SlideShare una empresa de Scribd logo

Análise Segurança Aplicações

Descargar como PPTX, PDF
Alan Carlos
Alan Carlos

O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.

Tecnología
1 de 25
Terças de ALM e Operações Workshops Análise de Segurança em Aplicações Web Alan do Nascimento Carlos, Blog Technet Wiki MCT, MCSE, MCSD ALM, MCSA, MCITP, MCS, MCP, MCPS, MCTS, MCDST, ICC-TS, PSM, ITIL, COBIT
ALM e Operações - Workshops Por que realizar Análise de Segurança? - Empresa fecha após ataque hacker - Jovem se mata depois de ter fotos intimas divulgadas - Empresa perde 5 milhões em ataque hacker
ALM e Operações - Workshops
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks 25 20 15 10 5 0 Tipos de Ataques XSS Injection Arquivos Maliciosos Encaminhamentos inválidos Vazamento de Informação Gerenciamento de Sessão
A ARTE DE HACKEAR PESSOAS
ALM e Operações - Workshops A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet. Os estudos e documentos da OWASP são disponibilizadas para toda a comunidade internacional, e adotados como referência por entidades como U.S. Defense Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e organizações mundiais das áreas de Tecnologia, Auditoria e Segurança, e também pelo PCI Council. O trabalho mais conhecido da OWASP é sua lista “The Top 10 Most Critical Web Application Security Risks”, que reúne os riscos de ataque mais críticos exploráveis a partir de vulnerabilidades nas aplicações web.
ALM e Operações - Workshops A OWASP utiliza uma metodologia baseada na classificação do risco (Risk Rating Methodology) para priorizar sua lista Top 10, que é mantida atualizada periodicamente a partir de pesquisas e estatísticas sobre ataques identificados em todo o mundo. Além de identificar os ataques de maior risco, a OWASP faz várias recomendações de segurança para que cada um daqueles ataques sejam evitados a partir das etapas do desenvolvimento das aplicações. Para orientar o uso de critérios de segurança desde a codificação, a OWASP também recomenda adotar uma metodologia para modelagem de risco (Threat Risc Modeling) desde a fase de desenho da aplicação web, evitando assim desperdício de tempo, dinheiro, recursos e de controles inúteis, para que haja foco no mapeamento dos riscos reais já identificados. https://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A1 – Injection Flaws Falhas ocasionadas por “injeção” de códigos maliciosos, tais como SQL, OS, e injeção LDAP. Ocorrem quando dados não confiáveis são enviados para um intérprete, como parte de um comando ou consulta. Dados hostis do atacante pode enganar o interpretador para executar comandos não intencionais ou acessar dados não autorizados. Por exemplo, envio de dados via um formulário do site. http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A2 – Cross Site Scripting Cross Site Scripting ( XSS). XSS ocorrem sempre que um aplicativo usa dados não confiáveis e os envia para um navegador web sem a devida validação e o . XSS permite aos atacantes executarem scripts no navegador da vítima, que pode sequestrar sessões de usuários, desfigurar sites, ou redirecionar o usuário para sites maliciosos. http://msdn.microsoft.com/pt-br/library/cc518054.aspx
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A4 - Referências diretas em objetos seguros A referência de objeto direto ocorre quando um desenvolvedor expõe uma referência a um objeto de implementação interna, como um, diretório ou chave de banco de dados de arquivo. Sem uma verificação de controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não autorizados.
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A5 - Cross-Site Request Forgery (CSRF) Um ataque CSRF força o navegador da vítima logada enviar um pedido HTTP forjado, incluindo cookie de sessão da vítima e qualquer outra informação de autenticação incluídos automaticamente, para uma aplicação web vulnerável. Isso permite que o invasor force o navegador da vítima para gerar pedidos e a aplicação vulnerável acha que são pedidos legítimos da vítima. http://msdn.microsoft.com/pt-br/library/gg416514(v=vs.108).aspx http://msdn.microsoft.com/pt-br/magazine/hh708755.aspx
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A6 - Configurações Gerais de Segurança Uma boa segurança exige ter uma configuração segura definida e implantada para a aplicação, frameworks, servidor de aplicação, servidor web, servidor de banco de dados e plataforma. Todas essas definições devem ser definidas, implementadas e mantidas como muitos não são enviados com padrões seguros. Isso inclui manter todos os softwares atualizados, incluindo todas as bibliotecas de código usadas pela aplicação. http://technet.microsoft.com/pt-br/subscriptions/t4ahd590(v=vs.80).aspx
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A7: Armazenamento de informações criptografados Muitas aplicações web não protegem adequadamente os dados sensíveis, tais como cartões de crédito, CPFs e credenciais de autenticação, com criptografia ou hashing adequada. Os atacantes podem roubar ou modificar esses dados fracamente protegidos para realizar o roubo de identidade, fraude de cartão de crédito, ou outros crimes. A8: Falha de restrição de acesso à URL Muitas aplicações web devem verificar os direitos de acesso à URL antes de exibir links e botões protegidos. No entanto, as aplicações precisam, para executar essas verificações, de um controle de acesso cada vez que essas páginas são acessadas, ou atacantes serão capazes de forjar URLs para acessar essas páginas ocultas de qualquer maneira.
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A9: Proteção da camada de Transporte insuficiente Aplicações frequentemente não conseguem autenticar, criptografar e proteger a confidencialidade e integridade do tráfego de rede sensível. Quando o fazem, eles às vezes suportar algoritmos fracos, uso expirado ou certificados inválidos, ou não usa-os corretamente.
ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A10: Encaminhamentos e redirecionamentos inválidos Aplicativos da Web frequentemente redirecionam e encaminham os usuários para outras páginas e site, e usa dados não confiáveis para determinar as páginas de destino. Sem a validação adequada, os atacantes podem redirecionar vítimas a sites de phishing ou malware.
ALM e Operações - Workshops Como eu poderia estruturas meus testes, desenvolvimento, ou implantação?
ALM e Operações - Workshops http://tinyurl.com/sdlndd2 http://tinyurl.com/sdlndd
ALM e Operações - Workshops Arquitetura • Componentes • Design Desenvolvimento • Melhores Práticas Testes • Fuzzer Implantação • Melhores Práticas
ALM e Operações - Workshops Hands-on Lab
ALM e Operações - Workshops Passo a Passo - Testes de Segurança - Ferramentas Gratuitas e Funcionais - Fiddler - ZAP - MBSA - Metasploit - Alvo http://testaspnet.vulnweb.com (Site de Teste da ACUNETIX)
ALM e Operações - Workshops Passo a Passo - Testes de Segurança Como testar XSS em uma aplicação Web? Como testar SQL Injection em uma aplicação Web? Como testar ataque DDOS em um site ou serviço Web? Como testar cifras fracas, SSL inseguro, versão desatualizada de certificado? Como analisar as configurações de segurança de servidores?
Terças de ALM e Operações Workshops Links úteis: - Silverlight - Framework .NET - OWASP – Guia de Testes
Terças de ALM e Operações Workshops Links úteis: - C99 Shell (Por conta e risco!) - Havij Advanced SQL Injection - Compreendendo as permissões
Terças de ALM e Operações Workshops Obrigado! blogs.technet.com/b/wikininjasbr/ blogs.technet.com/b/wikininjas/ fb.com/alancarlosmct fb.com/qualidadeeti @alancarlosmct blogdoalan.com.br

