Escolar Documentos
Profissional Documentos
Cultura Documentos
OWASP
AGENDA
Introduo Conceitos e Notcias Principais Vulnerabilidades Exploradas Exemplos Material de pesquisa
2008
2 OWASP
2008
3 OWASP
software ou sistema operacional que quando explorada por um atacante, resulta na violao da segurana de um computador.
2008
4 OWASP
2008
5 OWASP
WhiteHat finds nine out of 10 websites still have serious vulnerabilities that attackers can exploit; and that there is an average of seven vulnerabilities per website.
(fonte: NetSecurity.org- maro 2008)
2008
6 OWASP
Participem!!!
http://www.owasp.org http://www.owasp.org/index.php/Brazilian
2008
7 OWASP
PRINCIPAIS VULNERABILIDADES
TOP 10 2007 OWASP
http://www.owasp.org/index.php/Top_10
2008
8 OWASP
Panorama TOP 10
2008
9 OWASP
PRINCIPAIS VULNERABILIDADES
1.
2. 3. 4.
5.
6. 7. 8. 9. 10.
Cross Site Scripting(XSS); Falhas de Injeo; Execuo Maliciosa de Arquivo; Referncia Insegura Direta a Objeto; Cross Site Request Forgery (CSRF); Vazamento de informaes e tratamento de erros inapropriado; Furo de autenticao e Gerncia de sesso; Armazenamento Criptogrfico Inseguro; Comunicaes Inseguras; Falha ao Restringir Acesso Urls.
2008
10 OWASP
2008
12 OWASP
2. Falhas de Injeo
Descrio: Falhas de injeo de cdigos so comuns em aplicaes Web, particularmente o SQL Injection. Estas falhas ocorrem quando dados fornecidos nos campos de entrada so interpretados como parte de comandos ou consultas. Conseqncias: Permite que um atacante acesse a base de dados da aplicao e execute consultas arbitrrias
2008
13 OWASP
2. Falhas de Injeo
executeQuery("SELECT * FROM usuarios WHERE username = '" + username + "' AND senha = '" + senha + "')
Proteo:
Validao dos dados de entrada; Tratar erros da aplicao e do banco de dados Implementao Least Privilege Cuidado com as Stored Procedures
2008
14 OWASP
2008
16 OWASP
2008
Evitar a exposio de objetos privados a usurios finais; Validar qualquer entrada que referencie objetos privados; Verificar os nveis de autorizao de acesso aos objetos. www.teste.com/files.php?id=10
2008
18 OWASP
2008
19 OWASP
2008
20 OWASP
Conseqncias: O atacante pode utilizar essas informaes para preparar um ataque mais preciso.
2008
21 OWASP
2008
22 OWASP
2008
24 OWASP
2008
25 OWASP
No utilizar algoritmos fracos: RC3, RC4, MD5; Nunca transmitir chaves por canais inseguros; Certificar que dados criptografados armazenados em discos no possam facilmente decriptados.
2008
26 OWASP
9. Comunicaes Inseguras
Descrio: Informaes sensveis devem ser transmitidas em canais seguros utilizando SSL/TLS. Caso contrrio, sero enviadas em texto plano e podem ser capturadas por pessoas malintencionadas. Conseqncias: Um atacante pode utilizar um sniffer e obter acesso a cookies/sessionID, credenciais e outras informaes crticas ao negcio.
2008
27 OWASP
9. Comunicaes Inseguras
Proteo: Utilizar SSL para conexes que utilizem mecanismo de autenticao ou transmitam dados sensveis; Certificar que a comunicao na infra-estrutura interna est sendo feita de maneira correta.
2008
28 OWASP
Caso um mecanismo de controle de acesso no seja implementado de forma adequada, possvel que um usurio tenha acesso a pginas ou informaes que no deveriam ser permitidas.
2008
29 OWASP
2008
30 OWASP
Material de Estudo
Alguns sites que contm material de estudo: OWASP. org www.owasp.org Foudstone www.foudstone.com; CWE cwe.mitre.org WASC Threat Classification www.webappsec.org; Ha.ckers ha.ckers.org Fortify www.fortify.com
2008
31 OWASP
BRconnection www.brc.com.br
OWASP