Teste de segurança em aplicações web ( sites )

3,803 views

Published on

Teste de segurança

Roteiro de apresentação

- Introdução
- Problemas
- Principais Falhas
- Causas de invasões
- Open Source

Introdução

No inicio da internet, segurança não era preocupação.
Hoje a maioria dos sites é uma aplicação
Possuem muitas funcionalidades
Suportam login, transações comercias.
Conteúdo dinâmico.
Informações confidencias.

Por que fazer teste de segurança?
Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.

Aumento de incidentes de 61% de 2008 para 2009.
Aumento de 11530% de 1999 até 2009.
Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.
Site blindado 70% dos sites corporativo possuem falhas graves.

“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1

- Top 10 de falhas mais comuns

Falhas de injeção (SQL INJECTION)
Falhas de autenticação e de gerenciamento de sessão
Problemas de configuração
Falhas ao restringir o acesso a alguma URL
Redirecionamento inválidos Ex: Js.
Tecnologia Ex: Apache, php, asp.
Página de login sem critografia.
Proteção na camada de transporte de informação
Sem criptografia (MD5)
Certificados inválidos (E-commerce)

- Por que fazer teste de segurança?

- O usuário pode enviar QUALQUER dado

- Deve-se assumir que toda entrada pode ser maliciosa.
- Usuários não irão usar apenas o navegador para acessar a aplicação

- Exemplos de ataques (Sql injection)
- O que vai acontecer se eu clicar em ok?

- Teste de segurança X Vulnerabilidades



Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
3,803
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
65
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Teste de segurança em aplicações web ( sites )

  1. 1. Teste de segurança Alunos:Pablo Ribeiro / Wilkins Guimarães
  2. 2. Teste de segurança Roteiro de apresentação Introdução Problemas Principais Falhas Causas de invasões Open Source
  3. 3. Um pouco sobre a internetIntrodução• No inicio da internet, segurança não erapreocupação.• Hoje a maioria dos sites é uma aplicação • Possuem muitas funcionalidades • Suportam login, transações comercias. • Conteúdo dinâmico. • Informações confidencias.
  4. 4. Teste de segurançaPor que fazer teste de segurança?
  5. 5. Teste de segurança Por que fazer teste de segurança? • Apesar do aumento da preocupação, incidentes vêm aumentando ano a no. • Aumento de incidentes de 61% de 2008 para 2009. • Aumento de 11530% de 1999 até 2009. • Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave. • Site blindado 70% dos sites corporativo possuem falhas graves.“Sites maliciosos aumentaram 240% em 2011 na webmundial, diz estudo.” G1
  6. 6. Teste de segurançaTop 10 de falhas mais comuns• Falhas de injeção (SQL INJECTION)• Falhas de autenticação e de gerenciamento de sessão• Problemas de configuração• Falhas ao restringir o acesso a alguma URL• Redirecionamento inválidos Ex: Js.• Tecnologia Ex: Apache, php, asp.• Página de login sem critografia.• Proteção na camada de transporte de informação • Sem criptografia (MD5) • Certificados inválidos (E-commerce)
  7. 7. Teste de segurançaMotivos de ataques• Sites com muitos acessos• Sites / Sistema de domínio público• Funcionários insatisfeitos• Dinheiro• E outros
  8. 8. Teste de segurançaPor que fazer teste de segurança?• O usuário pode enviar QUALQUER dado • Deve-se assumir que toda entrada pode ser maliciosa. • Usuários não irão usar apenas o navegador para acessar a aplicação
  9. 9. Teste de segurançaPor que fazer teste de segurança?• Exemplos de ataques (Sql injection) • O que vai acontecer se eu clicar em ok?
  10. 10. Teste de segurançaPor que fazer teste de segurança?• Clicando em ok consigo entrar dentro sistema• Com uso de algumas aplicações consigo acessar banco de dados, arquivos e etc.
  11. 11. Teste de segurançaPor que fazer teste de segurança?• www.seusite.com.br/cursos.php?id=303&tipo=2
  12. 12. Teste de segurançaTeste de segurança X Vulnerabilidades
  13. 13. Teste de segurança X Vulnerabilidades Saia na frente... • Faça validações na entradas de dados. • Ex: upload de imagens .png .gif .jpg. • Ex: upload de arquivos .doc .docx .pdf e etc. • Login e senhas com criptografia (MD5) • Limitar a entrada de dados ex: 20 caracteres. • Controle de acessos • Ex: nenhum usuário pode fazer 200 acessos em 2 minutos, bloqueia temporariamente o ip. • Bloqueio das notificações de erro • Servidor Apache php.ini
  14. 14. Teste de segurança Jamais esqueça de fazer teste de segurança• Retrabalho, desenvolver novamente uma aplicação• Imagem negativa para empresa• Imagem negativa para clientes de clientes• Sistemas expostos em fórum de hacks • http://www.zone-h.org/ • http://forum.guiadohacker.com.br/• Prejuízo financeiro
  15. 15. Teste de segurançaNão reinvente a roda... • Conheça projetos open source. • Gerenciadores de conteúdo • Wordpress • Drupal • Joomla • Lojas virtuais (Ecommerce) • Magento • PrestaShop • OpenCart • Joomla Estude se no seu projeto e possível utilizar um cms open source.
  16. 16. Teste de segurança

×