owasp top 10 2013

OWASP TOP 10 2013

Jerônimo Zuccojeronimo.zucco@owasp.org

About Me

• Blog: http://jczucco.blogspot.com• Twitter: @jczucco• http://www.linkedin.com/in/jeronimozucco• http://www.owasp.org/index.php/User:Jeronimo_Zucco

OWASPOpen Web Application

Security Project• Uma comunidade aberta dedicada

a ajudar as organizações a desenvolver, comprar e manter aplicações que possam ser confiáveis.

OWASP

• Promover o desenvolvimento seguro• Auxiliar a tomada de decisão quanto

ao risco• Oferecer recursos gratuitos• Promover a contribuição e

compartilhamento de informação

4

OWASP

• Organização sem fins lucrativos (US 501c3)• Regida por voluntários– Compartilhar conhecimento– Liderar projetos– Realizar apresentações– Administração

• Financiada por patrocinadores–Membership individuais/empresariais– Projetos suportados por empresas

5

OWASP no Brasil

• 18 capítulos no Brasil:• Belo Horizonte, Brasília, Campinas,

Cuiabá, Curitiba, Fortaleza, Goiânia, Maceió, Manaus, Natal, Paraíba, Porto Alegre, Recife, Rio de Janeiro, São Luís, São Paulo, Vitória e Florianópolis.

6

OWASP no RS

7

https://www.owasp.org/index.php/Porto_Alegre

OWASP Top 10

• Top 10 Vulnerabilidades em Apps. Web– Atualizado a cada 3 anos.– Baseado em dados obtidos de aplicações

na Internet– Aceitação crescente pela indústria

• Um bom começo para criação de práticas seguras de desenvolvimento nas organizações

8

OWASP Top Ten 2013

9

Top 10 2010 -> 2013

10

Riscos de Segurança na Aplicação

11

A1 - Injeção

12

A2 - Autenticação e Gerência de Sessão

Quebradas

13

A3 - Cross-Site Scripting (XSS)

14

A4 - Referências Diretas à Objetos de Forma

Insegura

15

A5 - Configuração Insegura

16

A6 - Exposição de Dados Sensíveis

17

A7 - Sem Controle de Nível de Acesso

18

A8 - CSRF

19

A9 - Uso de Compontes com Vulnerabilidades

Conhecidas

20

A10 - Redirecionamentose Encaminhamentos

Inválidos

21

Top 10 - Riscos

22

23

Demonstração

Desenvolvedores

• Requisitos de segurança de aplicações;• Arquitetura de aplicações seguras;• Controles de segurança padrões;• Ciclo de vida de desenvolvimento (SDL)• Educação sobre segurança de

aplicações

24

Como Participar?

25

• Acesse www.owasp.org• Produção artigos/conteúdo• Lista de discussões• Envolvimento em projetos• Apresentações/Divulgação• Membership• ...

Perguntas?

26

jeronimo.zucco@owasp.org

http://www.owasp-poa.org