Segurança na web
-
Upload
kaito-queiroz -
Category
Internet
-
view
40 -
download
0
Transcript of Segurança na web
![Page 1: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/1.jpg)
Segurança na WEBEvite os tipos mais comuns de ataques
Kaito Queiroz
![Page 2: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/2.jpg)
O que são Riscos de Segurança em Aplicações?Os atacantes podem, potencialmente, usar vários caminhos diferentes através da sua aplicação para causar danos ao seu negócio ou organização.
![Page 3: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/3.jpg)
Agentes de Ameaça> Explora as falhas> Tenta obter alguma vantagem> Tempo de sobra> Deve ser levado a sério
![Page 4: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/4.jpg)
Devemos conhecer nossas fraquezas
> Equipes capazes de identificar falhas e corrigí-las> Conhecer técnicas de invasões> Planejar, Desenvolver e Verificar aplicações confiáveis> Aprender com os próprios erros...> ...e dos outros.
![Page 5: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/5.jpg)
Open Web Application Security Project (OWASP) é uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis.
https://www.owasp.org/
![Page 6: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/6.jpg)
OWASP TOP 10
O OWASP Top 10 tem seu foco na identificação dos riscos mais graves para uma ampla gama de organizações. > OWASP Risk Rating Methodology
![Page 7: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/7.jpg)
A10 - Redirecionamentos e Encaminhamentos Inválidos
![Page 8: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/8.jpg)
Exemplos de Cenários de Ataque
A10 - Redirecionamentos e Encaminhamentos Inválidos
![Page 9: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/9.jpg)
Como evitar?
A10 - Redirecionamentos e Encaminhamentos Inválidos
❏ Simplesmente evitar usá-los❏ Se forem usados, não envolva parâmetros do usuário no cálculo do destino.
Normalmente, isto pode ser feito.❏ Se os parâmetros de destino não podem ser evitados, tenha certeza que o
valor fornecido é válido, e autorizado para o usuário
![Page 10: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/10.jpg)
A9 - Utilização de Componentes Vulneráveis Conhecidos
![Page 11: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/11.jpg)
Exemplos de Cenários de Ataque ❏ Apache CXF Authentication Bypass – Ao não fornecer um token de
identidade, atacantes podem chamar qualquer serviço web com todas as permissões.
❏ Spring Remote Code Execution – Abuso da implementação de Linguagem Expression no Spring permitiu aos atacantes executarem código arbitrário, efetivamente comprometendo o servidor.
❏ Wordpress Jetpack Plugin - Foi possível injetar código Javascript malicioso
A9 - Utilização de Componentes Vulneráveis Conhecidos
![Page 12: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/12.jpg)
Como evitar?❏ Evitar de usar componentes de terceiros❏ Muitos projetos de componentes não criam correções de vulnerabilidades
para versões antigas. Em vez disso, é mais simples corrigir o problema na próxima versão. Então atualizar para essas novas versões é crítico.
A9 - Utilização de Componentes Vulneráveis Conhecidos
![Page 13: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/13.jpg)
Como evitar?Projetos de software devem ter processos para:
a) Identificar todos os componentes e as versões que você está utilizando, incluindo todas as dependências. (ex., versões dos plugins).
b) Monitorar a segurança desses componentes em banco de dados públicos, listas de e-mail de projetos e segurança, e mantê-los atualizados.
c) Estabelecer políticas de segurança que definam o uso do componente, assim como exigir certas práticas de desenvolvimento de software, passando em testes de segurança, e licenças aceitáveis.
d) Quando apropriado, considere a adição de invólucros de segurança em torno dos componentes para desabilitar funcionalidades não utilizadas e/ou proteger falhas ou aspectos vulneráveis do componente.
A9 - Utilização de Componentes Vulneráveis Conhecidos
![Page 14: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/14.jpg)
A8 - Cross-Site Request Forgery (CSRF)
![Page 15: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/15.jpg)
A8 - Cross-Site Request Forgery (CSRF)
A aplicação permite que um usuário submeta uma requisição de mudança de estado que não inclui qualquer segredo. Por exemplo:
Exemplos de Cenários de Ataque
![Page 16: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/16.jpg)
A8 - Cross-Site Request Forgery (CSRF)
Com isso, o atacante constrói uma requisição que irá transferir dinheiro da conta da vítima para a conta do atacante, e então incorpora este ataque em uma requisição armazenada em uma imagem ou iframe em vários sites sob o controle do atacante:
Exemplos de Cenários de Ataque
![Page 17: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/17.jpg)
Como evitar?A prevenção de um CSRF geralmente requer a inclusão de um token imprevisível em cada requisição HTTP. Tais tokens devem, no mínimo, ser únicos por sessão de usuário.
