SlideShare une entreprise Scribd logo

Webgoat como ferramenta de aprendizado

Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH

Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.

Internet
1  sur  14
Télécharger pour lire hors ligne
Copyright © 2004 -The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
2 OWASP Quem sou eu?
3 OWASP O que é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
4 OWASP O código faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
OWASP 5 O que é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
OWASP 6 O que é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
OWASP 7 Publicações OWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
OWASP 8 Publicações OWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
OWASP 9 Software OWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
OWASP 10 Software OWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
OWASP 11 Vamos conhecer alguns “bugs”…
OWASP 12 SQL Injection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
13 OWASP
14 OWASP Obrigado pela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)

Recommandé

Informática 1-conceitos e componentes
Informática 1-conceitos e componentesInformática 1-conceitos e componentes
Informática 1-conceitos e componentes
Mauro Pereira
 
esquema interno del cpu
esquema interno del cpuesquema interno del cpu
esquema interno del cpu
marthitha-mendez
 
Sistema Operacional
Sistema OperacionalSistema Operacional
Sistema Operacional
profleodin
 
Apresentação da aula de sistemas operacionais
Apresentação da aula de sistemas operacionaisApresentação da aula de sistemas operacionais
Apresentação da aula de sistemas operacionais
Felipe Martinin
 
Licenças de software livre
Licenças de software livreLicenças de software livre
Licenças de software livre
Petronio Candido
 
Web Design Responsivo
Web Design ResponsivoWeb Design Responsivo
Web Design Responsivo
Eduardo Mendes
 
i Operating system
i Operating systemi Operating system
i Operating system
Akhil Kumar
 
Noções de sistema operacional
Noções de sistema operacionalNoções de sistema operacional
Noções de sistema operacional
Luciano Lugori
 

Recommandé

Informática 1-conceitos e componentes
Informática 1-conceitos e componentesInformática 1-conceitos e componentes
Informática 1-conceitos e componentes
Mauro Pereira
 
esquema interno del cpu
esquema interno del cpuesquema interno del cpu
esquema interno del cpu
marthitha-mendez
 
Sistema Operacional
Sistema OperacionalSistema Operacional
Sistema Operacional
profleodin
 
Apresentação da aula de sistemas operacionais
Apresentação da aula de sistemas operacionaisApresentação da aula de sistemas operacionais
Apresentação da aula de sistemas operacionais
Felipe Martinin
 
Licenças de software livre
Licenças de software livreLicenças de software livre
Licenças de software livre
Petronio Candido
 
Web Design Responsivo
Web Design ResponsivoWeb Design Responsivo
Web Design Responsivo
Eduardo Mendes
 
i Operating system
i Operating systemi Operating system
i Operating system
Akhil Kumar
 
Noções de sistema operacional
Noções de sistema operacionalNoções de sistema operacional
Noções de sistema operacional
Luciano Lugori
 
Aula 2 - A área de IHC
Aula 2 - A área de IHCAula 2 - A área de IHC
Aula 2 - A área de IHC
André Constantino da Silva
 
Crear archivo con el comando edit
Crear archivo con el comando editCrear archivo con el comando edit
Crear archivo con el comando edit
dsalonso
 
Interação Humano-Computador (IHC)
Interação Humano-Computador (IHC)Interação Humano-Computador (IHC)
Interação Humano-Computador (IHC)
Rafael Citadella Daron
 
Funções e caracteristicas de um so
Funções e caracteristicas de um soFunções e caracteristicas de um so
Funções e caracteristicas de um so
MiriamMiguel
 
Front End x Back End
Front End x Back EndFront End x Back End
Front End x Back End
Tatiane Aguirres Nogueira
 
Linguagens Formais e Autômatos: alfabetos, palavras e linguagens
Linguagens Formais e Autômatos: alfabetos, palavras e linguagensLinguagens Formais e Autômatos: alfabetos, palavras e linguagens
Linguagens Formais e Autômatos: alfabetos, palavras e linguagens
Wellington Della Mura
 
