O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

TDC2016POA | Trilha Web - Agile Security

149 visualizações

Publicada em

Agile Security

Publicada em: Educação
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

TDC2016POA | Trilha Web - Agile Security

  1. 1. Agile Security Mindset de segurança no ambiente ágil 1
  2. 2. Sobre nós Waldemar Neto @waldemarnt http://walde.co/ Jeff Stachelski @jeffhsta https://jeffhsta.github.io/ 2
  3. 3. Agile Security Mindset de segurança em um ambiente ágil 3
  4. 4. Mas porque? ● Aplicação ○ Pacote ○ Auditoria externa ○ Cloud computing ● Desenvolvimento ○ Senhas fracas ○ 2FA ○ GPG ○ Git ○ Conhecimentos de autenticação 4
  5. 5. Segurança no dia a dia 5
  6. 6. Assinando commits com GPG 6
  7. 7. Um pouco sobre GPG (GNU Privacy Guard) 7
  8. 8. GIT e GPG 8
  9. 9. Demo time 9
  10. 10. Segredos compartilhados 10
  11. 11. Compartilhando segredos ● pass ● Vault ● 1Password for teams 11
  12. 12. Criptografando canais de comunicação 12
  13. 13. HTTPS em todo lugar ● Hypper ● Text ● Transport ● Protocol ● Secure 13
  14. 14. Autenticação 14
  15. 15. Mais de um fator de autenticação 15
  16. 16. Autenticação baseada em form 16
  17. 17. Autenticação baseada em Token ● Basic ● JWT (JSON Web Token) ● OAuth2 17
  18. 18. 18 user: waldemar password: 12345 Basic Authentication base64Encode(user:password) Authorization: Basic d2FsZGVtYXI6MTIzNDU2
  19. 19. 19 Json Web Token (JWT) Header Payload Signature
  20. 20. 20 OAuth
  21. 21. Senhas 21
  22. 22. Senhas ● Senhas fracas: ○ 123456, admin ou 18061992 ● Políticas de senhas ● Armazenando senhas 22
  23. 23. Vida sem senhas 23
  24. 24. Criptografia e Hashing 24
  25. 25. CRIPTOGRAFIA E HASHING ● Plaintext != Encoding != Encryption != Hashing != Criptografia 25
  26. 26. Não reinvente a roda ● Bibliotecas de criptografía existentes ● Algoritmos conhecidos como: ○ AES (Advanced Encryption Standard) ○ RSA ○ SHA512 (Secure Hash Algorithm) ○ bcrypt 26
  27. 27. Reset de senhas 27
  28. 28. Validações 28
  29. 29. Validação de dados de entrada ● Validar e sanitizar os dados de entrada ● Sanitizar os dados de saída ● Cross Site Scripting (XSS) ● Injection Attacks ● Uploads 29
  30. 30. Melhoria de segurança com HTTP headers ● Content-Security-Policy ● X-Content-Security-Policy ● X-WebKit-CSP 30
  31. 31. Demo 31
  32. 32. Sessões 32
  33. 33. Sessões ● Lembre de mim ● Onde salvar status de sessão ● Invalidando sessões ● Cookie monster ● Local Storage 33
  34. 34. Um pouco sobre ataques 34
  35. 35. Ataques comuns ● Clickjacking ● Cross Site Request Forgery (CSRF) ● Denial of Service (DoS) ● Server Side Request Forgery (SSRF) ● CORS 35
  36. 36. Falhas em configurações 36
  37. 37. Falhas em configurações ● Esqueci o debug com TRUE ● Falta de Monitoramento ● Principle of least privilege ● Rate limiting & Captchas ● Senhas e segredos de projeto em arquivos ● Patching e Updates 37
  38. 38. Docker 38
  39. 39. Pontos de atenção com docker ● Origem das imagens ● Automated build ● Dockerfile ● Least privilege ● read-only 39
  40. 40. Práticas de segurança no projeto 40
  41. 41. Pentesting ● OWASP top 10 ● Ferramentas ○ OWASP Zap ○ Burp Suite ● Distro Linux ○ Kali Linux ○ BlackArch 41
  42. 42. CONTINUOUS SECURITY HYGIENE ● Mantenha sempre os padrões de segurança ● Segurança vs Usabilidade ● Como manter essas práticas continuamente no time? 42
  43. 43. 43
  44. 44. Threat Modeling 44
  45. 45. OWASP CORNUCOPIA E Elevation of Privilege 45
  46. 46. Valeu! Perguntas? You can find nóis at @waldemarnt & @jeffhsta

×