1. A opção preferida consiste em incluir um token único em um campo oculto. Isso faz com que o valor seja enviado no corpo da requisição HTTP, evitando-se a sua inserção na URL, que é mais propensa a exposição.
2. O token único pode ser incluído na própria URL, ou em parâmetros da URL. Contudo, tal posicionamento corre um risco maior já que a URL será exposta ao atacante, comprometendo assim o token secreto
A8 - Cross-Site Request Forgery (CSRF)
![Page 18: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/18.jpg)
Como evitar?O CSRF Guard do OWASP pode incluir tokens automaticamente em aplicações Java EE, .NET ou PHP. A ESAPI do OWASP disponibiliza métodos para desenvolvedores utilizarem na prevenção de vulnerabilidades de CSRF.
3. Exigir que o usuário autentique novamente, ou provar que são realmente um usuário (por exemplo, através de CAPTCHA) também pode proteger contra CSRF.
A8 - Cross-Site Request Forgery (CSRF)
![Page 19: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/19.jpg)
A7 - Falta de Função para Controle do Nível de Acesso
![Page 20: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/20.jpg)
A7 - Falta de Função para Controle do Nível de Acesso
1: O atacante simplesmente força a navegação pelas URLs alvo. As seguintes URLs exigem autenticação. Direitos de administrador também são exigidos para acessar a página “admin_getappInfo” .
http://example.com/app/getappInfo http://example.com/app/admin_getappInfo
Se um usuário não autenticado pode acessar qualquer página, isso é uma falha.
Exemplos de Cenários de Ataque
![Page 21: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/21.jpg)
A7 - Falta de Função para Controle do Nível de Acesso
Frequentemente, tal proteção é fornecida por um ou mais componentes externos ao código da aplicação. 1. Pense sobre o processo para gerenciar os direitos e garantir que você possa atualizar e auditar facilmente. Não codifique diretamente.
2. A execução de mecanismos deve negar todo o acesso por padrão, exigindo direitos explícitos para papéis específicos no acesso a todas as funções.
3. Se a função está envolvida em um fluxo de trabalho, verifique, para ter certeza, se as condições estão em estado adequado para permitir acesso.
Como evitar?
![Page 22: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/22.jpg)
A6 - Exposição de Dados Sensíveis
Exemplos de Cenários de Ataque
![Page 23: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/23.jpg)
A6 - Exposição de Dados Sensíveis
Exemplos de Cenários de Ataque
![Page 24: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/24.jpg)
A6 - Exposição de Dados Sensíveis
Como evitar?> Dados Criptografados (https)> Dasabilitar autocomple
![Page 25: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/25.jpg)
A5 - Configuração Incorreta de Segurança
Exemplos de Cenários de Ataque
![Page 26: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/26.jpg)
A4 - Referência Insegura e Direta a Objetos
![Page 27: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/27.jpg)
A4 - Referência Insegura e Direta a Objetos
![Page 28: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/28.jpg)
A4 - Referência Insegura e Direta a Objetos
![Page 29: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/29.jpg)
A3 - Cross-Site Scripting (XSS)
![Page 30: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/30.jpg)
A3 - Cross-Site Scripting (XSS)
Exemplos de Cenários de Ataque
![Page 31: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/31.jpg)
A3 - Cross-Site Scripting (XSS)
> Validar toda entrada de dados
> Sanitize
Como evitar?
![Page 32: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/32.jpg)
A2 - Quebra de Autenticação e Gerenciamento de Sessão
![Page 33: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/33.jpg)
Exemplos de Cenários de Ataque
![Page 34: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/34.jpg)
A1 - Injeção
![Page 35: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/35.jpg)
A1 - Injeção
Exemplos de Cenários de Ataque
![Page 36: Segurança na web](https://reader035.fdocumentos.com/reader035/viewer/2022070600/58a5d4dc1a28ab6c2a8b6c89/html5/thumbnails/36.jpg)
A1 - Injeção
Como evitar?