Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Segurança de Aplicações Web - 101

Segurança de Aplicações Web - 101

Evento: LabTalks

Apresentação sobre os conceitos básicos de segurança para uma aplicação web, onde é abordado brevemente sobre as principais vulnerabilidades, OWASP, eventos, guias e materiais para estudo.

Thulio Philipe

July 04, 2017
Tweet

More Decks by Thulio Philipe

Other Decks in Technology

Transcript

  1. Segurança de
    Aplicaçoes Web
    101

    View Slide

  2. github.com/thulioph
    twitter.com/thulioph_
    thulioph.com
    Thulio Philipe
    thulioph

    View Slide

  3. we are labcodes

    View Slide

  4. Atenção

    View Slide

  5. Atenção
    • Não se preocupe com links, todos estão nos slides.
    • O slides serão disponibilizados.
    • Tome nota de alguns termos, podem ser ú!l para
    uma pesquisa futura.
    • Esta palestra foi desenvolvida apenas com 4 cores.

    View Slide

  6. Cronograma

    View Slide

  7. Cronograma
    • Vulnerabilidades
    • OWASP
    • Recursos
    • Riscos
    • Top 10 riscos de segurança
    • Comunidade

    View Slide

  8. "Questões de segurança acontecem
    principalmente porque desenvolvedores que
    sabem das coisas, esquecem ou ignoram."
    – Hater do Hacker News

    View Slide

  9. Vulnerabilidades

    View Slide

  10. 2016

    View Slide

  11. goo.gl/zqUaZa

    View Slide

  12. goo.gl/XHw6iB

    View Slide

  13. goo.gl/Yx5PHL

    View Slide

  14. 2017

    View Slide

  15. goo.gl/gvzLDt

    View Slide

  16. goo.gl/UN7F6p

    View Slide

  17. goo.gl/heo7wv

    View Slide

  18. +20 milhoes

    View Slide

  19. OWASP

    View Slide

  20. consultoria produto
    11 empresas

    View Slide

  21. +50 mil

    View Slide

  22. Recursos

    View Slide

  23. Cheat Sheet
    Series

    View Slide

  24. excelente
    guia
    fácil
    leitura
    coleção de
    dicas

    View Slide

  25. Enterprise
    Security
    API

    View Slide

  26. implementada por
    várias linguagens
    biblioteca
    free e open-source
    aplicações
    já existentes

    View Slide

  27. Broken
    Web Applications
    Project

    View Slide

  28. testar
    ferramentas
    observar um
    ataque
    aprender mais
    sobre segurança

    View Slide

  29. Riscos

    View Slide

  30. risco = probabilidade * impacto

    View Slide

  31. a vulnerabilidade
    envolvida
    o impacto desta
    vulnerabilidade
    o !po de ataque
    que será u!lizado
    + +

    View Slide

  32. Top risks

    View Slide

  33. Denial of Service

    View Slide

  34. DDOS

    View Slide

  35. Cross-Site Scripting

    View Slide

  36. – Hater do Slack
    “Implemente Content Security Policy, é o
    mínimo a ser feito.”
    content-security-policy.com

    View Slide

  37. – Hater do W3Schools
    “Nunca u!lize o eval().”
    stackoverflow.com/a/198031

    View Slide

  38. Insecure DOR

    View Slide

  39. h"ps:/
    /minha-app.com/user/123
    {
    "id": 123,
    "name": "Michael Douglas",
    "credit-card": "999-999-999-00"
    }

    View Slide

  40. h"ps:/
    /minha-app.com/user/456
    {
    "id": 456,
    "name": "Chuck Norris",
    "credit-card": "666-666-666-00"
    }

    View Slide

  41. h"ps:/
    /minha-app.com/sytem/logs
    {
    "timestamp": "1499136425847",
    "user_id": 007,
    "user_name": "Admin",
    "logs": []
    }

    View Slide

  42. Cross-Site
    Request Forgery

    View Slide

  43. h"p:/
    /banco.com.br
    {
    "username": "chuck_norris",
    "password": "f4ck1n9"
    }

    View Slide

  44. cookie contendo a
    sessão
    {
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  45. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 1234,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  46. h"p:/
    /banco.com.br/transfer
    {
    "conta_destino": 5678,
    "valor": "30.00",
    "session_id": "1F9fNJIKSAGF"
    }

    View Slide

  47. – Hater do Tableless
    “Valide os recursos verificando se o header
    Referer é igual a sua origem.”
    OWASP - CSRF

    View Slide

  48. Insecure Components

    View Slide

  49. – Hater do Javascript
    “U!lize scanners para dependências
    desatualizadas ou não u!lizadas.”

    View Slide

  50. npm-check

    View Slide

  51. nodesecurity.io

    View Slide

  52. Top 3 risks

    View Slide

  53. 2010
    SQL
    Injec!on
    Cross-Site
    Request Forgery
    (CSRF)
    Cross-Site
    Scrip!ng
    (XSS)
    1
    2 3

    View Slide

  54. 2013
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View Slide

  55. 2017
    SQL
    Injec!on
    Cross-Site
    Scrip!ng
    (XSS)
    Broken
    Authen!ca!on
    1
    2 3

    View Slide

  56. – Hater do Reddit
    “Grande parte dos riscos possuem um impacto
    moderado e são simples de serem detectados
    e explorados.”

    View Slide

  57. Comunidade

    View Slide

  58. Lista de E-mail
    OWASP List
    goo.gl/gpXu7x

    View Slide

  59. Eventos
    Roadsec
    roadsec.com.br

    View Slide

  60. Campeonatos
    Capture The Flag
    hackaflag

    View Slide

  61. Documentação
    Github
    bounty.github.com

    View Slide

  62. Obrigado.
    Thulio Philipe @thulioph
    Web Developer

    View Slide