Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Segurança de Aplicações Web - 101

Segurança de Aplicações Web - 101

Evento: LabTalks

Apresentação sobre os conceitos básicos de segurança para uma aplicação web, onde é abordado brevemente sobre as principais vulnerabilidades, OWASP, eventos, guias e materiais para estudo.

Thulio Philipe

July 04, 2017
Tweet

More Decks by Thulio Philipe

Other Decks in Technology

Transcript

  1. Segurança de
    Aplicaçoes Web
    101

    View full-size slide

  2. github.com/thulioph
    twitter.com/thulioph_
    thulioph.com
    Thulio Philipe
    thulioph

    View full-size slide

  3. we are labcodes

    View full-size slide

  4. Atenção
    • Não se preocupe com links, todos estão nos slides.
    • O slides serão disponibilizados.
    • Tome nota de alguns termos, podem ser ú!l para
    uma pesquisa futura.
    • Esta palestra foi desenvolvida apenas com 4 cores.

    View full-size slide

  5. Cronograma
    • Vulnerabilidades
    • OWASP
    • Recursos
    • Riscos
    • Top 10 riscos de segurança
    • Comunidade

    View full-size slide

  6. "Questões de segurança acontecem
    principalmente porque desenvolvedores que
    sabem das coisas, esquecem ou ignoram."
    – Hater do Hacker News

    View full-size slide

  7. Vulnerabilidades

    View full-size slide

  8. goo.gl/zqUaZa

    View full-size slide

  9. goo.gl/XHw6iB

    View full-size slide

  10. goo.gl/Yx5PHL

    View full-size slide

  11. goo.gl/gvzLDt

    View full-size slide

  12. goo.gl/UN7F6p

    View full-size slide

  13. goo.gl/heo7wv

    View full-size slide

  14. consultoria produto
    11 empresas

    View full-size slide

  15. Cheat Sheet
    Series

    View full-size slide

  16. excelente
    guia
    fácil
    leitura
    coleção de
    dicas

    View full-size slide

  17. Enterprise
    Security
    API

    View full-size slide

  18. implementada por
    várias linguagens
    biblioteca
    free e open-source
    aplicações
    já existentes

    View full-size slide

  19. Broken
    Web Applications
    Project

    View full-size slide

  20. testar
    ferramentas
    observar um
    ataque
    aprender mais
    sobre segurança

    View full-size slide

  21. risco = probabilidade * impacto

    View full-size slide

  22. a vulnerabilidade
    envolvida
    o impacto desta
    vulnerabilidade
    o !po de ataque
    que será u!lizado
    + +

    View full-size slide

  23. Denial of Service

    View full-size slide

  24. Cross-Site Scripting

    View full-size slide

  25. – Hater do Slack
    “Implemente Content Security Policy, é o
    mínimo a ser feito.”
    content-security-policy.com

    View full-size slide

  26. – Hater do W3Schools
    “Nunca u!lize o eval().”
    stackoverflow.com/a/198031

    View full-size slide

  27. Insecure DOR

    View full-size slide

  28. h"ps:/
    /minha-app.com/user/123
    {
    "id": 123,
    "name": "Michael Douglas",
    "credit-card": "999-999-999-00"
    }

    View full-size slide

  29. h"ps:/
    /minha-app.com/user/456
    {
    "id": 456,
    "name": "Chuck Norris",
    "credit-card": "666-666-666-00"
    }

    View full-size slide

  30. h"ps:/
    /minha-app.com/sytem/logs
    {
    "timestamp": "1499136425847",
    "user_id": 007,
    "user_name": "Admin",
    "logs": []
    }

    View full-size slide

  31. Cross-Site
    Request Forgery

    View full-size slide

  32. h"p:/
    /banco.com.br
    {
    "username": "chuck_norris",
    "password": "f4ck1n9"
    }

    View full-size slide

  33. cookie contendo a
    sessão
    {
    "session_id": "1F9fNJIKSAGF"
    }

    View full-size slide

  34. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 1234,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View full-size slide

  35. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 5678,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View full-size slide

  36. – Hater do Tableless
    “Valide os recursos verificando se o header
    Referer é igual a sua origem.”
    OWASP - CSRF

    View full-size slide

  37. Insecure Components

    View full-size slide

  38. – Hater do Javascript
    “U!lize scanners para dependências
    desatualizadas ou não u!lizadas.”

    View full-size slide

  39. nodesecurity.io

    View full-size slide

  40. 2010
    SQL
    Injec!on
    Cross-Site
    Request Forgery
    (CSRF)
    Cross-Site
    Scrip!ng
    (XSS)
    1
    2 3

    View full-size slide

  41. 2013
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View full-size slide

  42. 2017
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View full-size slide

  43. – Hater do Reddit
    “Grande parte dos riscos possuem um impacto
    moderado e são simples de serem detectados
    e explorados.”

    View full-size slide

  44. Lista de E-mail
    OWASP List
    goo.gl/gpXu7x

    View full-size slide

  45. Eventos
    Roadsec
    roadsec.com.br

    View full-size slide

  46. Campeonatos
    Capture The Flag
    hackaflag

    View full-size slide

  47. Documentação
    Github
    bounty.github.com

    View full-size slide

  48. Obrigado.
    Thulio Philipe @thulioph
    Web Developer

    View full-size slide