Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Pwned! Meu site foi invadido, e agora?

Fabio Beneditto
April 27, 2019
Technology
0
70

Pwned! Meu site foi invadido, e agora?

Sabemos que a pressa é inimiga da perfeição, mas... De que adianta deixar aspectos simples de segurança para depois? Veremos como identificar vulnerabilidades de SQL Injection em aplicações PHP, que são encontradas na maioria dos web sites.

Fabio Beneditto

April 27, 2019
Tweet

More Decks by Fabio Beneditto

See All by Fabio Beneditto
Git para Principiantes
fabiobeneditto
0
180
...porque no MEU TEMPO: um comparativo dos dias atuais com 10+ anos atrás
fabiobeneditto
0
150

Other Decks in Technology

See All in Technology
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
6
2.5k
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
500
BLADE: An Attempt to Automate Penetration Testing Using Autonomous AI Agents
bbrbbq
0
260
FOSS4G 2024 Japan コアデイ 一般発表25 PythonでPLATEAUのデータを手軽に扱ってみる
ra0kley
1
150
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.2k
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
220
AGIについてChatGPTに聞いてみた
blueb
0
130
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
470
ドメインの本質を掴む / Get the essence of the domain
sinsoku
2
150
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
400
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
200
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k

Featured

See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
Into the Great Unknown - MozCon
thekraken
32
1.5k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
44
2.2k
Six Lessons from altMBA
skipperchong
27
3.5k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
630
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
Documentation Writing (for coders)
carmenintech
65
4.4k
The Art of Programming - Codeland 2020
erikaheidi
52
13k
Happy Clients
brianwarren
98
6.7k
Building Your Own Lightsaber
phodgson
103
6.1k

Transcript

  1. Meu site foi invadido, e agora? Meu site foi invadido,

    e agora? Fábio Beneditto – Fábio Beneditto – v.0.3.1 v.0.3.1

  2. Sobre Sobre Fabio Beneditto Fabio Beneditto Desenvolvedor Web Desenvolvedor Web

    Entusiasta de F/OSS Entusiasta de F/OSS Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12 Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12 Tchelinux / FossDay – Voluntário Tchelinux / FossDay – Voluntário Praticante de Praticante de #mototerapia #mototerapia people.tchelinux.org/fabiobeneditto people.tchelinux.org/fabiobeneditto Github / Gitlab / Twitter / Telegram / Linkedin: Github / Gitlab / Twitter / Telegram / Linkedin: @fabiobeneditto @fabiobeneditto
  3. None

  4. Contextualizando... Contextualizando...

  5. A gente espera... A gente espera...

  6. Mas... Mas...

  7. None

  8. ...e o pior de tudo... ...e o pior de tudo...

  9. None

  10. ...já eliminaram, né? ...já eliminaram, né?

  11. None
  12. None
  13. None

  14. Muito provavelmente, Muito provavelmente, você foi vítima de... você foi

    vítima de...

  15. SQL Injection SQL Injection

  16. E nem só você! E nem só você!

  17. None
  18. None
  19. None
  20. None
  21. None

  22. SQL Injection SQL Injection SQL Attacks are a piece of

    Cake for Hackers SQL Attacks are a piece of Cake for Hackers and the Risk to Firms is High and the Risk to Firms is High https://www.cbronline.com/feature/sql-attacks https://www.cbronline.com/feature/sql-attacks Publicado em 24/09/2019 Publicado em 24/09/2019
  23. None

  24. OWASP OWASP O Open pen W Web eb A Application

    pplication S Security ecurity P Project roject ➢ Organização não governamental (ONG) Organização não governamental (ONG) ➢ Promover a segurança de aplicações web Promover a segurança de aplicações web ➢ Tornar segurança algo visível Tornar segurança algo visível ➢ Todos são livres para participar Todos são livres para participar https://www.owasp.org https://www.owasp.org

  25. OWASP Top 10 OWASP Top 10 O objetivo principal do

    O objetivo principal do OWASP Top 10 OWASP Top 10 é é educar educar desenvolvedores, projetistas, arquitetos, gestores desenvolvedores, projetistas, arquitetos, gestores e organizações sobre as e organizações sobre as consequências consequências das das mais importantes mais importantes vulnerabilidades vulnerabilidades de segurança de segurança de aplicações web. de aplicações web.

  26. OWASP Top 10 OWASP Top 10

  27. A1 - Injection A1 - Injection As falhas de Injeção,

    tais como injeção de SQL, de SO As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como não confiáveis são enviados para um interpretador como parte de um comando ou consulta. parte de um comando ou consulta.

  28. A1 - Injection A1 - Injection Os dados manipulados pelo

    atacante podem iludir o Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos interpretador para que este execute comandos indesejados ou permita o acesso a dados não indesejados ou permita o acesso a dados não autorizados. autorizados.
  29. None

  30. Partindo do princípio... Partindo do princípio...

  31. Partindo do princípio... Partindo do princípio...

  32. Partindo do princípio... Partindo do princípio...

  33. Onde está o erro? Onde está o erro?

  34. E se... E se...

  35. ...fosse assim? ...fosse assim?

  36. Nossa consulta... Nossa consulta...

  37. Nossa consulta... Nossa consulta...

  38. ...fica assim ...fica assim

  39. None

  40. E agora? E agora? Como evitar? Como evitar?

  41. Prepared Statements Prepared Statements

  42. Prepared Statements Prepared Statements São consultas São consultas pré-prontas pré-prontas

    A diferença é que em lugar das variáveis você coloca um placeholder (marcador de lugar) e na hora da consulta informa a ordem das variáveis a serem substituídas.

  43. Prepared Statements Prepared Statements

  44. Prepared Statements Prepared Statements

  45. None

  46. OWASP Top 10 OWASP Top 10

  47. A5:2017 A5:2017 Broken Access Broken Access Control Control

  48. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

    Sabe aquela validação de login Sabe aquela validação de login feita toda no Front End? feita toda no Front End?

  49. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

  50. ...e o que acontece? ...e o que acontece?

  51. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

  52. None

  53. Perguntas? Perguntas?

  54. Muito Obrigado! Muito Obrigado! speakerdeck.com/fabiobeneditto speakerdeck.com/fabiobeneditto