Recomendados

Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 

Recomendados

Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Conviso Application Security
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasPaulo Pires
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013Patrick Kaminski
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorAlcyon Ferreira de Souza Junior, MSc
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
Escolas de Testes de Software
Escolas de Testes de SoftwareEscolas de Testes de Software
Escolas de Testes de SoftwareAlan Carlos
 
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...Fatto Consultoria e Sistemas
 

Más contenido relacionado

La actualidad más candente

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDércio Luiz Reis
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationFernando Galves
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasPaulo Pires
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareAlcyon Ferreira de Souza Junior, MSc
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)Magno Logan
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBAlcyon Ferreira de Souza Junior, MSc
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 

La actualidad más candente (20)

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web SegurasDesenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
 
OWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken AuthenticationOWASP Top 10 - A2 2017 Broken Authentication
OWASP Top 10 - A2 2017 Broken Authentication
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js Seguras
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objeto
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de SoftwareComo se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
 
PHP Seguro em 2013
PHP Seguro em 2013PHP Seguro em 2013
PHP Seguro em 2013
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon JuniorDefensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Folder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas onlineFolder Site Blindado - Aumente a conversão das vendas online
Folder Site Blindado - Aumente a conversão das vendas online
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEBDica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
 

Destacado

Escolas de Testes de Software
Escolas de Testes de SoftwareEscolas de Testes de Software
Escolas de Testes de SoftwareAlan Carlos
 
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...Fatto Consultoria e Sistemas
 
