Segurança em aplicações Web
Porque é
tão
importante?
Considerações iniciais
INTRODUÇÃO
• Facilidade de acesso.
• Estatísticas desfavoráveis.
• O desinteresse dos desenvolvedores.
• XSS
VULNERABILIDADES MAIS
COMUNS
• INJEÇÃO SQL
• Atacante insere comandos SQL.
• Utiliza formulários.
• Recomendações:
• Validação : dados de entrada.
• Permitir somente caracteres selecionados
previamente.
• Prepared Statement: Impede a alteração
da sintaxe do comando SQL.
VULNERABILIDADES MAIS
COMUNS
• CROSS SITE SCRIPTING (XSS) • Atacante utiliza app web para enviar código
malicioso.
• Aplicação web sem validação.
• Descoberta de cookie sessão, divulgação de arquivos, instalação de cavalo de Tróia, redirecionamento do usuário para outra Page.
• Recomendações: • Verificar se o conteúdo da Page
não contenha scripts indesejados.
• Filtragem de dados.
(Entrada e saída).
VULNERABILIDADES MAIS
COMUNS
• SISTEMAS DE AUTENTICAÇÃO
• Login e senha válidos.
• Perigo nas mensagens de erro!
• Problemas - Mensagens de erro:
• - Enumeração de logins válidos: Usuários listados.
• - Ataque de dicionário: Tentativa e erro.
• - Ataque de força bruta: Formações de palavra.
• Recomendações:
• Evitar mensagens de erro detalhadas.
VULNERABILIDADES MAIS
COMUNS
• SEQUESTRO DE SESSÕES.
• Utilização de cookies.
• Servidor captura o cookie.
• Ataque pode surgir quando: captura ou
adiviha o cookie de outro usuário.
• Recomendações:
• HTTPS: garante a criptografia.
• Eliminação de vulnerabilidade.
VULNERABILIDADES MAIS
COMUNS
• ARQUIVOS INDEVIDOS.
• Arquivos de configuração e informações
sigilosas.
• Arquivos com senha.
• Recomendações:
• Mover os arquivos de configuração,
backup e sigilosos.
VULNERABILIDADES MAIS
COMUNS
• EXECUÇÃO DE COMANDOS.
• Manipulação das entradas de dados.
• Comandos executam com as mesmas
permissões.
• Recomendações:
• Dados dos usuários validados antes da
execução.
• Chamar as bibliotecas.
VULNERABILIDADES MAIS
COMUNS
• ELEVAÇÃO DE PRIVILÉGIOS. • Adquirir mais permissões que o atribuído ao
usuário.
• Pode ser encontrada em apps web com menus criados dinamicamente.
• Recomendações:
• Todo controle deve ser validado.
• Qualquer recurso protegido do sistema só poderá ser acessado por usuários autenticados.
• Todos os recursos protegidos precisam de um controle implementado .
VULNERABILIDADES MAIS
COMUNS
• OUTRAS RECOMENDAÇÕES.
• Protocolo HTTPS.
• Política de senhas. (8 caracteres).
• UPLOAD de arquivos.
• Privilégios mínimos no Banco de Dados.
• Criptografia das senhas.
• Campos hidden no código HTML.
• Atualização de softwares.
• Configuração de softwares.
VULNERABILIDADES MAIS
COMUNS
• Referências:
Agência Estadual de Tecnologia da
Informação.
Top Related