top 5 vulnerabilidades_em_aplicacoes_web

Download Top 5 vulnerabilidades_em_aplicacoes_web

Post on 31-Jul-2015

382 views

Category:

Education

0 download

Embed Size (px)

TRANSCRIPT

1. Top 5 vulnerabilidades em aplicaes web e seus riscos Luis Asensio/Jonas Costa 2. Mini Curriculo

  • Luis Asensio:
  • Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificaes em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na rea da Segurana da Informao.
  • Jonas Costa:
  • Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na rea da Segurana da Informao da Editora Abril, atualmente se dedica na multiplicao dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril.

3. A migrao dos ataques 4.

  • Responsvel por elaborar o rank anual das 10 maiores vulnerabilidades.

5. Agenda - Top 5

    • A1: Injeo
    • A2: Cross-Site Scripting (XSS)
    • A3: Furo na autenticao e na gerencia de sesso
    • A4: Referencia insegura direta a objetos
    • A5: Vazamento de informaes e tratamento de erros inapropriado

6. A1: Injeo

  • Consiste em injetar qualquer tipo de cdigo em um sistema sem atender o seu propsitoe para usomalfico.
  • Tipos de injeo de cdigo:
    • Injeo de HTML e JavaScript
    • Injeo de SQL
    • Injeo de PHP
    • Injeo de HTTP
    • Injeo de e-mail(SMTP)
    • Injeo de incluso de arquivos
    • Injeo de Shell

7. A1: Injeo 8. A2: Cross-Site Scripting (XSS)

  • Execuo de script no lado do cliente (navegador) utilizando alguma linguagem decodificao,normalmente o JavaScript.
  • A manipulao de qualquer componente DOM ou XmlHttpRequest (Ajax) tambm pode ser considerado um ataque de XSS.

9. A2: Cross-Site Scripting (XSS) 10. A3: Furo de autenticao e gerencia de sesso

  • Autenticao falha ou mal concebida pode gerar roubo da sesso ou entregar de forma simples a identidade para uma autenticao vlida.
  • Como mitigar:
  • Tentar ao mximo utilizar frameworks usados e aprovados pelo mercado.

11. A3: Furo de autenticao e gerencia de sesso 12. A4: Referencia insegura direta a objeto

  • Exposio de objetos (controle ou no) de implementao interna publicada no lado do cliente que pode ser explorada para manipulao maliciosa.

Cuidados ao implementar controles no lado do cliente. Toda validao de dados deve ocorrer noservidor . 13. A4: Referencia insegura direta a objeto 14.

  • Acontece no momento que a aplicao de forma proposital ou no " expem " informaes sobre a infraestrutura, configuraes e etc, atravs de mensagens de erro.

A5: Vazamento de informaes e tratamento de erros inapropriados 15. Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas