SlideShare une entreprise Scribd logo

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Clavis Segurança da Informação
Clavis Segurança da Informação

O documento discute as principais ameaças à aplicações web, incluindo injeções, cross-site scripting, quebra de autenticação, referência direta a objetos, cross-site request forgery, falhas de configuração, armazenamento inseguro e falha na restrição de acesso a URLs. Ele fornece exemplos e recomendações de como mitigar cada uma dessas ameaças.

Technologie
1  sur  47
Télécharger pour lire hors ligne
Principais ameças à Aplicações Web Como explorá-las e como se proteger Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Ameaças • Injeções • Cross-Site Scripting (XSS) • Quebra de Autenticação / Sessão • Referência direta à objetos • Cross-Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Ameaças (cont.) • Falhas de Configuração • Armazenamento Inseguro • Falha na Restrição de Acesso à URLs • Canal Inseguro • Redirecionamentos Não-Validados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’+OR+‘1’=‘1’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código Java: String query = "SELECT * FROM usuarios WHERE username = '" + req.getParameter("usr") + "' and passwd = '" + req.getParameter("pwd") +"'"; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘admin’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código: $dominio = param(‘dominio'); $nslookup = "/usr/bin/nslookup"; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Recomendações ● Tratamento de entradas ● Validação por whitelist ● Minimize os privilégios ●OWASP: SQL_Injection_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente • DOM (Document Object Model) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Persistente Dados enviados sem tratamento para usuários Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.n”; ?> • Requisição index.php?name=<script>alert(1)</script> Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • DOM Código executado no browser utilizando elementos do DOM Não há falha no servidor Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) ● Validação de entrada ● Validação de saída ● Validação de elementos do DOM ●OWASP XSS Prevention Cheat Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão • Restrição de conteúdos / recursos ●Autenticação HTTP: Basic -> credenciais concatenadas separadas por “:” e codificadas em base64 Digest -> hash MD5 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão Cookie: [...] Authorization: Basic dGVzdGU6ZHVtbXlwYXNzd29yZA== [...] Decodificando: $ echo "dGVzdGU6ZHVtbXlwYXNzd29yZA==" | base64 –d teste:dummypassword Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão HTTP digest: Força-bruta Hydra (http://freeworld.thc.org/thc-hydra/) Replay de tráfego TCPReplay (http://tcpreplay.synfin.net/trac/) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão ● Tunelameto por SSL ● Políticas de segurança ● CAPTCHA ●OWASP Authentication_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Referência Direta a Objetos • Exposição de informações internas • Evite Controle de Acesso em camada de apresentação ●Modificações de informações para acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Referência Direta a Objetos • Evite expor referências a objetos internos ● Validação de referências ● Mapas de referência Ex: http://www.example.com/application?file=1 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • Browsers enviam alguns tipos de credenciais automaticamente em cada requisição Cookies Cabeçalhos Endereço IP Certificados SSL Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • A vítima acessa um site malicioso enquanto está logada no sistema vulnerável ●O atacante força a vítima a fazer tal requisição Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • Autenticações forçadas em requisições sensíveis ●Controle exposição de dados utilizados como credenciais ●OWASP: CSRF_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falhas de Configuração • Aplicações rodam em cima de serviços que rodam em cima de SOs • Todos podem ser vetores de ataque • Exploits (e patchs!) se aplicam à qualquer tipo de software Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falhas de Configuração • “hardening” de servidores ● Patchs e atualizações ● Homologação de mudanças ● Vulnerability Management Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro • Identificação de dados sensíveis • Banco de dados, Arquivos, Diretórios, Arquivos de log, Backups, etc... • Proteção insuficiente ou inexistente • Confidencialidade e integridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro 1. Cliente faz transações com cartão de crédito 2. Log com os dados da transção apontam algum erro 3. Um insider acessa milhões de números de cartão de crédito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro ● Algoritmos fortes ● Chaves diferenciadas ● Política de criação, armazenamento e troca de chaves ●OWASP Cryptographic_Storage_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falha na Restrição de Acesso à URLs ● Exposição do nível de privilégio ● Camada de apresentação e / ou tráfego legítimo ●É possível forçar outros níveis (admin, manager, etc) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falha na Restrição de Acesso à URLs ● Restrição de acesso em várias camadas ● Bloqueie requisições à tipos não autorizados de arquivos (configurações, logs, fontes, etc.) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Canal Inseguro • A internet é pública e hostil • Dados podem ser (e serão!) capturados • Utilize criptografia • Visualização / modificação informações Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Canal Inseguro • Certificado Digital • Confidencialidade e Auntenticidade • Algoritmos seguros • OWASP Transport_Layer_Protection_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Redirecionamentos Não-Validados • Requisição forjada com instrução de redirecionamento • Aplicação não valida o parâmetro e redireciona a vítima para site malicioso Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Redirecionamentos Não-Validados • Se possível, evite “redirects” e “forwards” ●Caso seja necessário, não envolva parâmetros fornecidos pelo usuário ● Utilize whitelists Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Recommandé

