0
Treinamento AJAX
Segurança

Waelson Negreiros
Email: waelson@gmail.com
Blog: http://waelson.com.br
Agenda
 Segurança

da Informações
 Entendendo as falhas
 Canais Seguros
 Injeção de SQL
Segurança da Informações
 Relacionado

a proteção de um conjunto de

dados;
 Informação é o maior ativo das empresas;
 ...
Segurança da Informações
 Mecanismos


Controles físicos




de Segurança

Limita o contato com a informações ou infra...
Segurança da Informações
 Mecanismos






de Controle Lógico

Criptografia
Assinatura Digital
Controle de Acesso: b...
Segurança da Informações
 Aplicações

Web são frágeis;

 Razões:




Desenvolvedores não capacitados;
Requisitos não ...
Segurança da Informações
 Principais









falhas no desenvolvimento

Cross-Site Scripting (XSS)
Manipulação d...
Entendendo as falhas
 Cross-Site


Scripting (XSS)

Permite executar scripts maliciosos no navegador
Entendendo as falhas
 Manipulação


de dados ocultos

A aplicação permite acesso indevido a dados
ocultos.
Entendendo as falhas
 Falha

na restrição de acesso a URL

A aplicação permite acesso à módulos o qual o
usuário não tem ...
Entendendo as falhas
 Tratamento


indevido de erros

Informações sensíveis são expostas quando
acontece um erro com a a...
Entendendo as falhas
 Dados

valiosos não criptografados



Dados sensiveis ficam armazenados de forma
não criptografada...
Entendendo as falhas
 Canais

inseguros



A aplicação trafega dados sensíveis através de
canais não-seguro



Ex: Não ...
Entendendo as falhas
 Injeção

de comandos



Atacante explora a injeção de comandos a serem
processados por outro siste...
Entendendo as falhas
 Processo

inadequado de cadastro de usuário



O cadastro de usuários da aplicação não segue
recom...
Canais Seguros
 Diz

respeito por onde os dados irão trafegar;
 TLS (predecessor SSL);
 Protocolo Criptográfico;
 Func...
Canais Seguros
 Utilizados


por grandes instituições

Visa, Mastercard e American Express
Injeção SQL
 SQL




Linguagem textual para interagir com o banco de
dados
DDL e DML

 Injeção


SQL

Atacante inseri...
Injeção SQL
 Validando

o acesso do usuário

SELECT * FROM usuario WHERE login=‘waelson’ AND senha=‘@wa3’
SELECT * FROM u...
Upcoming SlideShare
Loading in...5
×

Treinamento ajax 05

200

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
200
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Treinamento ajax 05"

  1. 1. Treinamento AJAX Segurança Waelson Negreiros Email: waelson@gmail.com Blog: http://waelson.com.br
  2. 2. Agenda  Segurança da Informações  Entendendo as falhas  Canais Seguros  Injeção de SQL
  3. 3. Segurança da Informações  Relacionado a proteção de um conjunto de dados;  Informação é o maior ativo das empresas;  Características básica:    Confidencialidade Integridade Disponibilidade
  4. 4. Segurança da Informações  Mecanismos  Controles físicos   de Segurança Limita o contato com a informações ou infraestrutura Controle Lógico  Limita o acesso a informação
  5. 5. Segurança da Informações  Mecanismos      de Controle Lógico Criptografia Assinatura Digital Controle de Acesso: biometria, firewall e etc Honeypot Protocolos Seguros
  6. 6. Segurança da Informações  Aplicações Web são frágeis;  Razões:    Desenvolvedores não capacitados; Requisitos não funcionais não identificados; Ferramentas não detectam todos os erros;
  7. 7. Segurança da Informações  Principais         falhas no desenvolvimento Cross-Site Scripting (XSS) Manipulação de dados ocultos Falha na restrição de acesso a URL Tratamento indevido de erros Dados valiosos não criptografados Canais inseguros; Injeção de comandos; Processo inadequado de cadastro de usuário
  8. 8. Entendendo as falhas  Cross-Site  Scripting (XSS) Permite executar scripts maliciosos no navegador
  9. 9. Entendendo as falhas  Manipulação  de dados ocultos A aplicação permite acesso indevido a dados ocultos.
  10. 10. Entendendo as falhas  Falha na restrição de acesso a URL A aplicação permite acesso à módulos o qual o usuário não tem permissão de acesso. Ex: http://erp.minhaempresa/empregado  http://erp.minhaempresa/administracao
  11. 11. Entendendo as falhas  Tratamento  indevido de erros Informações sensíveis são expostas quando acontece um erro com a aplicação. Ex: Aplicação não trata o erro adequadamente e exibe ao usuário o nome de uma tabela.
  12. 12. Entendendo as falhas  Dados valiosos não criptografados  Dados sensiveis ficam armazenados de forma não criptografada ou usa criptografia inadequada.  Ex: Senhas e números de cartões não criptografados no banco de dados ou cookies. Desenvolvedor cria seu próprio mecanismo de criptografia.
  13. 13. Entendendo as falhas  Canais inseguros  A aplicação trafega dados sensíveis através de canais não-seguro  Ex: Não uso do TLS em sistemas de e-commerce
  14. 14. Entendendo as falhas  Injeção de comandos  Atacante explora a injeção de comandos a serem processados por outro sistema ou camada.  Ex: SQL Injection
  15. 15. Entendendo as falhas  Processo inadequado de cadastro de usuário  O cadastro de usuários da aplicação não segue recomendações de segurança.  Ex: Uso de senha “123456”
  16. 16. Canais Seguros  Diz respeito por onde os dados irão trafegar;  TLS (predecessor SSL);  Protocolo Criptográfico;  Funcionamento:    Cliente conhece o servidor e servidor conhece o cliente; Cada solicitação é autenticada; Dados trafegados são criptografados.
  17. 17. Canais Seguros  Utilizados  por grandes instituições Visa, Mastercard e American Express
  18. 18. Injeção SQL  SQL   Linguagem textual para interagir com o banco de dados DDL e DML  Injeção  SQL Atacante inserir instruções SQL dentro de uma query através da entrada de dados.
  19. 19. Injeção SQL  Validando o acesso do usuário SELECT * FROM usuario WHERE login=‘waelson’ AND senha=‘@wa3’ SELECT * FROM usuario WHERE login=‘waels’on’ AND senha=‘@wa3’
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×