Luiz Vieira .´. CISSP, OSCE, GXPN, CEH, profile picture
Carregado porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
PDF, PPTX1,418 visualizações

Webgoat como ferramenta de aprendizado

Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.

Incorporar apresentação

Transferir como PDF, PPTX
Copyright © 2004 -The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
2 OWASP Quem sou eu?
3 OWASP O que é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4 OWASP O código faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
OWASP 5 O que é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
OWASP 6 O que é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
OWASP 7 Publicações OWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
OWASP 8 Publicações OWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
OWASP 9 Software OWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
OWASP 10 Software OWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
OWASP 11 Vamos conhecer alguns “bugs”…
OWASP 12 SQL Injection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
13 OWASP
14 OWASP Obrigado pela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)

Mais conteúdo relacionado

PDF
Apostila Modelo ER (Entidade Relacionamento)
porRicardo Terra
 
PPTX
Cloud Computing
porElvis Fusco
 
PDF
Đề tài: Phân tích và thiết kế hệ thống quản lí phòng mạch tư
porDịch Vụ Viết Thuê Khóa Luận Zalo/Telegram 0917193864
 
PDF
Fluxo a Custo Mínimo
porRafael Pereira
 
PPTX
9º ano | Sobre as Aprendizagens Essenciais para Disciplina de TIC
porFernanda Ledesma
 
DOCX
Sistemas de informações: um estudo comparativo das vantagens e desvantagens d...
porRafael Arthur Batista
 
PDF
Aula 1 - 31 Jan 23.pdf
poredilson42986
 
PPTX
Aula 4 banco de dados
porJorge Ávila Miranda
 
Apostila Modelo ER (Entidade Relacionamento)
porRicardo Terra
 
Cloud Computing
porElvis Fusco
 
Đề tài: Phân tích và thiết kế hệ thống quản lí phòng mạch tư
porDịch Vụ Viết Thuê Khóa Luận Zalo/Telegram 0917193864
 
Fluxo a Custo Mínimo
porRafael Pereira
 
9º ano | Sobre as Aprendizagens Essenciais para Disciplina de TIC
porFernanda Ledesma
 
Sistemas de informações: um estudo comparativo das vantagens e desvantagens d...
porRafael Arthur Batista
 
Aula 1 - 31 Jan 23.pdf
poredilson42986
 
Aula 4 banco de dados
porJorge Ávila Miranda
 

Mais procurados

DOCX
Báo cáo thực tập Athena - CNTT
porVu Tran
 
PDF
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
porDuc Tran
 
PDF
Giáo trình cơ sở dữ liệu, Phan Tấn Quốc.pdf
porMan_Ebook
 
PDF
5- Modelo entidade Relacionamento - Cardinalidade - Profª Cristiane Fidelix
porCris Fidelix
 
PPTX
Algoritmos e Estrutura de Dados - Aula 05
porthomasdacosta
 
PPTX
Exemplo e caso prático do uso de base de dados
porLuis Borges Gouveia
 
PDF
Modelagem de casos de uso e diagramas de sequência
porJorge Linhares
 
PDF
Curso de Contra Inteligencia
porGrupo Treinar
 
PDF
Báo cáo thực tập tốt nghiệp xây dựng website bằng laravel
porjackjohn45
 
PDF
Giải pháp kỹ thuật mạng LAN - Bệnh viện Việt Đức
por3c telecom
 
PDF
Segurança da informação - Forense Computacional
porJefferson Costa
 
PDF
Resposta a Incidentes de Segurança com ferramentas SIEM
porSpark Security
 
PPTX
Aula 6 banco de dados
porJorge Ávila Miranda
 
PDF
Giáo trình môn Cơ sở dữ liệu trường Đại học CNTP TP.HCM
porTai Thỏ
 
PPTX
Auditoria de sistemas de informação
porRodrigo Gomes da Silva
 
PDF
Lista de exercicios vetores, matrizes, registros e sub-algoritmos
porMauro Pereira
 
PPT
Inteligência Estratégica
porMilton R. Almeida
 
PDF
Phân tích thiết kế hệ thống thông tin
porhuynhle1990
 
PDF
Iso 27002-2013
porFabio Martins
 
DOC
TƯ VẤN HẠ TẦNG MẠNG TẠI TRƯỜNG ĐẠI HỌC KINH TẾ ĐÀ NẴNG
porlaonap166
 
Báo cáo thực tập Athena - CNTT
porVu Tran
 
Báo cáo tốt nghiệp - XÂY DỰNG CHƯƠNG TRÌNH QUẢN LÝ NHÀ HÀNG VỪA VÀ NHỎ SỬ DỤ...
porDuc Tran
 
Giáo trình cơ sở dữ liệu, Phan Tấn Quốc.pdf
porMan_Ebook
 
5- Modelo entidade Relacionamento - Cardinalidade - Profª Cristiane Fidelix
porCris Fidelix
 
Algoritmos e Estrutura de Dados - Aula 05
porthomasdacosta
 
Exemplo e caso prático do uso de base de dados
porLuis Borges Gouveia
 
Modelagem de casos de uso e diagramas de sequência
porJorge Linhares
 
Curso de Contra Inteligencia
porGrupo Treinar
 
Báo cáo thực tập tốt nghiệp xây dựng website bằng laravel
porjackjohn45
 
Giải pháp kỹ thuật mạng LAN - Bệnh viện Việt Đức
por3c telecom
 
Segurança da informação - Forense Computacional
porJefferson Costa
 
Resposta a Incidentes de Segurança com ferramentas SIEM
porSpark Security
 
Aula 6 banco de dados
porJorge Ávila Miranda
 
Giáo trình môn Cơ sở dữ liệu trường Đại học CNTP TP.HCM
porTai Thỏ
 
Auditoria de sistemas de informação
porRodrigo Gomes da Silva
 
Lista de exercicios vetores, matrizes, registros e sub-algoritmos
porMauro Pereira
 
