Your SlideShare is downloading. ×

Website security

235

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
235
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Website SecurityTecnologias e/oumeios de proteção para sites Thiago Morais Segurança da Informação 1o Período – Noturno Novembro / 2012
  • 2. SumárioTop 10 – Vulnerabilidades Pág. 1Métodos para elevar a segurança Pág. 1Bibliografia Pág. 4
  • 3. Top 10 - Vulnerabilidades De acordo com a OWASP (The Open Web Application Security Project), uma organizaçãofocada em melhorar a segurança em softwares, as vulnerabilidades mais críticas que afetam asegurança de aplicações Web são: Original, em inglês Métodos para elevar a segurança “Desculpe por dizer, mas são pessoas que usam a palavra senhacomo senha em tudo e aqueles que possuem um antivírus há 2 anosdesatualizado é que atraem a atenção dos hackers. Se todo mundo tivesseuma maior preocupação em proteger seus próprios dados, hackers teriamdificuldades maiores. Do jeito que está, muitas pessoas desconhecem suaspróprias vulnerabilidades. E isto, para hackers, é um jogo de números –eventualmente eles encontrarão um site com baixa segurança paradanificar. Mas este site não precisa ser o seu!” Blue Derkin, Junho 15 - 2010 Os links para todos os sites descritos neste trabalho estão devidamente categorizados na seção “Bibliografia”. Página 1
  • 4. Seguem abaixo algumas políticas de segurança para evitar que um site seja alterado oudanificado indevidamente: 01 – Utilizar as versões mais recentes Este é um dos métodos mais simples para estar um ou dois passos à frente dos hackers.Fazendo o download das últimas versões do Apache, IIS, Java, PHP, Tomcat e outros, é possívelreforçar um pouco mais a segurança. 02 – Criar senhas mais complexas Evitar o uso de senhas fáceis de adivinhar, como por exemplo o nome da esposa ou“123456”. O ideal é criar senhas acima de 12 caracteres, misturando letras e números, cada umadiferente para cada conta ou computador, e que seja familiar e fácil de lembrar. 03 – Travar permissões de arquivo Alguns aplicativos requerem, para a instalação, que elas sejam alteradas para “777”. Apósa instalação destes aplicativos, é recomendado voltar as permissões para “755” (Pastas) e “644”(Arquivos). 04 – Validação de código Para checar se o código usado em um site segue métodos estabelecidos por instituiçõesfocadas em padronização, como a W3C, é recomendado passar o site em uma série de testes devalidação. Exemplos:– W3C Markup Validation Service: Checa se o código HTML não possui erros de sintaxe ouquaisquer outros erros que possam compremeter o correto funcionamento do mesmo.– W3C CSS Validator: Checa o código CSS de um site com os mesmos princípios descritos para achecar do código HTML. A validação de código é essencial para descobrir potenciais “vazamentos” de informaçõesque hackers podem utilizar para ganhar acesso a um site, além de garantir a padronização para avisualização correta do código HTML entre navegadores. 05 – Cross Site Scripting (XSS) Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança de umcomputador, encontrado normalmente em aplicações web que activam ataques maliciosos aoinjectarem client-side script dentro das páginas web vistas por outros usuários. Um script de Página 2
  • 5. exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aoscontroles de acesso que usam a mesma política de origem. Através de um XSS, o Cracker injeta códigos JavaScript em um campo texto de uma páginajá existente e este JavaScript é apresentado para outros usuários. Exemplo de ataque: Imaginem que o cracker insira em um fórum de um website alvo deataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo,simular a página de login do site, capturar os valores digitados e enviá-los a um site que osarmazene. Quando o texto do fórum for apresentado a outros usuários, um site atacado peloXSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outrosusuários, provocando a brecha de ataque. Para diminuir o risco contra este ataque, a melhor política é escanear o site em questãopara checar se o mesmo é vulnerável. Sites como XSS Scanner mostram um relatório completo,contendo as vulnerabilidades e dicas de como remediá-las. BibliografiaXSS Scanner http://bit.ly/biUz9yTesting for Reflected Cross site scripting http://bit.ly/sNSdN0OWASP – Cross Site Scripting (XSS) http://bit.ly/fcNVjaWikipédia – Cross Site Scripting (PT) http://bit.ly/7rSpjBWikipedia – Cross Site Scripting (EN) http://bit.ly/Q2fTEu10 Ways to Beef Up Your Websites Security http://bit.ly/PLEI0 oOWASP Top Ten Project http://bit.ly/fXsJg6 Página 3

×