html5 seguro ou inseguro? · agenda • html5 • o que é? • quem usa? • alguns recursos •...

HTML5 Seguro ou Inseguro?

Wagner EliasGerente de Pesquisa e Desenvolvimento

sexta-feira, 3 de dezembro de 2010

Agenda

• HTML5

• O que é?

• Quem usa?

• Alguns Recursos

• localStorage

• Websocket

• Ele pode ser um big brother

• Navigator

• Geolocation

• Uma nova e eficaz abordagem para Botnets

• Geolocation

• WebSocket

• LocalStorage

• Explorando

• Client-Side SQLi

• Stored XSS

• Conclusão

2CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

HTML53CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

O que é?

4CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Morra Flash

Video

Offline Web App

Canvas

Geolocation

sexta-feira, 3 de dezembro de 2010

Quem usa?

5CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Alguns Recursos6CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

localStorage

7CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

5Mb(No browser)

sexta-feira, 3 de dezembro de 2010

Websockets

8CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Ele pode ser um Big Brother9CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Navigator

10CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Você está online?

Qual o seu sistema

Operacional?

Qual o seu histórico de navegação?

sexta-feira, 3 de dezembro de 2010

Geolocation

11CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Uma nova e eficaz abordagem para Botnets

12CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Abordagem segmentada por região com Geolocation

13CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta

14CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5)

15CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Client-Side Exploit16CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Client-Side SQLi

17 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY

* PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html

sexta-feira, 3 de dezembro de 2010

Stored XSS

18 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY

sexta-feira, 3 de dezembro de 2010

Conclusão19CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Conclusão

• Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela

• Um novo desafio para ferramentas e profissionais que testam aplicações web

• Alguns recursos serão alvo de ataques e ações criminosas

20CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Referências

• http://HTML5Rocks.com

• http://html5demos.com/

• http://websockets.org/

• http://dev.w3.org/html5/websockets/

21CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

• Blog: http://wagnerelias.com

• E-mail: welias@conviso.com.br

• Twitter: @welias

22CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Obrigado...

sexta-feira, 3 de dezembro de 2010