DNS
Tipos de entredas na Zona DNS mais usadas
Roteamento de e-mail
Slides de suporte da aula de Redes de Computadores - Continuar pesquisas nas bibliografias:
TANENBAUM, Andrew S. Redes de Computadores. Editora Campus, 4 Edição. 2003.
COMER, Douglas E. Interligação de Redes com TCP/IP, volume 1. Editora Campus, 5 Edição. 2006.
TORRES, Gabriel. Redes de Computadores Curso Completo. 1 ed. Editora Axcel Books. 2001.
Conjunto de slides sobre testes com usuários, explicando como se planejar, executar e avaliar os dados coletados por meio de testes com usuários com foco na usabilidade do sistema
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Confira o documento deste estudo em:
http://www.slideshare.net/CleytonKano/webgoat-project
Slides de suporte da aula de Redes de Computadores - Continuar pesquisas nas bibliografias:
TANENBAUM, Andrew S. Redes de Computadores. Editora Campus, 4 Edição. 2003.
COMER, Douglas E. Interligação de Redes com TCP/IP, volume 1. Editora Campus, 5 Edição. 2006.
TORRES, Gabriel. Redes de Computadores Curso Completo. 1 ed. Editora Axcel Books. 2001.
Conjunto de slides sobre testes com usuários, explicando como se planejar, executar e avaliar os dados coletados por meio de testes com usuários com foco na usabilidade do sistema
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Estudo realizado por um grupo de alunos, estudantes do curso de MBA em Gestão de Segurança da Informação, sobre o WebGoat Project para a disciplina de Gestão de Ameaças e Vulnerabilidades do Prof. MSc. Ricardo Giorgi
Autores:
Cleyton Tsukuda Kano
Danilo Luiz Favacho Lopes
Décio Vicente Castaldi
Paulo Kuester Neto
Confira o documento deste estudo em:
http://www.slideshare.net/CleytonKano/webgoat-project
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
Apresentação explicando um pouco sobre:
- Testes de Segurança em Aplicações Web
- Análise de Segurança
- Engenharia Social
- Fiddler
- ZAP
- Top 10 OWASP
- Os maiores ataques Hackers
- Como realizar um ataque
- Metasploit
- Desenvolvimento Seguro
- Cross-site Scripting (XSS)
- SQL Injection
- DDOS
O Web Application Firewall Pack(AFP) da KEMP combina a proteção de uma Web Application Firewall (WAF) por camada 7 com serviços de entrega de aplicativos, incluindo balanceamento de carga inteligente, prevenção e deteção de intrusão, segurança de borda e autenticação. Ao integrar o motor de web application firewall mais implementado no mundo, o ModSecurity acrescido da inteligência de pesquisa de ameaças da Trustwave, o AFT disponibiliza:
- Prevenção contra perda de dados
- Mitigação das top 10 vulnerabilidades OWASP
- Proteção em tempo real contra ameaças para aplicativos standard e customizados
- Suporte para conformidade PCI-DSS
3. 3
OWASP
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4. 4
OWASP
O código faz parte do perímetro de segurança
Firewall
Hardened OS
Web Server
App Server
Firewall
Databases
Legacy Systems
Web Services
Directories
Human Resrcs
Billing
Custom Developed Application Code
APPLICATIONATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional
Network Layer
Application Layer
O seu perímetro de segurança possui buracos enormes na camada aplicacional
5. OWASP
5
O que é o OWASP?
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros
6. OWASP
6
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
7. OWASP
7
Publicações OWASP –OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para aplicações web
8. OWASP
8
Publicações OWASP -OWASP Top 10
Top 10 (versão 2013)
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards
9. OWASP
9
Software OWASP -WebGoat
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
–Fácil de usar
–Ilustra cenários credíveis
–Ensina ataques realistas e soluções viáveis
10. OWASP
10
Software OWASP -WebGoat
WebGoat –O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar