SlideShare uma empresa Scribd logo

Website security

T
thiagosenac

Este documento discute métodos para aumentar a segurança de sites, incluindo manter softwares atualizados, usar senhas complexas, validar código, e proteger contra ataques de cross-site scripting (XSS).

1 de 5
Baixar para ler offline
Website Security Tecnologias e/ou meios de proteção para sites Thiago Morais Segurança da Informação 1o Período – Noturno Novembro / 2012
Sumário Top 10 – Vulnerabilidades Pág. 1 Métodos para elevar a segurança Pág. 1 Bibliografia Pág. 4
Top 10 - Vulnerabilidades De acordo com a OWASP (The Open Web Application Security Project), uma organização focada em melhorar a segurança em softwares, as vulnerabilidades mais críticas que afetam a segurança de aplicações Web são: Original, em inglês Métodos para elevar a segurança “Desculpe por dizer, mas são pessoas que usam a palavra 'senha' como senha em tudo e aqueles que possuem um antivírus há 2 anos desatualizado é que atraem a atenção dos hackers. Se todo mundo tivesse uma maior preocupação em proteger seus próprios dados, hackers teriam dificuldades maiores. Do jeito que está, muitas pessoas desconhecem suas próprias vulnerabilidades. E isto, para hackers, é um jogo de números – eventualmente eles encontrarão um site com baixa segurança para danificar. Mas este site não precisa ser o seu!” Blue Derkin, Junho 15 - 2010 Os links para todos os sites descritos neste trabalho estão devidamente categorizados na seção “Bibliografia”. Página 1
Seguem abaixo algumas políticas de segurança para evitar que um site seja alterado ou danificado indevidamente: 01 – Utilizar as versões mais recentes Este é um dos métodos mais simples para estar um ou dois passos à frente dos hackers. Fazendo o download das últimas versões do Apache, IIS, Java, PHP, Tomcat e outros, é possível reforçar um pouco mais a segurança. 02 – Criar senhas mais complexas Evitar o uso de senhas fáceis de adivinhar, como por exemplo o nome da esposa ou “123456”. O ideal é criar senhas acima de 12 caracteres, misturando letras e números, cada uma diferente para cada conta ou computador, e que seja familiar e fácil de lembrar. 03 – Travar permissões de arquivo Alguns aplicativos requerem, para a instalação, que elas sejam alteradas para “777”. Após a instalação destes aplicativos, é recomendado voltar as permissões para “755” (Pastas) e “644” (Arquivos). 04 – Validação de código Para checar se o código usado em um site segue métodos estabelecidos por instituições focadas em padronização, como a W3C, é recomendado passar o site em uma série de testes de validação. Exemplos: – W3C Markup Validation Service: Checa se o código HTML não possui erros de sintaxe ou quaisquer outros erros que possam compremeter o correto funcionamento do mesmo. – W3C CSS Validator: Checa o código CSS de um site com os mesmos princípios descritos para a checar do código HTML. A validação de código é essencial para descobrir potenciais “vazamentos” de informações que hackers podem utilizar para ganhar acesso a um site, além de garantir a padronização para a visualização correta do código HTML entre navegadores. 05 – Cross Site Scripting (XSS) Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de Página 2
exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a mesma política de origem. Através de um XSS, o Cracker injeta códigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários. Exemplo de ataque: Imaginem que o cracker insira em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque. Para diminuir o risco contra este ataque, a melhor política é escanear o site em questão para checar se o mesmo é vulnerável. Sites como XSS Scanner mostram um relatório completo, contendo as vulnerabilidades e dicas de como remediá-las. Bibliografia XSS Scanner http://bit.ly/biUz9y Testing for Reflected Cross site scripting http://bit.ly/sNSdN0 OWASP – Cross Site Scripting (XSS) http://bit.ly/fcNVja Wikipédia – Cross Site Scripting (PT) http://bit.ly/7rSpjB Wikipedia – Cross Site Scripting (EN) http://bit.ly/Q2fTEu 10 Ways to Beef Up Your Website's Security http://bit.ly/PLEI0 o OWASP Top Ten Project http://bit.ly/fXsJg6 Página 3

Recomendados

Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemasWesley Gimenes
 
Cross Site Scripting - XSS
Cross Site Scripting - XSSCross Site Scripting - XSS
Cross Site Scripting - XSSDiego Souza
 
Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Julio Cesar Stefanutto
 
Palestra fatec
Palestra fatecPalestra fatec
Palestra fatecEdilson Feitoza
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 

