DevDay 2011<br />
As 10 maiores falhas de segurança e como executá-las.<br />Walter Dias<br />twitter: @walterbh<br />
Agenda<br /><ul><li>Sobre o OWASP
A01 - Injection
A02 - Cross-Site Scripting (XSS)
A03 - Broken Authentication and Session Management
A04 - Insecure Direct Object References
A05 - Cross Site Request Forgery (CSRF)
A06 - Security Misconfiguration
A07 - Insecure Cryptographic Storage
A08 - Failure to Restrict URL Access
A09 - Insufficient  Transport Layer  Protection
A10 - Malicious File Execution
Conclusão</li></li></ul><li>Sobre o OWASP<br /><ul><li>Comunidade aberta.
Sem fins lucrativos.
Tem como finalidade auxiliar o ALM no que tange segurança.
Upcoming SlideShare
Loading in …5
×

As 10 maiores falhas de segurança e como executá-las

1,227 views

Published on

Minha apresentação do DevDay 2011

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,227
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
30
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

As 10 maiores falhas de segurança e como executá-las

  1. 1. DevDay 2011<br />
  2. 2. As 10 maiores falhas de segurança e como executá-las.<br />Walter Dias<br />twitter: @walterbh<br />
  3. 3. Agenda<br /><ul><li>Sobre o OWASP
  4. 4. A01 - Injection
  5. 5. A02 - Cross-Site Scripting (XSS)
  6. 6. A03 - Broken Authentication and Session Management
  7. 7. A04 - Insecure Direct Object References
  8. 8. A05 - Cross Site Request Forgery (CSRF)
  9. 9. A06 - Security Misconfiguration
  10. 10. A07 - Insecure Cryptographic Storage
  11. 11. A08 - Failure to Restrict URL Access
  12. 12. A09 - Insufficient Transport Layer Protection
  13. 13. A10 - Malicious File Execution
  14. 14. Conclusão</li></li></ul><li>Sobre o OWASP<br /><ul><li>Comunidade aberta.
  15. 15. Sem fins lucrativos.
  16. 16. Tem como finalidade auxiliar o ALM no que tange segurança.
  17. 17. Segundo o OWASP existem no mínimo 300 falhas que afetam a WEB.
  18. 18. Sobre o OWASP Top 10.
  19. 19. Publicações adicionais.</li></li></ul><li>A01 - Injection<br /><ul><li>O que é</li></ul>É uma técnica que visa introdução de elementos.<br /><ul><li>Tipos de Injeção</li></ul>SQL<br />Script<br />XML<br />LDAP<br /><ul><li>Quem já sofreu
  20. 20. Demo</li></li></ul><li>A02 – Cross-Site Scripting (XSS)<br /><ul><li>O que é</li></ul>É uma técnica injeção.<br /><ul><li>Detecção</li></ul>Fácil desde que...<br />Difícil quando...<br /><ul><li>Quem já sofreu
  21. 21. Demo</li></li></ul><li>A03 - Broken Authentication and Session Management<br /><ul><li>O que é</li></ul>Ocorre quando o invasor toma posse das informações sensíveis para se passar pelo usuário do sistema.<br /><ul><li>Execução...</li></ul>Fácil quando...<br />Difícil quando...<br /><ul><li>Demo</li></li></ul><li>A04 - InsecureDirectObjectReferences<br /><ul><li>O que é</li></ul>Esse problema ocorre quando um usuário consegue acessar um recurso em um sistema, ao qual ele não possui permissão, através de um acesso direto a este recurso.<br /><ul><li>Execução</li></ul>Fácil quando...<br />Moderado quando...<br /><ul><li>Quem já sofreu
  22. 22. Demo</li></li></ul><li>A05 - Cross Site Request Forgery (CSRF)<br /><ul><li>O que é</li></ul>Através de uma URL alterada, o invasor força o usuário a realizar uma operação não desejada.<br />É conhecido também como:<br />one-click attack<br /><ul><li>Fácil de se executar uma vez se conheça o contexto de negocio.
  23. 23. Demo</li></li></ul><li>A06 - Security Misconfiguration<br /><ul><li>O que é</li></ul>Ocorre quando o invasor do sistema devido a uma falha de configuração do mesmo, expõem dos que permite que um usuário do sistema tenha acesso ou permissão de alteração em informações não cabíveis a ele.<br /><ul><li>Considerado como porta de entrada para possíveis “exploits”.
  24. 24. Demo</li></li></ul><li>A07 - InsecureCryptographicStorage<br /><ul><li>O que é</li></ul>Armazenar dados sensíveis na base de dados é sempre um desafio e deve ser considerado ao máximo. Quando esse tipo de dados for armazenado sem a devida proteção, um invasor ou até mesmo um usuário do sistema pode se apossar dessas informações.<br /><ul><li>Justificativa através de falsas considerações.
  25. 25. Demo</li></li></ul><li>A08 - Failure to Restrict URL Access<br /><ul><li>O que é</li></ul>Semelhante ao item 4, essa vulnerabilidade consiste no invasor acessar diretamente uma URL que não possui acesso.<br /><ul><li>Segurança por obscuridade.
  26. 26. Demo</li></li></ul><li>A09 - InsufficientTransportLayerProtection<br /><ul><li>O que é</li></ul>Ocorre quando o invasor consegue monitorar os dados trafegados em uma rede, interceptando as informações sensíveis que não possuem proteção.<br /><ul><li>Facilmente executado em conjunto com o ataque “MaliciousFile Execution”.
  27. 27. Demo</li></li></ul><li>A10 - Malicious File Execution<br /><ul><li>O que é</li></ul>O invasor utiliza falhas nas verificações dos dados e envia um arquivo malicioso para o servidor web, executando-o depois.<br /><ul><li>Cria a possibilidade de execução de diversos outros ataques.
  28. 28. Demo</li></li></ul><li>Conclusão<br /><ul><li>Falhas vão acontecer.
  29. 29. Jamais duvide da capacidade de seu usuário.
  30. 30. Não precisamos de ataques elaborados para causar estragos.
  31. 31. Boas praticas continuam sendo nossas amigas.
  32. 32. Existe uma larga gama de material na internet.
  33. 33. Esteja preparado.</li></li></ul><li>Obrigado<br />

×