As 10 Vulnerabilidades de Segurança Mais Criticas Em Aplicações WEB

7/21/2019 As 10 Vulnerabilidades de Segurana Mais Criticas Em Aplicaes WEB

1/34

OWASP TOP 10

A 10 WEB

2007VERSO: PORTUGUS (BRASIL)

20022007 OWASP FondaionO conedo dee docmeno licenciado pela licena Ceaie Common AibionShaeAlike 2.5.


2/34

OWASP TOP TEN 2007

N Ea eo do Top 10 2007 foi deenolida como pae da aiidade do caplo Bail da OWASP empol da comnidade de deenoledoe e de egana do Bail. Paicipaam dea ado:

Clebe Bando Clebee Analia de Conole de Qalidade BRconnecion Fabicio Aaide Ba

Leonado Caallai Milielli Epecialia de Segana Eal Tecnologia

Maco Alio Rodige Analia Segana BRconnecion

Mke Hamada

Rodigo Monoo Sp0oKe Analia Segana BRconnecion

Paa abe mai obe o eeno e aiidade deenolida pelo caplo Bail, acee o ieocadaee na lia de dicoOWASPBR.


3/34

OWASP TOP TEN 2007

2

NDICE

ndice ............................................................................................................................................................. 2

Inodo ..................................................................................................................................................... 3Smio ......................................................................................................................................................... 4Meodologia .................................................................................................................................................. 5A1 Co Sie Sciping ................................................................................................................................ 8A2 Falha de Injeo ................................................................................................................................ 11A3 Eeco Malicioa de Aio .......................................................................................................... 13A4 Refencia Inega Diea a objeo ................................................................................................... 16A5 Co Sie Ree Foge (CSRF) ...................................................................................................... 18A6 Vaameno de Infomae e Taameno de eo inapopiado ..................................................... 21A7 Fo de Aenicao e Gencia de Seo ....................................................................................... 23A8 Amaenameno cipogafico inego............................................................................................ 25

A9 Comnicae Inega..................................................................................................................... 27A10 Falha ao Reingi Aceo URL .................................................................................................... 29Aonde i a pai dai ................................................................................................................................ 31Refencia .................................................................................................................................................. 33


4/34

OWASP TOP TEN 2007

3

INTRODUO

Bem indo ao OWASP TOP 10 2007! Ea edio compleamene eecia lia a mai ialneabilidade em aplicae WEB, dice como e poege cona ela e po link paa mai

dealhe.

OBJETIVO

O OWASP TOP 10 , , a epeio da conencia da lneabilidade mai comn enconada emaplicae WEB. O TOP 10 po modo bico paa e poege dea lneabilidade m imocomeo paa a codificao ega de m pogama de egana.S . No ficiene conidea a egana de cdigo ma nica e.Em 2008, ee Top 10 e modificado e, cao no mde ma linha do cdigo de a aplicao, ocpode ea lneel. Poano, eie a dica em Whee o go fom hee paa mai dealhe.U .

Aaplicae WEB ega o poei apena ando m SDLC ego iliado. O pogamaego o ego po concepo, dane e deenolimeno e po pado. Eiem no mnimo 300poblema e afeam a egana da aplicae WEB como m odo. Ee 300 o mai odealhado no Gia OWASP, cja leia eencial paa ale m e e ineee po deenoleaplicae WEB.E , , , . No adoe ee docmenocomo ma polica o pado em fala conocopimeio! Se oc pecia de ma polica de codificaoe deenolimeno ego, a OWASP poi ee ipo de docmeno alm de pojeo de padoniaoem andameno. Po fao, conidee a poibilidade de e aocia o ena financeiamene eainiciaia.

AGRADECIMENTOSN goaamo de agadece o MITRE po ona pblico e gaiamene o dado da no CVE. O pojeo OWASP Top 10 lideado e paocinado pela Apec Seci.Lide do pojeo: Ande an de Sock (Dieo Eecio, OWASP Fondaion)Coaoe: Jeff William (Chai, OWASP Fondaion), Dae Wiche (Confeence Chai, OWASPFondaion).N goaamo de agadece noo eioe:

Raol Ende po ajda em mane o Top 10 aio noamene e po e alioo comenio

See Chie (MITRE) po a eenia eio e adio da infomae do MITRE CWE

Jeemiah Goman (Whie Ha Seci) pela eie e conibie alioa obe a fomaaomaiada de deeco.

Slan Von Sppe po a eio eempla Colin Wong, Nigel Ean, Ande Gionda, Neil Smihline pelo comenio eniado po email.


5/34

OWASP TOP TEN 2007

4

SUMRIO

A1 C S S (XSS) O fo XSS ocoem empe e ma aplicao obm a infomae fonecida peloio e a enia de ola ao naegado em ealia alidao o codificao daele

conedo. O XSS pemie ao aacane eecaem cip no naegado da ima, o alpode oba ee de io, picha ie Web, inodi om, ec.

A2 F I A falha de injeo, em epecial SQL Injecion, o comn em aplicae Web. A injeoocoe ando o dado fonecido pelo io o eniado a m inepeado compae do comando o conla. A infomao malicioa fonecida pelo aacane engana oinepeado e i eeca comando mal inencionado o manipla infomae.

A3 E

O cdigo lneei inclo emoa de aio (RFI) pemie ao aacane inclicdigo e dado malicioo, elando em aae deaadoe, como ocompomeimeno oal do eido. O aae de eeco de aio malicioo afeaPHP, XML e odo o fameok e aceiem nome de aio o aio do io.

A4 R I D O

Uma efencia diea objeo ocoe ando m deenoledo epe a efencia a mobjeo implemenado inenamene, como o cao de aio, dieio, egio dabae de dado o chae, na foma de ma URL o pameo de fomlio. O aacanepodem manipla ea efencia paa acea oo objeo em aoiao.

A5 C S R F(CSRF)

Um aae CSRF foa o naegado da ima, e eeja aenicado em ma aplicao, aenia ma eiio paenicada m eido Web lneel, e po a efoa o naegado da ima a eeca ma ao malicioa em pol do aacane. O CSRFpode e o podeoo ano a aplicao Web e ele aaca.

A6 V I T E I

A aplicae podem dilga infomae obe a configae, poceo inenoo iola a piacidade po meio de ma ie de poblema na aplicao, em haeale ineno. O aacane podem a ea fagilidade paa oba infomaeconideada enei o condi aae mai eado.

A7 A G S

A cedenciai de aceo e oken de eo no o poegido apopiadamene combaane fencia. Aacane compomeem enha, chae o oken de aenicaode foma a ami a idenidade de oo io.

A8 AC I

A aplicae Web aamene iliam fne cipogfica de foma adeada paapoeo de infomae e cedenciai. O aacane e apoeiam de infomae malpoegida paa ealia obo de idenidade e oo cime, como fade de cae decdio.

A9 C A aplicae feenemene falham em cipogafa fego de ede ando e faneceio poege comnicae cica/confidenciai.

A10 F R A URL

Feenemene, ma aplicao poege a fncionalidade cica omene pelapeo de infomae como link o URL paa io no aoiado. O aacanepodem fae o dea fagilidade paa acea e ealia opeae no aoiada pomeio do aceo dieo URL.

T 1: TOP 10 W 2007


6/34

OWASP TOP TEN 2007

5

METODOLOGIA

Noa meodologia paa o TOP 10 de 2007 foi imple: pegamo o edo de Tendncia deVlneabilidade paa 2006 do MITREe eamo a 10 pincipai lneabilidade elaia aplicae

Web. O elado apeenado a egi:

F 1: D MITRE T 10 W 2006

Apea da enaia de peeao do mapeameno m a m da eaica de lneabilidade doMITRE paa nomea cada eo do docmeno, n mdamo delibeadamene algma caegoia como inio de mapea de foma mai apopiada a caa pincipai. Se oc e ineeado naeaica finai oiginai do MITRE, n inclmo ma planilha Ecel na pgina do pojeo OWASP Top

10.Toda a ecomendae de poeo pom ole paa o mai pealene fameok deaplicao Web: Jaa EE, ASP .NET e PHP. Oo fameok iliado, como Rb on Rail e Pelpodem adapa facilmene a ecomendae paa aifae neceidade epecfica.

POR QUE NS DESCARTAMOS ALGUNS PROBLEMAS IMPORTANTES

E o maio deafio paa ale ime de deenolimeno e a oigemdo poblema de egana de mia aplicae. De fao, mio do ien peene na liaecomendam a alidao de enada como pae da olo. N ecomendamo cia m mecanimode alidao cenaliado como pae de a aplicao. Paa maioe infomae, leia o eginedocmeno de alidao de dado da OWASP:

hp://.oap.og/inde.php/Daa_Validaion hp://.oap.og/inde.php/Teing_fo_Daa_Validaion

P , o lneabilidadeeemamene ia paa pogama ecio em lingagem C o C++. A emediao paa ee ipo depoblema o aado po comnidade de egana de aplicae adicionai, como o SANS, CERT epelo fonecedoe de lingagem de pogamao. Se o e cdigo ecio em ma lingagem e pael a eoo de pilha, n encoajamo oc a le o conedo a ee epeio no ie da OWASP:


7/34

OWASP TOP TEN 2007

6

hp://.oap.og/inde.php/Bffe_oeflo

hp://.oap.og/inde.php/Teing_fo_Bffe_Oeflo

G afea odo o iema em algma eeno, paiclameneo PHP. No enano, o anking do MITRE no no pemie incli ee poblema nee ano. Qando

implemenando a aplicao, oc dee conla a lima eo do OWASP Gide e o OWASP eingGide paa infomae dealhada a epeio do geenciameno de configao ega e ee:

hp://.oap.og/inde.php/Configaion

hp://.oap.og/inde.php/Teing_fo_inface_configaion_managemen

POR QUE NS ADICIONAMOS ALGUNS PROBLEMAS IMPORTANTES

C S R F (CSRF) a maio noa inclo nea edio do OWASP Top 10. Emboaocpe a 36 poio na claificao oiginal, n acediamo e ela eja de amanha imponcia, ea aplicae deem inicia e efoo de poeo hoje, paiclamene paa aplicae de alo icoe ciicidade. O CSRF mai pealene do e a aal claificao e pode e mai peigoo.C. O o incoeo da cipogafia no ocpam a poie 8 e 9 da claificao, confome a

infomae do MITRE, pom epeenam a oigem de mio poblema de eba de piacidade econfomidade (paiclamene a confomidade com o PCI DSS 1.1).

