Teste de segurança Alunos: Pablo Ribeiro / Wilkins Guimarães
Jun 09, 2015
Teste de segurança
Alunos:
Pablo Ribeiro / Wilkins Guimarães
Teste de segurança
Roteiro de apresentação
Introdução
Problemas
Principais Falhas
Causas de invasões
Open Source
Um pouco sobre a internet
Introdução
• No inicio da internet, segurança não era preocupação.
• Hoje a maioria dos sites é uma aplicação
• Possuem muitas funcionalidades
• Suportam login, transações comercias.
• Conteúdo dinâmico.
• Informações confidencias.
Por que fazer teste de segurança?
Teste de segurança
Teste de segurança
Por que fazer teste de segurança?
• Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.
• Aumento de incidentes de 61% de 2008 para 2009.• Aumento de 11530% de 1999 até 2009.• Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.• Site blindado 70% dos sites corporativo possuem falhas graves.
“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1
Top 10 de falhas mais comuns
• Falhas de injeção (SQL INJECTION)• Falhas de autenticação e de gerenciamento de sessão• Problemas de configuração• Falhas ao restringir o acesso a alguma URL• Redirecionamento inválidos Ex: Js.• Tecnologia Ex: Apache, php, asp.• Página de login sem critografia.• Proteção na camada de transporte de informação• Sem criptografia (MD5)• Certificados inválidos (E-commerce)
Teste de segurança
Motivos de ataques
• Sites com muitos acessos• Sites / Sistema de domínio público• Funcionários insatisfeitos• Dinheiro• E outros
Teste de segurança
Por que fazer teste de segurança?
• O usuário pode enviar QUALQUER dado
• Deve-se assumir que toda entrada pode ser maliciosa.• Usuários não irão usar apenas o navegador para acessar a aplicação
Teste de segurança
Teste de segurança
Por que fazer teste de segurança?
• Exemplos de ataques (Sql injection)
• O que vai acontecer se eu clicar em ok?
Teste de segurança
Por que fazer teste de segurança?• Clicando em ok consigo entrar dentro sistema• Com uso de algumas aplicações consigo acessar banco de dados, arquivos e etc.
Teste de segurança
Por que fazer teste de segurança?
• www.seusite.com.br/cursos.php?id=303&tipo=2'
Teste de segurançaX
Vulnerabilidades
Teste de segurança
Teste de segurança X Vulnerabilidades
Saia na frente... • Faça validações na entradas de dados.• Ex: upload de imagens .png .gif .jpg.• Ex: upload de arquivos .doc .docx .pdf e etc.
• Login e senhas com criptografia (MD5)• Limitar a entrada de dados ex: 20 caracteres.
• Controle de acessos• Ex: nenhum usuário pode fazer 200 acessos
em 2 minutos, bloqueia temporariamente o ip.
• Bloqueio das notificações de erro• Servidor Apache php.ini
Jamais esqueça de fazer teste de segurança• Retrabalho, desenvolver novamente uma aplicação
• Imagem negativa para empresa
• Imagem negativa para clientes de clientes
• Sistemas expostos em fórum de hacks • http://www.zone-h.org/• http://forum.guiadohacker.com.br/
• Prejuízo financeiro
Teste de segurança
Teste de segurança
Não reinvente a roda... • Conheça projetos open source.
• Gerenciadores de conteúdo• Wordpress • Drupal• Joomla
• Lojas virtuais (Ecommerce)• Magento• PrestaShop• OpenCart• Joomla
Estude se no seu projeto e possível utilizar um cms open source.
Teste de segurança