Teste de segurança

Alunos:

Pablo Ribeiro / Wilkins Guimarães

Teste de segurança

Roteiro de apresentação

Introdução

Problemas

Principais Falhas

Causas de invasões

Open Source

Um pouco sobre a internet

Introdução

• No inicio da internet, segurança não era preocupação.

• Hoje a maioria dos sites é uma aplicação

• Possuem muitas funcionalidades

• Suportam login, transações comercias.

• Conteúdo dinâmico.

• Informações confidencias.

Por que fazer teste de segurança?

Teste de segurança

Teste de segurança

Por que fazer teste de segurança?

• Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.

• Aumento de incidentes de 61% de 2008 para 2009.• Aumento de 11530% de 1999 até 2009.• Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.• Site blindado 70% dos sites corporativo possuem falhas graves.

“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1

Top 10 de falhas mais comuns

• Falhas de injeção (SQL INJECTION)• Falhas de autenticação e de gerenciamento de sessão• Problemas de configuração• Falhas ao restringir o acesso a alguma URL• Redirecionamento inválidos Ex: Js.• Tecnologia Ex: Apache, php, asp.• Página de login sem critografia.• Proteção na camada de transporte de informação• Sem criptografia (MD5)• Certificados inválidos (E-commerce)

Teste de segurança

Motivos de ataques

• Sites com muitos acessos• Sites / Sistema de domínio público• Funcionários insatisfeitos• Dinheiro• E outros

Teste de segurança

Por que fazer teste de segurança?

• O usuário pode enviar QUALQUER dado

• Deve-se assumir que toda entrada pode ser maliciosa.• Usuários não irão usar apenas o navegador para acessar a aplicação

Teste de segurança

Teste de segurança

Por que fazer teste de segurança?

• Exemplos de ataques (Sql injection)

• O que vai acontecer se eu clicar em ok?

Teste de segurança

Por que fazer teste de segurança?• Clicando em ok consigo entrar dentro sistema• Com uso de algumas aplicações consigo acessar banco de dados, arquivos e etc.

Teste de segurança

Por que fazer teste de segurança?

• www.seusite.com.br/cursos.php?id=303&tipo=2'

Teste de segurançaX

Vulnerabilidades

Teste de segurança

Teste de segurança X Vulnerabilidades

Saia na frente... • Faça validações na entradas de dados.• Ex: upload de imagens .png .gif .jpg.• Ex: upload de arquivos .doc .docx .pdf e etc.

• Login e senhas com criptografia (MD5)• Limitar a entrada de dados ex: 20 caracteres.

• Controle de acessos• Ex: nenhum usuário pode fazer 200 acessos

em 2 minutos, bloqueia temporariamente o ip.

• Bloqueio das notificações de erro• Servidor Apache php.ini

Jamais esqueça de fazer teste de segurança• Retrabalho, desenvolver novamente uma aplicação

• Imagem negativa para empresa

• Imagem negativa para clientes de clientes

• Sistemas expostos em fórum de hacks • http://www.zone-h.org/• http://forum.guiadohacker.com.br/

• Prejuízo financeiro

Teste de segurança

Teste de segurança

Não reinvente a roda... • Conheça projetos open source.

• Gerenciadores de conteúdo• Wordpress • Drupal• Joomla

• Lojas virtuais (Ecommerce)• Magento• PrestaShop• OpenCart• Joomla

Estude se no seu projeto e possível utilizar um cms open source.

Teste de segurança