VULNERABILIDADES, NO ATAQUES

A edio aneio do Top 10 coninha m mio de aae, lneabilidade e conamedida. Ea e,n focamo nicamene em lneabilidade, emboa a eminologia iliada commene combinelneabilidade e aae. Se oganiae am ee docmeno paa ona a aplicae egae, coneenemene, edi o ico paa e negcio, e poel obea ma edo diea noegine pono:A , e podem eploa ale ma dea lneabilidade, paiclamene, XSSe poblema de aenicao e aoiao (A1,A4,A7,A10)

V deido alidao faca, ega de negcio e eificae de aoiao faca(A2, A4, A6, A7, A10)R po meio de conole de cipogafia faco o no eiene (A8 e A9), inclode aio emoo (A3) e aenicao, ega de negcio e eificao de aoiao (A4, A7, A10)C , po aae de injeo(A2) e inclo de aio emoo (A3)P po meio de anae no aoiada e aae CSRF (A4, A5, A7, A10)P deido eploao de ale ma da lneabilidade acima (A1 A10)Uma e e a oganiao e diancie da peocpao de conole eaio e ai de encono po aiidade na edo de ico de e negcio, ela melhoa a confomidade com egime eglaio,edi co opeacionai, e ceamene e m iema mai obo e ego como elado.

DIRECIONAMENTO

A meodologia decia acima neceaiamene dieciona o Top 10 a fao da decobea dacomnidade de peiadoe de egana. A foma de decobea de falha imila ao modoiliado em aae eai, em epecial, no e e efee pedoaacane (cip kiddie).Poegendo a aplicao cona a lneabilidade do Top 10 poe ma poeo mdica cona afoma mai comn de aae e mai, ajda a aa m mo paa melhoia da egana de eofae.


8/34

OWASP TOP TEN 2007

7

MAPEAMENTO

Nea eo do Top 10 hoe mdana no lo da lneabilidade, memo ando o conedo eelaciona foemene ao conedo aneio. N no iliamo mai o eema de nomenclaa WASXML pelo fao dee no e mane aaliado com a lneabilidade modena, aae e

conamedida. A abela abaio epeena como ea edio e elaciona com o Top 10 2004 e aclaificao do MITRE:

OWASP T 10 2007 OWASP T 10 2004C MITRE

2006

A1. Co Sie Sciping (XSS) A1. Co Sie Sciping (XSS) 1

A2. Falha de Injeo A6. Falha de Injeo 2

A3. Eeco Malicioa de Aio (NOVO) 3

A4. Refencia Inega Diea Objeo A2. Conole de Aceo Falho (diidido no TOP 102007)

5

A5. Co Sie Ree Foge (CSRF) (NOVO) 36

A6. Vaameno de Infomae e Taameno deEo Inapopiado

A7. Taameno inapopiado de eo 6

A7. Falha de Aenicao e Geenciameno deSeo

A3. Falha de Aenicao e Geenciameno deSeo

14

A8. Amaenameno Cipogfico Inego A8. Amaenameno Inego 8

A9. Comnicae inega Dicido em A10. Geenciameno Inego deConfigao 8

A10. Falha de Reio de Aceo URL A2. Conole de Aceo Falho (diidido no TOP 102007)

14

A1. Enada no Validada 7

A5. Eoo de bffe 4, 8, e 10

A9. Negao de Seio 17

A10. Geenciameno Inego de Configao 29

T 2: R 2004 2007 T 10 MITRE.


9/34

OWASP TOP TEN 2007

A1 CROSS SITE SCRIPTING

O Co Sie Sciping, mai conhecido como XSS, de fao m bconjno de inee HTML. XSS aeo de egana em aplicae eb mai pealene e penicioa. O fo XSS ocoem em

aplicae aie e eceba dado oiginado do io e o enie ao naegado empimeiamene alida o codificando aele conedo.O XSS pemie aacane eecaem cip no naegado da ima, e pode eea ee deio, defiga eb ie, inei conedo hoil, condi aae de obo de infomaepeoai () e obe o conole do naegado do io ando m mal inencionado(). O malicioo feenemene em Jaa Scip, ma ale lingagem de cippoada pelo naegado da ima m alo poencial paa ee aae.

AMBIENTES AFETADOS

Todo ode aplicao eb o lneei a Co Sie Sciping (XSS).

VULNERABILIDADEEiem ipo bem conhecido de XSS: efleido, amaenado e ineo DOM. O XSS efleido o deeploao mai fcil ma pgina eflei o dado fonecido pelo io como eono dieo a ele:

echo $_REQUEST['userinput'];

O XSS amaenado ecebe o dado hoil, o amaena em aio, banco de dado o oo iema depoe infomao e eno, em m egio aanado moa o dado ao io, no filado. Io eemamene peigoo em iema como CMS, blog o fn, onde ma gande anidade deio acea enada de oo io.Com aae XSS baeado em DOM, o cdigo Jaa Scip do ie e a aiei o maniplado ao indo elemeno HTML.Alenaiamene, o aae podem e ma mia o ma combinao do ipo. O peigo como XSS no e no ipo de aae, ma na a poibilidade. Compoameno no pado do naegadopode inodi eoe de aae i. O XSS ambm poencialmene habiliado a pai deaie componene e o boe ilie.O aae o feenemene implemenado em Jaa Scip, e ma feamena podeoa de. O o do Jaa Scip habilia aacane a manipla ale apeco da pgina a eendeiada, inclindo a adio de noo elemeno (como m epao paa e encaminhacedenciai paa m ie hoil), a maniplao de ale apeco ineno do DOM e a emoo omodificao de foma de apeenao da pgina. O Jaa Scip pemie o o do XmlHpRee, e ipicamene ado po ie e am a ecnologia AJAX, memo e a ima no e o AJAX no e ie.O o do XmlHpRee pemie, em algn cao, conona a polica do naegado conhecida como" " aim, encaminhando dado da ima paa ie hoi e cia

compleo e mbi malicioo e dam a o fechameno do naegado. O aae AJAX noneceiam e iei o eeem ineao com o io paa ealia o peigoo aae coie ee foge (CSRF) (ide A5).

VERIFICAO DE SEGURANA

O objeio eifica e odo o pameo da aplicao o alidado e/o ecodificado ane dee incldo em pgina HTML.


10/34

OWASP TOP TEN 2007

9

A : feamena de ee de peneao aomaiada o capae dedeeca XSS de efleo a pai de injeo de pameo, ma feenemene falha na localiao deXSS peiene, paiclamene e a ada do eo de injeo XSS peenida ia eificao deaoiao (como po eemplo, e m io fonece dado de enada malicioo e o io

poeiomene apena pelo adminiadoe). Feamena de anlie de cdigo fone podemencona pono API com falha o peigoa, ma comm no podeem deemina e a alidaoo ecodificao foam aplicada, e pode ela em falo poiio. Nenhma feamena capade encona XSS baeado em DOM, io ignifica e aplicae em Aja eao empe em ico eomene foem aplicado ee aomaiado.A : cao m mecanimo cenaliado de alidao e ecodificao fo ado, amaneia mai eficiene de eifica a egana eifica o cdigo. Se ma implemenao diibdafo ada, eno a eificao demanda efoo adicional conideel. O ee demanda mioefoo, poi a pefcie de aae da maioia da aplicae mio gande.

PROTEO

A melho poeo paa XSS e na combinao de alidao de lia banca de odo o dado deenada e ecodificao apopiada de odo o dado de enada. A alidao habilia a deeco deaae e a ecodificao peine ale injeo de cip bem cedida de e eecada nonaegado. A peeno de XSS ao longo da aplicao como m odo ee ma abodagemaieal coniene.

V : ilie mecanimo pado de alidao de enada paa alida oda a enadaano ao amanho, ipo, inae e ega de negcio ane de aceia e o dado eja moado oamaenado. Ue ma eagia de alidao aceie o conhecido como bom. Rejeie enada inlidaao in da enaia de coigi dado poencialmene hoi. No e eea e a menagen de eopodem ambm incli dado inlido.

F : gaana e ale dado de enada do io eeja apopiadamenecodificado (ano paa HTML o XML dependendo do mecanimo de ada) ane da endeiao, ando

a abodagem de codificao de odo o caacee, com eceo de m bconjno mio limiado. Ea a abodagem da biblioeca Micoof AniXSS e a biblioeca peia OWASP PHP AniXSS.Adicionalmene, confige a codificao de caacee paa cada pgina a e podida como ada, edimini a epoio a algma aiae.

E (como ISO 88591 o UTF8): No pemia e o aacane ecolha iopaa e io.

N paa deeca XSS na enada o codificao de ada. A poca ooca de poco caacee ("" e oo caacee imilae o fae como ) faco e emido eploado com ceo. Memo ma ag no eificada inega em algn coneo. O XSSpoi m conjno peendene de aiane e ona imple lapaa alidae de lia nega().

C . A enada deem e decodificada e coneida paa a

epeenao inena coene ane de e alidada. Ceifiee e a aplicao no decodifica amema enada da ee. Tai eo podem e ado paa lapaa eema de lia banca pelainodo de enada peigoa ap eem checado.

Recomendae epecfica po lingagem:

J:e mecanimo de ada como , o e o pado JSTL ecapeXML="e"aibe in . No e no aninhado (io , foa de m mecanimo de apopiado deada codificada).


11/34

OWASP TOP TEN 2007

10

.NET: e a biblioeca Micoof AniXSS 1.5 diponel em co do MSDN. No aiba campo defomlio dieamene do objeo Ree: . .("");em aea biblioeca. Enenda ai conole .NET codificam aomaicamene o dado de ada.

