Your SlideShare is downloading. ×
0
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Top 5 vulnerabilidades_em_aplicacoes_web

379

Published on

Apresentação sobre as 5 maiores vulnerabilidades em aplicações web, apresentado no evento JustJava 2011 em 14/05/2011.

Apresentação sobre as 5 maiores vulnerabilidades em aplicações web, apresentado no evento JustJava 2011 em 14/05/2011.

Published in: Education, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
379
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Apresentação rápida sobre os curriculo nosso. Não pode passar de 5 min. Falar rapidamene sobre o PADS (Programa Abril de Desenvolvimento Seguro).
  • Explicar de forma rápida a migração dos ataques da infraestrutura para as aplicações.
  • Falar de onde vem as o rank das 10 maiores vulnerabilidades e qual o papel da OWASP.
  • Transcript

    • 1. Top 5 vulnerabilidades em aplicações web e seus riscos Luis Asensio/Jonas Costa
    • 2. Mini Curriculo <ul><li>Luis Asensio: </li></ul><ul><li>Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação. </li></ul><ul><li>Jonas Costa: </li></ul><ul><li>Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na área da Segurança da Informação da Editora Abril, atualmente se dedica na multiplicação dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril. </li></ul>
    • 3. A migração dos ataques
    • 4. <ul><li>Responsável por elaborar o rank anual das 10 maiores vulnerabilidades. </li></ul>
    • 5. Agenda - Top 5 <ul><ul><li>A1: Injeção </li></ul></ul><ul><ul><li>A2: Cross-Site Scripting (XSS) </li></ul></ul><ul><ul><li>A3: Furo na autenticação e na gerencia de sessão </li></ul></ul><ul><ul><li>A4: Referencia insegura direta a objetos </li></ul></ul><ul><ul><li>A5: Vazamento de informações e tratamento de erros inapropriado </li></ul></ul>
    • 6. A1: Injeção <ul><li>Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléfico. </li></ul><ul><li>Tipos de injeção de código: </li></ul><ul><ul><li>Injeção de HTML e JavaScript </li></ul></ul><ul><ul><li>Injeção de SQL </li></ul></ul><ul><ul><li>Injeção de PHP </li></ul></ul><ul><ul><li>Injeção de HTTP </li></ul></ul><ul><ul><li>Injeção de e-mail(SMTP) </li></ul></ul><ul><ul><li>Injeção de inclusão de arquivos </li></ul></ul><ul><ul><li>Injeção de Shell </li></ul></ul>
    • 7. A1: Injeção
    • 8. A2: Cross-Site Scripting (XSS) <ul><li>Execução de script no lado do cliente (navegador) utilizando alguma linguagem de codificação, normalmente o  JavaScript. </li></ul><ul><li>A manipulação de qualquer componente DOM ou XmlHttpRequest (Ajax) também pode ser considerado um ataque de XSS. </li></ul>
    • 9. A2: Cross-Site Scripting (XSS)
    • 10. A3: Furo de autenticação e gerencia de sessão <ul><li>Autenticação falha ou mal concebida pode gerar roubo da sessão ou entregar de forma simples a identidade para uma autenticação válida. </li></ul><ul><li>Como mitigar: </li></ul><ul><li>Tentar ao máximo utilizar frameworks usados e aprovados pelo mercado. </li></ul>
    • 11. A3: Furo de autenticação e gerencia de sessão
    • 12. A4: Referencia insegura direta a objeto <ul><li>Exposição de objetos (controle ou não) de implementação interna publicada no lado do cliente que pode ser explorada para manipulação maliciosa. </li></ul>Cuidados ao implementar controles no lado do cliente. Toda validação de dados deve ocorrer no servidor .
    • 13. A4: Referencia insegura direta a objeto
    • 14. <ul><li>Acontece no momento que a aplicação de forma proposital ou não &amp;quot; expõem &amp;quot; informações sobre a infraestrutura, configurações e etc, através de mensagens de erro. </li></ul>A5: Vazamento de informações e tratamento de erros inapropriados
    • 15. Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas

    ×