Seminar Operating system.pptx
Seminar Operating system.pptxSeminar Operating system.pptx
Seminar Operating system.pptx
HimanshuPandey506132
 
API - Como fazer?
API - Como fazer?API - Como fazer?
API - Como fazer?
Felipe Caparelli
 
Trabalho de informatica - Sistema Operacional iOS
Trabalho de informatica - Sistema Operacional iOSTrabalho de informatica - Sistema Operacional iOS
Trabalho de informatica - Sistema Operacional iOS
nadilei
 
Sistema Operativo
Sistema OperativoSistema Operativo
Sistema Operativo
babygirlandreia
 
Windows xp
Windows xpWindows xp
Windows xp
Leandro Borges
 
iOS Operating System
iOS Operating SystemiOS Operating System
iOS Operating System
Jawaher Abdulwahab Fadhil
 
Aula 10 microcomputadores
Aula 10 microcomputadoresAula 10 microcomputadores
Aula 10 microcomputadores
Renaldo Adriano
 
A evolução dos processadores
A evolução dos processadoresA evolução dos processadores
A evolução dos processadores
drogapraisso
 
Aula 06 projetos multimídia
Aula 06 projetos multimídiaAula 06 projetos multimídia
Aula 06 projetos multimídia
Fábio Costa
 
Evolução dos sistemas operativos
Evolução dos sistemas operativosEvolução dos sistemas operativos
Evolução dos sistemas operativos
Marioalmeida_10
 
Software livre por que usar? slide
Software livre por que usar? slideSoftware livre por que usar? slide
Software livre por que usar? slide
José Nascimento
 
Sistema Operacional Android
Sistema Operacional AndroidSistema Operacional Android
Sistema Operacional Android
Guiherme Alarcão
 
Trabalho Firewall
Trabalho FirewallTrabalho Firewall
Trabalho Firewall
Junior Cesar
 
Modelo de von neumann
Modelo de von neumannModelo de von neumann
Modelo de von neumann
Elaine Cecília Gatto
 
Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - Apresentação
Cleyton Kano
 

Contenu connexe

Tendances

Crear archivo con el comando edit
Crear archivo con el comando editCrear archivo con el comando edit
Crear archivo con el comando edit
dsalonso
 
Funções e caracteristicas de um so
Funções e caracteristicas de um soFunções e caracteristicas de um so
Funções e caracteristicas de um so
MiriamMiguel
 
Aula 10 microcomputadores
Aula 10 microcomputadoresAula 10 microcomputadores
Aula 10 microcomputadores
Renaldo Adriano
 
Aula 06 projetos multimídia
Aula 06 projetos multimídiaAula 06 projetos multimídia
Aula 06 projetos multimídia
Fábio Costa
 

Tendances (20)

Aula 2 - A área de IHC
Aula 2 - A área de IHCAula 2 - A área de IHC
Aula 2 - A área de IHC
 
Crear archivo con el comando edit
Crear archivo con el comando editCrear archivo con el comando edit
Crear archivo con el comando edit
 
Interação Humano-Computador (IHC)
Interação Humano-Computador (IHC)Interação Humano-Computador (IHC)
Interação Humano-Computador (IHC)
 
Funções e caracteristicas de um so
Funções e caracteristicas de um soFunções e caracteristicas de um so
Funções e caracteristicas de um so
 
Front End x Back End
Front End x Back EndFront End x Back End
Front End x Back End
 
Linguagens Formais e Autômatos: alfabetos, palavras e linguagens
Linguagens Formais e Autômatos: alfabetos, palavras e linguagensLinguagens Formais e Autômatos: alfabetos, palavras e linguagens
Linguagens Formais e Autômatos: alfabetos, palavras e linguagens
 
Seminar Operating system.pptx
Seminar Operating system.pptxSeminar Operating system.pptx
Seminar Operating system.pptx
 
API - Como fazer?
API - Como fazer?API - Como fazer?
API - Como fazer?
 
