SlideShare una empresa de Scribd logo

Ferranentas OWASP

Carlos Serrao
Carlos Serrao

O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.

1 de 16
Descargar para leer sin conexión
OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT 2 Abril, 2009 OWASP Copyright © 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation http://www.owasp.org
OWASP
OWASP Ferramentas e Tecnologias Automated Security Verification • Vulnerability Scanners • Static Analysis Tools • Fuzzing Manual Security Verification • Penetration Testing Tools • Code Review Tools Security Architecture • ESAPI Secure Coding • AppSec Libraries • ESAPI Reference Implementation • Guards and Filters AppSec Management • Reporting Tools AppSec Education • Flawed Apps • Learning Environments OWASP 3 • Live CD • SiteGenerator
OWASP Ferramentas e Tecnologias Automated Security Verification OWASP Panter Web Assessment Studio Project: usa uma versão melhorada de SpikeProxy como motor de análise de aplicações web. O objectivo principal de Panter é combinar capacidades de teste automáticas com as manuais a fim de obter os melhores resultados. SWFIntruder: (Swiff Intruder) ferramenta semi automática de teste e análise de aplicações Flash. Sprajax: black box security scanner uusado para avaliar a segurança de aplicações AJAX. Ao detectar o framework em utilização, o Sprajax formula melhor os pedidos de testes e identifica potenciais vulnerabilidades. Manual Security Verification WebScarab : conjunto de módulos para análise de aplicações que comunicam com os protocolos HTTP e HTTPS; é uma suite de análise e avaliação de vulnerabilidades incluindo ferramentas de proxy. CAL9000 : collecção de ferramentas de testes para browsers (Inclui XSS Attack Library, Character Encoder/Decoder, HTTP Request Generator and Response Evaluator, Testing Checklist, Automated Attack Editor …etc) SQLiX scanner de de injecção SQL capaz de detectar e identificar este tipo de vulnerabilidade ………….etc OWASP 4
OWASP Ferramentas e Tecnologias   Ferramenta idealizada para todos os que lidam com aplicações baseadas no protocolo HTTP (aplicações web)   Funcionalidades Chave   Visibilidade total no protocolo   Capacidade de modificar pedidos HTTP em qualquer sentido   Suporta HTTPS (incl cliente certs)   Audit trail persistente (facilita a revisão)   Utilização Principal   Análise de segurança, debugging de Applicações Web OWASP 5
OWASP Ferramentas e Tecnologias – extrai scripts e comentários HTML de páginas HTML tal como são vistas pelo proxy ou outros plugins., – observa o tráfego HTTP(S) entre o browser e o servidor web, negociando uma conexão SSL entre o browser e o servidor Webscarab em vez de ligar simplesmente o browser ao servidor, permitindo que streams encriptadas passem através dele, – permite que o utilizador modificar pedidos e respostas HTTP(S) em tempo real, antes destes chegarem ao browser ou ao servidor, – permite a execução de operações arbitrárias complexas (normalmente em Java) sobre os pedidos e respostas, – permite a alteração dos campos escondidos encontrados em páginas, – identifica novas URLs no site alvo actuando em linha de comandos, – permite a edição e replay de pedidos anteriores ou a criação de novos pedidos, – colecciona e analisa um número de cookies para determinar o grau de aleatoriedade e imprevisibilidade, – executa a substituição automática de valores de parâmetros capazes expor uma validação incompleta que podem originar vulnerabilidades como XSS e SQLi, – permite que o utilizador manuseie expressões BeanShell de modo a identificar conversas, – automatiza a verificação de ficheiros que por engano/descuido na webroot (ex: .bak, ~, etc por exemplo. /app/login.jsp verifica /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, etc), – plugin passivo que procura dados enviados pelo utilizador nos cabeçalhos e corpo das respostas HTTP com vista a identificar potenciais vulnerabilidades CRLF e XSS, • ….. , OWASP 6
