HTML5 Seguro ou Inseguro?
Wagner EliasGerente de Pesquisa e Desenvolvimento
sexta-feira, 3 de dezembro de 2010
Agenda
• HTML5
• O que é?
• Quem usa?
• Alguns Recursos
• localStorage
• Websocket
• Ele pode ser um big brother
• Navigator
• Geolocation
• Uma nova e eficaz abordagem para Botnets
• Geolocation
• WebSocket
• LocalStorage
• Explorando
• Client-Side SQLi
• Stored XSS
• Conclusão
2CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
HTML53CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
O que é?
4CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
Morra Flash
Video
Offline Web App
Canvas
Geolocation
sexta-feira, 3 de dezembro de 2010
Quem usa?
5CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Alguns Recursos6CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
localStorage
7CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
5Mb(No browser)
sexta-feira, 3 de dezembro de 2010
Websockets
8CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Ele pode ser um Big Brother9CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Navigator
10CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
Você está online?
Qual o seu sistema
Operacional?
Qual o seu histórico de navegação?
sexta-feira, 3 de dezembro de 2010
Geolocation
11CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Uma nova e eficaz abordagem para Botnets
12CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Abordagem segmentada por região com Geolocation
13CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta
14CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5)
15CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Client-Side Exploit16CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Client-Side SQLi
17 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY
* PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html
sexta-feira, 3 de dezembro de 2010
Stored XSS
18 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY
sexta-feira, 3 de dezembro de 2010
Conclusão19CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Conclusão
• Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela
• Um novo desafio para ferramentas e profissionais que testam aplicações web
• Alguns recursos serão alvo de ataques e ações criminosas
20CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
Referências
• http://HTML5Rocks.com
• http://html5demos.com/
• http://websockets.org/
• http://dev.w3.org/html5/websockets/
21CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
sexta-feira, 3 de dezembro de 2010
• Blog: http://wagnerelias.com
• E-mail: [email protected]
• Twitter: @welias
22CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?
Obrigado...
sexta-feira, 3 de dezembro de 2010
Top Related