SlideShare a Scribd company logo

Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolvimento seguro

No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca. O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites. O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos. Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.

1 of 37
Download to read offline
A ilusão das referências
sobre
desenvolvimento seguro
@ThiagoDieb
https://joind.in/talk/36594
Thiago Dieb
Gerente de Desenvolvimento de Sistemas
e consultor em Segurança da informação
http://dieb.com.br
http://aszone.com.br
/thiagodieb
1º REFLEXÃO
Autobahn
REALMENTE EXISTE
CAMINHO SEGURO ?
Autobahn
CERTEZAS :
● NÃO EXISTE sistemas à prova de balas !
● Sempre haverá FALHAS !
● Em algum momento seremos VÍTIMAS !
● A MORTE CHEGARÁ PRA TODOS !
Autobahn
2º REFLEXÃO

Recommended

Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Thiago Dieb
 
Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Segurança em PHP - Blinde seu código de você mesmo!
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Owasp ZAP - Jeronimo Zucco - Tchelinux Caxias 2018
Owasp ZAP - Jeronimo Zucco - Tchelinux Caxias 2018Owasp ZAP - Jeronimo Zucco - Tchelinux Caxias 2018
Owasp ZAP - Jeronimo Zucco - Tchelinux Caxias 2018Tchelinux
 

More Related Content

What's hot

Testando uma aplicação AngularJS utilizando o Karma
Testando uma aplicação AngularJS utilizando o KarmaTestando uma aplicação AngularJS utilizando o Karma
Testando uma aplicação AngularJS utilizando o KarmaHenrique Limas
 
iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressErick Belluci Tedeschi
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP Brasília
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Alcyon Ferreira de Souza Junior, MSc
 
Onde buscar conhecimento? - 3º Zabbix Meetup do Interior
Onde buscar conhecimento? - 3º Zabbix Meetup do InteriorOnde buscar conhecimento? - 3º Zabbix Meetup do Interior
Onde buscar conhecimento? - 3º Zabbix Meetup do InteriorZabbix BR
 
Migrations for Java (Javou #4 - JavaCE)
Migrations for Java (Javou #4 - JavaCE)Migrations for Java (Javou #4 - JavaCE)
Migrations for Java (Javou #4 - JavaCE)Rafael Ponte
 
Criando API Rest no Zend Framework 2
Criando API Rest no Zend Framework 2Criando API Rest no Zend Framework 2
Criando API Rest no Zend Framework 2Rankest
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Sistemas para o Mundo Real
Sistemas para o Mundo RealSistemas para o Mundo Real
Sistemas para o Mundo RealLeandro Silva
 
Composição e Integração de Sistemas em 2013
Composição e Integração de Sistemas em 2013Composição e Integração de Sistemas em 2013
Composição e Integração de Sistemas em 2013Leandro Silva
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"ISCTE
 

What's hot (20)

Apache Maven
Apache MavenApache Maven
Apache Maven
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Dwrsecomp
DwrsecompDwrsecomp
Dwrsecomp
 
Testando uma aplicação AngularJS utilizando o Karma
Testando uma aplicação AngularJS utilizando o KarmaTestando uma aplicação AngularJS utilizando o Karma
Testando uma aplicação AngularJS utilizando o Karma
 
iMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPressiMasters Intercon Dev WordPress - Segurança em WordPress
iMasters Intercon Dev WordPress - Segurança em WordPress
 
Segurança na web
Segurança na webSegurança na web
Segurança na web
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
 
Webpack
Webpack Webpack
Webpack
 
Onde buscar conhecimento? - 3º Zabbix Meetup do Interior
Onde buscar conhecimento? - 3º Zabbix Meetup do InteriorOnde buscar conhecimento? - 3º Zabbix Meetup do Interior
Onde buscar conhecimento? - 3º Zabbix Meetup do Interior
 
Migrations for Java (Javou #4 - JavaCE)
Migrations for Java (Javou #4 - JavaCE)Migrations for Java (Javou #4 - JavaCE)
Migrations for Java (Javou #4 - JavaCE)
 
