Segurança em aplicações Web Porque é tão importante?
Segurança em aplicações web
Dec 05, 2014
Apresentação sobre segurança em aplicações web
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Segurança em aplicações Web
Porque é
tão
importante?
Considerações iniciais
INTRODUÇÃO
• Facilidade de acesso.
• Estatísticas desfavoráveis.
• O desinteresse dos desenvolvedores.
• XSS
VULNERABILIDADES MAIS
COMUNS
• INJEÇÃO SQL
• Atacante insere comandos SQL.
• Utiliza formulários.
• Recomendações:
• Validação : dados de entrada.
• Permitir somente caracteres selecionados
previamente.
• Prepared Statement: Impede a alteração
da sintaxe do comando SQL.
VULNERABILIDADES MAIS
COMUNS
• CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código
malicioso.
• Aplicação web sem validação.
• Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page.
• Recomendações: • Verificar se o conteúdo da Page
não contenha scripts indesejados.
• Filtragem de dados.
(Entrada e saída).
VULNERABILIDADES MAIS
COMUNS
• SISTEMAS DE AUTENTICAÇÃO
• Login e senha válidos.
• Perigo nas mensagens de erro!
• Problemas - Mensagens de erro:
• - Enumeração de logins válidos: Usuários listados.
• - Ataque de dicionário: Tentativa e erro.
• - Ataque de força bruta: Formações de palavra.
• Recomendações:
• Evitar mensagens de erro detalhadas.
VULNERABILIDADES MAIS
COMUNS
• SEQUESTRO DE SESSÕES.
• Utilização de cookies.
• Servidor captura o cookie.
• Ataque pode surgir quando: captura ou
adiviha o cookie de outro usuário.
• Recomendações:
• HTTPS: garante a criptografia.
• Eliminação de vulnerabilidade.
VULNERABILIDADES MAIS
COMUNS
• ARQUIVOS INDEVIDOS.
• Arquivos de configuração e informações
sigilosas.
• Arquivos com senha.
• Recomendações:
• Mover os arquivos de configuração,
backup e sigilosos.
VULNERABILIDADES MAIS
COMUNS
• EXECUÇÃO DE COMANDOS.
• Manipulação das entradas de dados.
• Comandos executam com as mesmas
permissões.
• Recomendações:
• Dados dos usuários validados antes da
execução.
• Chamar as bibliotecas.
VULNERABILIDADES MAIS
COMUNS
• ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao
usuário.
• Pode ser encontrada em apps web com menus criados dinamicamente.
• Recomendações:
• Todo controle deve ser validado.
• Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados.
• Todos os recursos protegidos precisam de um controle implementado .
VULNERABILIDADES MAIS
COMUNS
• OUTRAS RECOMENDAÇÕES.
• Protocolo HTTPS.
• Política de senhas. (8 caracteres).
• UPLOAD de arquivos.
• Privilégios mínimos no Banco de Dados.
• Criptografia das senhas.
• Campos hidden no código HTML.
• Atualização de softwares.
• Configuração de softwares.
VULNERABILIDADES MAIS
COMUNS
• Referências:
Agência Estadual de Tecnologia da
Informação.
Related Documents
![SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES GSIC701jhcf/MyBooks/cegsic/2009_2011/... · 5.4 A segurança de aplicações na gestão da segurança da informação • ..34 [35] 6.](https://static.cupdf.com/doc/110x72/5f6168e659100344bf41652b/segurana-no-desenvolvimento-de-aplicaes-gsic701-jhcfmybookscegsic20092011.jpg)
