owasp - segurança de aplicação na web
DESCRIPTION
Owasp - Segurança de aplicação na web. TOP 10 ano 2013TRANSCRIPT
![Page 2: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/2.jpg)
O que é ?
• Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveis
quinta-feira, 28 de março de 13
![Page 3: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/3.jpg)
Risco de Segurança em Aplicações
quinta-feira, 28 de março de 13
![Page 4: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/4.jpg)
TOP 10 - 201310 PRINCIPAIS FALHAS DE SEGURANÇA WEB
quinta-feira, 28 de março de 13
![Page 5: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/5.jpg)
TOP 10 - 2013• AI - Injeção
• A2 - Autenticação quebrada e gerenciamento de sessão
• A3 - XSS
• A4 - Referências inseguras diretas de objetos
• A5 - Segurança das configurações
• A6 - Exposição sensível de dados
• A7 - Falta de controle do nível de acesso
• A8 - Cross-Site Requisição forjada
• A9 - Uso de componentes com vulnerabilidade conhecida
• A10 - Redirecionamento inválidos
quinta-feira, 28 de março de 13
![Page 6: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/6.jpg)
A1 - Injeção
• Vulnerabilidade
• Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas.
quinta-feira, 28 de março de 13
![Page 7: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/7.jpg)
A1 - Injeção
• Ex: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
• Ex: http://example.com/app/accountView?id=' or '1'='1
quinta-feira, 28 de março de 13
![Page 8: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/8.jpg)
A1 - Injeção
• Prevenção
• Usar biblioteca de interpretação de dados
quinta-feira, 28 de março de 13
![Page 9: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/9.jpg)
A4 - Referências inseguras diretas de objetos
• Vulnerabilidade
• Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso.
• Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual.
quinta-feira, 28 de março de 13
![Page 10: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/10.jpg)
A4 - Referências inseguras diretas de objetos
• Ex: example.com?id=400
• Ex: example.com?id=18d8042386b79e2c279fd162df0205c8
• Ex: example.com/promocao_de_pascoa
quinta-feira, 28 de março de 13
![Page 11: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/11.jpg)
A4 - Referências inseguras diretas de objetos
• Prevenção
• Usar referências indiretas
• Verificar o acesso
quinta-feira, 28 de março de 13
![Page 12: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/12.jpg)
A7 - Falta de controle de nível de acesso
• Vulnerabilidade
• Será que a navegação mostra URL para funções não autorizadas ?
• São verificadas as autenticação e autorização ?
• São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante?
quinta-feira, 28 de março de 13
![Page 13: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/13.jpg)
A7 - Falta de controle de nível de acesso
• Ex: example.com/user
• Ex: example.com/admin
• Ex: example.com/user/new
• Ex: example.com/admin/user/new
quinta-feira, 28 de março de 13
![Page 14: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/14.jpg)
A7 - Falta de controle de nível de acesso
• Prevenção
• Autenticação e autorização.
• Não exibir link ou botões de funções não autorizadas.
quinta-feira, 28 de março de 13
![Page 15: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/15.jpg)
Referências
• https://www.owasp.org/index.php/Main_Page
• http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf
quinta-feira, 28 de março de 13
![Page 16: Owasp - Segurança de aplicação na web](https://reader034.vdocuments.mx/reader034/viewer/2022051514/5483015db47959d80c8b48f7/html5/thumbnails/16.jpg)
Obrigadofacebook.com/aitproegslideshare.net/aitproeg
quinta-feira, 28 de março de 13