PHP: gaana e a ada pae pelo hmleniie() o hmlpecialcha() o e a biblioeca PHP AniXSSe e paa e lanada pela OWASP. Deabilie egie_global, cao ee no enha ido deabiliado.

EXEMPLOS

hp://ce.mie.og/cgibin/cename.cgi?name=CVE20064206



REFRENCIAS

CWE: CWE79, CoSie ciping (XSS)

WASC Thea Claificaion: hp://.ebappec.og/pojec/hea/clae/coie_ciping.hml

OWASP Co ie ciping, hp://.oap.og/inde.php/Co_Sie_Sciping

OWASP Teing fo XSS, hp://.oap.og/inde.php/Teing_fo_Co_ie_ciping

OWASP Singe Pojec (A Jaa EE alidaion file) hp://.oap.og/inde.php/Caego:OWASP_Singe_Pojec

OWASP PHP File Pojec hp://.oap.og/inde.php/OWASP_PHP_File

OWASP Encoding Pojec hp://.oap.og/inde.php/Caego:OWASP_Encoding_Pojec

RSnake, XSS Chea Shee, hp://ha.cke.og/.hml

Klein, A., DOM Baed Co Sie Sciping, hp://.ebappec.og/pojec/aicle/071105.hml

.NET AniXSS Liba hp://.micoof.com/donload/deail.ap?FamilID=efb9c81953ff4f82bfafe11625130c25&DiplaLang=en


12/34

OWASP TOP TEN 2007

11

A2 FALHAS DE INJEO

A falha de Injeo, paiclamene injeo SQL, o comn em aplicae eb. Eiem mio ipode injeo: SQL, LDAP, XPah, XSLT, HTML, XML, comando de iema opeacional e mia oa.Falha de Injeo aconecem ando o dado e o io d de enada o eniado como pae dem comando o conla. O aacane confndem o inepeado paa o memo eeca comandomaniplado eniando dado modificado. A falha de Injeo habiliam o aacane a cia, le, aaliao apaga abiaiamene ale dado diponel paa a aplicao. No pio cenio, ee fopemiem ao aacane compomee compleamene a aplicao e o iema elacionado, a peloconono de ambiene conolado po fieall.

AMBIENTES AFETADOS

Todo o fameok de aplicao eb e em inepeadoe o inoem oo poceo olneei a aae po injeo. Io incli aie componene do e poam ainepeadoe como .

VULNERABILIDADE

Cao ma enada de io eja fonecida a m inepeado em alidao o codificao, aaplicao lneel. Veifie e a enada de io fonecida dinmica, como poeemplo:

PHP:

$sql = "SELECT * FROM table WHERE id = '" . $_REQUEST['id] . "";

Java:

String query = "SELECT user_id FROM user_data WHERE user_name = '" +

req.getParameter("userID") + "' and user_password = '" + req.getParameter("pwd") +"'";


O objeio eifica e o dado do io no poam modifica o comando e eniada ainepeadoe inocada paa a aplicao.Abodagen aomaiada: mia feamena de aeda de lneabilidade localiam falha deInjeo, paiclamene Injeo SQL. Feamena de anlie eica e localiam o o de API deinepeadoe no ega o ei, ma feenemene no podem eifica e ma alidao ocodificao adeada poa ea em o paa poege cona al ameaa. Cao a aplicao geencieeo ineno de eido 501 / 500 o eo de banco de dado dealhado, io pode aapalha aaeda po feamena aomaiada, ma o cdigo ainda conina em ico. Feamenaaomaiada o capae de deeca injee LDAP / XML / XPah.Abodagen manai: a abodagem mai eficiene e pecia eifica o cdigo e inocainepeadoe. O eio dee eifica o o de API ega o e alidao e/o codificao

apopiada aconece. O ee pode e eemamene demoado com baia cobea deido ao fao dapefcie de aae na maioia da aplicae e gande.

PROTEO

Eie o o de inepeadoe ando poel. Cao inoe m inepeado, o modo chae paaeia injee e no o de API ega, como po eemplo, paameiada e biblioeca demapeameno objeo elacional (ORM).


13/34

OWASP TOP TEN 2007

12

Ea ineface maniplam oda a fga dado, o aela e no demandam fga. Noe eenano ineface ega eolem o poblema, alidao ainda ecomendada paa deecaaae.O o de inepeadoe peigoo, poano o ecomendado cidado ea, como o egine:

V : ilie mecanimo pado de alidao de enada paa alida oda a enadaano ao amanho, ipo, inae e ega de negcio ane de aceia e o dado eja moado oamaenado. Ue ma eagia de alidao aceie o econhecido como bom. Rejeie enada inlidaao in da enaia de checa dado poencialmene hoi. No e eea e a menagen de eopodem ambm incli dado inlido.

U API com biidoe de epao eeado, memo ando a .

I ando coneca a banco de dado o oo iema de poe.

Eie menagen de eo dealhada e ejam ei ao aacane.

U ma e e ela o gealmene ega cona injeo SQL. Eneano, ejacidadoo, poi ela podem e injeei (como po eemplo, ia o o do eec() ) o pela concaenaode agmeno deno da .

N (como po eemplo, ml_e() o imilae). N , como a addlahe() do PHP o fne de biio de caacee

como _eplace("", ""). Ela o faca e m ido eploada com ceo po aacane. Paa PHP, eml_eal_ecape_ing() paa MSQL o pefeencialmene e PDO e no ee fga.

Q , noe e fne imple de fga no podem ecapa nomede abela! O nome de abela deem e SQL legal e aim compleamene em enido paa enadafonecida pelo io.

L . A enada deem e decodificada e coneida paa a epeenaoinena coene ane de e alidada. Ceifiee e a aplicao no decodifica a mema enadada ee. Tai eo podem e ado paa lapaa eema de lia banca pela inodo deenada peigoa ap a alidao.

Recomendae epecfica po lingagem:

Jaa EE e PepaedSaemen foemene ipado o ORM como Hibenae o Sping.

NET e eie paameiada foemene ipada, como SlCommand com SlPaamee o m ORMcomo o Hibenae.

PHP e PDO com paameiao foemene ipada (ing bindPaam())

EXEMPLOS



hp://ce.mie.og/cgibin/cename.cgi?name=CVE20064592 REFERENCES

CWE: CWE89 (SQL Injecion), CWE77 (Command Injecion), CWE90 (LDAP Injecion), CWE91 (XMLInjecion), CWE93 (CRLF Injecion), ohe.

WASC Thea Claificaion:hp://.ebappec.og/pojec/hea/clae/ldap_injecion.hmlhp://.ebappec.og/pojec/hea/clae/l_injecion.hmlhp://.ebappec.og/pojec/hea/clae/o_commanding.hml

OWASP, hp://.oap.og/inde.php/SQL_Injecion

OWASP Gide, hp://.oap.og/inde.php/Gide_o_SQL_Injecion


14/34

OWASP TOP TEN 2007

13

A3 EXECUO MALICIOSA DE ARQUIVO

A lneabilidade de eeco de aio o enconada em mia aplicae. Odeenoledoe m po hbio a dieamene o concaena enada poencialmene hoi com

fne de aio o , o confia de maneia imppia em aio de enada. Em miaplaafoma, pemiem o o de efencia a objeo eeno, como efencia a URL oa aio de iema. Qando o dado inficiene eificado, io pode lea a ma inclo abiiaemoa e e poceado o inocado m conedo hoil pelo eido eb.Io pemie ao aacane ealia:

Eeco de cdigo emoo.

Inalao emoa de e compomeimeno oal do iema.

Em Windo, compomeimeno ineno do iema pode e poel a pai do o de PHP SMB fileappe.

Ee aae paiclamene pealecene em PHP e cidado eemo dee e aplicado com aleiema o fno de aio paa gaani e a enada fonecida pelo io no inflencie o

nome de aio.

AMBIENTES AFETADOS

Todo ode aplicao eb o lneei a eeco malicioa de aio e ele aceiamnome de aio o aio do io. Eemplo pico inclem: .NET e pemiemagmeno de nome de aio o cdigo e aceia a ecolha do aio pelo io de modo aincli aio locai.O PHP paiclamene lneel a aae de inclo de aio emoa (RFI) a pai demaniplao de pameo com ale API baeada em aio o .

VULNERABILIDADE

Uma lneabilidade comm conda :

include $_REQUEST['filename];

Io no omene pemie a aaliao de hoi emoo, ma pode e ado paa aceaaio locai do eido (cao o PHP eja hopedado no Windo) deido ao poe SMB no PHPfile em appe. Oo modo de aae inclem:

Upload de dado hoi a aio de ee, dado de log e ia imagen (pico de ofae de fm).

Uo de compeo o de dio, como po eemplo, lib:// o ogg:// e no inpecione a flaginena do PHP e eno pemie o aceo emoo a eco, memo e oeeja deabiliado.

Uando PHP , como po eemplo, php://inp e oo paa colea enada da eiio de

dado POST ao in de m aio. Uando o PHP : , como po eemplo, :;64,958+.

Uma e e ea lia eena (e mda com peiodicidade), ial e o o de ma aieadeenhada apopiado paa egana e deign obo ando maniplamo enada fonecida peloio e inflenciem a ecolha de nome de aio e aceo no lado do eido.Apea de fonecido algn eemplo em PHP, ee aae ambm aplicel de maneia difeeneem .NET e J2EE. A aplicae deenolida neeneceiam de aeno paicla aomecanimo de egana de aceo ao cdigo paa gaani e o nome de aio fonecido o


15/34

OWASP TOP TEN 2007

14

inflenciado pelo io no habiliem e conole de egana ejam deaiado. Po eemplo, poel e docmeno XML bmeido po m aacane e m DTD hoil e foce o analiadoXML a caega m DTD emoo e analia e pocea o elado. Uma empea Aaliana deegana demono ea abodagem paa aeda poa paa fieall. Veja [SIF01] na

efencia dee aigo paa maioe infomae.O dano caado po ea lneabilidade e dieamene aociado com o pono foe doconole de iolameno da plaafoma no. Como o PHP aamene iolado e no poi oconceio de caia de aeia "" o aiea ega, o dano mio pio do e compaado comoa plaafoma com limiao o confiana pacial, o o conido em ma andbo confielcomo, po eemplo, ando ma aplicao eb eecada ob m JVM com m geenciado deegana apopiado habiliado e configado (e aamene o pado).