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgil
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgilSBTM Testes Exploratórios Guiados à Sessão - LinguÁgil
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgilLorena Caldas
 
Estratégias e Técnicas de Testes - Parte 2
Estratégias e Técnicas de Testes - Parte 2Estratégias e Técnicas de Testes - Parte 2
Estratégias e Técnicas de Testes - Parte 2Lorena Caldas
 
MegaDealer - Portfólio de soluções para o segmento automotivo
MegaDealer - Portfólio de soluções para o segmento automotivoMegaDealer - Portfólio de soluções para o segmento automotivo
MegaDealer - Portfólio de soluções para o segmento automotivoNilson Caldeira
 
Processo de Teste de Software - Monografia
Processo de Teste de Software - MonografiaProcesso de Teste de Software - Monografia
Processo de Teste de Software - MonografiaRodrigo Kammers
 
Estratégias e Técnicas de Testes - Parte1
Estratégias e Técnicas de Testes - Parte1Estratégias e Técnicas de Testes - Parte1
Estratégias e Técnicas de Testes - Parte1Lorena Caldas
 

Destacado (8)

Escolas de Testes de Software
Escolas de Testes de SoftwareEscolas de Testes de Software
Escolas de Testes de Software
 
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
Estimativas de Software - Fundamentos, Técnicas e Modelos... e o principal, i...
 
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgil
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgilSBTM Testes Exploratórios Guiados à Sessão - LinguÁgil
SBTM Testes Exploratórios Guiados à Sessão - LinguÁgil
 
Estratégias e Técnicas de Testes - Parte 2
Estratégias e Técnicas de Testes - Parte 2Estratégias e Técnicas de Testes - Parte 2
Estratégias e Técnicas de Testes - Parte 2
 
MegaDealer - Portfólio de soluções para o segmento automotivo
MegaDealer - Portfólio de soluções para o segmento automotivoMegaDealer - Portfólio de soluções para o segmento automotivo
MegaDealer - Portfólio de soluções para o segmento automotivo
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Processo de Teste de Software - Monografia
Processo de Teste de Software - MonografiaProcesso de Teste de Software - Monografia
Processo de Teste de Software - Monografia
 
Estratégias e Técnicas de Testes - Parte1
Estratégias e Técnicas de Testes - Parte1Estratégias e Técnicas de Testes - Parte1
Estratégias e Técnicas de Testes - Parte1
 

Similar a Análise Segurança Aplicações

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebMarcio Roberto de Souza Godoi
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaLeivan Carvalho
 
Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuLuis Asensio
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webLuis Asensio
 

Similar a Análise Segurança Aplicações (20)

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
 
Java security
Java securityJava security
Java security
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Website security
Website securityWebsite security
Website security
 
Treinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurançaTreinamento em levantamento de requisitos de segurança
Treinamento em levantamento de requisitos de segurança
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015Pentest com Kali Linux - LatinoWare 2015
Pentest com Kali Linux - LatinoWare 2015
 
Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web segura
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
 

Más de Alan Carlos

Jovens Empreendedores - StartUps
Jovens Empreendedores - StartUpsJovens Empreendedores - StartUps
Jovens Empreendedores - StartUpsAlan Carlos
 
Cloud Computing - Pratices & Patterns
Cloud Computing - Pratices & PatternsCloud Computing - Pratices & Patterns
Cloud Computing - Pratices & PatternsAlan Carlos
 
Alfabetização Digital
Alfabetização DigitalAlfabetização Digital
Alfabetização DigitalAlan Carlos
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsAlan Carlos
 
TechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerTechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerAlan Carlos
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerWorkshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerAlan Carlos
 
ALM e Operações - Workshop - Como Diagnosticar um Incidente
ALM e Operações - Workshop - Como Diagnosticar um IncidenteALM e Operações - Workshop - Como Diagnosticar um Incidente
ALM e Operações - Workshop - Como Diagnosticar um IncidenteAlan Carlos
 
Operações - Base de Conhecimento - Parte 02
Operações - Base de Conhecimento - Parte 02Operações - Base de Conhecimento - Parte 02
Operações - Base de Conhecimento - Parte 02Alan Carlos
 
Operações - Base de Conhecimento - Parte 01
Operações - Base de Conhecimento - Parte 01Operações - Base de Conhecimento - Parte 01
Operações - Base de Conhecimento - Parte 01Alan Carlos
 
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de SucessoALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de SucessoAlan Carlos
 
