SlideShare une entreprise Scribd logo

Ataq Apl Web

SegInfo
SegInfo

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Diretor técnico do Grupo Clavis Segurança da Informação

TechnologieActualités & Politique
1  sur  26
Télécharger pour lire hors ligne
Atacando (e protegendo) aplicações web Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Injeções OWASP Top 10 2010 - A1 OWASP Top 10 2007 - A2 • Cross Site Scripting (XSS) OWASP Top 10 2010 - A2 OWASP Top 10 2007 - A1 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’+OR+‘1’=‘1’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código Java: String query = "SELECT * FROM usuarios WHERE username = '" + req.getParameter("usr") + "' and passwd = '" + req.getParameter("pwd") +"'"; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘admin’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código: $dominio = param(‘dominio'); $nslookup = "/usr/bin/nslookup"; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Recomendações ● Tratamento de entradas ● Validação por whitelist ● Minimize os privilégios ●OWASP: SQL_Injection_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Persistente Dados enviados sem tratamento para usuários Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.n”; ?> • Requisição index.php?name=<script>alert(1)</script> Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) ● Validação de entrada ● Validação de saída ● Validação de elementos do DOM ●OWASP XSS Prevention Cheat Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Quebra de Autenticação / Sessão • Referência direta à objetos • Cross-Site Request Forgery (CSRF) • Falhas de Configuração Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Armazenamento Inseguro • Falha na Restrição de Acesso à URLs • Canal Inseguro • Redirecionamentos Não-Validados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Referências Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP Testing Guide https://www.owasp.org/index.php/Category:OWASP_Testing_Project Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Recommandé

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 

Recommandé

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Clavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisClavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”Clavis Segurança da Informação
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Clavis Segurança da Informação
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreiraAntar Ferreira
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpConviso Application Security
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguroCharles Fortes
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 

Contenu connexe

Tendances

"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 

Tendances (7)

"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 

Similaire à Ataq Apl Web

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguroCharles Fortes
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookGiovane Liberato
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBErick Belluci Tedeschi
 

Similaire à Ataq Apl Web (20)

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia Clavis
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
 
OWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbookOWASP Top 10 - A web security cookbook
OWASP Top 10 - A web security cookbook
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Website security
Website securityWebsite security
Website security
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
 

Plus de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBSegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraSegInfo
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas FerreiraSegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago BordiniSegInfo
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?SegInfo
 

Plus de SegInfo (19)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

Ataq Apl Web

  • 1. Atacando (e protegendo) aplicações web Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Injeções OWASP Top 10 2010 - A1 OWASP Top 10 2007 - A2 • Cross Site Scripting (XSS) OWASP Top 10 2010 - A2 OWASP Top 10 2007 - A1 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios    WHERE nome = '$nome'      AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’+OR+‘1’=‘1’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código Java: String query = "SELECT * FROM usuarios WHERE username = '" + req.getParameter("usr") + "' and passwd = '" + req.getParameter("pwd") +"'"; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘admin’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código: $dominio = param(‘dominio'); $nslookup = "/usr/bin/nslookup"; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Recomendações ● Tratamento de entradas ● Validação por whitelist ● Minimize os privilégios ●OWASP: SQL_Injection_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Persistente Dados enviados sem tratamento para usuários Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.n”; ?> • Requisição index.php?name=<script>alert(1)</script> Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) ● Validação de entrada ● Validação de saída ● Validação de elementos do DOM ●OWASP XSS Prevention Cheat Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Quebra de Autenticação / Sessão • Referência direta à objetos • Cross-Site Request Forgery (CSRF) • Falhas de Configuração Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Outras Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Armazenamento Inseguro • Falha na Restrição de Acesso à URLs • Canal Inseguro • Redirecionamentos Não-Validados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Referências Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● OWASP Top 10 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • OWASP Testing Guide https://www.owasp.org/index.php/Category:OWASP_Testing_Project Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.