Vul sec-web-campus party2011 v2-reserved copy

1,571 views
1,526 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,571
On SlideShare
0
From Embeds
0
Number of Embeds
249
Actions
Shares
0
Downloads
37
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Vul sec-web-campus party2011 v2-reserved copy

  1. 1. Campus Party Brasil - 2011Vulnerabilidades e Segurança em Aplicações Web Leonardo Andrade Nelson Novaes Neto
  2. 2. A Web é 100% BUG Free? All rights reserved.
  3. 3. O gigante adormecido...
  4. 4. Quem quer dinheiro?
  5. 5. Como acessar informações de 1 milhão de amigos?
  6. 6. Como acessar informações de 1 milhão de amigos?“...Within just 20 hours of its October 4, 2005 release, over one million users had run the payload, making Samy one of the fastest spreading viruses of all time...
  7. 7. Vulnerabilidade noControle de Privacidade?
  8. 8. Vetores de Ataques (TrustWave, 2011)
  9. 9. Código = Dinheiro?“...o custo total defalhas de segurança éde aproximadamente180 bilhões de doláresao ano.” (Rice, 2010)
  10. 10. Quais são os riscos? All rights reserved.
  11. 11. Quais são os riscos?‣ Segurança? All rights reserved.
  12. 12. Quais são os riscos?‣ Segurança?‣ Privacidade? All rights reserved.
  13. 13. Quais são os riscos?‣ Segurança?‣ Privacidade?‣ Financeiro? All rights reserved.
  14. 14. Quais são os riscos?‣ Segurança?‣ Privacidade?‣ Financeiro? All rights reserved.‣ Outros?
  15. 15. Quais são os riscos?‣ Segurança?‣ Privacidade?‣ Financeiro? All rights reserved.‣ Outros?‣ Quem paga o Bug?
  16. 16. Quais são os riscos?‣ Segurança?‣ Privacidade?‣ Financeiro? All rights reserved.‣ Outros?‣ Quem paga o Bug?‣ DO IT RIGHT!
  17. 17. 0 Bugs + Segurança + Privacidade + WAF + IPS + Firewall + $$$ All rights reserved.
  18. 18. No Silver Bullet All rights reserved.
  19. 19. Como trabalhar juntos? All rights reserved.
  20. 20. Responsabilidade Social All rights reserved.
  21. 21. Segurança em Profundidade All rights reserved.
  22. 22. Secure Development LifecycleFonte: Software Security - Building Security In (Gary McGraw, 2006)
  23. 23. $./Behavior-based-safety --help |grep “Análise do Comportamento” (McSween, 2003) All rights reserved.
  24. 24. Educação All rights reserved.
  25. 25. International Information Systems Security Certification Consortium (ISC)2 http://www.isc2.org
  26. 26. Ferramentas de Trabalho http://www.cert.br
  27. 27. Ferramentas de Trabalho http://www.cert.br
  28. 28. Ferramentas de Trabalho http://www.cert.br
  29. 29. Ferramentas de Trabalho
  30. 30. Ferramentas de Trabalho
  31. 31. Ferramentas de Trabalho
  32. 32. Ferramentas de Trabalho
  33. 33. Ferramentas de Trabalho
  34. 34. Open Web Application Security Project http://owasp.org
  35. 35. Open Web Application Security Project http://owasp.org
  36. 36. Open Web Application Security Project http://owasp.org
  37. 37. Open Web Application Security Project http://owasp.org
  38. 38. Open Web Application Security Project http://owasp.org
  39. 39. Microsoft - Melhorias deSegurança Mensuráveis
  40. 40. O final será maiseconômico, considerando: All rights reserved.
  41. 41. O final será maiseconômico, considerando:‣ Redução do retrabalho All rights reserved.
  42. 42. O final será maiseconômico, considerando:‣ Redução do retrabalho‣ Teamwork All rights reserved.
  43. 43. O final será maiseconômico, considerando:‣ Redução do retrabalho‣ Teamwork‣ Aspectos legais All rights reserved.
  44. 44. O final será maiseconômico, considerando:‣ Redução do retrabalho‣ Teamwork‣ Aspectos legais All rights reserved.‣ Credibilidade da marca
  45. 45. O final será maiseconômico, considerando:‣ Redução do retrabalho‣ Teamwork‣ Aspectos legais All rights reserved.‣ Credibilidade da marca‣ Gestão de Risco
  46. 46. O final será maiseconômico, considerando:‣ Redução do retrabalho‣ Teamwork‣ Aspectos legais All rights reserved.‣ Credibilidade da marca‣ Gestão de Risco‣ Seu sucesso!
  47. 47. Scripture, 1895
  48. 48. Educação + Segurança + Privacidade All rights reserved.
  49. 49. Educação + Segurança + Privacidade A nossa Web pode ser 10! All rights reserved.
  50. 50. Obrigado!Leonardo Andrade <leonardobuonsanti@uol.com.br> Nelson Novaes Neto <nnovaes@psyzone.org>

×