Owasp - Segurança de aplicação na web

571 views
499 views

Published on

Owasp - Segurança de aplicação na web. TOP 10 ano 2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
571
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Owasp - Segurança de aplicação na web

  1. 1. OWASP - Segurança de aplicações WEB Vitor castro - vitorcastro@me.comquinta-feira, 28 de março de 13
  2. 2. O que é ? • Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveisquinta-feira, 28 de março de 13
  3. 3. Risco de Segurança em Aplicaçõesquinta-feira, 28 de março de 13
  4. 4. TOP 10 - 2013 10 PRINCIPAIS FALHAS DE SEGURANÇA WEBquinta-feira, 28 de março de 13
  5. 5. TOP 10 - 2013 • AI - Injeção • A2 - Autenticação quebrada e gerenciamento de sessão • A3 - XSS • A4 - Referências inseguras diretas de objetos • A5 - Segurança das configurações • A6 - Exposição sensível de dados • A7 - Falta de controle do nível de acesso • A8 - Cross-Site Requisição forjada • A9 - Uso de componentes com vulnerabilidade conhecida • A10 - Redirecionamento inválidosquinta-feira, 28 de março de 13
  6. 6. A1 - Injeção • Vulnerabilidade • Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas.quinta-feira, 28 de março de 13
  7. 7. A1 - Injeção • Ex: String query = "SELECT * FROM accounts WHERE custID=" + request.getParameter("id") +""; • Ex: http://example.com/app/accountView? id= or 1=1quinta-feira, 28 de março de 13
  8. 8. A1 - Injeção • Prevenção • Usar biblioteca de interpretação de dadosquinta-feira, 28 de março de 13
  9. 9. A4 - Referências inseguras diretas de objetos • Vulnerabilidade • Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso. • Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual.quinta-feira, 28 de março de 13
  10. 10. A4 - Referências inseguras diretas de objetos • Ex: example.com?id=400 • Ex: example.com? id=18d8042386b79e2c279fd162df0205c8 • Ex: example.com/promocao_de_pascoaquinta-feira, 28 de março de 13
  11. 11. A4 - Referências inseguras diretas de objetos • Prevenção • Usar referências indiretas • Verificar o acessoquinta-feira, 28 de março de 13
  12. 12. A7 - Falta de controle de nível de acesso • Vulnerabilidade • Será que a navegação mostra URL para funções não autorizadas ? • São verificadas as autenticação e autorização ? • São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante?quinta-feira, 28 de março de 13
  13. 13. A7 - Falta de controle de nível de acesso • Ex: example.com/user • Ex: example.com/admin • Ex: example.com/user/new • Ex: example.com/admin/user/newquinta-feira, 28 de março de 13
  14. 14. A7 - Falta de controle de nível de acesso • Prevenção • Autenticação e autorização. • Não exibir link ou botões de funções não autorizadas.quinta-feira, 28 de março de 13
  15. 15. Referências • https://www.owasp.org/index.php/ Main_Page • http://owasptop10.googlecode.com/files/ OWASP%20Top%2010%20-%202013%20- %20RC1.pdfquinta-feira, 28 de março de 13
  16. 16. Obrigado facebook.com/aitproeg slideshare.net/aitproegquinta-feira, 28 de março de 13

×