SlideShare a Scribd company logo

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional

Carlos Serrao
Carlos Serrao

Apresentação realizada no OWASP @ ISCTE-IUL, Workshop de Segurança Aplicacional, sobre OWASP e OWASP Portugal.

1 of 29
Download to read offline
OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
agenda 2 Agenda Sala:  B2.03 Apresentação  do  OWASP  e  OWASP  Portugal 14:00  -­‐  14:30 Carlos  Serrão OWASP  Top  10  (2010) 14:30  -­‐  15:00 Carlos  Serrão   Segurança  em  PHP 15:00  -­‐  15:45 Joaquim  Marques Criptografia  em  PHP 15:45  -­‐  16:15 Carlos  Serrão Ferramentas  de  Auditoria  de  Vulnerabilidades  em  Aplicações  Web 16:15  -­‐  17:00 Nuno  Teodoro 17:00  -­‐  17:15 Conclusões/Encerramento OWASP @ ISCTE-IUL Abril 2010
o que é o OWASP? 3  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP @ ISCTE-IUL Abril 2010
o que é o OWASP? 4  Open Web Application Security Project  an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP @ ISCTE-IUL Abril 2010
o que é o OWASP? 5  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário  Todos os membros são voluntários  Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade  Publicações, Artigos, Normas  Software de Testes e de Formação  Chapters Locais & Mailing Lists  Suportada através de patrocínios  Suporte de empresas através de patrocínios financeiros ou de projectos  Patrocínios pessoais por parte dos membros OWASP @ ISCTE-IUL Abril 2010
organização do OWASP 6 OWASP @ ISCTE-IUL Abril 2010
o que é o OWASP? 7  O que oferece?  Publicações  OWASP Top 10  OWASP Guide to Building Secure Web Applications  Software  WebGoat  WebScarab  oLabs Projects  .NET Projects  Chapters Locais  Orientação das comunidades locais OWASP @ ISCTE-IUL Abril 2010
ferramentas e tecnologias OWASP 8 OWASP @ ISCTE-IUL Abril 2010
publicações - OWASP top 10 9  Top 10 Web Application Security Risks/Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base anual  Crescente aceitação pela indústria  Federal Trade Commission (US Gov)  US Defense Information Systems Agency  VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP @ ISCTE-IUL Abril 2010
publicações - OWASP guide 10  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro  Introdução à segurança em geral  Introdução à segurança aplicacional  Discute áreas-chave de implementação  Arquitectura  Autenticação  Gestão de Sessões  Controlo de Acesso e Autorização  Registo de Eventos  Validação de Dados  Em contínuo desenvolvimento OWASP @ ISCTE-IUL Abril 2010
software - OWASP WebGoat 11  WebGoat  Essencialmente é uma aplicação de treino  Oferece  Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional  Uma ferramenta para testar ferramentas de segurança  O que é?  Uma aplicação web J2EE disposta em diversas “Lições de Segurança”  Baseado no Tomcat e no JDK 1.5  Orientada para o ensino  Fácil de usar  Ilustra cenários credíveis  Ensina ataques realistas e soluções viáveis OWASP @ ISCTE-IUL Abril 2010
software - OWASP WebScarab 12  WebScarab  Uma framework para analisar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações  Programador: fazer o debug das trocas entre o cliente e servidor  Analista de Segurança: analisa o tráfego e identifica vulnerabilidades  Ferramenta técnica  Focada em programadores de software  Arquitectura extensível de plug-ins  Open source; de fácil expansão  Poderosa  Obter a ferramenta  http://www.owasp.org/software/webscarab.html OWASP @ ISCTE-IUL Abril 2010
chapters locais da OWASP 13  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP @ ISCTE-IUL Abril 2010
14 OWASP @ ISCTE-IUL Abril 2010
chapters locais da OWASP 15  O que oferecem?  Reuniões (regulares)  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP @ ISCTE-IUL Abril 2010
chapters locais da OWASP 16  O que oferecem?  Como contribuir?  Através das ML, reuniões e dos grupos de discussão  Os membros são encorajados a levantarem questões  Os membros são encorajados a participar em projectos OWASP  Contribuir para projectos existentes  Propor novos projectos  Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP @ ISCTE-IUL Abril 2010
