SlideShare una empresa de Scribd logo
1 de 51
Descargar para leer sin conexión
Campus Party Brasil - 2011




Vulnerabilidades e Segurança
     em Aplicações Web

        Leonardo Andrade

        Nelson Novaes Neto
A Web é 100% BUG
       Free?


     All rights reserved.
O gigante adormecido...
Quem quer dinheiro?
Como acessar informações de
   1 milhão de amigos?
Como acessar informações de
   1 milhão de amigos?




“...Within just 20 hours of its October 4, 2005 release, over one million users had run the payload,
                    making Samy one of the fastest spreading viruses of all time...
Vulnerabilidade no
Controle de Privacidade?
Vetores de Ataques

                (TrustWave, 2011)
Código = Dinheiro?

“...o custo total de
falhas de segurança é
de aproximadamente
180 bilhões de doláres
ao ano.” (Rice, 2010)
Quais são os riscos?


             All rights reserved.
Quais são os riscos?
‣ Segurança?

                  All rights reserved.
Quais são os riscos?
‣ Segurança?
‣ Privacidade?
                  All rights reserved.
Quais são os riscos?
‣ Segurança?
‣ Privacidade?
‣ Financeiro?     All rights reserved.
Quais são os riscos?
‣   Segurança?
‣   Privacidade?
‣   Financeiro?     All rights reserved.

‣   Outros?
Quais são os riscos?
‣   Segurança?
‣   Privacidade?
‣   Financeiro?        All rights reserved.

‣   Outros?
‣   Quem paga o Bug?
Quais são os riscos?
‣   Segurança?
‣   Privacidade?
‣   Financeiro?        All rights reserved.

‣   Outros?
‣   Quem paga o Bug?
‣   DO IT RIGHT!
0 Bugs + Segurança + Privacidade
  + WAF + IPS + Firewall + $$$




           All rights reserved.
No Silver Bullet



    All rights reserved.
Como trabalhar juntos?



        All rights reserved.
Responsabilidade Social



       All rights reserved.
Segurança em Profundidade



         All rights reserved.
Secure Development
      Lifecycle




Fonte: Software Security - Building Security In (Gary McGraw, 2006)
$./Behavior-based-safety --help |
grep “Análise do Comportamento”
            (McSween, 2003)




             All rights reserved.
Educação



 All rights reserved.
International Information Systems
 Security Certification Consortium
               (ISC)2
         http://www.isc2.org
Ferramentas de Trabalho
      http://www.cert.br
Ferramentas de Trabalho
      http://www.cert.br
Ferramentas de Trabalho
      http://www.cert.br
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Open Web Application
  Security Project
     http://owasp.org
Open Web Application
  Security Project
     http://owasp.org
Open Web Application
  Security Project
     http://owasp.org
Open Web Application
  Security Project
     http://owasp.org
Open Web Application
  Security Project
     http://owasp.org
Microsoft - Melhorias de
Segurança Mensuráveis
O final será mais
econômico, considerando:


               All rights reserved.
O final será mais
econômico, considerando:
‣ Redução do retrabalho


                          All rights reserved.
O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork

                          All rights reserved.
O final será mais
econômico, considerando:
‣ Redução do retrabalho
‣ Teamwork
‣ Aspectos legais
                          All rights reserved.
O final será mais
econômico, considerando:
‣   Redução do retrabalho
‣   Teamwork
‣   Aspectos legais
                             All rights reserved.
‣   Credibilidade da marca
O final será mais
econômico, considerando:
‣   Redução do retrabalho
‣   Teamwork
‣   Aspectos legais
                             All rights reserved.
‣   Credibilidade da marca
‣   Gestão de Risco
O final será mais
econômico, considerando:
‣   Redução do retrabalho
‣   Teamwork
‣   Aspectos legais
                             All rights reserved.
‣   Credibilidade da marca
‣   Gestão de Risco
‣   Seu sucesso!
Scripture, 1895
Educação + Segurança +
      Privacidade



       All rights reserved.
Educação + Segurança +
      Privacidade
   A nossa Web pode ser 10!




        All rights reserved.
Vul sec-web-campus party2011 v2-reserved copy
Obrigado!
Leonardo Andrade <leonardobuonsanti@uol.com.br>
     Nelson Novaes Neto <nnovaes@psyzone.org>

Más contenido relacionado

Similar a Vul sec-web-campus party2011 v2-reserved copy

Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisRubens Guimarães - MTAC MVP
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSARoney Médice
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresAndre Henrique
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresRodrigo Jorge
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produtoriciericasadey
 
Hardening: Concepts and Techniques
Hardening: Concepts and TechniquesHardening: Concepts and Techniques
Hardening: Concepts and TechniquesMichel Alves
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoTI Safe
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos   abnt sp-15999-1_3jun2008Gestão de riscos   abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008amirahamia
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoSidney Modenesi, MBCI
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azureEnrique Gustavo Dutra
 
A Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtosA Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtosChristian Zambra
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?tdc-globalcode
 

Similar a Vul sec-web-campus party2011 v2-reserved copy (20)

Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produto
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Hardening: Concepts and Techniques
Hardening: Concepts and TechniquesHardening: Concepts and Techniques
Hardening: Concepts and Techniques
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos   abnt sp-15999-1_3jun2008Gestão de riscos   abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade(dos negócios)na segurança da informaçãoRequisitos da continuidade(dos negócios)na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
A Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtosA Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtos
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
 
Semeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João RamosSemeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João Ramos
 

Más de Campus Party Brasil

Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineCampus Party Brasil
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Campus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesCampus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solarCampus Party Brasil
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custoCampus Party Brasil
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXCampus Party Brasil
 
Robótica e educação inclusiva
	Robótica e educação inclusiva	Robótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreCampus Party Brasil
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito ImpressoCampus Party Brasil
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasCampus Party Brasil
 

Más de Campus Party Brasil (20)

Wordpress
WordpressWordpress
Wordpress
 
Buracos negros
Buracos negrosBuracos negros
Buracos negros
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App Engine
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
 
Passeio virtual pelo LHC
Passeio virtual pelo LHCPasseio virtual pelo LHC
Passeio virtual pelo LHC
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectX
 
Blue Via
Blue ViaBlue Via
Blue Via
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
 
Robótica e educação inclusiva
	Robótica e educação inclusiva	Robótica e educação inclusiva
Robótica e educação inclusiva
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
 
Vida de Programador
Vida de Programador Vida de Programador
Vida de Programador
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 

Vul sec-web-campus party2011 v2-reserved copy