Top 5 vulnerabilidades_em_aplicacoes_web

Download Top 5 vulnerabilidades_em_aplicacoes_web

Post on 31-Jul-2015

382 views

Category:

Education

0 download

Embed Size (px)

TRANSCRIPT

<p> 1. Top 5 vulnerabilidades em aplicaes web e seus riscos Luis Asensio/Jonas Costa 2. Mini Curriculo </p> <ul><li>Luis Asensio: </li></ul> <ul><li>Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificaes em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na rea da Segurana da Informao. </li></ul> <ul><li>Jonas Costa: </li></ul> <ul><li>Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na rea da Segurana da Informao da Editora Abril, atualmente se dedica na multiplicao dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril. </li></ul> <p> 3. A migrao dos ataques 4. </p> <ul><li>Responsvel por elaborar o rank anual das 10 maiores vulnerabilidades. </li></ul> <p> 5. Agenda - Top 5 </p> <ul><li><ul><li>A1: Injeo </li></ul></li></ul> <ul><li><ul><li>A2: Cross-Site Scripting (XSS) </li></ul></li></ul> <ul><li><ul><li>A3: Furo na autenticao e na gerencia de sesso </li></ul></li></ul> <ul><li><ul><li>A4: Referencia insegura direta a objetos </li></ul></li></ul> <ul><li><ul><li>A5: Vazamento de informaes e tratamento de erros inapropriado </li></ul></li></ul> <p> 6. A1: Injeo </p> <ul><li>Consiste em injetar qualquer tipo de cdigo em um sistema sem atender o seu propsitoe para usomalfico. </li></ul> <ul><li>Tipos de injeo de cdigo: </li></ul> <ul><li><ul><li>Injeo de HTML e JavaScript</li></ul></li></ul> <ul><li><ul><li>Injeo de SQL </li></ul></li></ul> <ul><li><ul><li>Injeo de PHP </li></ul></li></ul> <ul><li><ul><li>Injeo de HTTP </li></ul></li></ul> <ul><li><ul><li>Injeo de e-mail(SMTP) </li></ul></li></ul> <ul><li><ul><li>Injeo de incluso de arquivos </li></ul></li></ul> <ul><li><ul><li>Injeo de Shell </li></ul></li></ul> <p> 7. A1: Injeo 8. A2: Cross-Site Scripting (XSS) </p> <ul><li>Execuo de script no lado do cliente (navegador) utilizando alguma linguagem decodificao,normalmente o JavaScript. </li></ul> <ul><li>A manipulao de qualquer componente DOM ou XmlHttpRequest (Ajax) tambm pode ser considerado um ataque de XSS. </li></ul> <p> 9. A2: Cross-Site Scripting (XSS) 10. A3: Furo de autenticao e gerencia de sesso </p> <ul><li>Autenticao falha ou mal concebida pode gerar roubo da sesso ou entregar de forma simples a identidade para uma autenticao vlida. </li></ul> <ul><li>Como mitigar: </li></ul> <ul><li>Tentar ao mximo utilizar frameworks usados e aprovados pelo mercado. </li></ul> <p> 11. A3: Furo de autenticao e gerencia de sesso 12. A4: Referencia insegura direta a objeto </p> <ul><li>Exposio de objetos (controle ou no) de implementao interna publicada no lado do cliente que pode ser explorada para manipulao maliciosa. </li></ul> <p>Cuidados ao implementar controles no lado do cliente. Toda validao de dados deve ocorrer noservidor . 13. A4: Referencia insegura direta a objeto 14. </p> <ul><li>Acontece no momento que a aplicao de forma proposital ou no " expem " informaes sobre a infraestrutura, configuraes e etc, atravs de mensagens de erro. </li></ul> <p>A5: Vazamento de informaes e tratamento de erros inapropriados 15. Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas</p>