Recomendados

Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Segurança do WordPress
Segurança do WordPressSegurança do WordPress
Segurança do WordPressJaqueline Arruda
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
Segurança e Auditoria de sistemas
Segurança e Auditoria de sistemasSegurança e Auditoria de sistemas
Segurança e Auditoria de sistemasWesley Gimenes
 
Cross Site Scripting - XSS
Cross Site Scripting - XSSCross Site Scripting - XSS
Cross Site Scripting - XSSDiego Souza
 
Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Slides do Treinamento - OWASP TOP 10 (Em português)
Slides do Treinamento - OWASP TOP 10 (Em português)Julio Cesar Stefanutto
 
Palestra fatec
Palestra fatecPalestra fatec
Palestra fatecEdilson Feitoza
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
A ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberA ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberMarcelo Lau
 
Ransomware
RansomwareRansomware
RansomwareMarcelo Lau
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - ApresentaçãoDécio Castaldi, MBA/FIAP
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeadoPaulo Pagliusi, PhD, CISM
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Desenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo StangherlinDesenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo StangherlinTchelinux
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de RedesCassio Ramos
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em nuvem
Segurança em nuvemSegurança em nuvem
Segurança em nuvemMarcelo Lau
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento webRafael Monteiro
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 
Segurança na web
Segurança na webSegurança na web
Segurança na webKaito Queiroz
 
17 07-14 espinel
17 07-14 espinel17 07-14 espinel
17 07-14 espinelDaniela Espinel Gonzalez
 
Trecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana GabaldonTrecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana GabaldonCaroline Rejane Sousa Santos
 

Mais conteúdo relacionado

Mais procurados

A ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberA ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberMarcelo Lau
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisMarcelo Lau
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisMauro Risonho de Paula Assumpcao
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digitalMarcelo Lau
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoEr Galvão Abbott
 
Desenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo StangherlinDesenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo StangherlinTchelinux
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de RedesCassio Ramos
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em nuvem
Segurança em nuvemSegurança em nuvem
Segurança em nuvemMarcelo Lau
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento webRafael Monteiro
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?Júlio Coutinho
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Aécio Pires
 

Mais procurados (20)

A ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saberA ameaça wanna cry – o que você precisa saber
A ameaça wanna cry – o que você precisa saber
 
Ransomware
RansomwareRansomware
Ransomware
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
Ransomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados DigitaisRansomware : Sequestro De Dados Digitais
Ransomware : Sequestro De Dados Digitais
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Site blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender maisSite blindado - Como tornar loja virtual mais segura e vender mais
Site blindado - Como tornar loja virtual mais segura e vender mais
 
Desafios da transformação digital
Desafios da transformação digitalDesafios da transformação digital
Desafios da transformação digital
 
7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado7 modos fáceis para evitar ser hackeado
7 modos fáceis para evitar ser hackeado
 
Prevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU códigoPrevenindo XSS: Execute apenas o SEU código
Prevenindo XSS: Execute apenas o SEU código
 
Desenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo StangherlinDesenvolvimento web seguro cookies - Rodolfo Stangherlin
Desenvolvimento web seguro cookies - Rodolfo Stangherlin
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Segurança em nuvem
Segurança em nuvemSegurança em nuvem
Segurança em nuvem
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Segurança no desenvolvimento web
Segurança no desenvolvimento webSegurança no desenvolvimento web
Segurança no desenvolvimento web
 
Seu Joomla está seguro?
Seu Joomla está seguro?Seu Joomla está seguro?
Seu Joomla está seguro?
 
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
Zabbix, Zenoss ou Padora: quem vai ganhar esta briga?
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 

Destaque

Trecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana GabaldonTrecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana GabaldonCaroline Rejane Sousa Santos
 
Facebook o twitter
Facebook o twitterFacebook o twitter
Facebook o twitterRonnixito
 
Flyer do Catálogo Oriflame 15 2014
Flyer do Catálogo Oriflame 15 2014Flyer do Catálogo Oriflame 15 2014
Flyer do Catálogo Oriflame 15 2014Oriflame Portugal
 
Lista de candidatos inhabilitados de UD
Lista de candidatos inhabilitados de UDLista de candidatos inhabilitados de UD
Lista de candidatos inhabilitados de UDKyrios Digital
 
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2Saul Leal CAPTURING COMMUNITIES OF INTEREST 2
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2Sip Sipiapa
 
جمال الجزيري حفل توقيع ديوان شعر قصائد
جمال الجزيري حفل توقيع ديوان شعر قصائدجمال الجزيري حفل توقيع ديوان شعر قصائد
جمال الجزيري حفل توقيع ديوان شعر قصائدجمال الجزيري
 