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php segurosDouglas V. Pasqua
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5Douglas V. Pasqua
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2Cyrille Grandval
 
Autenticacao em APIs com SSL
Autenticacao em APIs com SSLAutenticacao em APIs com SSL
Autenticacao em APIs com SSLMarcelo Milhomem
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBErick Belluci Tedeschi
 

Recommandé

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Construindo uma Aplicação PHP à Prova de Balas - 2010
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
 
Escrevendo códigos php seguros
Escrevendo códigos php segurosEscrevendo códigos php seguros
Escrevendo códigos php segurosDouglas V. Pasqua
 
Segurança Web com PHP5
Segurança Web com PHP5Segurança Web com PHP5
Segurança Web com PHP5Douglas V. Pasqua
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2Proteja sua aplicação com o zend framework 2
Proteja sua aplicação com o zend framework 2Cyrille Grandval
 
Autenticacao em APIs com SSL
Autenticacao em APIs com SSLAutenticacao em APIs com SSL
Autenticacao em APIs com SSLMarcelo Milhomem
 
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBFIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEB
FIEB - WebVibe - Desenvolvimento Seguro de Aplicações WEBErick Belluci Tedeschi
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on RailsJulio Monteiro
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaCarlos Nilton Araújo Corrêa
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilWilliam Costa
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Tony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics ArtifactsTony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics Artifactstonyrodrigues
 
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...Rafael Jaques
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”Clavis Segurança da Informação
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSSWilliam Costa
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4William Costa
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHPAugusto Pascutti
 
Identifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopusIdentifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopusLeonn Leite
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 

Contenu connexe

Tendances

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on RailsJulio Monteiro
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software SeguroAugusto Lüdtke
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSamyr Abdo
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilWilliam Costa
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Tony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics ArtifactsTony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics Artifactstonyrodrigues
 
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...Rafael Jaques
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSSWilliam Costa
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4William Costa
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendadoricardophp
 
Identifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopusIdentifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopusLeonn Leite
 

Tendances (19)

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Segurança & Ruby on Rails
Segurança & Ruby on RailsSegurança & Ruby on Rails
Segurança & Ruby on Rails
 
Segurança Web: O MMA da Tecnologia
Segurança Web: O MMA da TecnologiaSegurança Web: O MMA da Tecnologia
Segurança Web: O MMA da Tecnologia
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 
Segurança PHP - por Samyr Abdo
Segurança PHP - por Samyr AbdoSegurança PHP - por Samyr Abdo
Segurança PHP - por Samyr Abdo
 
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de BalasConstruindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
 
Bypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasilBypass de token csrf na pratica secure brasil
Bypass de token csrf na pratica secure brasil
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Tony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics ArtifactsTony\'s Top 10 Computer Forensics Artifacts
Tony\'s Top 10 Computer Forensics Artifacts
 
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
[FISL 16] PHP no Campo de Batalha: Segurança Avançada e Programação Defensiva...
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”
 
Quem tem medo do XSS
Quem tem medo do XSSQuem tem medo do XSS
Quem tem medo do XSS
 
Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4Xss injection indo alem do alert.v 0.4
Xss injection indo alem do alert.v 0.4
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendado
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 
Identifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopusIdentifique brechas, proteja sua aplicação | Php avenger e octopus
Identifique brechas, proteja sua aplicação | Php avenger e octopus
 

Similaire à Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoClavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguroCharles Fortes
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 

Similaire à Principais ameças à Aplicações Web - Como explorá-las e como se proteger. (20)

Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia Clavis
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
 
Desenvolvimento de software seguro
Desenvolvimento de software seguroDesenvolvimento de software seguro
Desenvolvimento de software seguro
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
 
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasTratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Website security
Website securityWebsite security
Website security
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Sql injection
Sql injectionSql injection
Sql injection
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 

Plus de Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Clavis Segurança da Informação
 

Plus de Clavis Segurança da Informação (20)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