Abodagen aomaiada: feamena de localiao de lneabilidade poem dificldade emidenifica o pameo e o ado paa enada do aio o a inae e o faam io. A

feamena de anlie eica podem localia o o de API peigoa, ma no podem eifica e aalidao o codificao apopiada foi implemenada paa poege cona a lneabilidade.Abodagen manai: ma eio de cdigo pode localia cdigo e poa pemii e m aioeja incldo na aplicao, ma eiem mio eo poei de e econhecido. Tee podemdeeca ai lneabilidade, ma idenifica pameo paiclae e a inae coea pode edifcil.

PROTEO

A peeno falha de inclo de aio emoo eige m planejameno cidadoo na fae deaiea e deign, aanando paa o ee. Em geal, ma aplicao bem deenolida no aenada de io paa nome de aio paa nenhm eco de eido (como imagen,docmeno XML e XSL o inclo de ), e e ega de fieall eabelecida paa peeniconee de ada paa a inene o inenamene como eono a ale oo eido.Eneano, mia aplicae legada coninao a e a neceidade de aceia enada fonecida peloio.Dene a mai impoane conideae, inclie:

U (eja a eo A4 paa mai dealhe). Poeemplo, ando m nome de aio pacial ma e ado, conidee m paa a efenciapacial. Ao in de:

English

e

English

Conidee o o de paa peeni foa ba em efencia indiea do objeo. Alenaiamene,e omene aloe de ndice como 1, 2, 3 e gaana e o limie do eoe o eificado paadeeca maniplao de pameo.

U , cao a lingagem poe io. Cao conio,conidee m eema de nomeao aiel paa ailia na eificao de copo.

$hostile = &$_POST; // refer to POST variables, not $_REQUEST

$safe[filename]= validate_file_name($hostile[unsafe_filename]); // make it safe


16/34

OWASP TOP TEN 2007

15

Coneenemene, ale opeao baeada em enada hoil e ona imediaamene bia:

require_once($_POST[unsafe_filename] . inc.php);

require_once($safe[filename] . inc.php);

F ando ma eagia de alidao aceie o econhecido como

bom. A paa peeni eidoe eb eabeleceem noa conee eena com

ie eb e iema ineno. Paa iema de alo alo, iole o eido eb em a ppia VLAN oma bede piada.

C no deaiam oo conole, comopo eemplo, dado coompido no objeo da eo, aaae e imagen, elaio PDF, aioempoio, ec.

C o oo mecanimo de andbo comoialiao paa iola aplicae ma da oa.

PHP: deabilie e no php.ini e conidee a cono de PHPlocalmene em a inclo dea fncionalidade. Poca aplicae neceiam dea fncionalidade eaim ea configae deem e configada de acodo com a aplicao.

PHP: deabilie e e paa localia aiei no inicialiada.

PHP: gaana e oda a fne de aio o de (eam_*) o cidadoamene modeada.Ceifiee e a enada do io no eja fonecida a ale fno e e o nome do aiocomo agmeno, inclindo:

include() include_once() require() require_once() fopen() imagecreatefromXXX() file()

file_get_contents() copy() delete() unlink() upload_tmp_dir() $_FILES move_uploaded_file()

PHP: Seja eemamene caeloo cao o dado eja paado paa em() eal() o `.

C J2EE,ceifiee e o geo de egana eja habiliado e configado apopiadamene e ea aplicao demande a pemie apopiada.

C ASP.NET, ecoa docmenao efeene e deenhe a aplicao de foma ae egmenada po confiana, de foma e ela eia ob o eado mai baio poei de egana.

EXEMPLOS hp://ce.mie.og/cgibin/cename.cgi?name=CVE20070360



REFERNCIAS

CWE: CWE98 (PHP File Inclion), CWE78 (OS Command Injecion), CWE95 (Eal injecion), CWE434(Uneiced file pload)

WASC Thea Claificaion: hp://.ebappec.og/pojec/hea/clae/o_commanding.hml

OWASP Gide, hp://.oap.og/inde.php/File_Sem#Inclde_and_Remoe_file

OWASP Teing Gide, hp://.oap.og/inde.php/Teing_fo_Dieco_Taeal

OWASP PHP Top 5, hp://.oap.og/inde.php/PHP_Top_5#P1:_Remoe_Code_Eecion

Sefan Ee, hp://blog.phpeci.og/achie/45PHP5.2.0andallo_l_inclde.hml

[SIF01] SIFT, Web Seice: Teaching an old dog ne ick,hp://.con.og.a/file/2006/eb_eice_eci.pp

hp://.oap.og/inde.php/OWASP_Jaa_Table_of_Conen#Defining_a_Jaa_Seci_Polic

Micoof Pogamming fo Paial T, hp://mdn2.micoof.com/en/liba/m364059(VS.80).ap


17/34

OWASP TOP TEN 2007

16

A4 REFERNCIA INSEGURA DIRETA A OBJETO

Uma efencia diea a m objeo aconece ando m deenoledo epe ma efencia a mobjeo de implemenao inena, como po eemplo, m aio, dieio, egio na bae de dado

o chae, ma URL o m pameo de m fomlio. Um aacane pode manipla dieameneefencia a objeo paa acea oo objeo em aoiao, a no e e eia m mecanimode conole de aceo.Po eemplo, em aplicae de comm o o do nmeo da cona como a chaepimia. Coneenemene, pode e enado a o nmeo da cona dieamene na ineface eb.Memo e o deenoledoe enham ado SQL paameiada paa peeni inee decomando SQL (SQL injecion), e cao no eia ma eificao adicional paa gaani e o io o popieio da cona e e e aoiado a e a cona, m aacane pode manipla a pai dopameo do nmeo da cona e poielmene pode e e modifica oda a cona.Ee ipo de aae aconece no ie da Aalian Taaion Office GST Sa Up Aiance em 2000,onde m io legimo, ma hoil, implemene modifico o ABN (idenificado da empea)

peene na URL. O io e apoo de ceca de 17.000 egio de empea cadaado noiema, e eno enio paa cada ma da 17.000 empea dealhe do aae. Ee ipo delneabilidade mio comm, pom no eada lagamene em mia aplicae.

AMBIENTES AFETADOS

Todo o de aplicae eb eo lneei a aae a efencia diea inega aobjeo.

VULNERABILIDADE

Mia aplicae epem efencia a objeo ineno ao io. Aacane maniplampameo a fim de modifica a efencia e iolaem a polica de conole de aceo de foma

inencionalmene e em mio efoo. Feenemene, ea efencia aponam paa aio doiema e banco de dado, ma ale aplicao epoa pode ea lneel.Po eemplo, e o cdigo pemie epecificao de nome de aio o caminho a pai da enadado io, io pode pemii e aacane aceem dieio da aplicao e no eo pblicadoe aceem oo eco.

Franais

require_once ($_REQUEST['language]."lang.php");

Tal cdigo pode e aacado ando ma como ../../../../ec/pad%00 ando injeo de mbe nlo (ide OWASP Gide paa mai dealhe) paa acea ale aio no iema de aiodo eido eb.Similamene, efencia a chae de banco de dado o feenemene epoa. Um aacanepode aaca ee pameo implemene chando o pocando po oa chae lida.Gealmene, ela o eenciai po naea. No eemplo a egi, memo e a aplicao noapeene m link ale paa m cainho no aoiado e nenhma injeo SQL eja poel, maacane pode ainda modifica o pameo caID paa ale oo deejado.

int cartID = Integer.parseInt( request.getParameter( "cartID" ) );

String query = "SELECT * FROM table WHERE cartID=" + cartID;


18/34

OWASP TOP TEN 2007

17


O objeio conie em eifica e a aplicao no pemie e efencia diea a objeo ejammaniplada po aacane.Abodagen aomaiada: canne de lneabilidade poem dificldade de idenifica o

pameo cepei a maniplao o e a maniplao aconece. A feamena de anlieeica no podem abe ai pameo deem e ma eificao de conole de aceo ane dee ado.Abodagen manai: ma eio de cdigo pode localia pameo cico e idenifica e ele ocepei a maniplao em mio cao. Tee de peneao podem eifica ambm ando almaniplao poel. Eneano, amba a cnica o dipendioa e podem no e ficiene.

PROTEO

A melho poeo eia a epoio diea de efencia a objeo a io ando m ndice,mapa de efencia indiea o oo modo indieo e eja fcil de alida. Cao ma efenciadiea a objeo pode e ada, gaana e o io eeja aoiado ane do o.

O eabelecimeno de ma foma pado paa efeencia objeo da aplicao impoane, poi:

E empe e poel, como chaepimia e nome de aio.

V aa da abodagem aceie o econhecido como bom.

V .

