Your SlideShare is downloading. ×
  • Like
Top 5 vulnerabilidades_em_aplicacoes_web
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Top 5 vulnerabilidades_em_aplicacoes_web

  • 358 views
Published

Apresentação sobre as 5 maiores vulnerabilidades em aplicações web, apresentado no evento JustJava 2011 em 14/05/2011.

Apresentação sobre as 5 maiores vulnerabilidades em aplicações web, apresentado no evento JustJava 2011 em 14/05/2011.

Published in Education , Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
358
On SlideShare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
8
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Apresentação rápida sobre os curriculo nosso. Não pode passar de 5 min. Falar rapidamene sobre o PADS (Programa Abril de Desenvolvimento Seguro).
  • Explicar de forma rápida a migração dos ataques da infraestrutura para as aplicações.
  • Falar de onde vem as o rank das 10 maiores vulnerabilidades e qual o papel da OWASP.

Transcript

  • 1. Top 5 vulnerabilidades em aplicações web e seus riscos Luis Asensio/Jonas Costa
  • 2. Mini Curriculo
    • Luis Asensio:
    • Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.
    • Jonas Costa:
    • Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na área da Segurança da Informação da Editora Abril, atualmente se dedica na multiplicação dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril.
  • 3. A migração dos ataques
  • 4.
    • Responsável por elaborar o rank anual das 10 maiores vulnerabilidades.
  • 5. Agenda - Top 5
      • A1: Injeção
      • A2: Cross-Site Scripting (XSS)
      • A3: Furo na autenticação e na gerencia de sessão
      • A4: Referencia insegura direta a objetos
      • A5: Vazamento de informações e tratamento de erros inapropriado
  • 6. A1: Injeção
    • Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléfico.
    • Tipos de injeção de código:
      • Injeção de HTML e JavaScript
      • Injeção de SQL
      • Injeção de PHP
      • Injeção de HTTP
      • Injeção de e-mail(SMTP)
      • Injeção de inclusão de arquivos
      • Injeção de Shell
  • 7. A1: Injeção
  • 8. A2: Cross-Site Scripting (XSS)
    • Execução de script no lado do cliente (navegador) utilizando alguma linguagem de codificação, normalmente o  JavaScript.
    • A manipulação de qualquer componente DOM ou XmlHttpRequest (Ajax) também pode ser considerado um ataque de XSS.
  • 9. A2: Cross-Site Scripting (XSS)
  • 10. A3: Furo de autenticação e gerencia de sessão
    • Autenticação falha ou mal concebida pode gerar roubo da sessão ou entregar de forma simples a identidade para uma autenticação válida.
    • Como mitigar:
    • Tentar ao máximo utilizar frameworks usados e aprovados pelo mercado.
  • 11. A3: Furo de autenticação e gerencia de sessão
  • 12. A4: Referencia insegura direta a objeto
    • Exposição de objetos (controle ou não) de implementação interna publicada no lado do cliente que pode ser explorada para manipulação maliciosa.
    Cuidados ao implementar controles no lado do cliente. Toda validação de dados deve ocorrer no servidor .
  • 13. A4: Referencia insegura direta a objeto
  • 14.
    • Acontece no momento que a aplicação de forma proposital ou não " expõem " informações sobre a infraestrutura, configurações e etc, através de mensagens de erro.
    A5: Vazamento de informações e tratamento de erros inapropriados
  • 15. Obrigado! Contatos: luis.garcia@abril.com.br - Luis jonas.costa@abril.com.br - Jonas