Geração Tec - Help Desk - Tenha um Helpdesk de Qualidade
Geração Tec - Help Desk - Tenha um Helpdesk de QualidadeGeração Tec - Help Desk - Tenha um Helpdesk de Qualidade
Geração Tec - Help Desk - Tenha um Helpdesk de QualidadeAlan Carlos
 
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...Alan Carlos
 
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros Comuns
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros ComunsGeração Tec - Help Desk - Principais Ferramentas Técnicas e Erros Comuns
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros ComunsAlan Carlos
 
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...Alan Carlos
 
Geração TEC - Help Desk - Hardwares e Sistemas Operacionais
Geração TEC - Help Desk - Hardwares e Sistemas OperacionaisGeração TEC - Help Desk - Hardwares e Sistemas Operacionais
Geração TEC - Help Desk - Hardwares e Sistemas OperacionaisAlan Carlos
 
Geração TEC Help Desk - Hardwares e Sistemas Operacionais
Geração TEC Help Desk - Hardwares e Sistemas OperacionaisGeração TEC Help Desk - Hardwares e Sistemas Operacionais
Geração TEC Help Desk - Hardwares e Sistemas OperacionaisAlan Carlos
 
Geração TEC - Help Desk - Ambientes e Sistemas
Geração TEC - Help Desk - Ambientes e SistemasGeração TEC - Help Desk - Ambientes e Sistemas
Geração TEC - Help Desk - Ambientes e SistemasAlan Carlos
 
ALM - Visual Studio - Indicadores - Como Usar
ALM - Visual Studio - Indicadores - Como UsarALM - Visual Studio - Indicadores - Como Usar
ALM - Visual Studio - Indicadores - Como UsarAlan Carlos
 
Apresentação - IT Specialist
Apresentação - IT SpecialistApresentação - IT Specialist
Apresentação - IT SpecialistAlan Carlos
 
ALM - Testes Exploratórios
ALM - Testes ExploratóriosALM - Testes Exploratórios
ALM - Testes ExploratóriosAlan Carlos
 

Más de Alan Carlos (20)

Jovens Empreendedores - StartUps
Jovens Empreendedores - StartUpsJovens Empreendedores - StartUps
Jovens Empreendedores - StartUps
 
Cloud Computing - Pratices & Patterns
Cloud Computing - Pratices & PatternsCloud Computing - Pratices & Patterns
Cloud Computing - Pratices & Patterns
 
Alfabetização Digital
Alfabetização DigitalAlfabetização Digital
Alfabetização Digital
 
TechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOpsTechNet Wiki Summit 2015 - DevOps
TechNet Wiki Summit 2015 - DevOps
 
TechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test ManagerTechNet - e-Book- Artigos sobre Test Manager
TechNet - e-Book- Artigos sobre Test Manager
 
Workshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test ManagerWorkshop - Plano de Testes End to End com o Microsoft Test Manager
Workshop - Plano de Testes End to End com o Microsoft Test Manager
 
ALM e Operações - Workshop - Como Diagnosticar um Incidente
ALM e Operações - Workshop - Como Diagnosticar um IncidenteALM e Operações - Workshop - Como Diagnosticar um Incidente
ALM e Operações - Workshop - Como Diagnosticar um Incidente
 
Operações - Base de Conhecimento - Parte 02
Operações - Base de Conhecimento - Parte 02Operações - Base de Conhecimento - Parte 02
Operações - Base de Conhecimento - Parte 02
 
Operações - Base de Conhecimento - Parte 01
Operações - Base de Conhecimento - Parte 01Operações - Base de Conhecimento - Parte 01
Operações - Base de Conhecimento - Parte 01
 
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de SucessoALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
 
Geração Tec - Help Desk - Tenha um Helpdesk de Qualidade
Geração Tec - Help Desk - Tenha um Helpdesk de QualidadeGeração Tec - Help Desk - Tenha um Helpdesk de Qualidade
Geração Tec - Help Desk - Tenha um Helpdesk de Qualidade
 
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...
Geração TEC - Help Desk - Fundamentos do ITIL - IR, CR e Problemas, Medição ...
 
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros Comuns
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros ComunsGeração Tec - Help Desk - Principais Ferramentas Técnicas e Erros Comuns
Geração Tec - Help Desk - Principais Ferramentas Técnicas e Erros Comuns
 
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...
Geração Tec Help Desk - Base de Conhecimento, Scripts e Estratégias de Aten...
 