A melho olo a m alo de ndice o m mapa de efencia paa peeni aae demaniplao de pameo.

http://www.example.com/application?file=1

Cao neceie epo dieamene efencia ea de banco de dado, ceifiee e adeclaae SQL e oo modo de aceo bae de dado pemiam omene ejam moado

egio aoiado:

int cartID = Integer.parseInt( request.getParameter( "cartID" ) );

User user = (User)request.getSession().getAttribute( "user" );

String query = "SELECT * FROM table WHERE cartID=" + cartID + " AND userID=" +

user.getID();

EXEMPLOS




REFERNCIAS

CWE: CWE22 (Pah Taeal), CWE472 (Web Paamee Tampeing)

WASC Thea Claificaion:hp://.ebappec.og/pojec/hea/clae/abe_of_fncionali.hmlhp://.ebappec.og/pojec/hea/clae/infficien_ahoiaion.hml

OWASP Teing Gide, hp://.oap.og/inde.php/Teing_fo_bine_logic

OWASP Teing Gide, hp://.oap.og/inde.php/Teing_fo_Dieco_Taeal

OWASP, hp://.oap.og/inde.php/Caego:Acce_Conol_Vlneabili

GST Ai aack deail, hp://.abc.ne.a/7.30/oie/146760.hm


19/34

OWASP TOP TEN 2007

18

A5 CROSS SITE REQUEST FORGERY (CSRF)

no m noo aae, ma imple e deaado. Um aae CSRF foa onaegado logado da ima a enia ma eiio paa ma aplicao eb lneel, e ealia a

ao deejada em nome da ima.Ea lneabilidade eemamene dieminada, ma e e ale aplicao eb:

No enha eificao de aoiao paa ae lneei

Eece ma ao cao m login pado eja eniado na eiio (e.hp://.eample.com/admin/doSomehing.cl?ename=admin&pad=admin)

Aoie eiie baeada omene em cedenciai e o aomaicamene bmeida como, poeemplo, de eo, cao logada coeamene na aplicao, o a fncionalidade Relembame,e no logado na aplicao, o m oken Kebeo, e pae de ma Inane e enha o logon inegadocom o Acie Dieco.

Ee ipo de aplicao ea em ico. Infelimene, hoje, a maioia da aplicae eb confiaecliamene em cedenciai bmeida aomaicamene, como po eemplo, de eo,

cedenciai de aenicao bica, endeeo de IP de oigem, ceificado SSL o cedenciai de mdomnio Windo.Ea lneabilidade ambm conhecida po oo dieo nome inclindo , Aae, , e . O acnimo XSRF feenemene ado. Ambo a OWASP e o MITRE padoniaam o o do emo e CSRF.

AMBIENTES AFETADOS

Todo o fameok de aplicae eb eo lneei CSRF.

VULNERABILIDADE

Um aae pico CSRF cona m fm pode e a foma de dieciona o io a inoca algmafno, como po eemplo, a pgina de da aplicao. A egine ag em ale pgina ebia pela ima gea ma eiio e encea a eo:

Cao m banco pemia a aplicao a pocea eiie, como a anfencia de fndo, maae imila pode pemii:

Jeemiah Goman em a palea na BlackHa 2006 Hacking Inane Sie fom he oide,demono e poel foa o io a modifica e oeado DSL em e conenimeno; memoe o io no aiba e o oeado poa ma ineface eb. Jeemiah o m nome de conapado do oeado paa ealia o aae.Todo ee aae fncionam, poi a cedencial de aoiao do io (ipicamene m deeo) aomaicamene inclda em eiie do naegado, memo e o aacane no foneaal cedencial.


20/34

OWASP TOP TEN 2007

19

Cao a ag conendo o aae poa e poada em ma aplicao lneel, eno a pobabilidade deencona ima aenicada incemenada ignificaiamene, imila ao incemeno do ico enea falha XSS amaenada e efleida. Falha XSS no o neceia paa m aae CSRF fnciona,apea de e ale aplicao com falha XSS eeja cepel a CSRF, poi m aae CSRF pode

eploa ma falha XSS paa oba ale cedencial no fonecida de foma aomica e poaea em eeco paa poege cona m aae CSRF. Mio de aplicao m ado ambaa cnica de foma combinada.Qando eie conindo defea cona aae CSRF, deee foca ambm na eliminao delneabilidade XSS na aplicao, ma e e ai lneabilidade podem e ada paa bee amaioia da defea cona CSRF aplicada.


O objeio eifica e a aplicao e poegida cona aae CSRF pela geao e eno eiiode algm ipo de de aoiao e no eja aomaicamene bmeido pelo boe.Abodagen aomaiada: hoje poco canne podem deeca CSRF, memo e a deeco de

CSRF eja poel paa a ineligncia do de aplicao. Eneano, cao e canne delneabilidade localie ma lneabilidade XSS e no haja poee aniCSRF, mio poel eeeja em ico de aae CSRF encbado.Abodagen manai: ee de peneao ma maneia pida de eifica e ma poeo CSRFeeja em opeao. A eificao de cdigo a maneia mai eficiene paa e eifica e omecanimo e ego e implemenado apopiadamene.

PROTEO

A aplicae deem e ceifica e no eo e baeando em cedenciai o e oaomaicamene bmeido pelo naegadoe. A nica olo ilia m peonaliado eo naegado no lemba e eno incli aomaicamene em m aae de CSRF.A egine eagia deem ea em oda a aplicae eb:

Gaana e no eiam lneabilidade XSS em a aplicao (Vide A1 XSS).

Inia andmico peonaliado em odo o fomlio e URL e no eja aomaicamenebmeido pelo boe. Po eemplo:

e eno eifie e o bmeido coeo paa o io coene. Tai podem e nicopaa al fno o pgina paicla paa o efeido io, o implemene nico paa a eo comom odo. Qano mai focado o fo paa ma fno paicla e/o conjno paicla de dado,mai foe e a poeo, ma mai complicado e e deenolimeno e maneno.

P , paagaani e a eiio genna. Confige mecanimo eeno como, po eemplo, conao po email o elefone de maneia a eifica eiie o noifica o io da eiie.

No e eiie GET (URL) paa dado enei o paa ealia anae de aloe. Ue omenemodo POST ando pocea dado enei do io. Eneano, a URL pode cone andmico medida e ee cia ma URL nica, e ona o CSRF ae impoel de e ealia.

Um nico POST inficiene paa poeo. Deee ambm combina com andmico,aenicao po oo meio o eaenicao paa poege apopiadamene cona CSRF.


21/34

OWASP TOP TEN 2007

20

Paa ASP.NET, confige o alo VieSaeUeKe. (Vide efencia). Io poe m ipo imila deeificao a m andmico como decio aneiomene.

Enano ea gee diminio daicamene a epoio, aae aanado de CSRF podemconona mia dea eie. A cnica mai foe a nico e elimina oda alneabilidade XSS em a aplicao.

EXEMPLOS



MSpace Sam Ineie: hp://blog.oeco.com/achie/20051014n81.hml

An aack hich e Qickime o pefom CSRF aackhp://.compeold.com/acion/aicle.do?command=ieAicleBaic&aicleId=9005607&inc=hm_li

REFERNCIAS

CWE: CWE352 (CoSie Ree Foge)

WASC Thea Claificaion: No diec mapping, b he folloing i a cloe mach:hp://.ebappec.og/pojec/hea/clae/abe_of_fncionali.hml

OWASP CSRF, hp://.oap.og/inde.php/CoSie_Ree_Foge

OWASP Teing Gide, hp://.oap.og/inde.php/Teing_fo_CSRF

OWASP CSRF Gad, hp://.oap.og/inde.php/CSRF_Gad

OWASP PHP CSRF Gad, hp://.oap.og/inde.php/PHP_CSRF_Gad

RSnake, "Wha i CSRF?", hp://ha.cke.og/blog/20061030/haicf/

Jeemiah Goman, lide and demo of Hacking Inane ie fom he oidehp://.hiehaec.com/peenaion/hieha_bh_pe_08032006.a.g

Micoof, VieSaeUeKe deail, hp://mdn2.micoof.com/en/liba/m972969.ap#ecibaie_opic2


22/34

OWASP TOP TEN 2007

21

A6 VAZAMENTO DE INFORMAES E TRATAMENTO DE ERROS INAPROPRIADO

Diea aplicae podem em ineno aa infomae obe a configae, fncionamenoineno, o iola piacidade aa de dieo poblema. Aplicae podem aa o fncionameno

ineno ia empo de epoa paa eeca deeminado poceo o epoa difeene paaenada diea, como eibindo mema menagem de eo ma com cdigo de eo difeene.Aplicae Web feenemene aao infomae obe e fncionameno ineno aa demenagen de eo dealhada o debg. Feenemene, ea infomao pode e o caminho paalana aae o feamena aomica mai podeoa.

AMBIENTES AFETADOS

Todo ode aplicao eb o lneei ao aameno de infomae e aameno deeo inapopiado.

VULNERABILIDADE

Aplicae feenemene geam menagen de eo e a moam paa o io. Mia eeea infomae o ei paa o aacane, io e ela eelam dealhe de implemenae oinfomae ei paa eploa ma lneabilidade. Eiem dieo eemplo comn dio:

Maniplao de eo dealhada, onde e indimo algn eo eo moada mia infomae,como o aeameno da pilha, alidae, falha de SQL, o oa infomae de debg.

Fne e podem difeene ada baeadoe em difeene enada. Po eemplo, biindo omemo nome de io com enha difeene deeia podi o memo eo como ioineiene, o paod inlido. Eneano, mio iema geam difeene cdigo de eo.


O objeio eifica e a aplicao no aa infomae ia menagen de eo o oo meio.Modo Aomico: Feamena de canne de lneabilidade gealmene ocaionao menagende eo. Feamena de anlie eica podem poca pelo o de API e aam infomae, mano eo capacidade de eifica o ignificado dea menagen.Modo manai: Em ma eio de cdigo podemo poca po maniplae inapopiada deeo e oo faoe e aam infomae, ma demanda m conmo de empo eleado.

PROTEO

Deenoledoe deeiam a feamena como OWASP' WebScaab paa ena fae a

aplicae geaem eo. Aplicae e no foam eada dea maneia ae e ceamenegeao eo de ada inepeado. Aplicae ambm deeiam incli m pado de eceo demaniplao paa peeni e infomae deneceia aem paa o aacane.Peeni aameno de infomae ee diciplina. A egine pica m poado e eficiene:

Tenha ceea e oda a eipe de deenolimeno de ofae compailha o memo modo paamanipla eo.

Deabilie o limie o dealhameno na maniplao de eo. Em paicla, no moe infomae dedebg, aeameno de pilha o infomao de caminho(pah) paa io finai.


