SlideShare uma empresa Scribd logo
Copyright © 2004 -The OWASP Foundation 
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. 
The OWASP Foundation 
http://www.owasp.org 
OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web 
Luiz Vieira ∴ 
OWASP Rio de Janeiro 
HackProofing 
luizwt@gmail.com
2 
OWASP 
Quem sou eu?
3 
OWASP 
O que é segurança de Aplicações Web? 
Não é Segurança de Redes 
Segurança do “código” criado para implementar a aplicação web 
Segurança de bibliotecas 
Segurança de sistemas de back-end 
Segurança de servidores web e aplicacionais 
Segurança de Redes ignora o conteúdo do tráfego de HTTP 
Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4 
OWASP 
O código faz parte do perímetro de segurança 
Firewall 
Hardened OS 
Web Server 
App Server 
Firewall 
Databases 
Legacy Systems 
Web Services 
Directories 
Human Resrcs 
Billing 
Custom Developed Application Code 
APPLICATIONATTACK 
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional 
Network Layer 
Application Layer 
O seu perímetro de segurança possui buracos enormes na camada aplicacional
OWASP 
5 
O que é o OWASP? 
Open Web Application Security Project 
Organização sem fins lucrativos, orientada para esforço voluntário 
Todos os membros são voluntários 
Todo o trabalho é “doado” por patrocinadores 
Oferecer recursos livres para a comunidade 
Publicações, Artigos, Normas 
Software de Testes e de Formação 
Chapters Locais & Mailing Lists 
Suportada através de patrocínios 
Suporte de empresas através de patrocínios financeiros ou de projetos 
Patrocínios pessoais por parte dos membros
OWASP 
6 
O que é o OWASP? 
O que oferece? 
Publicações 
OWASP Top 10 
OWASP Guide to Building Secure Web Applications 
Software 
WebGoat 
WebScarab 
oLabs Projects 
.NET Projects 
Chapters Locais 
Orientação das comunidades locais
OWASP 
7 
Publicações OWASP –OWASP Top 10 
Top 10 Web Application Security Vulnerabilities 
Uma lista dos 10 aspectos de segurança mais críticos 
Atualizado a cada três anos 
Crescente aceitação pela indústria 
Federal Trade Commission (US Gov) 
US Defense Information Systems Agency 
VISA (Cardholder Information Security Program) 
Está a ser adotado como um standard de segurança para aplicações web
OWASP 
8 
Publicações OWASP -OWASP Top 10 
Top 10 (versão 2013) 
A1. Injection 
A2. Broken Authentication and Session Management 
A3. Cross-Site Scripting (XSS) 
A4. Insecure Direct Object Reference 
A5. Security Misconfiguration 
A6. Sensitive Data Exposure 
A7. Missing Function Level Access Control 
A8. Cross Site Request Forgery (CSRF) 
A9. Using Components with Known Vulnerabilities 
A10. Unvalidated Redirects and Forwards
OWASP 
9 
Software OWASP -WebGoat 
WebGoat 
Essencialmente é uma aplicação de treino 
Oferece 
Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional 
Uma ferramenta para testar ferrementas de segurança 
O que é? 
Uma aplicação web J2EE disposta em diversas “Lições de Segurança” 
Baseado no Tomcat e no JDK 1.5 
Orientada para o ensino 
–Fácil de usar 
–Ilustra cenários credíveis 
–Ensina ataques realistas e soluções viáveis
OWASP 
10 
Software OWASP -WebGoat 
WebGoat –O que se pode aprender? 
Um número crescente de ataques e de soluções 
Cross Site Scripting 
SQL Injection Attacks 
Thread Safety 
Field & Parameter Manipulation 
Session Hijacking and Management 
Weak Authentication Mechanisms 
Mais ataques vão sendo adicionados 
Obter a ferramenta 
https://code.google.com/p/webgoat/ 
Descarregar, descomprimir, e executar
OWASP 
11 
Vamos conhecer alguns “bugs”…
OWASP 
12 
SQL Injection 
XML Injection 
XSS 
CSRF 
Session Fixation 
Session Hijacking 
Vamosconheceralguns“bugs”…
13 
OWASP
14 
OWASP 
Obrigado pela sua atenção! 
https://www.owasp.org/index.php/Rio_de_Janeiro 
luizwt@gmail.com 
http://hackproofing.blogspot.com 
http://www.hackproofing.com.br(em breve)

