Owasp Chapter Belo Horizonte

OWASP - Compartilhando o Desenvolvimento SeguroMarcelo de Freitas Lopes:• Líder e fundador do capítulo OWASP Belo Horizonte;• Auditoria de código em aplicações Web;• Testes de segurança em aplicações;• Segurança de borda;• Governança corporativa.

Fato: A maioria das aplicações Web possuem sérios problemas de vulnerabilidade!

Diversas vulnerabilidades podem ser exploradas Atacantes podem ter acesso a dados sensíveis e não autorizados. Usuários das aplicações poderão sofrer algum dano ao usar a aplicação. Indisponibilidade de serviço. Etc...

Contudo, em seus primórdios, a Web não foi desenhada para ser segura... http://nxoc01.cern.ch/hypertext/WWW/The Project.html Tim Berners-Lee publicou a primeira Web Page em um computador da NeXT, fazendo-o como o primeiro Web Server e ficava localizado no CERN (Conseil Européen pour la Recherche Nucléaire). Fonte: http://press.web.cern.ch/

• Tim Berners-Lee concebeu o HTML unicamente como uma linguagem que serviria para interligar computadores do laboratório e outras instituições de pesquisa, além de exibir documentos científicos de forma simples e fácil de acessar.• A Segurança não era relevante.• Mas a linguagem HTML, assim como outras linguagens Web que nasceram posteriormente, possuem diversas falhas...

Diversas medias de segurança são aplicadas a fim de mitigar as vulnerabilidades...

Fonte: http://www.cert.br/stats/incidentes/#2012

On The News“New York Tour Firm Breached, 110.000 Bank Cards Accessed.” “Facebook clickjacking spreads across site.”“More than 4 million Honda and Acura owners e-mail address stolen.” “Security claim: most home routers vulnerable to hack.”“Android holes allow secret installation of apps.”

A falta de segurança na internet e nas aplicações Web é um problema urgente!

Práticas de Segurança adotadas: Firewall AV Anti-Spam VPN IDS/IPS Proxy

Segurança na camada da Aplicação!• Boas práticas de desenvolvimento seguro de código;• Modelagem de arquitetura segura;• Aplicação de controles de segurança;• Segurança & Ciclo de vida do software.

• A segurança deve ser considerada não importa a linguagem...

OWASP FoundationWiki : www.owasp.org

• Organização internacional;• Sem fins lucrativos (501c3);• A mais de 10 anos produzindo e divulgado materiais e conhecimentos sobre Segurança de Aplicações;• Não possui nenhuma associação com produtos ou serviços comerciais;• Todas as ferramentas, documentos, fóruns, e capítulos da OWASP são livres e abertos para qualquer pessoa que estiver interessada em melhorar a segurança de aplicações.

MISSÃOTornar visível a segurança em aplicações para que as pessoas e organizações possam tomar decisões conscientes sobre o risco de segurança nas aplicações.

OWASP OWASPConferences OWASP Governance OWASP Wiki OWASP OWASP Tools Chapter OWASP Foundation (501c3) OWASP Lists Leaders OWASP OWASP Board of Board of Operation Technical Books Project Directors Advisors Director Director OWASP LeadersCommunity

VoluntáriosSustentado por:  Compartilhamento de conhecimento;  Liderança de projetos e pessoas;  Apresentações em eventos;  Administração. Financiada por patrocinadoresSustentado por:  Membership individuais/empresariais;  Projetos suportados por empresas;  Publicidade em website.

Patrocinadores Corporativos

Patrocinadores Acadêmicos

Capítulos

Capítulos América Latina

• Criado em Janeiro de 2012;• Trazer para BH o que está acontecendo nacionalmente einternacionalmente no cenário da Segurança da Informação;• Integrar os profissionais mineiros;• Divulgar e colaborar com projetos da OWASP.

Projetos Building Guide Top 10 Training CLASP Conferences Ajax WebGoat Orizon CBT .NET, Java ChaptersTesting Guide Projectincubator WebScarab Wiki portal Validation Forums Certification Blogs

Projetos• 9% : Código• 41% : Ferramentas• 50% : Documentação Projetos OWASP - Categorias: 41% 9% Detectar Proteger 50% Ciclo de Vida

ProjetosSystem Development Life Cycle (SDLC)

Projetos Educação• Sensibilização * OWASP Top 10 * OWASP Top 10 for .NET * OWASP Application Security Desk * Reference Project• Guidelines * OWASP .NET Project * OWASP Java Project * OWASP Ruby On Rails Project

Projetos TreinamentoAplicações Vulneráveis• Broken Web Applications / Insecure Web App• WebGoat• WebGoat.NET• iGoat

Projetos Guias de Desenvolvimento• Development Guide• Enterprise API• Application SecurityVerification Standard• Code Review Project

Projetos Testes e ManutençãoTests• OWASP Testing Guide• OWASP Tools : LAPSE , Orizon• WebScarab , Zed Attack ProxyMaintenance• OWASP CSRFGuard• OWASP ModSecurity Core Rule Set• OWASP Appsensor

OWASP x Conformidade• OWASP PCI Project• OWASP Mobile Security Project• OWASP Cloud Security

Eventos e Conferências

Eventos e Conferências 15 e 16 de Setembro de 2012

Como Participar?• Artigos, Wiki, Capítulos;• Listas de Discussão;• Projetos;• Traduções;• Apresentações;• Membership (50 dólares/ano).

Convite III Encontro Capítulo OWASP Belo Horizonte Neste terceiro encontro teremos a presença de dois líderes da OWASP:• Wagner Elias: um dos responsáveis pela vinda da OWASP ao Brasil, sendo fundador e líder do Capítulo Brasil. Atualmente, é líder do Capítulo São Paulo.• Magno Logan: líder e fundador do Capítulo OWASP Paraíba a quase 2 anos, com diversas participações/organizações em eventos relacionados à OWASP. Local: Restaurante Donna Margherita. Horário: Hoje, após o término das palestras do BHack.

Perguntas?https://www.owasp.orghttps://www.owasp.org/index.php/Belo_Horizontemarcelo.lopes@owasp.org@owaspbh@marcelopes

Owasp Chapter Belo Horizonte

by Marcelo Lopes on Jun 15, 2012

Accessibility

Categories

Upload Details

Usage Rights

Statistics

Owasp Chapter Belo Horizonte Presentation Transcript