Criando API Rest no Zend Framework 2
Criando API Rest no Zend Framework 2Criando API Rest no Zend Framework 2
Criando API Rest no Zend Framework 2
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Segurança no plone
Segurança no ploneSegurança no plone
Segurança no plone
 
Conceitos de Ajax
Conceitos de AjaxConceitos de Ajax
Conceitos de Ajax
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Sistemas para o Mundo Real
Sistemas para o Mundo RealSistemas para o Mundo Real
Sistemas para o Mundo Real
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Composição e Integração de Sistemas em 2013
Composição e Integração de Sistemas em 2013Composição e Integração de Sistemas em 2013
Composição e Integração de Sistemas em 2013
 
Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"Apresentação "O CMS Seguro"
Apresentação "O CMS Seguro"
 

Viewers also liked

Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La Rábida 2005)
Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La  Rábida 2005)Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La  Rábida 2005)
Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La Rábida 2005)Universidad Complutense de Madrid
 
Plan de evaluacion sistema bancario virtual julio ii 2016
Plan de evaluacion sistema bancario virtual julio ii 2016Plan de evaluacion sistema bancario virtual julio ii 2016
Plan de evaluacion sistema bancario virtual julio ii 2016juana lolimar mendoza jimenez
 
Para carregar e beber, com muito estilo
Para carregar e beber, com muito estiloPara carregar e beber, com muito estilo
Para carregar e beber, com muito estiloJosé Gabriel Navarro
 
Tablets in Education: Is India ready for their adoption?
Tablets in Education: Is India ready for their adoption?Tablets in Education: Is India ready for their adoption?
Tablets in Education: Is India ready for their adoption?Vishrut Shukla
 
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESR
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESRUnidad 1 Banca Comercial. Origen de la banca en Venezuela UNESR
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESRAdriana Flores
 
DM Estimation in Consumption Registers Based on Past Meter Reading
DM Estimation in Consumption Registers Based on Past Meter ReadingDM Estimation in Consumption Registers Based on Past Meter Reading
DM Estimation in Consumption Registers Based on Past Meter ReadingRakesh Dasgupta
 
DM Seal Management - India Localization
DM Seal Management - India LocalizationDM Seal Management - India Localization
DM Seal Management - India LocalizationRakesh Dasgupta
 
Promotion strategy of clinic plus
Promotion strategy of clinic plusPromotion strategy of clinic plus
Promotion strategy of clinic plusSameer Mathur
 
Cuadro comparativo principales indicadores de la banca
Cuadro comparativo principales indicadores de la bancaCuadro comparativo principales indicadores de la banca
Cuadro comparativo principales indicadores de la bancaeduardo asuaje asuaje camacho
 

Viewers also liked (14)

Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La Rábida 2005)
Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La  Rábida 2005)Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La  Rábida 2005)
Culturas Profesionales, Modelos Orgzvos Y Rels Con La Comd ( La Rábida 2005)
 
CV Abridged
CV AbridgedCV Abridged
CV Abridged
 
Plan de evaluacion sistema bancario virtual julio ii 2016
Plan de evaluacion sistema bancario virtual julio ii 2016Plan de evaluacion sistema bancario virtual julio ii 2016
Plan de evaluacion sistema bancario virtual julio ii 2016
 
Para carregar e beber, com muito estilo
Para carregar e beber, com muito estiloPara carregar e beber, com muito estilo
Para carregar e beber, com muito estilo
 
CV Mushary Al Fardan
CV  Mushary Al Fardan CV  Mushary Al Fardan
CV Mushary Al Fardan
 
Rubrica de evaluaciónquintero
Rubrica de evaluaciónquinteroRubrica de evaluaciónquintero
Rubrica de evaluaciónquintero
 
Tablets in Education: Is India ready for their adoption?
Tablets in Education: Is India ready for their adoption?Tablets in Education: Is India ready for their adoption?
Tablets in Education: Is India ready for their adoption?
 