OWASP Portugal 17  … alguns dados  Membros  47 membros  Web-site  http://www.owasp.org/index.php/Portuguese  Mailling-List  owasp-portuguese@lists.owasp.org  Chapter Leader  Carlos Serrão (carlos.serrao@iscte.pt)  algumas alterações no Futuro OWASP @ ISCTE-IUL Abril 2010
objectivos 18  Participação em alguns dos projectos activos do OWASP (documentação e ferramentas)  Propor o lançamento de novos projectos  Promover a discussão de ideias na nossa lista de correio electrónico  Dinamizar a participação nas nossas reuniões  Organização de conferências  Promover e oferecer suporte à comunidade OWASP em geral, em particular a comunidade portuguesa OWASP @ ISCTE-IUL Abril 2010
actividade 19  2007  Nasce o chapter português  Actividade quase nula  2008  OWASP EU Summit 08  Albufeira, Algarve, Portugal  2009  owasp@IPCB, owasp@IPViseu, owasp@UBI  IBWAS’09, Madrid  2010  owasp@ISCTE-IUL  IBWAS’10, Lisboa OWASP @ ISCTE-IUL Abril 2010
OWASP EU SUMMIT 2008 20  O *maior* evento OWASP de sempre 1 semana, +100 pessoas (de todo o Mundo)  Apresentação de Projectos  Sessões de Trabalho  Formação  + 1 dia de Demo na UAlg OWASP @ ISCTE-IUL Abril 2010
reuniões 21  Objectivos:  Manter um calendário de reuniões periódicas  Realista: 1 reunião/evento a cada 3 ou 4 meses  Promover a missão da OWASP  Promover os projectos, ferramentas e documentação da OWASP  Promover a troca e disseminação livre de informação sobre segurança de informação e segurança de aplicações e sistemas web-based  Promover o lançamento de novas ideias e de novos projectos  Envolver os membros em projectos on-going OWASP @ ISCTE-IUL Abril 2010
reuniões 22  A participação nas reuniões da OWASP Portugal é livre e gratuita  Modelo: aparece e traz um amigo (e ideias para partilhar)  Apresentação sobre um tema  Discussão de uma ideia  Debate de problemas  Lançar iniciativas  Planear actividades OWASP @ ISCTE-IUL Abril 2010
ideias e projectos 23  Reuniões periódicas  Blog/Site oficial da OWASP@PT  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu/  Eventos de disseminação/formação  Conferências  Projectos de tradução de documentação e ferramentas (em conjunto com OWASP Brasil)  Lançamento de novos projectos  Estreitar relações com OWASP Espanha OWASP @ ISCTE-IUL Abril 2010
ideias e projectos 24  Disseminação/Formação  “Evangelizar”  Espalhar a “mensagem” e missão do OWASP  Percorrer Portugal, com enfoque em Instituições de Ensino Superior  Participação em sessões específicas ou integradas em aulas  OWASP Summer School (a pensar no futuro) OWASP @ ISCTE-IUL Abril 2010
ideias e projectos 25  Conferências  Organização de conferências abertas quer à participação da comunidade científica quer à comunidade empresarial  Criar o mix perfeito  Realizado e Planeado  IBWAS’09 – First Iberic Conference on Web-Applications Security  Madrid, Espanha  No final de 2009  IBWAS’10 - Ibero-American Web-Applications Security  Lisboa, Portugal  Inicio de Novembro 2010 OWASP @ ISCTE-IUL Abril 2010
ideias e projectos 26  Tradução  Ferramentas e documentos da OWASP devem chegar à maior audiência possível  A língua não pode ser uma barreira  Traduzir documentos  OWASP Top Ten  OWASP Web Applications Security Assessment  Traduzir ferramentas  Webgoat  Webscarab  Aproveitar o trabalho já iniciado pelo OWASP Brasil OWASP @ ISCTE-IUL Abril 2010
ideias e projectos 27  Novos Projectos  Lançamento de novos projectos inovadores  Apostar em I&D  Estreitar a colaboração com Departamentos de Instituições de Ensino Superior (e não só)  Lançamento e (co-)orientação de  Projectos de Fim de Curso  Projectos de Mestrado e Doutoramento  Captar fundos e incentivos à I&D  FCT  EU  Outros. OWASP @ ISCTE-IUL Abril 2010
para finalizar... 28  … juntem-se a nós.  Participem!  Mailing List  Blog  Reuniões  Eventos  Projectos  Ideias  Informação útil  http://www.owasp.org  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu OWASP @ ISCTE-IUL Abril 2010
OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

