top 5 vulnerabilidades_em_aplicacoes_web_e_seu
TRANSCRIPT
Top 5 vulnerabilidades em aplicações web e seus riscos
Luis Asensio/Jonas Costa
Mini CurriculoLuis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.
Jonas Costa:Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na área da Segurança da Informação da Editora Abril, atualmente se dedica na multiplicação dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril.
A migração dos ataques
Responsável por elaborar o rank anual das 10 maiores vulnerabilidades.
Agenda - Top 5
• A1: Injeção
• A2: Cross-Site Scripting (XSS)
• A3: Furo na autenticação e na gerencia de sessão
• A4: Referencia insegura direta a objetos
• A5: Vazamento de informações e tratamento de erros inapropriado
A1: Injeção
Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléfico.
Tipos de injeção de código:
• Injeção de HTML e JavaScript • Injeção de SQL• Injeção de PHP• Injeção de HTTP• Injeção de e-mail(SMTP)• Injeção de inclusão de arquivos• Injeção de Shell
A1: Injeção
A2: Cross-Site Scripting (XSS)
Execução de script no lado do cliente (navegador) utilizando alguma linguagem de codificação, normalmente o JavaScript.
A manipulação de qualquer componente DOM ou XmlHttpRequest (Ajax) também pode ser considerado um ataque de XSS.
A2: Cross-Site Scripting (XSS)
A3: Furo de autenticação e gerencia de sessão
Autenticação falha ou mal concebida pode gerar roubo da sessão ou entregar de forma simples a identidade para uma autenticação válida.
Como mitigar:Tentar ao máximo utilizar frameworks usados e aprovados pelo mercado.
A3: Furo de autenticação e gerencia de sessão
A4: Referencia insegura direta a objetoExposição de objetos (controle ou não) de implementação interna publicada no lado do cliente que pode ser explorada para manipulação maliciosa.
Cuidados ao implementar controles no lado do cliente. Toda validação de dados deve ocorrer no servidor.
A4: Referencia insegura direta a objeto
Acontece no momento que a aplicação de forma proposital ou não "expõem" informações sobre a infraestrutura, configurações e etc, através de mensagens de erro.
A5: Vazamento de informações e tratamento de erros inapropriados