segurança em web 2.0 paola garcia juarez tóp.especiais em aplicações na internet professores:...

Segurança em Web 2.0

Paola Garcia JuarezTóp.Especiais em Aplicações na Internet Professores:

Claudia MottaCarlo Oliveira

Objetivo

Mostrar alguns temas relacionados às amenaças de segurança que são típicas em um ambiente Web 2.0 .

Agenda

•Motivação•Web 2.0 e segurança•Aspectos chaves na segurança de sistemas

Web 2.0•Vulnerabilidades mais importantes na Web 2.0

Motivação

Fonte: http://www.youtube.com/watch?v=X5x7tX4zpRY

Web 2.0 e segurança

• As ameaças de segurança colocados pela Web 2.0 são, resultado das novas utilizações da tecnologia Web 2.0 que oferece.

• Exemplos dessas tecnologias incluem AJAX, widgets, plataformas e aplicações, tais como blogs, wikis e redes sociais.

Aspectos chaves da Web 2.0

• Conteudo gerado pelo usuario: Diferente do Web 1.0, os sistemas Web 2.0 são considerados como uma “web participativa” porque dependem do conteudo gerado pelo usuario.

• Mashups e serviços web: Web 2.0 inclui interfaces para permitir a comunicação com outros sistemas Web 2.0, usando geralmente um API comun, o Web Services, baseado em XML.

Aspectos chaves da Web 2.0

• Convergência de usuarios e mundo empresarial: O Web 2.0 não deixa claro o limite entre uma organização e do mundo real.

• Diversidade de software cliente: Variedade de plataformas de hardware (OS, celulares), software cliente executados fuera do browser (desktop widgets), ventanas de browser compartilhadas (web sites pessoais).

Vulnerabilidades mais importantes

de Web 2.0Insuficientes controles de autenticação: existe um risco

de que uma pessoa menos experiente pode fazer uma alteração que afecta o sistema global.

Cenarios:▫Senhas fracas▫Controlos insuficientes para ataques de Força bruta▫Senhas não encriptadas▫Assinação simple

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0

Cross site scripting (XSS): uma entrada maliciosa enviada por um atacante é armazenada pelo sistema e, em seguida, exibida para outros usuários.

Cenarios:▫Entradas ilimitadas dos usuarios

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0

Cross Site Request Forgery (CSRF): Enquanto a vítima visita uma aparentemente inofensiva, mas maliciosa Web site, o codigo malicioso do site gera solicitudes para um site diferente onde a vitima tem acessos.

Cenarios:▫Credenciais compartilhadas entre gadgets▫CSRF usando solicitudes AJAX▫Longas sesões

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0Phishing: Ao usar o e-mail para dirigir às vítimas a um

falso site, o phishing não está baseado em vulnerabilidades de software. A clara diferenciação entre o falso e o verdadeiro site que imita, é um elemento-chave na prevenção desde tipo de fraudes.

Cenarios:▫ Informações falsas▫Contenidos falsos usados pelo phising▫XSS explotado pelo phishing

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0

Injeção de erros: Ao depender maiormente do código ingressado pelo cliente, as aplicações Web 2.0 frequentemente realizam algumas entradas de validação que um invasor pode ignorar.

Cenarios:▫XML injection▫Json injection

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0

Integridade da informação: Mesmo se as alterações introduzidas não são mal intencionados, adicionar erros individuais, pode conduzir a uma grande distorção da verdade, quando são combinadas em uma única história.

Cenarios:▫Usuarios autenticados publicam informação

fraudulenta▫Moinho de rumores

Vulnerabilidades mais importantes

de Web 2.0

Vulnerabilidades mais importantes

de Web 2.0

Insuficiente anti automatização: As interfaces dos aplicativos Web 2.0 permitem ao atacante automatizar ataques. Uma aplicação Web 2.0 deve incluir mecanismos anti-automação não comumente encontrados para evitar este tipo de ataque.

Cenarios:▫Web Spam▫Abertura automática de contas de usuarios

Vulnerabilidades mais importantes

de Web 2.0

Conclusão

Web 2.0 é um conjunto de tecnologias, e um conjunto de comportamentos do consumidor. A combinação destes dois elementos tem criado uma enorme oportunidade para atacantes para explorar recursos online para "divertimento e lucro."

É importante compreender as implicações destes novos riscos, particularmente quando se considera usar tecnologias da Web 2.0 para uso profissional e comercial.