Recommended

Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASPCarlos Serrao
 

Recommended

Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-brSérgio FePro
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Rafael Brinhosa
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BRMagno Logan
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASPCarlos Serrao
 
Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 prof-claudio
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e ComoEr Galvão Abbott
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat ProjectCleyton Kano
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat ProjectDécio Castaldi, MBA/FIAP
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Apdsi gestao risco
Apdsi gestao riscoApdsi gestao risco
Apdsi gestao riscoRui Gomes
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas FerreiraSegInfo
 
CIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e AutenticaçãoCIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e AutenticaçãoCarlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?Carlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
Criptografia
CriptografiaCriptografia
CriptografiaCleber Ramos
 
Criptografia
CriptografiaCriptografia
CriptografiaPaula P.
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Flávio Moringa
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & CriptografiaRaul Oliveira
 

More Related Content

What's hot

Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 prof-claudio
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e ComoEr Galvão Abbott
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Apdsi gestao risco
Apdsi gestao riscoApdsi gestao risco
Apdsi gestao riscoRui Gomes
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas FerreiraSegInfo
 

What's hot (7)

Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01 Introdução ao owasp zap aula-01
Introdução ao owasp zap aula-01
 
OWASP: O que, Por que e Como
OWASP: O que, Por que e ComoOWASP: O que, Por que e Como
OWASP: O que, Por que e Como
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
WebGoat Project
WebGoat ProjectWebGoat Project
WebGoat Project
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Apdsi gestao risco
Apdsi gestao riscoApdsi gestao risco
Apdsi gestao risco
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 

Viewers also liked

CIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e AutenticaçãoCIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e AutenticaçãoCarlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
Criptografia
CriptografiaCriptografia
CriptografiaPaula P.
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Flávio Moringa
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & CriptografiaRaul Oliveira
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 

Viewers also liked (20)

CIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e AutenticaçãoCIA - Confidencialidade, Integridade e Autenticação
CIA - Confidencialidade, Integridade e Autenticação
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014Workshop on Android Rom Creation - FISTA/ISCTE 2014
Workshop on Android Rom Creation - FISTA/ISCTE 2014
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
Certificados Digitais & Criptografia
Certificados Digitais & CriptografiaCertificados Digitais & Criptografia
Certificados Digitais & Criptografia
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 

Similar to OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional

Ferramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa ApresentacaoFerramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa Apresentacaonfteodoro
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
REST – Desmistificando A Implementação De Web Services REST Em Java Monografia
REST – Desmistificando A Implementação De Web Services REST Em Java MonografiaREST – Desmistificando A Implementação De Web Services REST Em Java Monografia
REST – Desmistificando A Implementação De Web Services REST Em Java MonografiaCarl Edwin Antonio Nascimento
 
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]Carl Edwin
 
Conheça o Cloud Foundry no HCP
Conheça o Cloud Foundry no HCPConheça o Cloud Foundry no HCP
Conheça o Cloud Foundry no HCPJose Nunes
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Brasília
 
Desenvolvimento web com python e web2py
Desenvolvimento web com python e web2pyDesenvolvimento web com python e web2py
Desenvolvimento web com python e web2pyRelsi Maron
 
Ferramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareFerramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareJeremias Araujo
 
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVA
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVAVRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVA
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVAYelken Heckman Ferreira Gonzales
 
Java microservices | Seminário
Java microservices | SeminárioJava microservices | Seminário
Java microservices | SeminárioOsmar Petry
 
HTML5, Mobile Web e além - Computer on the beach 2015
HTML5, Mobile Web e além - Computer on the beach 2015HTML5, Mobile Web e além - Computer on the beach 2015
HTML5, Mobile Web e além - Computer on the beach 2015Reinaldo Ferraz
 
Ai ad-tp3-g4-a.ppt
Ai ad-tp3-g4-a.pptAi ad-tp3-g4-a.ppt
Ai ad-tp3-g4-a.pptMarisa Roque
 

Similar to OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional (20)

Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizadoWebgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
 
Ferramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa ApresentacaoFerramentas De Auditoria De Wa Apresentacao
Ferramentas De Auditoria De Wa Apresentacao
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Como me dei bem com Java
Como me dei bem com JavaComo me dei bem com Java
Como me dei bem com Java
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
REST – Desmistificando A Implementação De Web Services REST Em Java Monografia
REST – Desmistificando A Implementação De Web Services REST Em Java MonografiaREST – Desmistificando A Implementação De Web Services REST Em Java Monografia
REST – Desmistificando A Implementação De Web Services REST Em Java Monografia
 
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]
Monografia restful -_2013_-_desenvolvimento_v17-final-2014[1]
 
Servidor de Help Desk Ocomon
Servidor de Help Desk OcomonServidor de Help Desk Ocomon
Servidor de Help Desk Ocomon
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
Conheça o Cloud Foundry no HCP
Conheça o Cloud Foundry no HCPConheça o Cloud Foundry no HCP
Conheça o Cloud Foundry no HCP
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
 
Desenvolvimento web com python e web2py
Desenvolvimento web com python e web2pyDesenvolvimento web com python e web2py
Desenvolvimento web com python e web2py
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Ferramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareFerramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de software
 
Conhecendo a owasp
Conhecendo a owaspConhecendo a owasp
Conhecendo a owasp
 
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVA
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVAVRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVA
VRaptor - Um Framework MVC Web para desenvolvimento ágil com JAVA
 
Java microservices | Seminário
Java microservices | SeminárioJava microservices | Seminário
Java microservices | Seminário
 
HTML5, Mobile Web e além - Computer on the beach 2015
HTML5, Mobile Web e além - Computer on the beach 2015HTML5, Mobile Web e além - Computer on the beach 2015
HTML5, Mobile Web e além - Computer on the beach 2015
 
Ai ad-tp3-g4-a.ppt
Ai ad-tp3-g4-a.pptAi ad-tp3-g4-a.ppt
Ai ad-tp3-g4-a.ppt
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 

More from Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...Carlos Serrao
 

More from Carlos Serrao (10)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...
 