Trabalho de informatica - Sistema Operacional iOS
Trabalho de informatica - Sistema Operacional iOSTrabalho de informatica - Sistema Operacional iOS
Trabalho de informatica - Sistema Operacional iOS
 
Sistema Operativo
Sistema OperativoSistema Operativo
Sistema Operativo
 
Windows xp
Windows xpWindows xp
Windows xp
 
iOS Operating System
iOS Operating SystemiOS Operating System
iOS Operating System
 
Aula 10 microcomputadores
Aula 10 microcomputadoresAula 10 microcomputadores
Aula 10 microcomputadores
 
A evolução dos processadores
A evolução dos processadoresA evolução dos processadores
A evolução dos processadores
 
Aula 06 projetos multimídia
Aula 06 projetos multimídiaAula 06 projetos multimídia
Aula 06 projetos multimídia
 
Evolução dos sistemas operativos
Evolução dos sistemas operativosEvolução dos sistemas operativos
Evolução dos sistemas operativos
 
Software livre por que usar? slide
Software livre por que usar? slideSoftware livre por que usar? slide
Software livre por que usar? slide
 
Sistema Operacional Android
Sistema Operacional AndroidSistema Operacional Android
Sistema Operacional Android
 
Trabalho Firewall
Trabalho FirewallTrabalho Firewall
Trabalho Firewall
 
Modelo de von neumann
Modelo de von neumannModelo de von neumann
Modelo de von neumann
 

En vedette

En vedette (9)

Webgoat Project - Apresentação
Webgoat Project - ApresentaçãoWebgoat Project - Apresentação
Webgoat Project - Apresentação
 
WebGoat Project - Apresentação
WebGoat Project - ApresentaçãoWebGoat Project - Apresentação
WebGoat Project - Apresentação
 
Webcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livreWebcast Luiz Vieira criptografia on-the-fly com software livre
Webcast Luiz Vieira criptografia on-the-fly com software livre
 
Segurança Física: Lockpicking
Segurança Física: LockpickingSegurança Física: Lockpicking
Segurança Física: Lockpicking
 
Análise de malware com software livre
Análise de malware com software livreAnálise de malware com software livre
Análise de malware com software livre
 
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux SystemsLinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
LinuxCon 2010: Tutorial - Reverse Engineering on GNU/Linux Systems
 
Engenharia Reversa no Linux
Engenharia Reversa no LinuxEngenharia Reversa no Linux
Engenharia Reversa no Linux
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Tiro Vertical
Tiro VerticalTiro Vertical
Tiro Vertical
 

Similaire à Webgoat como ferramenta de aprendizado

Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
Carlos Serrao
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
OWASP Brasília
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
OWASP Brasília
 

Similaire à Webgoat como ferramenta de aprendizado (20)

AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
OWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BROWASP Top 10 2010 pt-BR
OWASP Top 10 2010 pt-BR
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
 
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
Global AppSec LATAM 2011 Conference - Segurança de Aplicações, para sua organ...
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?Você Escreve Código e Quem Valida?
Você Escreve Código e Quem Valida?
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
Owasp top 10_2013_pt-br
Owasp top 10_2013_pt-brOwasp top 10_2013_pt-br
Owasp top 10_2013_pt-br
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
O Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMPO Web Application Firewall Pack da KEMP
O Web Application Firewall Pack da KEMP
 
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERROWASP_BSB_20120827_mod_security_KLAUBERTHERR
OWASP_BSB_20120827_mod_security_KLAUBERTHERR
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013OWASP Capítulo Brasília 2013
OWASP Capítulo Brasília 2013
 

Plus de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH

Plus de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH (12)

Cool 3 assembly para linux
Cool 3 assembly para linuxCool 3 assembly para linux
Cool 3 assembly para linux
 
Android forensics the hard work
Android forensics the hard workAndroid forensics the hard work
Android forensics the hard work
 
