Segurança em aplicações Web

Porque é

tão

importante?

Considerações iniciais

INTRODUÇÃO

• Facilidade de acesso.

• Estatísticas desfavoráveis.

• O desinteresse dos desenvolvedores.

• XSS

VULNERABILIDADES MAIS

COMUNS

• INJEÇÃO SQL

• Atacante insere comandos SQL.

• Utiliza formulários.

• Recomendações:

• Validação : dados de entrada.

• Permitir somente caracteres selecionados

previamente.

• Prepared Statement: Impede a alteração

da sintaxe do comando SQL.

VULNERABILIDADES MAIS

COMUNS

• CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código

malicioso.

• Aplicação web sem validação.

• Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page.

• Recomendações: • Verificar se o conteúdo da Page

não contenha scripts indesejados.

• Filtragem de dados.

(Entrada e saída).

VULNERABILIDADES MAIS

COMUNS

• SISTEMAS DE AUTENTICAÇÃO

• Login e senha válidos.

• Perigo nas mensagens de erro!

• Problemas - Mensagens de erro:

• - Enumeração de logins válidos: Usuários listados.

• - Ataque de dicionário: Tentativa e erro.

• - Ataque de força bruta: Formações de palavra.

• Recomendações:

• Evitar mensagens de erro detalhadas.

VULNERABILIDADES MAIS

COMUNS

• SEQUESTRO DE SESSÕES.

• Utilização de cookies.

• Servidor captura o cookie.

• Ataque pode surgir quando: captura ou

adiviha o cookie de outro usuário.

• Recomendações:

• HTTPS: garante a criptografia.

• Eliminação de vulnerabilidade.

VULNERABILIDADES MAIS

COMUNS

• ARQUIVOS INDEVIDOS.

• Arquivos de configuração e informações

sigilosas.

• Arquivos com senha.

• Recomendações:

• Mover os arquivos de configuração,

backup e sigilosos.

VULNERABILIDADES MAIS

COMUNS

• EXECUÇÃO DE COMANDOS.

• Manipulação das entradas de dados.

• Comandos executam com as mesmas

permissões.

• Recomendações:

• Dados dos usuários validados antes da

execução.

• Chamar as bibliotecas.

VULNERABILIDADES MAIS

COMUNS

• ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao

usuário.

• Pode ser encontrada em apps web com menus criados dinamicamente.

• Recomendações:

• Todo controle deve ser validado.

• Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados.

• Todos os recursos protegidos precisam de um controle implementado .

VULNERABILIDADES MAIS

COMUNS

• OUTRAS RECOMENDAÇÕES.

• Protocolo HTTPS.

• Política de senhas. (8 caracteres).

• UPLOAD de arquivos.

• Privilégios mínimos no Banco de Dados.

• Criptografia das senhas.

• Campos hidden no código HTML.

• Atualização de softwares.

• Configuração de softwares.

VULNERABILIDADES MAIS

COMUNS

• Referências:

Agência Estadual de Tecnologia da

Informação.