Geração TEC - Help Desk - Hardwares e Sistemas Operacionais
Geração TEC - Help Desk - Hardwares e Sistemas OperacionaisGeração TEC - Help Desk - Hardwares e Sistemas Operacionais
Geração TEC - Help Desk - Hardwares e Sistemas Operacionais
 
Geração TEC Help Desk - Hardwares e Sistemas Operacionais
Geração TEC Help Desk - Hardwares e Sistemas OperacionaisGeração TEC Help Desk - Hardwares e Sistemas Operacionais
Geração TEC Help Desk - Hardwares e Sistemas Operacionais
 
Geração TEC - Help Desk - Ambientes e Sistemas
Geração TEC - Help Desk - Ambientes e SistemasGeração TEC - Help Desk - Ambientes e Sistemas
Geração TEC - Help Desk - Ambientes e Sistemas
 
ALM - Visual Studio - Indicadores - Como Usar
ALM - Visual Studio - Indicadores - Como UsarALM - Visual Studio - Indicadores - Como Usar
ALM - Visual Studio - Indicadores - Como Usar
 
Apresentação - IT Specialist
Apresentação - IT SpecialistApresentação - IT Specialist
Apresentação - IT Specialist
 
ALM - Testes Exploratórios
ALM - Testes ExploratóriosALM - Testes Exploratórios
ALM - Testes Exploratórios
 