Platón y sus Planteamientos
Platón y sus PlanteamientosPlatón y sus Planteamientos
Platón y sus PlanteamientosDIANA TINEO
 
Management & change 20141
Management & change 20141Management & change 20141
Management & change 20141BreakfastSpurs
 
Compromiso institucional del sena
Compromiso institucional del senaCompromiso institucional del sena
Compromiso institucional del senaPatriicia Morales
 
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០Veha Thmey
 
Model de prova pau
Model de prova pauModel de prova pau
Model de prova paumpere459
 
Do As the Chinese Do - Starbucks
Do As the Chinese Do - StarbucksDo As the Chinese Do - Starbucks
Do As the Chinese Do - StarbucksMaximum Nederland
 

Destaque (20)

17 07-14 espinel
17 07-14 espinel17 07-14 espinel
17 07-14 espinel
 
Trecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana GabaldonTrecho de Outlander - A Viajante do Tempo - Diana Gabaldon
Trecho de Outlander - A Viajante do Tempo - Diana Gabaldon
 
Blu advance 4.0
Blu advance 4.0Blu advance 4.0
Blu advance 4.0
 
Facebook o twitter
Facebook o twitterFacebook o twitter
Facebook o twitter
 
Flyer do Catálogo Oriflame 15 2014
Flyer do Catálogo Oriflame 15 2014Flyer do Catálogo Oriflame 15 2014
Flyer do Catálogo Oriflame 15 2014
 
Matemática – divisibilidade 02 2014
Matemática – divisibilidade 02 2014Matemática – divisibilidade 02 2014
Matemática – divisibilidade 02 2014
 
Lista de candidatos inhabilitados de UD
Lista de candidatos inhabilitados de UDLista de candidatos inhabilitados de UD
Lista de candidatos inhabilitados de UD
 
Flormar 11-12
Flormar 11-12Flormar 11-12
Flormar 11-12
 
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2Saul Leal CAPTURING COMMUNITIES OF INTEREST 2
Saul Leal CAPTURING COMMUNITIES OF INTEREST 2
 
جمال الجزيري حفل توقيع ديوان شعر قصائد
جمال الجزيري حفل توقيع ديوان شعر قصائدجمال الجزيري حفل توقيع ديوان شعر قصائد
جمال الجزيري حفل توقيع ديوان شعر قصائد
 
Valores del sena
Valores del senaValores del sena
Valores del sena
 
Platón y sus Planteamientos
Platón y sus PlanteamientosPlatón y sus Planteamientos
Platón y sus Planteamientos
 
Management & change 20141
Management & change 20141Management & change 20141
Management & change 20141
 
Tumblr Programmer - Comp. Prog
Tumblr Programmer - Comp. ProgTumblr Programmer - Comp. Prog
Tumblr Programmer - Comp. Prog
 
Compromiso institucional del sena
Compromiso institucional del senaCompromiso institucional del sena
Compromiso institucional del sena
 
Aristóteles
Aristóteles Aristóteles
Aristóteles
 
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០
ដំណើរ ឆ្ពោះទៅ-ទិស-ខាង-លិច និងឥណ្ឌូចិន-ក្នុង-ឆ្នាំ-២០០០
 
The Texas Chainsaw Massacre
The Texas Chainsaw MassacreThe Texas Chainsaw Massacre
The Texas Chainsaw Massacre
 
Model de prova pau
Model de prova pauModel de prova pau
Model de prova pau
 
Do As the Chinese Do - Starbucks
Do As the Chinese Do - StarbucksDo As the Chinese Do - Starbucks
Do As the Chinese Do - Starbucks
 

Semelhante a Website security

Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesTchelinux
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portaisFelipe Perin
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebMarcio Roberto de Souza Godoi
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Luciano Gerhardt
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
O que exatamente é a internet slides
O que exatamente é a internet slidesO que exatamente é a internet slides
O que exatamente é a internet slidessoniabiaggi
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 

Semelhante a Website security (20)

Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesConstruindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portais
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
O que exatamente é a internet slides
O que exatamente é a internet slidesO que exatamente é a internet slides
O que exatamente é a internet slides
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
 

Mais de thiagosenac

Rede estruturada
Rede estruturadaRede estruturada
Rede estruturadathiagosenac
 
Rede estruturada visio
Rede estruturada visioRede estruturada visio
Rede estruturada visiothiagosenac
 

Mais de thiagosenac (10)

Wireless senac
Wireless senacWireless senac
Wireless senac
 
Topologia
TopologiaTopologia
Topologia
 
Tcp udp
Tcp udpTcp udp
Tcp udp
 
Rede estruturada
Rede estruturadaRede estruturada
Rede estruturada
 
Rede estruturada visio
Rede estruturada visioRede estruturada visio
Rede estruturada visio
 
