A apresentação discute a importância de testes de segurança em sites e aplicações, destacando que: (1) incidentes de segurança vêm aumentando ano a ano, com aumentos significativos no número de ataques; (2) as principais falhas incluem injeções de SQL, autenticação e sessão, e configurações incorretas; (3) testes de segurança são necessários para identificar vulnerabilidades e proteger usuários e sistemas.
2. Teste de segurança
Roteiro de apresentação
Introdução
Problemas
Principais Falhas
Causas de invasões
Open Source
3. Um pouco sobre a internet
Introdução
• No inicio da internet, segurança não era
preocupação.
• Hoje a maioria dos sites é uma aplicação
• Possuem muitas funcionalidades
• Suportam login, transações comercias.
• Conteúdo dinâmico.
• Informações confidencias.
5. Teste de segurança
Por que fazer teste de segurança?
• Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.
• Aumento de incidentes de 61% de 2008 para 2009.
• Aumento de 11530% de 1999 até 2009.
• Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.
• Site blindado 70% dos sites corporativo possuem falhas graves.
“Sites maliciosos aumentaram 240% em 2011 na web
mundial, diz estudo.” G1
6. Teste de segurança
Top 10 de falhas mais comuns
• Falhas de injeção (SQL INJECTION)
• Falhas de autenticação e de gerenciamento de sessão
• Problemas de configuração
• Falhas ao restringir o acesso a alguma URL
• Redirecionamento inválidos Ex: Js.
• Tecnologia Ex: Apache, php, asp.
• Página de login sem critografia.
• Proteção na camada de transporte de informação
• Sem criptografia (MD5)
• Certificados inválidos (E-commerce)
7. Teste de segurança
Motivos de ataques
• Sites com muitos acessos
• Sites / Sistema de domínio público
• Funcionários insatisfeitos
• Dinheiro
• E outros
8. Teste de segurança
Por que fazer teste de segurança?
• O usuário pode enviar QUALQUER dado
• Deve-se assumir que toda entrada pode ser maliciosa.
• Usuários não irão usar apenas o navegador para acessar a aplicação
9. Teste de segurança
Por que fazer teste de segurança?
• Exemplos de ataques (Sql injection)
• O que vai acontecer se eu clicar em ok?
10. Teste de segurança
Por que fazer teste de segurança?
• Clicando em ok consigo entrar dentro sistema
• Com uso de algumas aplicações consigo acessar banco de dados, arquivos e etc.
11. Teste de segurança
Por que fazer teste de segurança?
• www.seusite.com.br/cursos.php?id=303&tipo=2'
13. Teste de segurança X Vulnerabilidades
Saia na frente...
• Faça validações na entradas de dados.
• Ex: upload de imagens .png .gif .jpg.
• Ex: upload de arquivos .doc .docx .pdf e etc.
• Login e senhas com criptografia (MD5)
• Limitar a entrada de dados ex: 20
caracteres.
• Controle de acessos
• Ex: nenhum usuário pode fazer 200 acessos
em 2 minutos, bloqueia temporariamente o
ip.
• Bloqueio das notificações de erro
• Servidor Apache php.ini
14. Teste de segurança
Jamais esqueça de fazer teste de segurança
• Retrabalho, desenvolver novamente uma aplicação
• Imagem negativa para empresa
• Imagem negativa para clientes de clientes
• Sistemas expostos em fórum de hacks
• http://www.zone-h.org/
• http://forum.guiadohacker.com.br/
• Prejuízo financeiro
15. Teste de segurança
Não reinvente a roda...
• Conheça projetos open source.
• Gerenciadores de conteúdo
• Wordpress
• Drupal
• Joomla
• Lojas virtuais (Ecommerce)
• Magento
• PrestaShop
• OpenCart
• Joomla
Estude se no seu projeto e possível utilizar um cms
open source.