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional

  • 1. OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  • 2. agenda 2 Agenda Sala:  B2.03 Apresentação  do  OWASP  e  OWASP  Portugal 14:00  -­‐  14:30 Carlos  Serrão OWASP  Top  10  (2010) 14:30  -­‐  15:00 Carlos  Serrão   Segurança  em  PHP 15:00  -­‐  15:45 Joaquim  Marques Criptografia  em  PHP 15:45  -­‐  16:15 Carlos  Serrão Ferramentas  de  Auditoria  de  Vulnerabilidades  em  Aplicações  Web 16:15  -­‐  17:00 Nuno  Teodoro 17:00  -­‐  17:15 Conclusões/Encerramento OWASP @ ISCTE-IUL Abril 2010
  • 3. o que é o OWASP? 3  Open Web Application Security Project  Promove o desenvolvimento seguro de software  Orientado para o desenvolvimento de serviços baseados na web  Focado principalmente em aspectos de desenvolvimento do que em web-design  Um fórum aberto para discussão  Um recurso gratuito e livre para qualquer equipa de desenvolvimento OWASP @ ISCTE-IUL Abril 2010
  • 4. o que é o OWASP? 4  Open Web Application Security Project  an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted  Promover o desenvolvimento seguro  Auxiliar a tomada de decisão quanto ao risco  Oferecer recursos gratuitos  Promover a contribuição e partilha de informação OWASP @ ISCTE-IUL Abril 2010
  • 5. o que é o OWASP? 5  Open Web Application Security Project  Organização sem fins lucrativos, orientada para esforço voluntário  Todos os membros são voluntários  Todo o trabalho é “doado” por patrocinadores  Oferecer recursos livres para a comunidade  Publicações, Artigos, Normas  Software de Testes e de Formação  Chapters Locais & Mailing Lists  Suportada através de patrocínios  Suporte de empresas através de patrocínios financeiros ou de projectos  Patrocínios pessoais por parte dos membros OWASP @ ISCTE-IUL Abril 2010
  • 6. organização do OWASP 6 OWASP @ ISCTE-IUL Abril 2010
  • 7. o que é o OWASP? 7  O que oferece?  Publicações  OWASP Top 10  OWASP Guide to Building Secure Web Applications  Software  WebGoat  WebScarab  oLabs Projects  .NET Projects  Chapters Locais  Orientação das comunidades locais OWASP @ ISCTE-IUL Abril 2010
  • 8. ferramentas e tecnologias OWASP 8 OWASP @ ISCTE-IUL Abril 2010
  • 9. publicações - OWASP top 10 9  Top 10 Web Application Security Risks/Vulnerabilities  Uma lista dos 10 aspectos de segurança mais críticos  Actualizado numa base anual  Crescente aceitação pela indústria  Federal Trade Commission (US Gov)  US Defense Information Systems Agency  VISA (Cardholder Information Security Program)  Está a ser adoptado como um standard de segurança para aplicações web OWASP @ ISCTE-IUL Abril 2010
  • 10. publicações - OWASP guide 10  Guia para o Desenvolvimento Seguro de Web Apps  Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro  Introdução à segurança em geral  Introdução à segurança aplicacional  Discute áreas-chave de implementação  Arquitectura  Autenticação  Gestão de Sessões  Controlo de Acesso e Autorização  Registo de Eventos  Validação de Dados  Em contínuo desenvolvimento OWASP @ ISCTE-IUL Abril 2010
  • 11. software - OWASP WebGoat 11  WebGoat  Essencialmente é uma aplicação de treino  Oferece  Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional  Uma ferramenta para testar ferramentas de segurança  O que é?  Uma aplicação web J2EE disposta em diversas “Lições de Segurança”  Baseado no Tomcat e no JDK 1.5  Orientada para o ensino  Fácil de usar  Ilustra cenários credíveis  Ensina ataques realistas e soluções viáveis OWASP @ ISCTE-IUL Abril 2010
  • 12. software - OWASP WebScarab 12  WebScarab  Uma framework para analisar tráfego HTTP/HTTPS  Escrito em Java  Múltiplas utilizações  Programador: fazer o debug das trocas entre o cliente e servidor  Analista de Segurança: analisa o tráfego e identifica vulnerabilidades  Ferramenta técnica  Focada em programadores de software  Arquitectura extensível de plug-ins  Open source; de fácil expansão  Poderosa  Obter a ferramenta  http://www.owasp.org/software/webscarab.html OWASP @ ISCTE-IUL Abril 2010
  • 13. chapters locais da OWASP 13  Desenvolvimento de comunidades  Os Chapters locais proporcionam oportunidades para os membros OWASP poderem partilhar ideias e aprender mais sobre segurança da informação  Aberto a *TODOS*  Oferecer um fórum para discussão de assuntos em contextos locais/regionais  Oferecer o local para convidados poderem apresentar novas ideias e projectos OWASP @ ISCTE-IUL Abril 2010
  • 14. 14 OWASP @ ISCTE-IUL Abril 2010
  • 15. chapters locais da OWASP 15  O que oferecem?  Reuniões (regulares)  Mailing Lists  Apresentações e Grupos  Ambientes independentes do vendedor  Fóruns de discussão aberta OWASP @ ISCTE-IUL Abril 2010
