O documento discute a segurança de aplicações web e lista as 10 principais falhas de segurança, incluindo injeção, autenticação quebrada, XSS, referências inseguras de objetos, configurações inseguras, falta de controle de nível de acesso. Ele fornece exemplos e orientações sobre como prevenir cada falha.
4. TOP 10 - 2013
10 PRINCIPAIS FALHAS DE SEGURANÇA WEB
quinta-feira, 28 de março de 13
5. TOP 10 - 2013
• AI - Injeção
• A2 - Autenticação quebrada e gerenciamento de sessão
• A3 - XSS
• A4 - Referências inseguras diretas de objetos
• A5 - Segurança das configurações
• A6 - Exposição sensível de dados
• A7 - Falta de controle do nível de acesso
• A8 - Cross-Site Requisição forjada
• A9 - Uso de componentes com vulnerabilidade conhecida
• A10 - Redirecionamento inválidos
quinta-feira, 28 de março de 13
6. A1 - Injeção
• Vulnerabilidade
• Qualquer fonte de entrada de dados
pode ser um vetor de injecção, incluindo
as fontes internas.
quinta-feira, 28 de março de 13
7. A1 - Injeção
• Ex: String query = "SELECT * FROM
accounts WHERE custID='" +
request.getParameter("id") +"'";
• Ex: http://example.com/app/accountView?
id=' or '1'='1
quinta-feira, 28 de março de 13
8. A1 - Injeção
• Prevenção
• Usar biblioteca de interpretação de
dados
quinta-feira, 28 de março de 13
9. A4 - Referências inseguras
diretas de objetos
• Vulnerabilidade
• Para referências diretas a recursos
limitados, o aplicativo precisa verificar se o
usuário está autorizado a acessar o recurso.
• Se a referência é uma referência indireta, o
mapeamento para a referência direta deve
ser limitada aos valores autorizados para o
usuário atual.
quinta-feira, 28 de março de 13
10. A4 - Referências inseguras
diretas de objetos
• Ex: example.com?id=400
• Ex: example.com?
id=18d8042386b79e2c279fd162df0205c8
• Ex: example.com/promocao_de_pascoa
quinta-feira, 28 de março de 13
11. A4 - Referências inseguras
diretas de objetos
• Prevenção
• Usar referências indiretas
• Verificar o acesso
quinta-feira, 28 de março de 13
12. A7 - Falta de controle de
nível de acesso
• Vulnerabilidade
• Será que a navegação mostra URL para
funções não autorizadas ?
• São verificadas as autenticação e
autorização ?
• São verificações feitas no servidor, sem
depender de informações fornecidas pelo
atacante?
quinta-feira, 28 de março de 13
13. A7 - Falta de controle de
nível de acesso
• Ex: example.com/user
• Ex: example.com/admin
• Ex: example.com/user/new
• Ex: example.com/admin/user/new
quinta-feira, 28 de março de 13
14. A7 - Falta de controle de
nível de acesso
• Prevenção
• Autenticação e autorização.
• Não exibir link ou botões de funções não
autorizadas.
quinta-feira, 28 de março de 13
15. Referências
• https://www.owasp.org/index.php/
Main_Page
• http://owasptop10.googlecode.com/files/
OWASP%20Top%2010%20-%202013%20-
%20RC1.pdf
quinta-feira, 28 de março de 13
16. Obrigado
facebook.com/aitproeg
slideshare.net/aitproeg
quinta-feira, 28 de março de 13