Matematicas divertidas
Matematicas divertidasMatematicas divertidas
Matematicas divertidas
 
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESR
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESRUnidad 1 Banca Comercial. Origen de la banca en Venezuela UNESR
Unidad 1 Banca Comercial. Origen de la banca en Venezuela UNESR
 
DM Estimation in Consumption Registers Based on Past Meter Reading
DM Estimation in Consumption Registers Based on Past Meter ReadingDM Estimation in Consumption Registers Based on Past Meter Reading
DM Estimation in Consumption Registers Based on Past Meter Reading
 
DM Seal Management - India Localization
DM Seal Management - India LocalizationDM Seal Management - India Localization
DM Seal Management - India Localization
 
Promotion strategy of clinic plus
Promotion strategy of clinic plusPromotion strategy of clinic plus
Promotion strategy of clinic plus
 
Cuadro comparativo principales indicadores de la banca
Cuadro comparativo principales indicadores de la bancaCuadro comparativo principales indicadores de la banca
Cuadro comparativo principales indicadores de la banca
 
Profil alumni 87
Profil   alumni  87Profil   alumni  87
Profil alumni 87
 

Similar to Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolvimento seguro

Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...As Zone
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Thiago Dieb
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)Leandro Lugaresi
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookGiovane Liberato
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR, UnB
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da InformaçãoVinicius Marangoni
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoThiago Dieb
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 

Similar to Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolvimento seguro (20)

Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHP
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSourceSegurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
 
Facsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um poucoFacsenac - De hacker e louco, todo mundo tem um pouco
Facsenac - De hacker e louco, todo mundo tem um pouco
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de VulnerabilidadesMetasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
 
Vivendo de hacking
Vivendo de hackingVivendo de hacking
Vivendo de hacking
 

More from Thiago Dieb

Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...
Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...
Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...Thiago Dieb
 
Agile trends 2021 - Ser líder ou ser liderado, qual o mais difícil
Agile trends 2021  - Ser líder ou ser liderado,  qual o mais difícilAgile trends 2021  - Ser líder ou ser liderado,  qual o mais difícil
Agile trends 2021 - Ser líder ou ser liderado, qual o mais difícilThiago Dieb
 
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...Thiago Dieb
 
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...Thiago Dieb
 
15º encontro de gerenciamento de projetos #15 egp - Metodologia ágil a favo...
15º encontro de gerenciamento de projetos   #15 egp - Metodologia ágil a favo...15º encontro de gerenciamento de projetos   #15 egp - Metodologia ágil a favo...
15º encontro de gerenciamento de projetos #15 egp - Metodologia ágil a favo...Thiago Dieb
 
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...Thiago Dieb
 
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das MáquinasWordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das MáquinasThiago Dieb
 
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPressFlisol DF 2015 - WordPress vs Hacker . blindando seu WordPress
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPressThiago Dieb
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
 
Meetup WordPress Brasília 2014 - WordPress vs Hacker
 Meetup WordPress Brasília 2014 - WordPress vs Hacker Meetup WordPress Brasília 2014 - WordPress vs Hacker
Meetup WordPress Brasília 2014 - WordPress vs HackerThiago Dieb
 
Fisl 16 - Como informar os resultados da eleição antes do tse
Fisl 16 - Como informar os resultados da eleição antes do tseFisl 16 - Como informar os resultados da eleição antes do tse
Fisl 16 - Como informar os resultados da eleição antes do tseThiago Dieb
 
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...Thiago Dieb
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
 
Minicurso de Lógica e Linguagem Java 6.0
Minicurso de Lógica e Linguagem Java 6.0Minicurso de Lógica e Linguagem Java 6.0
Minicurso de Lógica e Linguagem Java 6.0Thiago Dieb
 

More from Thiago Dieb (14)

Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...
Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...
Agile Day - Gestão de Projetos com Métodos ágeis de Larga escala:Fatores d...
 
Agile trends 2021 - Ser líder ou ser liderado, qual o mais difícil
Agile trends 2021  - Ser líder ou ser liderado,  qual o mais difícilAgile trends 2021  - Ser líder ou ser liderado,  qual o mais difícil
Agile trends 2021 - Ser líder ou ser liderado, qual o mais difícil
 
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...
TDC 2017 SP - NoSQL - Sistema de busca na administração pública, com MongoDb ...
 
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...
TDC 2017 SP - Agile Coaching - Os segredos e os benefícios de se tornar um pr...
 