OWASP Ferramentas e Tecnologias OWASP 7
OWASP Ferramentas e Tecnologias Security Architecture ESAPI - OWASP Enterprise Security API (ESAPI) Project – colecção livre e aberta de métodos de segurança necessários para o desenvolvimento de aplicações web seguras (alinhamento com OWASP Top Ten; XSS, SQLi, XSRF, ….). Arquitectura ESAPI é muito simples; conjunto de colecções de classes que encapsulam as operações chave de segurança que a maioria das aplicações precisa. Os Toolkits ESAPI são desenhados para solucionar automaticamente um conjunto variado de questões de segurança tornando essas mesmas questões imperceptíveis para os programadores. ESAPI está desenhado para facilitar a implementação de segurança não só nas aplicações existentes mas também noutras em desenvolvimento. ESAPI Toolkits : Java EE - available.  .NET - under development.  PHP - under development.  OWASP 8
Security Architecture OWASP Top Ten OWASP ESAPI A1. Cross Site Scripting (XSS) Validator, Encoder A2. Injection Flaws Encoder A3. Malicious File Execution HTTPUtilities (Safe Upload) A4. Insecure Direct Object Reference AccessReferenceMap, AccessController A5. Cross Site Request Forgery (CSRF) User (CSRF Token) A6. Leakage and Improper Error EnterpriseSecurityException, HTTPUtils Handling A7. Broken Authentication and Sessions Authenticator, User, HTTPUtils A8. Insecure Cryptographic Storage Encryptor A9. Insecure Communications HTTPUtilities (Secure Cookie, Channel) A10. Failure to Restrict URL Access AccessController OWASP 9
Security Architecture  Dream – ter todos os controlos de segurança que o programador necessita Standard   Centralizados   Organizados   Integrados   Alta Qualidade   Intuitivos     Testados OWASP 10
OWASP Ferramentas e Tecnologias Secure Coding Validation Filters – (Stinger for J2EE, filters for PHP) filtros genéricos que os utilizadores podem usar nas suas aplicações. OWASP AntiSamy Java Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP AntiSamy .NET Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP 11
OWASP Ferramentas e Tecnologias AppSec Education (aplicação deliberadamente insegura) aplicação J2EE da OWASP orientada para o ensino de segurança aplicacional. Ferrramenta interactiva de treino e benchmarking onde os utilizadores podem aprender acerca da segurança aplicacional num ambiente seguro e legal. Estruturada em lições os utilizadores podem aplicar os seus conhecimentos sobre uma questão de segurança explorando uma vulnerabilidade real (ex: simulação o utilizador poderá utilizar a técnica do SQL injection para roubar informação confidencial). A aplicação simula um ambiente de ensino realista dando aos utilizadores dicas e código que assiste/explica a lição. Cerca de 30 lições, : Cross-site Scripting (XSS) Numeric SQL Injection •  •  Access Control String SQL Injection •  •  Thread Safety Web Services •  •  Hidden Form Field Manipulation Fail Open Authentication •  •  Parameter Manipulation Dangers of HTML Comments •  •  Weak Session Cookies ... etc! •  •  Blind SQL Injection •  OWASP 12
OWASP Ferramentas e Tecnologias OWASP 13
OWASP Ferramentas e Tecnologias O projecto tem vários objectivos em vista:  Actuar como uma espécie de “montra” para as ferramentas e documentação OWASP,  Fornecer as melhores ferramentas abertas de segurança aplicacional num pacote,  Assegurar que as ferramentas fornecidas são simples de utilizar,  Continuar a adicionar documentação e ferramentas ao OWASP Live CD,  Continuar a documentar a forma de utilização destas ferramentas e como foram criadas. OWASP 14
OWASP Ferramentas e Tecnologias Ethical Hacking OWASP 15
Perguntas e Respostas OWASP 16