23/34

OWASP TOP TEN 2007

22

Tenha ceea e caminho (pah) ego e enha mliplo elado, eonem menagen deeo imilae o idnica. Se no fo poel, conidee coloca m empo de epea andmico paaoda a anae paa econde ee dealhe do aacane.

Via camada podem eona elado ecepcionai o faai, como camada de banco de dado,eidoe eb ( IIS, Apache, ec). ial e eo de oda a camada ejam adeadamene checado

e configado paa peeni e menagen de eo ejam eploada po aacane. Tenha concincia e fameok comn eonam difeene cdigo HTTP dependendo e m eo

comiado o eo do fameok . mio alioo cia m maniplado de eo pado e eonema menagem de eo j checada paa maioia do io em podo paa o eo decaminho(pah).

Sobepo o maniplado pado de eo paa e ele empe eone 200 (OK) ed a pobabilidadede feamena de ee aomico decobiem e algma falha gae ocoe. Io egana aada obcidade e pode e poe ma camada ea de defea.

Algma oganiae maioe m ecolhido incli cdigo de eo andmico / nico em oda aaplicae. Io pode ajda o poe a encona a olo coea paa m eo paicla, ma iopode ambm pemii e aacane deeminem eaamene onde a aplicao falho.

EXEMPLOS




REFRENCIAS

CWE: CWE200 (Infomaion Leak), CWE203 (Dicepanc Infomaion Leak), CWE215 (Infomaion Leak

Thogh Debg Infomaion), CWE209 (Eo Meage Infomaion Leak), ohe.

WASC Thea Claificaion:

hp://.ebappec.og/pojec/hea/clae/infomaion_leakage.hml

OWASP, hp://.oap.og/inde.php/Eo_Handling

OWASP, hp://.oap.og/inde.php/Caego:Seniie_Daa_Poecion_Vlneabili


24/34

OWASP TOP TEN 2007

23

A7 FURO DE AUTENTICAO E GERNCIA DE SESSO

Aenicao e gencia de eo apopiada o ciica paa a egana na eb. Falha nea eagealmene enolem a falha na poeo de cedenciai e no da eo dane e empo de

ida. Ea falha podem ea ligada obo de cona de io o adminiadoe, cononandoconole de aoiao e de eponabiliao, caando iolae de piacidade.

AMBIENTES AFETADOS

Todo ode aplicae eb o lneei a fo de aenicao e de gencia deeo.

VULNERABILIDADE

Fo no mecanimo pincipal de aenicao no o incomn, ma falha o gealmeneinodida a pai de fne meno impoane de aenicao como , gencia de enha,, ecodao de dado de , pegna ecea e aaliao de cona.


O objeio eifica e o aplicaio aenica coeamene o io e poege a idenidade dacedenciai aociada.Abodagen aomaiada: feamena de localiao de lneabilidade m dificldade emeema de aenicao e de eo peonaliado. A feamena de anlie eicapoaelmene ambm no deecao poblema em cdigo peonaliado paa aenicao egencia de eo.Abodagen manai: eio de cdigo e ee, epecialmene combinado, o mio efeio paa aeificao de aenicao, geencia de eo e fne ecndia eo oda implemenadacoeamene.

PROTEO

A aenicao depende da comnicao ega e de amaenameno de cedenciai. Pimeiamene,aegee e o SSL a nica opo paa oda a pae aenicada do aplicaio (eja A9) e eoda a cedenciai eo gadada de ma foma encipada o em (eja A8).Peeni falha de aenicao ee m planejameno cidadoo. Algma da conideaeimpoane o:

U . No ecea o e geenciadoeecndio de eo em ale iao.

No aceie noo idenificadoe de eo, pconfigado o inlido na URL o em eiie. Io chamado de aae de eo fiada.

L peonaliado com popio de aenicao de gencia deeo, como fne lemba do me io o fne domica de aenicao cenaliadacomo o S (SSO). Io no e aplica ole de aenicao fedeada oba o SSOeconhecida.

U com dimeno e nmeo de faoe apopiado. Ceifieee ee mecanimo no ea facilmene jeio aae o fade. No faa ee mecanimocomplicado demai, poi ele pode e ona alo de e ppio aae.


25/34

OWASP TOP TEN 2007

24

N . Sempe inicie o poceode login de ma egnda pgina encipada o de m noo cdigo de eo, paa peeni o obo decedenciai o da eo,e aae de fiao de eo.

Conidee gea ma noa eo ap ma aenicao e obee ceo o mdana do nel depiilgio.

A . O logo dee dei oda a ee ecookie de eo. Conidee o faoe hmano: no pegne po confimao, poi io acabaofechando a aba o janela ao in de ai com ceo.

Ue e aomaicamene do em ee inaia, bem como oconedo da infomae e eo endo poegida.

Ue (pegna e epoa, ee de enha), poiea cedenciai o como enha, nome de io e . Aplie na epoa paapeeni aae no ai a infomao pode e decobea.

N em URL e log(no egae o amaene infomae de enha de io em log).

Veifie a do io ando ele deeja mda a enha.

No confie em como foma de aenicao, como endeeo de IP o mcaa

de ede, endeeo de DNS o eificao eea de DNS, cabealho da oigem o imilae. Cidee de email (poce po RSNAKE01 na efencia)

como m mecanimo de ee de paod. Ue nmeo andmico paa eeaaceo e enie m email de eono aim e a enha fo econfigada. Cide paa ando pemii eio egiado mdem e endeeo de email enie ma menagem paa o email aneioane de efea a mdana.

EXEMPLOS




REFERNCIAS

CWE: CWE287 (Ahenicaion Ie), CWE522 (Infficienl Poeced Cedenial), CWE311(Reflecion aack in an ahenicaion poocol), ohe.

WASC Thea Claificaion:hp://.ebappec.og/pojec/hea/clae/infficien_ahenicaion.hml

hp://.ebappec.og/pojec/hea/clae/cedenial_eion_pedicion.hml

hp://.ebappec.og/pojec/hea/clae/eion_fiaion.hml

OWASP Gide, hp://.oap.og/inde.php/Gide_o_Ahenicaion

OWASP Code Reie Gide, hp://.oap.og/inde.php/Reieing_Code_fo_Ahenicaion

OWASP Teing Gide, hp://.oap.og/inde.php/Teing_fo_ahenicaion

RSNAKE01 hp://ha.cke.og/blog/20070122/ipelaionhipando


26/34

OWASP TOP TEN 2007

25

A8 ARMAZENAMENTO CRIPTOGRTAFICO INSEGURO

Poege dado enei com cipogafia em ido pae chae da maioia da aplicae Web.Simplemene no cipogafa dado enei mio comm. Ainda, aplicae e adoam

cipogafia feenemene poem algoimo mal concebido, am mecanimo de cifageminapopiado o comeem io eo ando cifagem foe.

AMBIENTES AFETADOS

Todo ode aplicao eb o lneei ao amaenameno cipogfico inego.

VULNERABILIDADE

Peeni falha de cipogafia ee planejameno cidadoo. O poblema mai comn o:

No cipogafa dado enei

Uo inego de algoimo foe

Uo de algoimo caeio Conina ando algoimo e poadamene o faco (MD5, SHA1, RC3, RC4, ec.)

Difcil codificao de chae, e amaena chae em iema de amaenameno depoegido


O objeio eifica e a aplicae coeamene amaenam infomae enei em iema deamaenameno.Abodagen aomica: Feamena de peia de lneabilidade no eificam a cipogafia emiema de amaenameno em geal. Feamena de peia de cdigo podem deeca o o deAPI de cipogafia conhecida, ma no podem deeca e ela ea endo ada coeamene o e acipogafia ealiada em m mecanimo eeno.Abodagem manal: Como feamena de peia, ee no podem eifica o amaenamenocipogafado. Reio de cdigo a melho foma de eifica e a aplicao cipogafa dadoenei e em mecanimo e amaenameno de chae coeamene implemenado. Io em algncao pode enole eamina a configae de iema eeno.

PROTEO

O apeco mai impoane aega e do e dee e cipogafado e ealmenecipogafado. Eno oc dee aega e a cipogafia ea coeamene implemenada. Comoeiem io modo de incoeamene a a cipogafia, a egine ecomendae deem eegida como pae de e ee paa ajda a aega o maneameno ego de mecanimo decipogafia:

N . Somene e algoimo apoado pblicamene como, AES,Cipogafia de chae pblica RSA, SHA256 o melhoe paa .

N , como MD5/SHA1. Ue mecanimo mai ego como SHA256 o melhoe.

Cie chae e amaene chae piada com eemo cidado. Nnca anmia chae piadaem canai inego.

Aege e cedenciai de infaea como cedenciai de banco de dado o dealhe de fila deaceo MQ eo coeamene ega (po meio de gido iema de aio e conole),cipogafado de foma adeada e no podem e decipogafado po io locai o emoo.


27/34

OWASP TOP TEN 2007

26

A . Poeemplo, cipogafia de banco de dado inil e a coneo de banco de dado pemie aceo nocipogafado.

Sobe o eiio 3, de Pade de Dado Sego PCI, oc dee poege dado do ilae dainfomae. O cmpimeno do PCI DDS obigaio a 2008 po comeciane e ale m e

lida com cae de cdio. U , comoinfomae obe a fia magnica o o nmeo da cona pimia (PAN, ambm conhecida como onmeo do cao de cdio). Se oc amaena o PAN, o eiio paa o cmpimeno do DSS oignificaio. Po eemplo, NUNCA pemii amaena o nmeo CVV ( O nmeo de dgio nacoa do cao) obe aie cicnncia. Paa mai infomae, po fao leia o PCI DSS e implemene conole como neceio.

EXEMPLOS



hp://ce.mie.og/cgibin/cename.cgi?name=CVE19991101 (Te of mo Jaa EE eleconaine,oo)

REFRENCIAS

CWE: CWE311 (Faile o encp daa), CWE326 (Weak Encpion), CWE321 (Ue of hadcoded

Cpogaphic ke), CWE325 (Miing Reied Cpogaphic Sep), ohe.