15º encontro de gerenciamento de projetos #15 egp - Metodologia ágil a favo...
15º encontro de gerenciamento de projetos   #15 egp - Metodologia ágil a favo...15º encontro de gerenciamento de projetos   #15 egp - Metodologia ágil a favo...
15º encontro de gerenciamento de projetos #15 egp - Metodologia ágil a favo...
 
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...
Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...
 
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das MáquinasWordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas
WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas
 
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPressFlisol DF 2015 - WordPress vs Hacker . blindando seu WordPress
Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
 
Meetup WordPress Brasília 2014 - WordPress vs Hacker
 Meetup WordPress Brasília 2014 - WordPress vs Hacker Meetup WordPress Brasília 2014 - WordPress vs Hacker
Meetup WordPress Brasília 2014 - WordPress vs Hacker
 
Fisl 16 - Como informar os resultados da eleição antes do tse
Fisl 16 - Como informar os resultados da eleição antes do tseFisl 16 - Como informar os resultados da eleição antes do tse
Fisl 16 - Como informar os resultados da eleição antes do tse
 
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...
Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
 
Minicurso de Lógica e Linguagem Java 6.0
Minicurso de Lógica e Linguagem Java 6.0Minicurso de Lógica e Linguagem Java 6.0
Minicurso de Lógica e Linguagem Java 6.0
 

Recently uploaded

ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx
ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docxATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx
ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx2m Assessoria
 
Aula 01 - Desenvolvimento web - A internet.pptx
Aula 01 - Desenvolvimento web - A internet.pptxAula 01 - Desenvolvimento web - A internet.pptx
Aula 01 - Desenvolvimento web - A internet.pptxHugoHoch2
 
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docx
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docxMAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docx
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docxjosecarlos413721
 
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docxATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx2m Assessoria
 
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxMAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxjosecarlos413721
 
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES  - 512024.docxATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES  - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx2m Assessoria
 
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docxATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx2m Assessoria
 
MAPA -INTRODUÇÃO À ENGENHARIA - 512024.docx
MAPA -INTRODUÇÃO À ENGENHARIA  - 512024.docxMAPA -INTRODUÇÃO À ENGENHARIA  - 512024.docx
MAPA -INTRODUÇÃO À ENGENHARIA - 512024.docx2m Assessoria
 
Uniagil - LACP - Lean Agile Coach Professional 2024.pdf
Uniagil - LACP - Lean Agile Coach Professional 2024.pdfUniagil - LACP - Lean Agile Coach Professional 2024.pdf
Uniagil - LACP - Lean Agile Coach Professional 2024.pdfPatriciaAraujo658854
 
Apresentação bichinhos da TI: o que é esse arquiteto de software
Apresentação bichinhos da TI: o que é esse arquiteto de softwareApresentação bichinhos da TI: o que é esse arquiteto de software
Apresentação bichinhos da TI: o que é esse arquiteto de softwareAleatório .
 
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docx
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docxATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docx
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docxjosecarlos413721
 
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxjosecarlos413721
 
MAPA - DESENHO TÉCNICO - 51-2024.docx
MAPA   -   DESENHO TÉCNICO - 51-2024.docxMAPA   -   DESENHO TÉCNICO - 51-2024.docx
MAPA - DESENHO TÉCNICO - 51-2024.docx2m Assessoria
 

Recently uploaded (13)

ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx
ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docxATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx
ATIVIDADE 1- TEORIAS DA ADMINISTRAÇÃO - 512024.docx
 
Aula 01 - Desenvolvimento web - A internet.pptx
Aula 01 - Desenvolvimento web - A internet.pptxAula 01 - Desenvolvimento web - A internet.pptx
Aula 01 - Desenvolvimento web - A internet.pptx
 
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docx
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docxMAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docx
MAPA - INTRODUÇÃO À ENGENHARIA - 51-2024.docx
 
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docxATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - ADMINISTRAÇÃO FINANCEIRA E ORÇAMENTÁRIA - 512024.docx
 
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxMAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
MAPA - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
 
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES  - 512024.docxATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES  - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
 