Mais conteúdo relacionado

Mais procurados

Softwares Maliciosos
Softwares Maliciosos Softwares Maliciosos
Softwares Maliciosos
Leandro Matanovich Araújo
 
DDoS ATTACKS
DDoS ATTACKSDDoS ATTACKS
DDoS ATTACKS
Anil Antony
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Basic Malware Analysis
Basic Malware AnalysisBasic Malware Analysis
Basic Malware Analysis
Albert Hui
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
Cleber Ramos
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
Lisa Lombardi
 
Brute Force Attack
Brute Force AttackBrute Force Attack
Brute Force Attack
Ahmad karawash
 
Firewall
FirewallFirewall
Firewall
Yadh Krandel
 
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IPRedes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Cleber Fonseca
 
Aula de Sistemas Distribuídos - Invocação Remota
Aula de Sistemas Distribuídos - Invocação RemotaAula de Sistemas Distribuídos - Invocação Remota
Aula de Sistemas Distribuídos - Invocação Remota
Victor Hazin da Rocha
 
Exercicio Subrede
Exercicio SubredeExercicio Subrede
Exercicio Subrede
Brandon Novitzk
 
Virologia Geral - Replicação viral
Virologia Geral - Replicação viral Virologia Geral - Replicação viral
Virologia Geral - Replicação viral
Wilia Diederichsen
 
Brute force attack
Brute force attackBrute force attack
Brute force attack
Jamil Ali Ahmed
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
Clavis Segurança da Informação
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
Pjpilin
 
Malware analysis
Malware analysisMalware analysis
Malware analysis
Prakashchand Suthar
 
Sistemas Distribuídos - Grids Computacionais
Sistemas Distribuídos - Grids ComputacionaisSistemas Distribuídos - Grids Computacionais
Sistemas Distribuídos - Grids Computacionais
Adriano Teixeira de Souza
 
Segurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - CriptografiaSegurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - Criptografia
Cleber Fonseca
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
Carlos Henrique Martins da Silva
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
Adriano Teixeira de Souza
 

Mais procurados (20)

Softwares Maliciosos
Softwares Maliciosos Softwares Maliciosos
Softwares Maliciosos
 
DDoS ATTACKS
DDoS ATTACKSDDoS ATTACKS
DDoS ATTACKS
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Basic Malware Analysis
Basic Malware AnalysisBasic Malware Analysis
Basic Malware Analysis
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
La cybersécurité, c'est quoi? Forum Attractivité 25/05/2023
 
Brute Force Attack
Brute Force AttackBrute Force Attack
Brute Force Attack
 
Firewall
FirewallFirewall
Firewall
 
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IPRedes de Computadores 2 - Aula 2 - Protocolo TCP/IP
Redes de Computadores 2 - Aula 2 - Protocolo TCP/IP
 
Aula de Sistemas Distribuídos - Invocação Remota
Aula de Sistemas Distribuídos - Invocação RemotaAula de Sistemas Distribuídos - Invocação Remota
Aula de Sistemas Distribuídos - Invocação Remota
 
Exercicio Subrede
Exercicio SubredeExercicio Subrede
Exercicio Subrede
 
Virologia Geral - Replicação viral
Virologia Geral - Replicação viral Virologia Geral - Replicação viral
Virologia Geral - Replicação viral
 
Brute force attack
Brute force attackBrute force attack
Brute force attack
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Endereçamento IP
Endereçamento IPEndereçamento IP
Endereçamento IP
 
Malware analysis
Malware analysisMalware analysis
Malware analysis
 
Sistemas Distribuídos - Grids Computacionais
Sistemas Distribuídos - Grids ComputacionaisSistemas Distribuídos - Grids Computacionais
Sistemas Distribuídos - Grids Computacionais
 
Segurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - CriptografiaSegurança da Informação - Aula 5 - Criptografia
Segurança da Informação - Aula 5 - Criptografia
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Sistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - IntroduçãoSistemas Distribuídos - Computação Paralela - Introdução
Sistemas Distribuídos - Computação Paralela - Introdução
 

Destaque

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - Apresentação
Cleyton Kano
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança Física: Lockpicking
Segurança Física: LockpickingSegurança Física: Lockpicking
Segurança Física: Lockpicking
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux SystemsLinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
Fernando Mercês
 
Engenharia Reversa no Linux
Engenharia Reversa no LinuxEngenharia Reversa no Linux
Engenharia Reversa no Linux
Fernando Mercês
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
 
Tiro Vertical
Tiro VerticalTiro Vertical
Tiro Vertical
guestb6f03c3
 

Destaque (9)

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - Apresentação
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Segurança Física: Lockpicking
Segurança Física: LockpickingSegurança Física: Lockpicking
Segurança Física: Lockpicking
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux SystemsLinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
 
Engenharia Reversa no Linux
Engenharia Reversa no LinuxEngenharia Reversa no Linux
Engenharia Reversa no Linux
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software  II - Teste de segurança de softwareEngenharia de Software  II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Tiro Vertical
Tiro VerticalTiro Vertical
Tiro Vertical
 

Semelhante a Webgoat como ferramenta de aprendizado

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
Marcelo de Freitas Lopes
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
Magno Logan
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
Antar Ferreira
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
OWASP_cuiaba
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
Magno Logan
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Rafael Brinhosa
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
Carlos Serrao
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
Conviso Application Security
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
OWASP Brasília
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
Sérgio FePro
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
Kemp
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP Brasília
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
OWASP Brasília
 

Semelhante a Webgoat como ferramenta de aprendizado (20)

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
 

Mais de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH

Cool 3 assembly para linux
Cool 3   assembly para linuxCool 3   assembly para linux
Cool 3 assembly para linux
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Android forensics the hard work
Android forensics   the hard workAndroid forensics   the hard work
Android forensics the hard work
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Stack based overflow
Stack based overflowStack based overflow
Engenharia social
Engenharia socialEngenharia social
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
How stuff works
How stuff worksHow stuff works
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de VulnerabilidadesMetasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Introdução à linguagem python
Introdução à linguagem pythonIntrodução à linguagem python
Introdução à linguagem python
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Trusted Computing e Software Livre FISL 11 - 2010
Trusted Computing  e Software Livre FISL 11 - 2010Trusted Computing  e Software Livre FISL 11 - 2010
Trusted Computing e Software Livre FISL 11 - 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 

Mais de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH (12)

Cool 3 assembly para linux
Cool 3   assembly para linuxCool 3   assembly para linux
Cool 3 assembly para linux
 
Android forensics the hard work
Android forensics   the hard workAndroid forensics   the hard work
Android forensics the hard work
 
Stack based overflow
Stack based overflowStack based overflow
Stack based overflow
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
How stuff works
How stuff worksHow stuff works
How stuff works
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de VulnerabilidadesMetasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
 
Introdução à linguagem python
Introdução à linguagem pythonIntrodução à linguagem python
Introdução à linguagem python
 
Trusted Computing e Software Livre FISL 11 - 2010
Trusted Computing  e Software Livre FISL 11 - 2010Trusted Computing  e Software Livre FISL 11 - 2010
Trusted Computing e Software Livre FISL 11 - 2010
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 

Webgoat como ferramenta de aprendizado

  • 1. Copyright © 2004 -The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
  • 2. 2 OWASP Quem sou eu?
  • 3. 3 OWASP O que é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
  • 4. 4 OWASP O código faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
  • 5. OWASP 5 O que é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
  • 6. OWASP 6 O que é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
  • 7. OWASP 7 Publicações OWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
  • 8. OWASP 8 Publicações OWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
  • 9. OWASP 9 Software OWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
  • 10. OWASP 10 Software OWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
  • 11. OWASP 11 Vamos conhecer alguns “bugs”…
  • 12. OWASP 12 SQL Injection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
  • 14. 14 OWASP Obrigado pela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)