WASC Thea Claificaion: No eplici mapping

OWASP, hp://.oap.og/inde.php/Cpogaph

OWASP Gide, hp://.oap.og/inde.php/Gide_o_Cpogaph

OWASP, hp://.oap.og/inde.php/Inece_Soage

OWASP, hp://.oap.og/inde.php/Ho_o_poec_eniie_daa_in_URL

PCI Daa Seci Sandad 1.1,

hp://.pcieciandad.og/pdf/pci_d_11.pdf

Bce Schneie, hp://.chneie.com/ CpoAPI Ne Geneaion, hp://mdn2.micoof.com/en/liba/aa376210.ap


28/34

OWASP TOP TEN 2007

A9 COMUNICAES INSEGURAS

Aplicae gealmene falham na hoa de encipa fego de ede ando neceio poegecomnicae enei. A encipao (gealmene SSL) dee e ada em oda a conee

aenicada, epecialmene pgina eb com aceo ia inene, ma ambm conee com o . Seno, o aplicaio i epo ma aenicao o o de eo. Adicionalmene, aaenicao dee e ada empe e dado enei, aim como cae de cdio o infomaede ade o anmiido. Aplicae cjo modo de encipao poa e beido o alo deaae.O pade PCI eeem e oda a infomae de cae de cedio e o anmiida pelainene ejam encipada.

AMBIENTES AFETADOS

Todo ode aplicae eb o lneei comnicae inega.

VULNERABILIDADEFalha na hoa de encipa infomae enei ignifica e m inao e poa eca o fego daede pode e aceo conea, inclindo aie cedenciai o infomae eneianmiida. Conideando e ede difeene eo mai o meno ceibilidade a eca.Eneano, impoane noa e eenalmene m eido e compomeido em paicameneale ede, e e inaoe inalao apidamene ma eca paa capa a cedenciai deoo iema.O o de SSL paa comnicao com io finai ciico, poi mio poel e ele iliemfoma inega de acea o aplicaio. Poe HTTP incli cedenciai de aenicao o m de eo paa cada pedido, oda aenicao do fego dee i paa o SSL, no o pedido de .A encipao de infomae com eidoe de ambm impoane. Memo e ee

eidoe ejam naalmene mai ego, a infomae e a cedenciai e ela caegam omai enei e mai impacane. Poano, a SSL no ambm mio impoane.A encipao de infomao enel, aim como cae de cdio e infomae de peidncia, eono m eglameno financeio e de piacidade paa ia empea. Negligencia o o de SSLpaa o maneio de conee de infomae cia m ico de no confomidade.


O objeio eifica e a aplicae encipam coeamene oda a comnicao aenicada eenel.Abodagen aomaiada: feamena de localiao de lneabilidade podem eifica e o SSL iliado na ineface do iema e pode localia mia falha elacionada SSL. Eneano, ela no

m aceo conee no e no podem eifica e ela o ega. A feamena deanlie eica podem ajda com anlie de algma ligae no , ma poaelmene noenendeo a lgica comiada eeida paa odo o ipo de iema.Abodagen manai: ee podem eifica e o SSL iliado e localia mia falha elacionada SSL na ineface, ma a abodagen aomaiada o poaelmene mai eficiene. A eio decdigo mio eficiene paa eifica o o de SSL em conee no .


29/34

OWASP TOP TEN 2007

28

PROTEO

A pae mai impoane da poeo a o SSL em oda a conee aenicada o em aleinfomao enel em anmio. H inmeo dealhe enolendo a configao do SSL paaaplicae eb, eno impoane enende e analia e ambiene. Po eemplo, o IE7 (inene

Eploe 7) po ma baa ede paa ceificado SSL alamene confiei, ma io no mconole apopiado e demone po i o o ego da cipogafia.

Ue SSL paa oda a conee e o aenicada o e anmiam infomae enei o dealo, aim como cedenciai, cae de cdio, e oo.

Aege e a comnicae ene o elemeno da infaea, como eidoe de eb e iemade banco de dado, eo popiamene poegida pelo o de camada de anpoe de egana ode encipao de nel de poocolo paa cedenciai e infomae de alo inneco.

Deno do eiio de egana PCI 4, deee poege a infomae do popieio de caede cdio em anmio. A confomidade com a noma PCI DSS mandaia a 2008 paa odo ocomeciane e ale m e lide com cae de cdio. Em geal, cliene, paceio, fncionio eaceo adminiaio online ao iema deem e encipado ia SSL o imila.

EXEMPLOS



hp://.chneie.com/blog/achie/2005/10/candinaian_a_1.hml

REFERNCIAS

CWE: CWE311 (Faile o encp daa), CWE326 (Weak Encpion), CWE321 (Ue of hadcodedcpogaphic ke), CWE325 (Miing Reied Cpogaphic Sep), ohe.

WASC Thea Claificaion: No eplici mapping

OWASP Teing Gide, Teing fo SSL / TLS, hp://.oap.og/inde.php/Teing_fo_SSLTLS

OWASP Gide, hp://.oap.og/inde.php/Gide_o_Cpogaph

Fondone SSL Digge,hp://.fondone.com/inde.hm?bna=eice/naigaion.hm&bconen=/eice/oeie_3i_de.hm

NIST, SP 80052 Gideline fo he elecion and e of anpo lae eci (TLS) Implemenaion,hp://cc.ni.go/pblicaion/nipb/80052/SP80052.pdf

NIST SP 80095 Gide o ece eb eice, hp://cc.ni.go/pblicaion/daf.hml#p80095


30/34

OWASP TOP TEN 2007

29

A10 FALHA AO RESTRINGIR ACESSO URLS

Commene, a nica poeo paa ma URL no moa o link paa io no aoiado.No enano, m moiado, hbil o apena m odo aacane pode e capa de acha e acea ea

pgina, eeca fne e ialia dado. Segana po obcidade no ficiene paa poegedado e fne enei em ma aplicao. Veificae de conole de aceo deem e eecadaane de pemii ma oliciao a ma fno enel, na al gaane e omene o ioaoiado acee a epecia fno.

AMBIENTES AFETADOS

Todo o fameok de aplicae eb eo lneei a falha de eio de aceo a URL.

VULNERABILIDADE

O pincipal modo de aae paa ea lneabilidade chamado de naegao foada (), na al enole cnica de adiinhao de link () e foa ba ( )

paa acha pgina depoegida. comm e aplicae iliem cdigo de conole de aceo pooda a aplicao, elando em m modelo compleo e dificla a compeeno paadeenoledoe e epecialia em egana. Ea compleidade ona poel a oconcia de eoe algma pgina no eo alidada, deiando a aplicao lneel.Algn eemplo dea falha inclem:

URLS econdida e epeciai, moada apena paa adminiadoe o io piilegiado nacamada de apeenao, pom aceel a odo o io cao enham conhecimeno e ea URLeie, como /admin/adde.php o /appoeTanfe.do. Ea o paiclamene comn em cdigode men.

Aplicae gealmene pemiem aceo a aio econdido, como aio XML eico oelaio geado po iema, confiando oda egana na obcidade, econdendoo.

Cdigo e foam ma polica de conole de aceo deaaliada o inficiene. Po eemplo,imagine e /appoeTanfe.do foi diponibiliado ma e paa odo io, ma dede e oconole da SOX foam adoado, ele poamene pode e aceel po io apoadoe. Umapoel coeo eia no moa a URL paa io no aoiado, no enano o conole de aceoainda no eaia implemenado na eiio paa ea pgina.

Cdigo e alidam piilgio no cliene (boe) e no no eido, como nee aae na MacWold2007, e apoaa paa Plainm pae e aliam $1700 ia Jaa Scip no boe ao in dealida no eido.

VERIFICANDO A SEGURANA

O objeio eifica e o conole e foado conanemene na camada de apeenao e naega de negcio paa oda a URL da aplicao.

Abodagem aomaiada: Scanne de lneabilidade e feamena de anlie manal, ambopoem dificldade em eifica o conole de aceo na URL po difeene ae. Scanne delneabilidade poem dificldade em adiinha pgina econdida e deemina al pginadeeia e pemiida paa cada io, enano mecanimo de anlie eica enam idenificaconole de aceo peonaliado no cdigo e ligam a camada de apeenao com a ega denegcio.Abodagem manal: A abodagem mai eficiene e pecia e em ilia a combinao da eio docdigo e do ee de egana paa eifica o mecanimo de conole de aceo. Se o mecanimo


31/34

OWASP TOP TEN 2007

30

cenaliado, a eificao pode e baane eficiene. Se o mecanimo diibdo aa de macomplea bae de cdigo, a eificao pode e ona dipendioa. Se o mecanimo e foadoeenamene, a configao dee e eaminada e eada.

PROTEO

Tendo o empo paa planeja a aoiao ciando ma mai paa mapea a ega e a fne daaplicao o pao pimodial paa alcana a poeo cona aceo no aoiado. Aplicae ebdeem gaani conole de aceo em cada URL e fne de negcio. No ficiene coloca oconole de aceo na camada de apeenao e deia a ega de negcio depoegida. Tambm no ficiene eifica ma e o io aoiado e no eifica noamene no pao egine. Deoa foma, m aacane pode implemene bla o pao onde a aoiao eificada e foja oalo do pameo neceio e conina no pao egine.Habilia conole de aceo na URL neceia de m planejameno cidadoo. Dene a conideaemai impoane podemo deaca:

Gaana e a mai do conole de aceo pae do negcio, da aiea e do deign da aplicao

Gaana e oda URL e fne de negcio o poegida po m mecanimo de conole de aceoefeio e eifie a fne e dieio do io ane e ale poceameno ocoa.Ceifiee e ee poceo ealiado em odo o pao do flo e no apena no pao inicial dem poceo, poi pode hae io pao a eem eificado.

Realie m ee inao (peneaion e) ane do cdigo ena em podo a fim de gaani e aaplicao no pode e iliada de m f po m aacane moiado o com conhecimeno aanado.