  • 1. Principais ameças à Aplicações Web Como explorá-las e como se proteger Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Ameaças • Injeções • Cross-Site Scripting (XSS) • Quebra de Autenticação / Sessão • Referência direta à objetos • Cross-Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Ameaças (cont.) • Falhas de Configuração • Armazenamento Inseguro • Falha na Restrição de Acesso à URLs • Canal Inseguro • Redirecionamentos Não-Validados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções • Dados não esperados • Strings interpretadas como comandos • SQL, Shell, LDAP, etc... • SQL é o caso mais comum Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[‘usr'] . “’ AND passwd=‘“ . $_REQUEST[‘pwd’] . “’”; Exploração: login.php?usr=’+OR+‘1’=‘1’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘’+OR+‘1’=‘1’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código Java: String query = "SELECT * FROM usuarios WHERE username = '" + req.getParameter("usr") + "' and passwd = '" + req.getParameter("pwd") +"'"; Exploração: login.jsp?usr=admin’--&pwd=a query <- SELECT * FROM usuarios WHERE username = ‘admin’--’ AND passwd=‘a’ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos www.seginfo.com.br Tradução da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos • Injeção de Comandos • Exemplo: DNS lookup em domínios passados pelo usuário Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Código: $dominio = param(‘dominio'); $nslookup = "/usr/bin/nslookup"; Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Exemplos Resultado: /usr/bin/nslookup clavis.com.br ; /bin/ls -l Além do resultado do nslookup, o atacante receberá a lista dos arquivos que estão no diretório da aplicação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Injeções - Recomendações ● Tratamento de entradas ● Validação por whitelist ● Minimize os privilégios ●OWASP: SQL_Injection_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Enviados ao browser do usuário • Posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Redirecionamento e/ou roubo de dados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Tipos: • Persistente • Não Persistente • DOM (Document Object Model) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Persistente Dados enviados sem tratamento para usuários Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Não Persistente Dados enviados de volta sem tratamento e executado no browser da vítima. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • Código vulnerável <?php echo “Hello ” . $_GET[‘name’] . ”.n”; ?> • Requisição index.php?name=<script>alert(1)</script> Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) • DOM Código executado no browser utilizando elementos do DOM Não há falha no servidor Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross-Site Scripting (XSS) ● Validação de entrada ● Validação de saída ● Validação de elementos do DOM ●OWASP XSS Prevention Cheat Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão • Restrição de conteúdos / recursos ●Autenticação HTTP: Basic -> credenciais concatenadas separadas por “:” e codificadas em base64 Digest -> hash MD5 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão Cookie: [...] Authorization: Basic dGVzdGU6ZHVtbXlwYXNzd29yZA== [...] Decodificando: $ echo "dGVzdGU6ZHVtbXlwYXNzd29yZA==" | base64 –d teste:dummypassword Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 27. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão HTTP digest: Força-bruta Hydra (http://freeworld.thc.org/thc-hydra/) Replay de tráfego TCPReplay (http://tcpreplay.synfin.net/trac/) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 28. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Quebra de Autenticação / Sessão ● Tunelameto por SSL ● Políticas de segurança ● CAPTCHA ●OWASP Authentication_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 29. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Referência Direta a Objetos • Exposição de informações internas • Evite Controle de Acesso em camada de apresentação ●Modificações de informações para acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 30. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Referência Direta a Objetos • Evite expor referências a objetos internos ● Validação de referências ● Mapas de referência Ex: http://www.example.com/application?file=1 Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 31. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • Browsers enviam alguns tipos de credenciais automaticamente em cada requisição Cookies Cabeçalhos Endereço IP Certificados SSL Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 32. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • A vítima acessa um site malicioso enquanto está logada no sistema vulnerável ●O atacante força a vítima a fazer tal requisição Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 33. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 34. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Cross Site Request Forgery (CSRF) • Autenticações forçadas em requisições sensíveis ●Controle exposição de dados utilizados como credenciais ●OWASP: CSRF_Prevention_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 35. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falhas de Configuração • Aplicações rodam em cima de serviços que rodam em cima de SOs • Todos podem ser vetores de ataque • Exploits (e patchs!) se aplicam à qualquer tipo de software Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 36. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falhas de Configuração • “hardening” de servidores ● Patchs e atualizações ● Homologação de mudanças ● Vulnerability Management Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 37. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro • Identificação de dados sensíveis • Banco de dados, Arquivos, Diretórios, Arquivos de log, Backups, etc... • Proteção insuficiente ou inexistente • Confidencialidade e integridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 38. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro 1. Cliente faz transações com cartão de crédito 2. Log com os dados da transção apontam algum erro 3. Um insider acessa milhões de números de cartão de crédito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 39. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Armazenamento Inseguro ● Algoritmos fortes ● Chaves diferenciadas ● Política de criação, armazenamento e troca de chaves ●OWASP Cryptographic_Storage_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 40. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falha na Restrição de Acesso à URLs ● Exposição do nível de privilégio ● Camada de apresentação e / ou tráfego legítimo ●É possível forçar outros níveis (admin, manager, etc) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 41. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Falha na Restrição de Acesso à URLs ● Restrição de acesso em várias camadas ● Bloqueie requisições à tipos não autorizados de arquivos (configurações, logs, fontes, etc.) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 42. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Canal Inseguro • A internet é pública e hostil • Dados podem ser (e serão!) capturados • Utilize criptografia • Visualização / modificação informações Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 43. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Canal Inseguro • Certificado Digital • Confidencialidade e Auntenticidade • Algoritmos seguros • OWASP Transport_Layer_Protection_Cheat_Sheet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 44. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Redirecionamentos Não-Validados • Requisição forjada com instrução de redirecionamento • Aplicação não valida o parâmetro e redireciona a vítima para site malicioso Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 45. Principais Ameaças Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Redirecionamentos Não-Validados • Se possível, evite “redirects” e “forwards” ●Caso seja necessário, não envolva parâmetros fornecidos pelo usuário ● Utilize whitelists Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 46. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 47. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.