Paradigmas
ParadigmasParadigmas
Paradigmas
 
Http mensagens
Http mensagensHttp mensagens
Http mensagens
 
Http conceitos
Http conceitosHttp conceitos
Http conceitos
 
Html5
Html5Html5
Html5
 
Gsm hacking
Gsm hackingGsm hacking
Gsm hacking
 

Website security

  • 1. Website Security Tecnologias e/ou meios de proteção para sites Thiago Morais Segurança da Informação 1o Período – Noturno Novembro / 2012
  • 2. Sumário Top 10 – Vulnerabilidades Pág. 1 Métodos para elevar a segurança Pág. 1 Bibliografia Pág. 4
  • 3. Top 10 - Vulnerabilidades De acordo com a OWASP (The Open Web Application Security Project), uma organização focada em melhorar a segurança em softwares, as vulnerabilidades mais críticas que afetam a segurança de aplicações Web são: Original, em inglês Métodos para elevar a segurança “Desculpe por dizer, mas são pessoas que usam a palavra 'senha' como senha em tudo e aqueles que possuem um antivírus há 2 anos desatualizado é que atraem a atenção dos hackers. Se todo mundo tivesse uma maior preocupação em proteger seus próprios dados, hackers teriam dificuldades maiores. Do jeito que está, muitas pessoas desconhecem suas próprias vulnerabilidades. E isto, para hackers, é um jogo de números – eventualmente eles encontrarão um site com baixa segurança para danificar. Mas este site não precisa ser o seu!” Blue Derkin, Junho 15 - 2010 Os links para todos os sites descritos neste trabalho estão devidamente categorizados na seção “Bibliografia”. Página 1
  • 4. Seguem abaixo algumas políticas de segurança para evitar que um site seja alterado ou danificado indevidamente: 01 – Utilizar as versões mais recentes Este é um dos métodos mais simples para estar um ou dois passos à frente dos hackers. Fazendo o download das últimas versões do Apache, IIS, Java, PHP, Tomcat e outros, é possível reforçar um pouco mais a segurança. 02 – Criar senhas mais complexas Evitar o uso de senhas fáceis de adivinhar, como por exemplo o nome da esposa ou “123456”. O ideal é criar senhas acima de 12 caracteres, misturando letras e números, cada uma diferente para cada conta ou computador, e que seja familiar e fácil de lembrar. 03 – Travar permissões de arquivo Alguns aplicativos requerem, para a instalação, que elas sejam alteradas para “777”. Após a instalação destes aplicativos, é recomendado voltar as permissões para “755” (Pastas) e “644” (Arquivos). 04 – Validação de código Para checar se o código usado em um site segue métodos estabelecidos por instituições focadas em padronização, como a W3C, é recomendado passar o site em uma série de testes de validação. Exemplos: – W3C Markup Validation Service: Checa se o código HTML não possui erros de sintaxe ou quaisquer outros erros que possam compremeter o correto funcionamento do mesmo. – W3C CSS Validator: Checa o código CSS de um site com os mesmos princípios descritos para a checar do código HTML. A validação de código é essencial para descobrir potenciais “vazamentos” de informações que hackers podem utilizar para ganhar acesso a um site, além de garantir a padronização para a visualização correta do código HTML entre navegadores. 05 – Cross Site Scripting (XSS) Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de um computador, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros usuários. Um script de Página 2
  • 5. exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controles de acesso que usam a mesma política de origem. Através de um XSS, o Cracker injeta códigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários. Exemplo de ataque: Imaginem que o cracker insira em um fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Quando o texto do fórum for apresentado a outros usuários, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros usuários, provocando a brecha de ataque. Para diminuir o risco contra este ataque, a melhor política é escanear o site em questão para checar se o mesmo é vulnerável. Sites como XSS Scanner mostram um relatório completo, contendo as vulnerabilidades e dicas de como remediá-las. Bibliografia XSS Scanner http://bit.ly/biUz9y Testing for Reflected Cross site scripting http://bit.ly/sNSdN0 OWASP – Cross Site Scripting (XSS) http://bit.ly/fcNVja Wikipédia – Cross Site Scripting (PT) http://bit.ly/7rSpjB Wikipedia – Cross Site Scripting (EN) http://bit.ly/Q2fTEu 10 Ways to Beef Up Your Website's Security http://bit.ly/PLEI0 o OWASP Top Ten Project http://bit.ly/fXsJg6 Página 3