Desenvolvimento de Software SeguroTecnologia em Analise e Desenvolvimento de Sistemas Sistemas de Informao.

ETAPA 1 PASSO 2 - Relatrio dos princpios de Segurana:DISPONIBILIDADE a garantia de que as informaes estejam para os usurios sempre disponveis, este principio est ligado diretamente rede e o seu funcionamento bem como a eficcia do sistema;INTEGRIDADE principio que garante mensagem sua proteo contra mudanas intencionais, indevidas ou acidentais e que as informaes sejam lidas pelos usurios com total integridade. Estas modificaes incluem aes como escrita, alterao de contedo, alterao de status, remoo e criao de informaes;CONFIDENCIALIDADE a garantia que a informao somente ser acessada pela pessoa autorizada, seja protegida sempre na sua entrega. A forma principal de garantia deste principio seria a autenticao.PASSO 3

RELATRIO 1: DESENVOLVENDO SOFTWARES SEGUROS

De acordo com os pontos apresentados, fica evidente e importante que preservar as informaes que o ponto mais srio de uma empresa. Atravs de politicas de segurana em softwares vira prioridade mxima, uma vez que a informao gerada em uma empresa tem seu peso e importncia prioritria.As informaes nos revelam que no basta somente criar programas que atendero algumas expectativas de proteo. Na criao de softwares de seguranas deve-se observar e analisar as diretrizes de proteo, a complexidade deste software, umas vez que programas j conhecido de proteo so muitos visados e propensos vulnerabilidade.Garantir critrios e realizar atividades que protejam estas informaes contra fraudes, roubos ou vazamentos na organizao so responsabilidades e habilidades de todos dentro dela. Como garantir a informao da empresa consiste nos princpios bsicos de disponibilidade, integridade e confidencialidade, deve-se investir em alguns pontos, alguns deles so: Monitorar a rede de computadores afim de detectar ameaas;

As polticas de privacidade e processos devem ser bem elaboradas;

No deixar servios desnecessrios nos servidores de aplicao;

Gerenciar o controle de acesso rede;

Backup e recuperao para prevenir desastres;

Atualizaes de todo o ambiente bem como treinamentos constantes de pessoal.

PASSO 4RELATRIO 2: Evitando SQL InjectionSQL Injection", brecha atravs da qual um invasor pode executar queries ou statements arbitrrios numa base relacional via "injeo" de comandos em campos de formulrios.

A possibilidade de um ataque atravs do SQL Injection, existe onde h informaes armazenadas em um banco de dados e acessveis pela WEB e muito grande. Por se tratar de um comando de manipulao de dados DML (select, insert, update, delete) ou definio de dados (create, drop, alter), onde estes comandos so entradas e manipulao de dados em formulrios destinados a digitao pelo usurio, muitas vezes por falhas acorrendo alteraes no banco de dados.De acordo com a OWASP as melhores prticas para se prevenir de um ataque de SQLi so:

Parametrizao das consultas; Usar "stored procedures"; Escapar toda entrada fornecida pelo usurio; Limitar privilgios aos acessos.Usar 'prepared statements' ao invs do prprio cdigo SQL atribuindo todas as outras medidas de preveno usar esta, nos daria mais desempenho e segurana, alm de ser mais simples de ler e escrever. Porem s pode ser usado em Select, Insert, Update, Replace, Delete e Create Table.Evitar a exibio de mensagens de erro no servidor, estas mensagens so alertas de vulnerabilidade e podem comprometer a segurana.

Quando estiver trabalhando com senhas e ou dados de sigilo absoluto, use a Criptografia de dados, usando programas prprios para este fim como o MD5, Shal ou base64. O MD5 e o Sha1, so programas de mo nica no podendo reverter o processo ao estado anterior.Uma boa prtica tambm no caso Login e Senha usar o Captcha. Um Captcha envolve um computador solicitando o usurio que termine o teste de login, como os computadores no resolvem o Captcha e o usurio o resolve digitando a opo vlida este assume que este um usurio humano.

ETAPA 1

PASSO 2 Como evitar ataques XSS, DDos e Roubo de Sesso

XSS ou CSS (Cross Site Scripting) vulnerabilidade comum encontrada em aplicativos web. O Ataque por XSS permite ao atacante inserir cdigos maliciosos em pginas da web no exato momento que estas so acessadas.

A execuo de cdigos Javascript permite o sequestro de sesso (roubo de cookie), este um ataque comum do XSS utilizando a vulnerabilidade, e atravs do Javascript podendo acessar a conta de usurios alterando detalhes do seu perfil.

A melhor maneira de se proteger deste tipo de ataque XSS e ficar atento aos links que esto contidos em e-mails ou em fruns, este podem ser maliciosos. Ainda no h meios de se proteger destes ataques, uma vez que estando vulnervel de alguma forma ser infectado.

O roubo da sesso

A funcionalidade do Roubo de sesso feita injetando um script que encaminha uma informao extra para outro servidor contendo o cdigo da sesso. Este tipo de ataque 90% funcional com a linguagem PHP. Algumas seguranas: Nunca confie 100% no Id de sesso recebido Compare os IPs, faa verificao redundante;

Use somente mecanismos padro para gerncia de Sesso; No permita que o processo de login comece de uma pgina no encriptada; Considere gerar nova sesso aps uma autenticao que obteve sucesso ou mudana do nvel privilegiado.

O DDoS, (Distributed Denial of Service) este ataque utiliza milhares de computadores para atacar um determinado computador. Esta pratica muito eficaz e prejudica a fundo uma rede de computadores. A forma para que este ataque seja bem sucedido ser necessrios contar com vrios computadores que fariam o ataque, sendo assim foi inserido programas de DDoS em software malicioso ou em vrus.

Como ainda no existe meios reais que consigo barrar este o ataque DDoS, podemos detect-los observando o volume do trfego de rede se o volume est anormal, se existem pacotes TCP e UDP no pertencentes a rede, ou mesmo a utilizao de softwares de Sistema de Identificao de Intrusos, tambm como o Project Shield (da Google), tem o objetivo de evitar ataques ou impedir que pginas sejam atingidas sejam tiradas do ar.