Recomendados

OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP Brasília
 

Recomendados

OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
 
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEEAppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
 
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHAOWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP_BSB_20120827_TOP10_ISMAELROCHA
OWASP Brasília
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
Carlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js Seguras
Paulo Pires
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
Conviso Application Security
 
Jee6
Jee6Jee6
Jee6
fabiovelloso
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
iMasters
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
Kaito Queiroz
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
Gustavo Neves
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
Conviso Application Security
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
As Zone
 
Palestra sql injection oficial
Palestra sql injection oficialPalestra sql injection oficial
Palestra sql injection oficial
Festival Software Livre
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
Conviso Application Security
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
SUNLIT Technologies
 

Más contenido relacionado

La actualidad más candente

Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
As Zone
 

La actualidad más candente (15)

OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Como Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js SegurasComo Fazer Apps Node.Js Seguras
Como Fazer Apps Node.Js Seguras
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Jee6
Jee6Jee6
Jee6
 
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
InterCon 2017 - Engenharia de segurança web: Proteja todas as camadas de seu ...
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Automatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações WebAutomatizando a análise passiva de aplicações Web
Automatizando a análise passiva de aplicações Web
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
 
Palestra sql injection oficial
Palestra sql injection oficialPalestra sql injection oficial
Palestra sql injection oficial
 

Similar a Ferranentas OWASP

Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
Carlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
Desenvolvimento Web Avançado usando PHP
Desenvolvimento Web Avançado usando PHPDesenvolvimento Web Avançado usando PHP
Desenvolvimento Web Avançado usando PHP
elliando dias
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
Giovane Liberato
 

Similar a Ferranentas OWASP (20)

Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 
Desenvolvimento Web Avançado usando PHP
Desenvolvimento Web Avançado usando PHPDesenvolvimento Web Avançado usando PHP
Desenvolvimento Web Avançado usando PHP
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
 
Manual
ManualManual
Manual
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Owasp web app_flaws
Owasp web app_flawsOwasp web app_flaws
Owasp web app_flaws
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 

Más de Carlos Serrao

Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
Carlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
Carlos Serrao
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Carlos Serrao
 