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docxATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx
ATIVIDADE 1 - CCONT - PERÍCIA, ARBITRAGEM E ATUÁRIA - 512024.docx
 
MAPA -INTRODUÇÃO À ENGENHARIA - 512024.docx
MAPA -INTRODUÇÃO À ENGENHARIA  - 512024.docxMAPA -INTRODUÇÃO À ENGENHARIA  - 512024.docx
MAPA -INTRODUÇÃO À ENGENHARIA - 512024.docx
 
Uniagil - LACP - Lean Agile Coach Professional 2024.pdf
Uniagil - LACP - Lean Agile Coach Professional 2024.pdfUniagil - LACP - Lean Agile Coach Professional 2024.pdf
Uniagil - LACP - Lean Agile Coach Professional 2024.pdf
 
Apresentação bichinhos da TI: o que é esse arquiteto de software
Apresentação bichinhos da TI: o que é esse arquiteto de softwareApresentação bichinhos da TI: o que é esse arquiteto de software
Apresentação bichinhos da TI: o que é esse arquiteto de software
 
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docx
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docxATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docx
ATIVIDADE 1 - RH - TEORIAS DA ADMINISTRAÇÃO - 51-2024.docx
 
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docxATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
ATIVIDADE 1 - ADSIS - FUNDAMENTOS E ARQUITETURA DE COMPUTADORES - 512024.docx
 
MAPA - DESENHO TÉCNICO - 51-2024.docx
MAPA   -   DESENHO TÉCNICO - 51-2024.docxMAPA   -   DESENHO TÉCNICO - 51-2024.docx
MAPA - DESENHO TÉCNICO - 51-2024.docx
 

Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolvimento seguro

  • 1. A ilusão das referências sobre desenvolvimento seguro @ThiagoDieb https://joind.in/talk/36594
  • 2. Thiago Dieb Gerente de Desenvolvimento de Sistemas e consultor em Segurança da informação http://dieb.com.br http://aszone.com.br /thiagodieb
  • 5. CERTEZAS : ● NÃO EXISTE sistemas à prova de balas ! ● Sempre haverá FALHAS ! ● Em algum momento seremos VÍTIMAS ! ● A MORTE CHEGARÁ PRA TODOS ! Autobahn
  • 7. ESTAMOS CERTOS DE QUAL CAMINHO SEGUIR ?
  • 8. INCERTEZAS: ● Como construir SISTEMAS SEGUROS ? ● Meu sistema têm VULNERABILIDADES ? ● Como fui INVADIDO? ● Como ele INVADIU novamente ? ● Extraterrestre EXISTE?
  • 10. Conhecem este senhor ? Realidade ? ● Programador ● Origem Alemã ● Desenvolvedor do OpenSSL ● Responsável por uma das maiores vulnerabilidades de 2014
  • 11. “em uma das novas funcionalidades, infelizmente, eu me esqueci de validar uma variável contendo um comprimento” Robin-Seggelmann Responsável pelo HeartBleed, desde 2011. Revisor - Dr Stephen Henson, até então não deu sinal. Realidade ?
  • 12. Falha 2412 /* Read type and payload length first */ 2413 hbtype = *p++; 2414 n2s(p, payload); 2415 pl = p; Correção + /* Read type and payload length first */ + if (1 + 2 + 16 > s->s3->rrec.length) + return 0; /* silently discard */ + hbtype = *p++; + n2s(p, payload); + if (1 + 2 + payload + 16 > s->s3->rrec.length) + return 0; /* silently discard per RFC 6520 sec. 4 */ + pl = p; Realidade ?
  • 15. Desenvolvimento Seguro ● Muitos desafios ● Procedimentos complexos ● Poucos conhecem ● Não há garantia de 100% de segurança
  • 16. OWASP - Top 10 ● A1 - Injection ● A2 - Broken Authentication and Session Management ● A3 - Cross-Site Scripting (XSS) ● A4 - Insecure Direct Object References ● A5 - Security Misconfiguration ● A6 - Sensitive Data Exposure ● A7 - Missing Function Level Access Control ● A8 - Cross-Site Request Forgery (CSRF) ● A9 - Using Components with Known Vulnerabilities ● A10 - Unvalidated Redirects and Forwards
  • 19. Sql Injection Ataque que proporciona o invasor inserir ou manipular consultas SQL`s utilizadas por uma aplicação
  • 20. Sql Injection Como o problema pode ser resolvido ?
  • 21. 1º ilusão "Confiar em todas as informações da internet"
  • 22. Sql Injection Resultado de uma simples busca no google : http://www.vivaolinux.com.br/script/Funcao-Anti- MySQL-Injection-Proteja-sua-aplicacao http://phpbrasil.com/artigo/v5Ejt4VOld2r/anti-sql- injection--solucao-global
  • 23. Sql Injection Bypass: ● “Sele*ct login,senha frofromm tabela_x” ● “Select login,senha from tabela_x Onde está o erro? Implementações sugeridas pelos artigos: ● “Select login,senha from tabela_x” => “login,senha tabela_x” ● preg_replace(sql_regcase("/ (from|select|insert|delete|where|drop table|show tables|#|*|-- |)/"), "" ,$sql);
  • 24. Sql Injection Considerações: ● Sempre aplique validação nas entradas de dados, exemplo: ○ Inteiros - valide como inteiro ○ Strings - exclua as aspas ○ true, false - converta para bollean ● Utilize camada de abstração de dados (ORM). ● Recurso a Prepared Statements.
  • 25. File Upload Vulnerabilidade que permite efetuar upload de algum arquivo, no qual o sistema não está preparado.
  • 26. 2º ilusão "Acreditar nas primeiras informações"
  • 27. File Upload Resultado de uma simples busca no google : http://www.uolhost.com.br/faq/hospedagem/como-fazer-o- upload-de-arquivos-via-php.html#rmcl http://wiki.locaweb.com/pt-br/PHP_- _Upload_de_arquivos
  • 28. File Upload Implementações sugeridas pelos artigos: ● Simplesmente não valida nada, e ainda diz pra usar 777 na pasta. ● if (!(eregi(".php$", $_FILES[arquivo][name]))) { ● Esqueceu que apache interpreta, .php3, .php5
  • 29. File Upload Considerações: ● Ajustar as configurações dos serviços WEB; ● IIS merece atenção; ● Não confie apenas no mimetype ou extensão; ● Atenção nas permissões de pastas, arquivos e usuários; ● Monitoramento constante; ● Trabalhe com aplicações em ambientes segregados; ● Verifique todas possíbilidades do white ou blacklist da função.
  • 30. Local File Download / Disclosure É a vulnerabilidade que possibilita a apresentação ou o download de arquivos, independente da linguagem: php, asp, java..
  • 31. 3º ilusão "Copiar e colar, e nunca validar as informações"
  • 32. https://www.developphp.com/video/PHP/Force-File- Download-Dialog-In-Browser-Tutorial Local File Download / Disclosure http://www.devmedia.com.br/forcar-download-de-arquivos- com-php/17097 Resultado de uma simples busca no google :
  • 33. Local File Download / Disclosure Implementações sugeridas pelos artigos: ● Inclusão das informações no lado do cliente. ● input hidden inserindo “../” e o arquivo que queremos. ● Validação total dos arquivos php ● Mas esquecem que existe arquivos de configurações em ini,yml,inc.
  • 34. Considerações: ● Validação do lado do Servidor ● Crie filtros por "whitelist". ● Defina previamente o caminho das pastas. ● Não permita navegação - “../” ● Validação por registro na base de dados. Local File Download / Disclosure
  • 36. ● Segurança não é uma "coisa" e sim um "estado". ● Pense como hacker, pense diferente, ataque a si próprio; ● Utilizer diretrizes de desenvolvimento seguro; ● Monitore seus sistemas; ● A equipe de Infraestrutura não é seu inimigo, confie neles. ● Pratique "Code review" e "Par programming"; ● Pentest em cada ciclo de desenvolvimento; ● Aplique infraestrutura voltada para segurança; ● Analise logs e movimentações estranhas; ● Mantenha informado e atualizado sempre sobre segurança; Desenvolvimento Seguro