  • 16. chapters locais da OWASP 16  O que oferecem?  Como contribuir?  Através das ML, reuniões e dos grupos de discussão  Os membros são encorajados a levantarem questões  Os membros são encorajados a participar em projectos OWASP  Contribuir para projectos existentes  Propor novos projectos  Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros OWASP @ ISCTE-IUL Abril 2010
  • 17. OWASP Portugal 17  … alguns dados  Membros  47 membros  Web-site  http://www.owasp.org/index.php/Portuguese  Mailling-List  owasp-portuguese@lists.owasp.org  Chapter Leader  Carlos Serrão (carlos.serrao@iscte.pt)  algumas alterações no Futuro OWASP @ ISCTE-IUL Abril 2010
  • 18. objectivos 18  Participação em alguns dos projectos activos do OWASP (documentação e ferramentas)  Propor o lançamento de novos projectos  Promover a discussão de ideias na nossa lista de correio electrónico  Dinamizar a participação nas nossas reuniões  Organização de conferências  Promover e oferecer suporte à comunidade OWASP em geral, em particular a comunidade portuguesa OWASP @ ISCTE-IUL Abril 2010
  • 19. actividade 19  2007  Nasce o chapter português  Actividade quase nula  2008  OWASP EU Summit 08  Albufeira, Algarve, Portugal  2009  owasp@IPCB, owasp@IPViseu, owasp@UBI  IBWAS’09, Madrid  2010  owasp@ISCTE-IUL  IBWAS’10, Lisboa OWASP @ ISCTE-IUL Abril 2010
  • 20. OWASP EU SUMMIT 2008 20  O *maior* evento OWASP de sempre 1 semana, +100 pessoas (de todo o Mundo)  Apresentação de Projectos  Sessões de Trabalho  Formação  + 1 dia de Demo na UAlg OWASP @ ISCTE-IUL Abril 2010
  • 21. reuniões 21  Objectivos:  Manter um calendário de reuniões periódicas  Realista: 1 reunião/evento a cada 3 ou 4 meses  Promover a missão da OWASP  Promover os projectos, ferramentas e documentação da OWASP  Promover a troca e disseminação livre de informação sobre segurança de informação e segurança de aplicações e sistemas web-based  Promover o lançamento de novas ideias e de novos projectos  Envolver os membros em projectos on-going OWASP @ ISCTE-IUL Abril 2010
  • 22. reuniões 22  A participação nas reuniões da OWASP Portugal é livre e gratuita  Modelo: aparece e traz um amigo (e ideias para partilhar)  Apresentação sobre um tema  Discussão de uma ideia  Debate de problemas  Lançar iniciativas  Planear actividades OWASP @ ISCTE-IUL Abril 2010
  • 23. ideias e projectos 23  Reuniões periódicas  Blog/Site oficial da OWASP@PT  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu/  Eventos de disseminação/formação  Conferências  Projectos de tradução de documentação e ferramentas (em conjunto com OWASP Brasil)  Lançamento de novos projectos  Estreitar relações com OWASP Espanha OWASP @ ISCTE-IUL Abril 2010
  • 24. ideias e projectos 24  Disseminação/Formação  “Evangelizar”  Espalhar a “mensagem” e missão do OWASP  Percorrer Portugal, com enfoque em Instituições de Ensino Superior  Participação em sessões específicas ou integradas em aulas  OWASP Summer School (a pensar no futuro) OWASP @ ISCTE-IUL Abril 2010
  • 25. ideias e projectos 25  Conferências  Organização de conferências abertas quer à participação da comunidade científica quer à comunidade empresarial  Criar o mix perfeito  Realizado e Planeado  IBWAS’09 – First Iberic Conference on Web-Applications Security  Madrid, Espanha  No final de 2009  IBWAS’10 - Ibero-American Web-Applications Security  Lisboa, Portugal  Inicio de Novembro 2010 OWASP @ ISCTE-IUL Abril 2010
  • 26. ideias e projectos 26  Tradução  Ferramentas e documentos da OWASP devem chegar à maior audiência possível  A língua não pode ser uma barreira  Traduzir documentos  OWASP Top Ten  OWASP Web Applications Security Assessment  Traduzir ferramentas  Webgoat  Webscarab  Aproveitar o trabalho já iniciado pelo OWASP Brasil OWASP @ ISCTE-IUL Abril 2010
  • 27. ideias e projectos 27  Novos Projectos  Lançamento de novos projectos inovadores  Apostar em I&D  Estreitar a colaboração com Departamentos de Instituições de Ensino Superior (e não só)  Lançamento e (co-)orientação de  Projectos de Fim de Curso  Projectos de Mestrado e Doutoramento  Captar fundos e incentivos à I&D  FCT  EU  Outros. OWASP @ ISCTE-IUL Abril 2010
  • 28. para finalizar... 28  … juntem-se a nós.  Participem!  Mailing List  Blog  Reuniões  Eventos  Projectos  Ideias  Informação útil  http://www.owasp.org  http://www.owasp.org/index.php/Portuguese  http://webappsec.netmust.eu OWASP @ ISCTE-IUL Abril 2010
  • 29. OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional OWASP e OWASP Portugal ISCTE-­‐IUL/DCTI Carlos  Serrão Instituto  Superior  de  Ciências  do  Trabalho  e  da  Empresa carlos.serrao@iscte.pt Instituto  Universitário  de  Lisboa carlos.j.serrao@gmail.com Departamento  de  Ciências  e  Tecnologias  de  Informação http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao