OWASP - Segurança de aplicações WEBVitor castro - vitorcastro@me.com

quinta-feira, 28 de março de 13

O que é ?

• Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveis

quinta-feira, 28 de março de 13

Risco de Segurança em Aplicações

quinta-feira, 28 de março de 13

TOP 10 - 201310 PRINCIPAIS FALHAS DE SEGURANÇA WEB

quinta-feira, 28 de março de 13

TOP 10 - 2013• AI - Injeção

• A2 - Autenticação quebrada e gerenciamento de sessão

• A3 - XSS

• A4 - Referências inseguras diretas de objetos

• A5 - Segurança das configurações

• A6 - Exposição sensível de dados

• A7 - Falta de controle do nível de acesso

• A8 - Cross-Site Requisição forjada

• A9 - Uso de componentes com vulnerabilidade conhecida

• A10 - Redirecionamento inválidos

quinta-feira, 28 de março de 13

A1 - Injeção

• Vulnerabilidade

• Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas.

quinta-feira, 28 de março de 13

A1 - Injeção

• Ex: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";

• Ex: http://example.com/app/accountView?id=' or '1'='1

quinta-feira, 28 de março de 13

A1 - Injeção

• Prevenção

• Usar biblioteca de interpretação de dados

quinta-feira, 28 de março de 13

A4 - Referências inseguras diretas de objetos

• Vulnerabilidade

• Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso.

• Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual.

quinta-feira, 28 de março de 13

A4 - Referências inseguras diretas de objetos

• Ex: example.com?id=400

• Ex: example.com?id=18d8042386b79e2c279fd162df0205c8

• Ex: example.com/promocao_de_pascoa

quinta-feira, 28 de março de 13

A4 - Referências inseguras diretas de objetos

• Prevenção

• Usar referências indiretas

• Verificar o acesso

quinta-feira, 28 de março de 13

A7 - Falta de controle de nível de acesso

• Vulnerabilidade

• Será que a navegação mostra URL para funções não autorizadas ?

• São verificadas as autenticação e autorização ?

• São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante?

quinta-feira, 28 de março de 13

A7 - Falta de controle de nível de acesso

• Ex: example.com/user

• Ex: example.com/admin

• Ex: example.com/user/new

• Ex: example.com/admin/user/new

quinta-feira, 28 de março de 13

A7 - Falta de controle de nível de acesso

• Prevenção

• Autenticação e autorização.

• Não exibir link ou botões de funções não autorizadas.

quinta-feira, 28 de março de 13

Referências

• https://www.owasp.org/index.php/Main_Page

• http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf

quinta-feira, 28 de março de 13

Obrigadofacebook.com/aitproegslideshare.net/aitproeg

quinta-feira, 28 de março de 13