0
Desenvolvimento web seguroPedro José <pjneto@gmail.com>
Roteiro▫ Quem sou▫ Por que desenvolver código seguro?▫ Onde estamos?▫ O que eles sabem?▫ O que posso fazer?▫ Saiba mais!
Quem sou?▫ Pedro José▫ Técnico em Desenvolvimento de Sistemas▫ Graduando em ciências da computação▫ Analista de sistemas n...
Por que desenvolver código seguro?▫ Quanto vale seu negócio?▫ Quanto vale os dados de seus clientes?▫ Valorização do profi...
Onde estamos?▫ WEB 2.0? E qual versão da sua segurança?▫ Qualquer pessoa pode ser um “programador web”▫ Por que não me fal...
O que eles sabem?▫ Spoofing▫ Tampering▫ Cross-Site Scripting (XSS)▫ SQL Injection▫ Cookie Manipulation▫ Path Transversal▫ ...
O que posso fazer?▫ Spoofing: Definição – “falsificação” !▫ Crítica aos dados▫ Captchas
O que posso fazer?▫ Data Tampering: Definição – manipulação dos parâmetros na troca dedados entre usuário e aplicação!▫ C...
O que posso fazer?▫ Cross-Site Scripting (XSS): Definição – injeção de tags HTML e Javascript▫ Crítica na entrada dos dad...
O que posso fazer?▫ SQL Injection: Definição – injeção de strings nas instruções SQL▫ Crítica na entrada dos dados▫ Utili...
O que posso fazer?▫ Cookie Manipulation: Definição – manipulação dos dados armazenados nocookie(tampering!!)▫ Evitar arma...
O que posso fazer?▫ Path Transversal: Definição – descoberta de informações no sistema dearquivos do servidor através da ...
O que posso fazer?▫ File Upload: Definição – vulnerabilidades relacionadas ao uploadde arquivos em nossos sites/sistema.▫...
O que posso fazer?▫ Error Management: Definição – falhas no gerenciamento dos erros naaplicação web.▫ Exibição de erros d...
O que posso fazer?▫ Code Execution: Definição – execução de instruções a parti de códigosinjetados na aplicação▫ Cuidado ...
O que posso fazer?▫ Configuration Management: Definição – erros relacionados a configuração de seuservidor/aplicação▫ Des...
O que posso fazer?▫ Política de troca de senhas▫ Força das senhas▫ ACLs em nosso sistemas▫ Logs e Auditoria▫ Softwares liv...
O que posso fazer?▫ Esteja Atualizado!!▫ Use ferramentas para testar seu código w3af Acunetix Pangolin Hntool GreenSQ...
Saiba mais!▫ OWASP http://www.owasp.org/index.php/Main_Page▫ Microsoft http://msdn.microsoft.com/en-us/library/ff649874....
Saiba mais!▫ Livros
Saiba mais!▫ Livros
Dúvidas?Pedro José <pjneto@gmail.com>
Upcoming SlideShare
Loading in...5
×

Desenvolvimento web seguro para leigos

158

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
158
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Desenvolvimento web seguro para leigos"

  1. 1. Desenvolvimento web seguroPedro José <pjneto@gmail.com>
  2. 2. Roteiro▫ Quem sou▫ Por que desenvolver código seguro?▫ Onde estamos?▫ O que eles sabem?▫ O que posso fazer?▫ Saiba mais!
  3. 3. Quem sou?▫ Pedro José▫ Técnico em Desenvolvimento de Sistemas▫ Graduando em ciências da computação▫ Analista de sistemas na Moobi▫ Técnico programador no Tribunal de Justiça/SE
  4. 4. Por que desenvolver código seguro?▫ Quanto vale seu negócio?▫ Quanto vale os dados de seus clientes?▫ Valorização do profissional?
  5. 5. Onde estamos?▫ WEB 2.0? E qual versão da sua segurança?▫ Qualquer pessoa pode ser um “programador web”▫ Por que não me falaram sobre desenvolvimentoseguro?
  6. 6. O que eles sabem?▫ Spoofing▫ Tampering▫ Cross-Site Scripting (XSS)▫ SQL Injection▫ Cookie Manipulation▫ Path Transversal▫ Error Management▫ File Upload▫ Code Execution▫ Configuration Vulnerabilities▫ Weak encryption
  7. 7. O que posso fazer?▫ Spoofing: Definição – “falsificação” !▫ Crítica aos dados▫ Captchas
  8. 8. O que posso fazer?▫ Data Tampering: Definição – manipulação dos parâmetros na troca dedados entre usuário e aplicação!▫ Crítica aos dados▫ Validação de Permissões
  9. 9. O que posso fazer?▫ Cross-Site Scripting (XSS): Definição – injeção de tags HTML e Javascript▫ Crítica na entrada dos dados▫ Conversão de caracteres▫ Formatação na saída dos dados▫ Utilização de black-lists
  10. 10. O que posso fazer?▫ SQL Injection: Definição – injeção de strings nas instruções SQL▫ Crítica na entrada dos dados▫ Utilização de consultas parametrizadas▫ Stored procedures▫ Firewall para bancos de dados(green sql)
  11. 11. O que posso fazer?▫ Cookie Manipulation: Definição – manipulação dos dados armazenados nocookie(tampering!!)▫ Evitar armazenamento de dados no cookie▫ Tratamento das informações armazenadas▫ Utilização de criptografia
  12. 12. O que posso fazer?▫ Path Transversal: Definição – descoberta de informações no sistema dearquivos do servidor através da aplicação▫ Crítica na entrada dos dados▫ Validação de caracteres
  13. 13. O que posso fazer?▫ File Upload: Definição – vulnerabilidades relacionadas ao uploadde arquivos em nossos sites/sistema.▫ Crítica na extensão dos arquivos▫ Validação de conteúdo▫ Validação de caracteres(nome do arquivo)▫ Internet Explorer 7 :/
  14. 14. O que posso fazer?▫ Error Management: Definição – falhas no gerenciamento dos erros naaplicação web.▫ Exibição de erros desativada em ambientes de produção▫ Log e monitoramento dos logs para conhecercomportamento da aplicação e possíveis atacantes
  15. 15. O que posso fazer?▫ Code Execution: Definição – execução de instruções a parti de códigosinjetados na aplicação▫ Cuidado com a utilização de funções que executem códigonativo. Ex: eval(), system(), exec(), shell_exec()▫ Cuidado com a utilização de funções inseguras nas suasbases de dados. Ex: load_file(), xp_cmdshell()
  16. 16. O que posso fazer?▫ Configuration Management: Definição – erros relacionados a configuração de seuservidor/aplicação▫ Desabilitar exibição de erros▫ Alterar configurações padrões dos servidores▫ Utilizar conexões SSL▫ Weak Encription: Definição – criptografia fraca▫ MD5 está morto!!
  17. 17. O que posso fazer?▫ Política de troca de senhas▫ Força das senhas▫ ACLs em nosso sistemas▫ Logs e Auditoria▫ Softwares livres X Minha segurança
  18. 18. O que posso fazer?▫ Esteja Atualizado!!▫ Use ferramentas para testar seu código w3af Acunetix Pangolin Hntool GreenSQL Samurai (distro live CD)
  19. 19. Saiba mais!▫ OWASP http://www.owasp.org/index.php/Main_Page▫ Microsoft http://msdn.microsoft.com/en-us/library/ff649874.aspx▫ Google Code http://code.google.com/intl/es-ES/edu/security/index.html
  20. 20. Saiba mais!▫ Livros
  21. 21. Saiba mais!▫ Livros
  22. 22. Dúvidas?Pedro José <pjneto@gmail.com>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×