Stack based overflow
Stack based overflowStack based overflow
Stack based overflow
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Segurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwaresSegurança nos ciclos de desenvolvimento de softwares
Segurança nos ciclos de desenvolvimento de softwares
 
How stuff works
How stuff worksHow stuff works
How stuff works
 
Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011Auditoria em sistemas linux - LinuxCon Brazil 2011
Auditoria em sistemas linux - LinuxCon Brazil 2011
 
Forense Computacional com Software Livre
Forense Computacional com Software LivreForense Computacional com Software Livre
Forense Computacional com Software Livre
 
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de VulnerabilidadesMetasploit Framework: Software Livre para PoC de Vulnerabilidades
Metasploit Framework: Software Livre para PoC de Vulnerabilidades
 
Introdução à linguagem python
Introdução à linguagem pythonIntrodução à linguagem python
Introdução à linguagem python
 
Trusted Computing e Software Livre FISL 11 - 2010
Trusted Computing e Software Livre FISL 11 - 2010Trusted Computing e Software Livre FISL 11 - 2010
Trusted Computing e Software Livre FISL 11 - 2010
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 

Webgoat como ferramenta de aprendizado

  • 1. Copyright © 2004 -The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation http://www.owasp.org OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web Luiz Vieira ∴ OWASP Rio de Janeiro HackProofing luizwt@gmail.com
  • 2. 2 OWASP Quem sou eu?
  • 3. 3 OWASP O que é segurança de Aplicações Web? Não é Segurança de Redes Segurança do “código” criado para implementar a aplicação web Segurança de bibliotecas Segurança de sistemas de back-end Segurança de servidores web e aplicacionais Segurança de Redes ignora o conteúdo do tráfego de HTTP Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening
  • 4. 4 OWASP O código faz parte do perímetro de segurança Firewall Hardened OS Web Server App Server Firewall Databases Legacy Systems Web Services Directories Human Resrcs Billing Custom Developed Application Code APPLICATIONATTACK Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional Network Layer Application Layer O seu perímetro de segurança possui buracos enormes na camada aplicacional
  • 5. OWASP 5 O que é o OWASP? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é “doado” por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projetos Patrocínios pessoais por parte dos membros
  • 6. OWASP 6 O que é o OWASP? O que oferece? Publicações OWASP Top 10 OWASP Guide to Building Secure Web Applications Software WebGoat WebScarab oLabs Projects .NET Projects Chapters Locais Orientação das comunidades locais
  • 7. OWASP 7 Publicações OWASP –OWASP Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Atualizado a cada três anos Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adotado como um standard de segurança para aplicações web
  • 8. OWASP 8 Publicações OWASP -OWASP Top 10 Top 10 (versão 2013) A1. Injection A2. Broken Authentication and Session Management A3. Cross-Site Scripting (XSS) A4. Insecure Direct Object Reference A5. Security Misconfiguration A6. Sensitive Data Exposure A7. Missing Function Level Access Control A8. Cross Site Request Forgery (CSRF) A9. Using Components with Known Vulnerabilities A10. Unvalidated Redirects and Forwards
  • 9. OWASP 9 Software OWASP -WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas “Lições de Segurança” Baseado no Tomcat e no JDK 1.5 Orientada para o ensino –Fácil de usar –Ilustra cenários credíveis –Ensina ataques realistas e soluções viáveis
  • 10. OWASP 10 Software OWASP -WebGoat WebGoat –O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta https://code.google.com/p/webgoat/ Descarregar, descomprimir, e executar
  • 11. OWASP 11 Vamos conhecer alguns “bugs”…
  • 12. OWASP 12 SQL Injection XML Injection XSS CSRF Session Fixation Session Hijacking Vamosconheceralguns“bugs”…
  • 14. 14 OWASP Obrigado pela sua atenção! https://www.owasp.org/index.php/Rio_de_Janeiro luizwt@gmail.com http://hackproofing.blogspot.com http://www.hackproofing.com.br(em breve)