Pwned! Meu site foi invadido, e agora?

Transcript

1. Meu site foi invadido, e agora? Meu site foi invadido,

   e agora? Fábio Beneditto – Fábio Beneditto – v.0.3.1 v.0.3.1

2. Sobre Sobre Fabio Beneditto Fabio Beneditto Desenvolvedor Web Desenvolvedor Web

   Entusiasta de F/OSS Entusiasta de F/OSS Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12 Campuseiro: #CPBR8, #CPBR9, #CPBR11 e #CPBR12 Tchelinux / FossDay – Voluntário Tchelinux / FossDay – Voluntário Praticante de Praticante de #mototerapia #mototerapia people.tchelinux.org/fabiobeneditto people.tchelinux.org/fabiobeneditto Github / Gitlab / Twitter / Telegram / Linkedin: Github / Gitlab / Twitter / Telegram / Linkedin: @fabiobeneditto @fabiobeneditto
3. None

4. Contextualizando... Contextualizando...

5. A gente espera... A gente espera...

6. Mas... Mas...

7. None

8. ...e o pior de tudo... ...e o pior de tudo...

9. None

10. ...já eliminaram, né? ...já eliminaram, né?

11. None
12. None
13. None

14. Muito provavelmente, Muito provavelmente, você foi vítima de... você foi

    vítima de...

15. SQL Injection SQL Injection

16. E nem só você! E nem só você!

17. None
18. None
19. None
20. None
21. None

22. SQL Injection SQL Injection SQL Attacks are a piece of

    Cake for Hackers SQL Attacks are a piece of Cake for Hackers and the Risk to Firms is High and the Risk to Firms is High https://www.cbronline.com/feature/sql-attacks https://www.cbronline.com/feature/sql-attacks Publicado em 24/09/2019 Publicado em 24/09/2019
23. None

24. OWASP OWASP O Open pen W Web eb A Application

    pplication S Security ecurity P Project roject ➢ Organização não governamental (ONG) Organização não governamental (ONG) ➢ Promover a segurança de aplicações web Promover a segurança de aplicações web ➢ Tornar segurança algo visível Tornar segurança algo visível ➢ Todos são livres para participar Todos são livres para participar https://www.owasp.org https://www.owasp.org

25. OWASP Top 10 OWASP Top 10 O objetivo principal do

    O objetivo principal do OWASP Top 10 OWASP Top 10 é é educar educar desenvolvedores, projetistas, arquitetos, gestores desenvolvedores, projetistas, arquitetos, gestores e organizações sobre as e organizações sobre as consequências consequências das das mais importantes mais importantes vulnerabilidades vulnerabilidades de segurança de segurança de aplicações web. de aplicações web.

26. OWASP Top 10 OWASP Top 10

27. A1 - Injection A1 - Injection As falhas de Injeção,

    tais como injeção de SQL, de SO As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como não confiáveis são enviados para um interpretador como parte de um comando ou consulta. parte de um comando ou consulta.

28. A1 - Injection A1 - Injection Os dados manipulados pelo

    atacante podem iludir o Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos interpretador para que este execute comandos indesejados ou permita o acesso a dados não indesejados ou permita o acesso a dados não autorizados. autorizados.
29. None

30. Partindo do princípio... Partindo do princípio...

31. Partindo do princípio... Partindo do princípio...

32. Partindo do princípio... Partindo do princípio...

33. Onde está o erro? Onde está o erro?

34. E se... E se...

35. ...fosse assim? ...fosse assim?

36. Nossa consulta... Nossa consulta...

37. Nossa consulta... Nossa consulta...

38. ...fica assim ...fica assim

39. None

40. E agora? E agora? Como evitar? Como evitar?

41. Prepared Statements Prepared Statements

42. Prepared Statements Prepared Statements São consultas São consultas pré-prontas pré-prontas

    A diferença é que em lugar das variáveis você coloca um placeholder (marcador de lugar) e na hora da consulta informa a ordem das variáveis a serem substituídas.

43. Prepared Statements Prepared Statements

44. Prepared Statements Prepared Statements

45. None

46. OWASP Top 10 OWASP Top 10

47. A5:2017 A5:2017 Broken Access Broken Access Control Control

48. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

    Sabe aquela validação de login Sabe aquela validação de login feita toda no Front End? feita toda no Front End?

49. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

50. ...e o que acontece? ...e o que acontece?

51. A5:2017 – Broken Access Control A5:2017 – Broken Access Control

52. None

53. Perguntas? Perguntas?

54. Muito Obrigado! Muito Obrigado! speakerdeck.com/fabiobeneditto speakerdeck.com/fabiobeneditto