Inteligência Estratégica
porMilton R. Almeida
 
Phân tích thiết kế hệ thống thông tin
porhuynhle1990
 
Iso 27002-2013
porFabio Martins
 
TƯ VẤN HẠ TẦNG MẠNG TẠI TRƯỜNG ĐẠI HỌC KINH TẾ ĐÀ NẴNG
porlaonap166
 

Destaque

PPTX
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
PDF
WebGoat Project - Apresentação
porCleyton Kano
 
PDF
Webcast Luiz Vieira criptografia on-the-fly com software livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Segurança Física: Lockpicking
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Análise de malware com software livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
porFernando Mercês
 
PDF
Engenharia Reversa no Linux
porFernando Mercês
 
PPTX
Engenharia de Software II - Teste de segurança de software
porJuliano Padilha
 
PPT
Tiro Vertical
porguestb6f03c3
 
Webgoat Project - Apresentação
porDécio Castaldi, MBA/FIAP
 
WebGoat Project - Apresentação
porCleyton Kano
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança Física: Lockpicking
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Análise de malware com software livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
porFernando Mercês
 
Engenharia Reversa no Linux
porFernando Mercês
 
Engenharia de Software II - Teste de segurança de software
porJuliano Padilha
 
Tiro Vertical
porguestb6f03c3
 

Semelhante a Webgoat como ferramenta de aprendizado

PDF
OWASP, PT.OWASP, IBWAS'10 & Cia.
porCarlos Serrao
 
PDF
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
porCarlos Serrao
 
PDF
Introdução ao OWASP
porCarlos Serrao
 
PDF
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
PDF
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
PDF
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
PDF
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
PPTX
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
PDF
Antar ferreira
porAntar Ferreira
 
PDF
Aula 01 - O que é uma aplicação Web segura
porAlex Camargo
 
PDF
Conhecendo a owasp
porFernando Galves
 
PDF
Owasp top 10_2013_pt-br
porSérgio FePro
 
ODT
OWASP Top 10 2010 pt-BR
porMagno Logan
 
PDF
Owasp top 10 2013
porJeronimo Zucco
 
PDF
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
PDF
Apresentação do OWASP Portugal
porCarlos Serrao
 
PPTX
GTS 17 - OWASP em prol de um mundo mais seguro
porMagno Logan
 
PDF
OWASP Top 10 - A web security cookbook
porGiovane Liberato
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPT
Owasp Chapter Cuiabá
porOWASP_cuiaba
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
porCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
porCarlos Serrao
 
Introdução ao OWASP
porCarlos Serrao
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
porRafael Brinhosa
 
A OWASP e a Segurança Aplicacional para a Web
porCarlos Serrao
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
porMagno Logan
 
Apresentação OWASP - UBI, Covilhã
porCarlos Serrao
 
Owasp Chapter Belo Horizonte
porMarcelo de Freitas Lopes
 
Antar ferreira
porAntar Ferreira
 
Aula 01 - O que é uma aplicação Web segura
porAlex Camargo
 
Conhecendo a owasp
porFernando Galves
 
Owasp top 10_2013_pt-br
porSérgio FePro
 
OWASP Top 10 2010 pt-BR
porMagno Logan
 
Owasp top 10 2013
porJeronimo Zucco
 
ENSOL 2011 - OWASP e a Segurança na Web
porMagno Logan
 
Apresentação do OWASP Portugal
porCarlos Serrao
 
GTS 17 - OWASP em prol de um mundo mais seguro
porMagno Logan
 
OWASP Top 10 - A web security cookbook
porGiovane Liberato
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Owasp Chapter Cuiabá
porOWASP_cuiaba
 

Mais de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH

PDF
Cool 3 assembly para linux
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Android forensics the hard work
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Stack based overflow
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Engenharia social
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
How stuff works
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Auditoria em sistemas linux - LinuxCon Brazil 2011
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Forense Computacional com Software Livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PDF
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPT
Introdução à linguagem python
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
ODP
Trusted Computing e Software Livre FISL 11 - 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Cool 3 assembly para linux
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Android forensics the hard work
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Stack based overflow
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Engenharia social
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança nos ciclos de desenvolvimento de softwares
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
How stuff works
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Forense Computacional com Software Livre
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Introdução à linguagem python
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Trusted Computing e Software Livre FISL 11 - 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 

Webgoat como ferramenta de aprendizado

  • 1.
    Copyright © 2004-The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
  • 2.
    2 OWASP Quemsou eu?
  • 3.
    3 OWASP Oque é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
  • 4.
    4 OWASP Ocódigo faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
  • 5.
    OWASP 5 Oque é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
  • 6.
    OWASP 6 Oque é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
  • 7.
    OWASP 7 PublicaçõesOWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
  • 8.
    OWASP 8 PublicaçõesOWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
  • 9.
    OWASP 9 SoftwareOWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
  • 10.
    OWASP 10 SoftwareOWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
  • 11.
    OWASP 11 Vamosconhecer alguns “bugs”…
  • 12.
    OWASP 12 SQLInjection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
  • 13.
  • 14.
    14 OWASP Obrigadopela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)