Pee mia aeno em aio de inclde/biblioeca, epecialmene e ele poem eeneeecei como .php. Sempe e poel, deem e manido foa da ai eb. Deem e eificadoe no eo endo aceado dieamene, po eemplo, eificando po ma conane e podeomene e ciada aa de ma biblioeca do chamado.

No ponha e io no eao aeno acea URL o API econdida o epeciai. Sempe eaege e ae com piilgio alo e adminiaio eao poegido.

Bloeie aceo a odo o ipo de aio e a a aplicao no dea eeca. Ee filo dee egia abodagem na al apena o pemiido ipo de aio e a aplicao deaeeca, como po eemplo .hml .pdf, .php. Io i bloea ale enaia de aceo a aio delog, aio XML, ene oo, ao ai e epea nnca eem eecado dieamene.

Manenha o ani e a coee de egana aaliado paa componene como poceadoeXML, poceadoe de eo, poceadoe de imagem, ene oo e maniplam aio fonecidopo io.

EXEMPLOS

hp://ce.mie.og/cgibin/cename.cgi?name=CVE20070147hp://ce.mie.og/cgibin/cename.cgi?name=CVE20070131hp://ce.mie.og/cgibin/cename.cgi?name=CVE20061227

REFERNCIAS

CWE: CWE325 (Diec Ree), CWE288 (Ahenicaion Bpa b Alenae Pah), CWE285 (Miingo Inconien Acce Conol)

WASC Thea Claificaion:hp://.ebappec.og/pojec/hea/clae/pedicable_eoce_locaion.hml

OWASP, hp://.oap.og/inde.php/Foced_boing

OWASP Gide, hp://.oap.og/inde.php/Gide_o_Ahoiaion


32/34

OWASP TOP TEN 2007

31

AONDE IR A PARTIR DAQUI

O OWASP Top 10 apena o pimeio pao mo a egana da a aplicae eb.Podemo diidi a 6 Milhe de peoa e iem no mndo em doi gpo: O pimeio gpo

fomado pela peoa e abem poe a gande maioia da empea de ofae lanam epodo com Bg conhecido e o egndo gpo fomado pela peoa e no abem poe ioocoe. A peoa do pimeio gpo gealmene m e oimimo jenil eagado pela daealidade. ee enconamo peoa e peencem ao doi gpo; o a peoa e eochocada po e e eiem empea lanando e podo ane de elo e coigi odo obg.(hp://.gadian.co.k/echnolog/2006/ma/25/inidei.gadianeeklechnologecion) EicSink, Gadian 25 maio de 2006.A maioia do e cliene e io e no pimeio gpo. O modo com o al oc encaa ee

poblema ma oponidade de amena a egana de a aplicae eb no modo geal poiBilhe de dlae o pedido odo o ano e milhe de peoa ofem com fade e obo de

idenidade deido a lneabilidade dicida nee docmeno.

AOS WEBDESIGNERS

Paa gaani a egana da a aplicae oc pecia abe o e oc e poegendo, conheaoda a ameaa e ico de inegana e claifieo de foma eada. O Deenolimeno deale ipo de aplicao ee ma boa doe de egana.

Ceifiee e oc e aplicando egana baeandoe no modelo de ameaa de ico, no enanocomo o modelo de noma (SOX, HIPAA, Bael,) eo cada e mai cao onae mai conenieneinei empo e eco paa aifae o mnimo neceio paa o dia aai, pom a noma maiconhecida o bem mai gida.

Faa pegna obe neceidade empeaiai, pincipalmene obe eiio no fncionai. Tabalhe egindo o conao de egana de Sofae OWASP.

Incenia o deenolimeno de Sofae ego incli ma defea pofnda e ma cono impledo cdigo iliando o modelo de ameaa de ico. (e [HOW1] no lio efencia)

Ceifiee de e conideado a confidencialidade, inegidade, diponibilidade e noepdio.

Ceifiee de e e WebDeigne o coeene com a polica de egana e noma, ai comoCOBIT o PCI DSS 1,1.

AOS DESENVOLVEDORES

Mio deenoledoe j poem ma boa bae obe egana no deenolimeno de aplicaeWeb pom paa gaani ma egana efeia no deenolimeno de aplicae Web ee miaepeincia, poi ale leigo pode aaca m iema.

Faa pae da comnidade e OWASP e feene a enie egionai.

Poce po einameno obe deenolimeno de cdigo ego.

Deenola a aplicae com egana, Cie cdigo imple e com pofnda egana.

Deenola com aplicae e faoeam a egana do cdigo.

Recona o cdigo de foma ega de acodo com a a plaafoma iliando peia oimiada.

Leia o gia OWASP e comece a aplica conole mai ego a e cdigo, difeene do oo gia ele deenolido paa ajdlo a cia aplicae ega e no a ebla.

Faa o ee de egana e defeio do e cdigo e one ea pica conane no e diaadia.


33/34

OWASP TOP TEN 2007

32

Reie o lio de efencia e eja e eiem ope e e aplicam ao e ambiene de abalho.

PARA PROJETOS DE CDIGO ABERTO

O cdigo abeo m deafio paicla paa a egana de aplicae eb. Eiem milhae de

pojeo de cdigo abeo ano peoai como o Apache (.apache.og) e Tomca(omca.apache.og/) ano em laga ecala como PoNke (.ponke.com).

Faa pae da comnidade e OWASP e feene a enie egionai.

Se o e pojeo poi mai de ao deenoledoe, deie pelo meno m dele eponel pelaegana.

Deenola a aplicae com egana, Cie cdigo imple e com boa egana.

Deenola com noma e faoeam a egana do cdigo.

Dilge a polica de egana de foma eponel paa gaani e o poblema de egana eoendo aado coeamene.

Reie o lio de efencia e eja e eiem ope e e aplicam ao e ambiene de abalho.

PARA OS PROPRIETRIOS DE APLICAO

O popieio de aplicae comeciai gealmene m empo e eco edido. O Popieiode aplicae deem:

Tabalha com o conao de egana de ofae OWASP aneo com o podoe de ofae.

Gaani e o eiio de negcio inclem eiio nofncionai (nonfncional eiemen,NFR), ai como eiio de egana.

Eimle o deenoledoe a cia aplicae com cdigo imple e com boa egana.

Conae (o eine) deenoledoe com bon conhecimeno em egana.

Faa ee de egana em odo o pojeo, deenolimeno, ciao, ee e implemenao.

Reee eco e empo no oameno do pojeo paa cida de ee de egana.

AOS DIRETORES EXECUTIVOS

Sa empea pecia e m ciclo de ida de deenolimeno ego. A lneabilidade o maifcei de eem coigida dane o deenolimeno do e ap o podo j e ido lanado.Poi m ciclo de ida de deenolimeno ego no incli omene o ee paa o Top 10,ambm incli:

Ao ende ofae aegee de ea inclindo polica e conao com emo de egana.

Paa cdigo comiado adoe codificao ega, pincipalmene na a polica e noma.

Paa cdigo comiado adoe codificao ega, pincipalmene na a polica e noma.

Paa cdigo comiado adoe codificao ega, pincipalmene na a polica e noma. Noifie e podoe de ofae obe a imponcia da egana paa o elado da empea.

Teine e ebdeigne e pojeia no fndameno de egana em aplicae eb.

Conidee a poibilidade do cdigo e adiado po eceio paa e haja ma anlie maiindependene.

Adoe pica eponei de dilgao e cona m poceo paa eponde adeadamene aoelaio de lneabilidade do e podo.


34/34

OWASP TOP TEN 2007

REFERNCIAS

PROJETOS DA OWASP

OWASP o ie pincipal obe egana de aplicae eb. O ie da OWASP hopeda dieopojeo, fn, blog, apeenae, feamena e aigo. A OWASP ogania da gandeconfencia de egana po ano e mai de 80 caplo locai.O egine pojeo da OWASP o mai comn de eem iliado:

OWASP Gide o Bilding Sece Web Applicaion

OWASP Teing Gide

OWASP Code Reie Pojec (in deelopmen)

OWASP PHP Pojec (in deelopmen)

OWASP Jaa Pojec

OWASP .NET Pojec

LIVROS

Po neceidade, ea no ma lia eaia. Uea como efencia paa encona a eaapopiada em a liaia local e elecione algn lo (inclindo m o mai do egine) eaifaam a neceidade:

[ALS1] Alhanek, I. phpachiec' Gide o PHP Seci, ISBN 0973862106

[BAI1] Deeloping moe ece ASP.NET 2.0 Applicaion, ISBN 9780735623316

[GAL1] Gallaghe T., Landae L., Jeffie B., "Hning Seci Bg", Micoof Pe, ISBN 073562187X

[GRO1] Fogie, Goman, Hane Co Sie Sciping Aack: XSS Eploi and Defene, ISBN 1597491543

[HOW1] Hoad M., Lipne S., "The Seci Deelopmen Lifeccle", Micoof Pe, ISBN 0735622140

[SCH1] Schneie B., "Pacical Cpogaph", Wile, ISBN 047122894X

[SHI1] Shifle, C. Eenial PHP Seci, ISBN 059600656X

[WYS1] Wopal e al, The A of Sofae Seci Teing: Idenifing Sofae Seci Fla, ISBN

0321304861

WEB SITES

OWASP, hp://.oap.og

MITRE, Common Weakne Enmeaion Vlneabili Tend, hp://ce.mie.og/docmen/lnend.hml

Web Applicaion Seci Conoim, hp://.ebappec.og/

SANS Top 20, hp://.an.og/op20/

PCI Seci Sandad Concil, pblihe of he PCI andad, elean o all oganiaion poceing o

Holding cedi cad daa, hp://.pcieciandad.og/

PCI DSS 1.1, hp://.pcieciandad.og/pdf/pci_d_11.pdf

Bild Seci In, US CERT, hp://bildeciin.ce.go/dai/bi/home.hml

As 10 Vulnerabilidades de Segurança Mais Criticas Em Aplicações WEB

Documents

Transcript of As 10 Vulnerabilidades de Segurança Mais Criticas Em Aplicações WEB