Más de Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 

Ferranentas OWASP

  • 1. OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT 2 Abril, 2009 OWASP Copyright © 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation http://www.owasp.org
  • 3. OWASP Ferramentas e Tecnologias Automated Security Verification • Vulnerability Scanners • Static Analysis Tools • Fuzzing Manual Security Verification • Penetration Testing Tools • Code Review Tools Security Architecture • ESAPI Secure Coding • AppSec Libraries • ESAPI Reference Implementation • Guards and Filters AppSec Management • Reporting Tools AppSec Education • Flawed Apps • Learning Environments OWASP 3 • Live CD • SiteGenerator
  • 4. OWASP Ferramentas e Tecnologias Automated Security Verification OWASP Panter Web Assessment Studio Project: usa uma versão melhorada de SpikeProxy como motor de análise de aplicações web. O objectivo principal de Panter é combinar capacidades de teste automáticas com as manuais a fim de obter os melhores resultados. SWFIntruder: (Swiff Intruder) ferramenta semi automática de teste e análise de aplicações Flash. Sprajax: black box security scanner uusado para avaliar a segurança de aplicações AJAX. Ao detectar o framework em utilização, o Sprajax formula melhor os pedidos de testes e identifica potenciais vulnerabilidades. Manual Security Verification WebScarab : conjunto de módulos para análise de aplicações que comunicam com os protocolos HTTP e HTTPS; é uma suite de análise e avaliação de vulnerabilidades incluindo ferramentas de proxy. CAL9000 : collecção de ferramentas de testes para browsers (Inclui XSS Attack Library, Character Encoder/Decoder, HTTP Request Generator and Response Evaluator, Testing Checklist, Automated Attack Editor …etc) SQLiX scanner de de injecção SQL capaz de detectar e identificar este tipo de vulnerabilidade ………….etc OWASP 4
  • 5. OWASP Ferramentas e Tecnologias   Ferramenta idealizada para todos os que lidam com aplicações baseadas no protocolo HTTP (aplicações web)   Funcionalidades Chave   Visibilidade total no protocolo   Capacidade de modificar pedidos HTTP em qualquer sentido   Suporta HTTPS (incl cliente certs)   Audit trail persistente (facilita a revisão)   Utilização Principal   Análise de segurança, debugging de Applicações Web OWASP 5
  • 6. OWASP Ferramentas e Tecnologias – extrai scripts e comentários HTML de páginas HTML tal como são vistas pelo proxy ou outros plugins., – observa o tráfego HTTP(S) entre o browser e o servidor web, negociando uma conexão SSL entre o browser e o servidor Webscarab em vez de ligar simplesmente o browser ao servidor, permitindo que streams encriptadas passem através dele, – permite que o utilizador modificar pedidos e respostas HTTP(S) em tempo real, antes destes chegarem ao browser ou ao servidor, – permite a execução de operações arbitrárias complexas (normalmente em Java) sobre os pedidos e respostas, – permite a alteração dos campos escondidos encontrados em páginas, – identifica novas URLs no site alvo actuando em linha de comandos, – permite a edição e replay de pedidos anteriores ou a criação de novos pedidos, – colecciona e analisa um número de cookies para determinar o grau de aleatoriedade e imprevisibilidade, – executa a substituição automática de valores de parâmetros capazes expor uma validação incompleta que podem originar vulnerabilidades como XSS e SQLi, – permite que o utilizador manuseie expressões BeanShell de modo a identificar conversas, – automatiza a verificação de ficheiros que por engano/descuido na webroot (ex: .bak, ~, etc por exemplo. /app/login.jsp verifica /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, etc), – plugin passivo que procura dados enviados pelo utilizador nos cabeçalhos e corpo das respostas HTTP com vista a identificar potenciais vulnerabilidades CRLF e XSS, • ….. , OWASP 6
  • 7. OWASP Ferramentas e Tecnologias OWASP 7
  • 8. OWASP Ferramentas e Tecnologias Security Architecture ESAPI - OWASP Enterprise Security API (ESAPI) Project – colecção livre e aberta de métodos de segurança necessários para o desenvolvimento de aplicações web seguras (alinhamento com OWASP Top Ten; XSS, SQLi, XSRF, ….). Arquitectura ESAPI é muito simples; conjunto de colecções de classes que encapsulam as operações chave de segurança que a maioria das aplicações precisa. Os Toolkits ESAPI são desenhados para solucionar automaticamente um conjunto variado de questões de segurança tornando essas mesmas questões imperceptíveis para os programadores. ESAPI está desenhado para facilitar a implementação de segurança não só nas aplicações existentes mas também noutras em desenvolvimento. ESAPI Toolkits : Java EE - available.  .NET - under development.  PHP - under development.  OWASP 8
  • 9. Security Architecture OWASP Top Ten OWASP ESAPI A1. Cross Site Scripting (XSS) Validator, Encoder A2. Injection Flaws Encoder A3. Malicious File Execution HTTPUtilities (Safe Upload) A4. Insecure Direct Object Reference AccessReferenceMap, AccessController A5. Cross Site Request Forgery (CSRF) User (CSRF Token) A6. Leakage and Improper Error EnterpriseSecurityException, HTTPUtils Handling A7. Broken Authentication and Sessions Authenticator, User, HTTPUtils A8. Insecure Cryptographic Storage Encryptor A9. Insecure Communications HTTPUtilities (Secure Cookie, Channel) A10. Failure to Restrict URL Access AccessController OWASP 9
  • 10. Security Architecture  Dream – ter todos os controlos de segurança que o programador necessita Standard   Centralizados   Organizados   Integrados   Alta Qualidade   Intuitivos     Testados OWASP 10
  • 11. OWASP Ferramentas e Tecnologias Secure Coding Validation Filters – (Stinger for J2EE, filters for PHP) filtros genéricos que os utilizadores podem usar nas suas aplicações. OWASP AntiSamy Java Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP AntiSamy .NET Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP 11
  • 12. OWASP Ferramentas e Tecnologias AppSec Education (aplicação deliberadamente insegura) aplicação J2EE da OWASP orientada para o ensino de segurança aplicacional. Ferrramenta interactiva de treino e benchmarking onde os utilizadores podem aprender acerca da segurança aplicacional num ambiente seguro e legal. Estruturada em lições os utilizadores podem aplicar os seus conhecimentos sobre uma questão de segurança explorando uma vulnerabilidade real (ex: simulação o utilizador poderá utilizar a técnica do SQL injection para roubar informação confidencial). A aplicação simula um ambiente de ensino realista dando aos utilizadores dicas e código que assiste/explica a lição. Cerca de 30 lições, : Cross-site Scripting (XSS) Numeric SQL Injection •  •  Access Control String SQL Injection •  •  Thread Safety Web Services •  •  Hidden Form Field Manipulation Fail Open Authentication •  •  Parameter Manipulation Dangers of HTML Comments •  •  Weak Session Cookies ... etc! •  •  Blind SQL Injection •  OWASP 12
  • 13. OWASP Ferramentas e Tecnologias OWASP 13
  • 14. OWASP Ferramentas e Tecnologias O projecto tem vários objectivos em vista:  Actuar como uma espécie de “montra” para as ferramentas e documentação OWASP,  Fornecer as melhores ferramentas abertas de segurança aplicacional num pacote,  Assegurar que as ferramentas fornecidas são simples de utilizar,  Continuar a adicionar documentação e ferramentas ao OWASP Live CD,  Continuar a documentar a forma de utilização destas ferramentas e como foram criadas. OWASP 14
  • 15. OWASP Ferramentas e Tecnologias Ethical Hacking OWASP 15