Análise Segurança Aplicações

  • 1. Terças de ALM e Operações Workshops Análise de Segurança em Aplicações Web Alan do Nascimento Carlos, Blog Technet Wiki MCT, MCSE, MCSD ALM, MCSA, MCITP, MCS, MCP, MCPS, MCTS, MCDST, ICC-TS, PSM, ITIL, COBIT
  • 2. ALM e Operações - Workshops Por que realizar Análise de Segurança? - Empresa fecha após ataque hacker - Jovem se mata depois de ter fotos intimas divulgadas - Empresa perde 5 milhões em ataque hacker
  • 3.
  • 4. ALM e Operações - Workshops
  • 5. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks 25 20 15 10 5 0 Tipos de Ataques XSS Injection Arquivos Maliciosos Encaminhamentos inválidos Vazamento de Informação Gerenciamento de Sessão
  • 6. A ARTE DE HACKEAR PESSOAS
  • 7. ALM e Operações - Workshops A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet. Os estudos e documentos da OWASP são disponibilizadas para toda a comunidade internacional, e adotados como referência por entidades como U.S. Defense Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e organizações mundiais das áreas de Tecnologia, Auditoria e Segurança, e também pelo PCI Council. O trabalho mais conhecido da OWASP é sua lista “The Top 10 Most Critical Web Application Security Risks”, que reúne os riscos de ataque mais críticos exploráveis a partir de vulnerabilidades nas aplicações web.
  • 8. ALM e Operações - Workshops A OWASP utiliza uma metodologia baseada na classificação do risco (Risk Rating Methodology) para priorizar sua lista Top 10, que é mantida atualizada periodicamente a partir de pesquisas e estatísticas sobre ataques identificados em todo o mundo. Além de identificar os ataques de maior risco, a OWASP faz várias recomendações de segurança para que cada um daqueles ataques sejam evitados a partir das etapas do desenvolvimento das aplicações. Para orientar o uso de critérios de segurança desde a codificação, a OWASP também recomenda adotar uma metodologia para modelagem de risco (Threat Risc Modeling) desde a fase de desenho da aplicação web, evitando assim desperdício de tempo, dinheiro, recursos e de controles inúteis, para que haja foco no mapeamento dos riscos reais já identificados. https://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf
  • 9. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A1 – Injection Flaws Falhas ocasionadas por “injeção” de códigos maliciosos, tais como SQL, OS, e injeção LDAP. Ocorrem quando dados não confiáveis são enviados para um intérprete, como parte de um comando ou consulta. Dados hostis do atacante pode enganar o interpretador para executar comandos não intencionais ou acessar dados não autorizados. Por exemplo, envio de dados via um formulário do site. http://pt.wikipedia.org/wiki/Inje%C3%A7%C3%A3o_de_SQL
  • 10. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A2 – Cross Site Scripting Cross Site Scripting ( XSS). XSS ocorrem sempre que um aplicativo usa dados não confiáveis e os envia para um navegador web sem a devida validação e o . XSS permite aos atacantes executarem scripts no navegador da vítima, que pode sequestrar sessões de usuários, desfigurar sites, ou redirecionar o usuário para sites maliciosos. http://msdn.microsoft.com/pt-br/library/cc518054.aspx
  • 11. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A4 - Referências diretas em objetos seguros A referência de objeto direto ocorre quando um desenvolvedor expõe uma referência a um objeto de implementação interna, como um, diretório ou chave de banco de dados de arquivo. Sem uma verificação de controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não autorizados.
  • 12. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A5 - Cross-Site Request Forgery (CSRF) Um ataque CSRF força o navegador da vítima logada enviar um pedido HTTP forjado, incluindo cookie de sessão da vítima e qualquer outra informação de autenticação incluídos automaticamente, para uma aplicação web vulnerável. Isso permite que o invasor force o navegador da vítima para gerar pedidos e a aplicação vulnerável acha que são pedidos legítimos da vítima. http://msdn.microsoft.com/pt-br/library/gg416514(v=vs.108).aspx http://msdn.microsoft.com/pt-br/magazine/hh708755.aspx
  • 13. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A6 - Configurações Gerais de Segurança Uma boa segurança exige ter uma configuração segura definida e implantada para a aplicação, frameworks, servidor de aplicação, servidor web, servidor de banco de dados e plataforma. Todas essas definições devem ser definidas, implementadas e mantidas como muitos não são enviados com padrões seguros. Isso inclui manter todos os softwares atualizados, incluindo todas as bibliotecas de código usadas pela aplicação. http://technet.microsoft.com/pt-br/subscriptions/t4ahd590(v=vs.80).aspx
  • 14. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A7: Armazenamento de informações criptografados Muitas aplicações web não protegem adequadamente os dados sensíveis, tais como cartões de crédito, CPFs e credenciais de autenticação, com criptografia ou hashing adequada. Os atacantes podem roubar ou modificar esses dados fracamente protegidos para realizar o roubo de identidade, fraude de cartão de crédito, ou outros crimes. A8: Falha de restrição de acesso à URL Muitas aplicações web devem verificar os direitos de acesso à URL antes de exibir links e botões protegidos. No entanto, as aplicações precisam, para executar essas verificações, de um controle de acesso cada vez que essas páginas são acessadas, ou atacantes serão capazes de forjar URLs para acessar essas páginas ocultas de qualquer maneira.
  • 15. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A9: Proteção da camada de Transporte insuficiente Aplicações frequentemente não conseguem autenticar, criptografar e proteger a confidencialidade e integridade do tráfego de rede sensível. Quando o fazem, eles às vezes suportar algoritmos fracos, uso expirado ou certificados inválidos, ou não usa-os corretamente.
  • 16. ALM e Operações - Workshops The Top 10 Most Critical Web Application Security Risks A10: Encaminhamentos e redirecionamentos inválidos Aplicativos da Web frequentemente redirecionam e encaminham os usuários para outras páginas e site, e usa dados não confiáveis para determinar as páginas de destino. Sem a validação adequada, os atacantes podem redirecionar vítimas a sites de phishing ou malware.
  • 17. ALM e Operações - Workshops Como eu poderia estruturas meus testes, desenvolvimento, ou implantação?
  • 18. ALM e Operações - Workshops http://tinyurl.com/sdlndd2 http://tinyurl.com/sdlndd
  • 19. ALM e Operações - Workshops Arquitetura • Componentes • Design Desenvolvimento • Melhores Práticas Testes • Fuzzer Implantação • Melhores Práticas
  • 20. ALM e Operações - Workshops Hands-on Lab
  • 21. ALM e Operações - Workshops Passo a Passo - Testes de Segurança - Ferramentas Gratuitas e Funcionais - Fiddler - ZAP - MBSA - Metasploit - Alvo http://testaspnet.vulnweb.com (Site de Teste da ACUNETIX)
  • 22. ALM e Operações - Workshops Passo a Passo - Testes de Segurança Como testar XSS em uma aplicação Web? Como testar SQL Injection em uma aplicação Web? Como testar ataque DDOS em um site ou serviço Web? Como testar cifras fracas, SSL inseguro, versão desatualizada de certificado? Como analisar as configurações de segurança de servidores?
  • 23. Terças de ALM e Operações Workshops Links úteis: - Silverlight - Framework .NET - OWASP – Guia de Testes
  • 24. Terças de ALM e Operações Workshops Links úteis: - C99 Shell (Por conta e risco!) - Havij Advanced SQL Injection - Compreendendo as permissões
  • 25. Terças de ALM e Operações Workshops Obrigado! blogs.technet.com/b/wikininjasbr/ blogs.technet.com/b/wikininjas/ fb.com/alancarlosmct fb.com/qualidadeeti @alancarlosmct blogdoalan.com.br