Segurança de Aplicações Web - 101

Segurança de Aplicações Web - 101

Evento: LabTalks

Apresentação sobre os conceitos básicos de segurança para uma aplicação web, onde é abordado brevemente sobre as principais vulnerabilidades, OWASP, eventos, guias e materiais para estudo.

7418428588f726b3a8a59f910afc1b9c?s=128

Thulio Philipe

July 04, 2017
Tweet

Transcript

  1. Segurança de Aplicaçoes Web 101

  2. github.com/thulioph twitter.com/thulioph_ thulioph.com Thulio Philipe thulioph

  3. we are labcodes

  4. Atenção

  5. Atenção • Não se preocupe com links, todos estão nos

    slides. • O slides serão disponibilizados. • Tome nota de alguns termos, podem ser ú!l para uma pesquisa futura. • Esta palestra foi desenvolvida apenas com 4 cores.
  6. Cronograma

  7. Cronograma • Vulnerabilidades • OWASP • Recursos • Riscos •

    Top 10 riscos de segurança • Comunidade
  8. "Questões de segurança acontecem principalmente porque desenvolvedores que sabem das

    coisas, esquecem ou ignoram." – Hater do Hacker News
  9. Vulnerabilidades

  10. 2016

  11. goo.gl/zqUaZa

  12. goo.gl/XHw6iB

  13. goo.gl/Yx5PHL

  14. 2017

  15. goo.gl/gvzLDt

  16. goo.gl/UN7F6p

  17. goo.gl/heo7wv

  18. +20 milhoes

  19. OWASP

  20. consultoria produto 11 empresas

  21. +50 mil

  22. Recursos

  23. Cheat Sheet Series

  24. excelente guia fácil leitura coleção de dicas

  25. Enterprise Security API

  26. implementada por várias linguagens biblioteca free e open-source aplicações já

    existentes
  27. Broken Web Applications Project

  28. testar ferramentas observar um ataque aprender mais sobre segurança

  29. Riscos

  30. risco = probabilidade * impacto

  31. a vulnerabilidade envolvida o impacto desta vulnerabilidade o !po de

    ataque que será u!lizado + +
  32. Top risks

  33. Denial of Service

  34. DDOS

  35. Cross-Site Scripting

  36. – Hater do Slack “Implemente Content Security Policy, é o

    mínimo a ser feito.” content-security-policy.com
  37. – Hater do W3Schools “Nunca u!lize o eval().” stackoverflow.com/a/198031

  38. Insecure DOR

  39. h"ps:/ /minha-app.com/user/123 { "id": 123, "name": "Michael Douglas", "credit-card": "999-999-999-00"

    }
  40. h"ps:/ /minha-app.com/user/456 { "id": 456, "name": "Chuck Norris", "credit-card": "666-666-666-00"

    }
  41. h"ps:/ /minha-app.com/sytem/logs { "timestamp": "1499136425847", "user_id": 007, "user_name": "Admin", "logs":

    [] }
  42. Cross-Site Request Forgery

  43. h"p:/ /banco.com.br { "username": "chuck_norris", "password": "f4ck1n9" }

  44. cookie contendo a sessão { "session_id": "1F9fNJIKSAGF" }

  45. h"p:/ /banco.com.br/transfer { "conta_destino": 1234, "valor": "30.00", "session_id": "1F9fNJIKSAGF" }

  46. h"p:/ /banco.com.br/transfer { "conta_destino": 5678, "valor": "30.00", "session_id": "1F9fNJIKSAGF" }

  47. – Hater do Tableless “Valide os recursos verificando se o

    header Referer é igual a sua origem.” OWASP - CSRF
  48. Insecure Components

  49. – Hater do Javascript “U!lize scanners para dependências desatualizadas ou

    não u!lizadas.”
  50. npm-check

  51. nodesecurity.io

  52. Top 3 risks

  53. 2010 SQL Injec!on Cross-Site Request Forgery (CSRF) Cross-Site Scrip!ng (XSS)

    1 2 3
  54. 2013 SQL Injec!on Cross-Site Scrip!ng (XSS) Broken Authen!ca!on 1 2

    3
  55. 2017 SQL Injec!on Cross-Site Scrip!ng (XSS) Broken Authen!ca!on 1 2

    3
  56. – Hater do Reddit “Grande parte dos riscos possuem um

    impacto moderado e são simples de serem detectados e explorados.”
  57. Comunidade

  58. Lista de E-mail OWASP List goo.gl/gpXu7x

  59. Eventos Roadsec roadsec.com.br

  60. Campeonatos Capture The Flag hackaflag

  61. Documentação Github bounty.github.com

  62. Obrigado. Thulio Philipe @thulioph Web Developer