Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Segurança de Aplicações Web - 101

Thulio Philipe
July 04, 2017
Technology
0
110

Segurança de Aplicações Web - 101

Evento: LabTalks

Apresentação sobre os conceitos básicos de segurança para uma aplicação web, onde é abordado brevemente sobre as principais vulnerabilidades, OWASP, eventos, guias e materiais para estudo.

Thulio Philipe

July 04, 2017
Tweet

More Decks by Thulio Philipe

See All by Thulio Philipe
Cache, além do CTRL + F5
thulioph
0
46
CSS na era dos Componentes
thulioph
0
210
Recompose
thulioph
1
320
Styled Components
thulioph
0
230
Redux 101
thulioph
0
120
Cache
thulioph
2
130
Vuejs
thulioph
5
750
MEAN Jedi
thulioph
0
95
Google Maps 101
thulioph
0
110

Other Decks in Technology

See All in Technology
DMMオンラインサロン エンジニア採用資料/ for-software-engineers
onlinesalon
0
2.3k
無理なく始めるGoでのユニットテストの並行化戦略
shohata
1
610
新リリース:microCMSテンプレート
microcms
1
830
Data-Centric AIのためのベンチマーク
x_ttyszk
1
660
Blueskyの「今」がわかる!Bot
lamrongol
0
170
「Go Style Guide」から学んだ可読性の高いコードの書き方
andpad
5
2.9k
microCMSのエンジニア組織と文化
microcms
0
610
推薦によるプロダクト改善とマイクロサービスが噛み合った話
hazumirr
2
790
複雑になったマイクロサービスを どう管理するか/how-to-manage-increasingly-complex-microservices
policemankh
0
280
k6による負荷試験 入門から実践まで
fujiwara3
3
1.3k
よくわかるフォルシアのエンジニア 旅行プラットフォーム部編
forcia_dev_pr
0
230
Princess APIのAPIクライアントをTypeScriptで作ってnpmで公開してみた
ohmori_yusuke
1
580

Featured

See All Featured
Thoughts on Productivity
jonyablonski
52
2.9k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
130
8.9k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
236
1.1M
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
25
5.3k
How to name files
jennybc
51
80k
Fantastic passwords and where to find them - at NoRuKo
philnash
33
2k
VelocityConf: Rendering Performance Case Studies
addyosmani
317
22k
The Mythical Team-Month
searls
211
41k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
39
3.7k
Infographics Made Easy
chrislema
236
17k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.1k

Transcript

  1. Segurança de
    Aplicaçoes Web
    101

    View Slide

  2. github.com/thulioph
    twitter.com/thulioph_
    thulioph.com
    Thulio Philipe
    thulioph

    View Slide

  3. we are labcodes

    View Slide

  4. Atenção

    View Slide

  5. Atenção
    • Não se preocupe com links, todos estão nos slides.
    • O slides serão disponibilizados.
    • Tome nota de alguns termos, podem ser ú!l para
    uma pesquisa futura.
    • Esta palestra foi desenvolvida apenas com 4 cores.

    View Slide

  6. Cronograma

    View Slide

  7. Cronograma
    • Vulnerabilidades
    • OWASP
    • Recursos
    • Riscos
    • Top 10 riscos de segurança
    • Comunidade

    View Slide

  8. "Questões de segurança acontecem
    principalmente porque desenvolvedores que
    sabem das coisas, esquecem ou ignoram."
    – Hater do Hacker News

    View Slide

  9. Vulnerabilidades

    View Slide

  10. 2016

    View Slide

  11. goo.gl/zqUaZa

    View Slide

  12. goo.gl/XHw6iB

    View Slide

  13. goo.gl/Yx5PHL

    View Slide

  14. 2017

    View Slide

  15. goo.gl/gvzLDt

    View Slide

  16. goo.gl/UN7F6p

    View Slide

  17. goo.gl/heo7wv

    View Slide

  18. +20 milhoes

    View Slide

  19. OWASP

    View Slide

  20. consultoria produto
    11 empresas

    View Slide

  21. +50 mil

    View Slide

  22. Recursos

    View Slide

  23. Cheat Sheet
    Series

    View Slide

  24. excelente
    guia
    fácil
    leitura
    coleção de
    dicas

    View Slide

  25. Enterprise
    Security
    API

    View Slide

  26. implementada por
    várias linguagens
    biblioteca
    free e open-source
    aplicações
    já existentes

    View Slide

  27. Broken
    Web Applications
    Project

    View Slide

  28. testar
    ferramentas
    observar um
    ataque
    aprender mais
    sobre segurança

    View Slide

  29. Riscos

    View Slide

  30. risco = probabilidade * impacto

    View Slide

  31. a vulnerabilidade
    envolvida
    o impacto desta
    vulnerabilidade
    o !po de ataque
    que será u!lizado
    + +

    View Slide

  32. Top risks

    View Slide

  33. Denial of Service

    View Slide

  34. DDOS

    View Slide

  35. Cross-Site Scripting

    View Slide

  36. – Hater do Slack
    “Implemente Content Security Policy, é o
    mínimo a ser feito.”
    content-security-policy.com

    View Slide

  37. – Hater do W3Schools
    “Nunca u!lize o eval().”
    stackoverflow.com/a/198031

    View Slide

  38. Insecure DOR

    View Slide

  39. h"ps:/
    /minha-app.com/user/123
    {
    "id": 123,
    "name": "Michael Douglas",
    "credit-card": "999-999-999-00"
    }

    View Slide

  40. h"ps:/
    /minha-app.com/user/456
    {
    "id": 456,
    "name": "Chuck Norris",
    "credit-card": "666-666-666-00"
    }

    View Slide

  41. h"ps:/
    /minha-app.com/sytem/logs
    {
    "timestamp": "1499136425847",
    "user_id": 007,
    "user_name": "Admin",
    "logs": []
    }

    View Slide

  42. Cross-Site
    Request Forgery

    View Slide

  43. h"p:/
    /banco.com.br
    {
    "username": "chuck_norris",
    "password": "f4ck1n9"
    }

    View Slide

  44. cookie contendo a
    sessão
    {
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  45. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 1234,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  46. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 5678,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  47. – Hater do Tableless
    “Valide os recursos verificando se o header
    Referer é igual a sua origem.”
    OWASP - CSRF

    View Slide

  48. Insecure Components

    View Slide

  49. – Hater do Javascript
    “U!lize scanners para dependências
    desatualizadas ou não u!lizadas.”

    View Slide

  50. npm-check

    View Slide

  51. nodesecurity.io

    View Slide

  52. Top 3 risks

    View Slide

  53. 2010
    SQL
    Injec!on
    Cross-Site
    Request Forgery
    (CSRF)
    Cross-Site
    Scrip!ng
    (XSS)
    1
    2 3

    View Slide

  54. 2013
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View Slide

  55. 2017
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View Slide

  56. – Hater do Reddit
    “Grande parte dos riscos possuem um impacto
    moderado e são simples de serem detectados
    e explorados.”

    View Slide

  57. Comunidade

    View Slide

  58. Lista de E-mail
    OWASP List
    goo.gl/gpXu7x

    View Slide

  59. Eventos
    Roadsec
    roadsec.com.br

    View Slide

  60. Campeonatos
    Capture The Flag
    hackaflag

    View Slide

  61. Documentação
    Github
    bounty.github.com

    View Slide

  62. Obrigado.
    Thulio Philipe @thulioph
    Web Developer

    View Slide