Segurança de Aplicações Web - 101

Transcript

1. Segurança de Aplicaçoes Web 101

2. github.com/thulioph twitter.com/thulioph_ thulioph.com Thulio Philipe thulioph

3. we are labcodes

4. Atenção

5. Atenção • Não se preocupe com links, todos estão nos

   slides. • O slides serão disponibilizados. • Tome nota de alguns termos, podem ser ú!l para uma pesquisa futura. • Esta palestra foi desenvolvida apenas com 4 cores.

6. Cronograma

7. Cronograma • Vulnerabilidades • OWASP • Recursos • Riscos •

   Top 10 riscos de segurança • Comunidade

8. "Questões de segurança acontecem principalmente porque desenvolvedores que sabem das

   coisas, esquecem ou ignoram." – Hater do Hacker News

9. Vulnerabilidades

10. 2016

11. goo.gl/zqUaZa

12. goo.gl/XHw6iB

13. goo.gl/Yx5PHL

14. 2017

15. goo.gl/gvzLDt

16. goo.gl/UN7F6p

17. goo.gl/heo7wv

18. +20 milhoes

19. OWASP

20. consultoria produto 11 empresas

21. +50 mil

22. Recursos

23. Cheat Sheet Series

24. excelente guia fácil leitura coleção de dicas

25. Enterprise Security API

26. implementada por várias linguagens biblioteca free e open-source aplicações já

    existentes

27. Broken Web Applications Project

28. testar ferramentas observar um ataque aprender mais sobre segurança

29. Riscos

30. risco = probabilidade * impacto

31. a vulnerabilidade envolvida o impacto desta vulnerabilidade o !po de

    ataque que será u!lizado + +

32. Top risks

33. Denial of Service

34. DDOS

35. Cross-Site Scripting

36. – Hater do Slack “Implemente Content Security Policy, é o

    mínimo a ser feito.” content-security-policy.com

37. – Hater do W3Schools “Nunca u!lize o eval().” stackoverflow.com/a/198031

38. Insecure DOR

39. h"ps:/ /minha-app.com/user/123 { "id": 123, "name": "Michael Douglas", "credit-card": "999-999-999-00"

    }

40. h"ps:/ /minha-app.com/user/456 { "id": 456, "name": "Chuck Norris", "credit-card": "666-666-666-00"

    }

41. h"ps:/ /minha-app.com/sytem/logs { "timestamp": "1499136425847", "user_id": 007, "user_name": "Admin", "logs":

    [] }

42. Cross-Site Request Forgery

43. h"p:/ /banco.com.br { "username": "chuck_norris", "password": "f4ck1n9" }

44. cookie contendo a sessão { "session_id": "1F9fNJIKSAGF" }

45. h"p:/ /banco.com.br/transfer { "conta_destino": 1234, "valor": "30.00", "session_id": "1F9fNJIKSAGF" }

46. h"p:/ /banco.com.br/transfer { "conta_destino": 5678, "valor": "30.00", "session_id": "1F9fNJIKSAGF" }

47. – Hater do Tableless “Valide os recursos verificando se o

    header Referer é igual a sua origem.” OWASP - CSRF

48. Insecure Components

49. – Hater do Javascript “U!lize scanners para dependências desatualizadas ou

    não u!lizadas.”

50. npm-check

51. nodesecurity.io

52. Top 3 risks

53. 2010 SQL Injec!on Cross-Site Request Forgery (CSRF) Cross-Site Scrip!ng (XSS)

    1 2 3

54. 2013 SQL Injec!on Cross-Site Scrip!ng (XSS) Broken Authen!ca!on 1 2

    3

55. 2017 SQL Injec!on Cross-Site Scrip!ng (XSS) Broken Authen!ca!on 1 2

    3

56. – Hater do Reddit “Grande parte dos riscos possuem um

    impacto moderado e são simples de serem detectados e explorados.”

57. Comunidade

58. Lista de E-mail OWASP List goo.gl/gpXu7x

59. Eventos Roadsec roadsec.com.br

60. Campeonatos Capture The Flag hackaflag

61. Documentação Github bounty.github.com

62. Obrigado. Thulio Philipe @thulioph Web Developer