Embed Size (px)
Citation preview
Agenda
Segurança da Informações Entendendo as falhas Canais Seguros Injeção de SQL
Segurança da Informações
Relacionado a proteção de um conjunto de dados;
Informação é o maior ativo das empresas; Características básica:
Confidencialidade Integridade Disponibilidade
Segurança da Informações
Mecanismos de Segurança Controles físicos
Limita o contato com a informações ou infraestrutura
Controle Lógico Limita o acesso a informação
Segurança da Informações
Mecanismos de Controle Lógico Criptografia Assinatura Digital Controle de Acesso: biometria, firewall e etc Honeypot Protocolos Seguros
Segurança da Informações
Aplicações Web são frágeis; Razões:
Desenvolvedores não capacitados; Requisitos não funcionais não identificados; Ferramentas não detectam todos os erros;
Segurança da Informações
Principais falhas no desenvolvimento Cross-Site Scripting (XSS) Manipulação de dados ocultos Falha na restrição de acesso a URL Tratamento indevido de erros Dados valiosos não criptografados Canais inseguros; Injeção de comandos; Processo inadequado de cadastro de usuário
Entendendo as falhas
Cross-Site Scripting (XSS) Permite executar scripts maliciosos no navegador
Entendendo as falhas
Manipulação de dados ocultos A aplicação permite acesso indevido a dados
ocultos.
Entendendo as falhas
Falha na restrição de acesso a URL A aplicação permite acesso à módulos o qual o
usuário não tem permissão de acesso.
Ex:
http://erp.minhaempresa/empregado
http://erp.minhaempresa/administracao
Entendendo as falhas
Tratamento indevido de erros Informações sensíveis são expostas quando
acontece um erro com a aplicação.
Ex: Aplicação não trata o erro adequadamente e exibe ao usuário o nome de uma tabela.
Entendendo as falhas
Dados valiosos não criptografados Dados sensiveis ficam armazenados de forma
não criptografada ou usa criptografia inadequada.
Ex: Senhas e números de cartões não criptografados no banco de dados ou cookies. Desenvolvedor cria seu próprio mecanismo de criptografia.
Entendendo as falhas
Canais inseguros A aplicação trafega dados sensíveis através de
canais não-seguro
Ex: Não uso do TLS em sistemas de e-commerce
Entendendo as falhas
Injeção de comandos Atacante explora a injeção de comandos a serem
processados por outro sistema ou camada.
Ex: SQL Injection
Entendendo as falhas
Processo inadequado de cadastro de usuário O cadastro de usuários da aplicação não segue
recomendações de segurança.
Ex: Uso de senha “123456”
Canais Seguros
Diz respeito por onde os dados irão trafegar; TLS (predecessor SSL); Protocolo Criptográfico; Funcionamento:
Cliente conhece o servidor e servidor conhece o cliente;
Cada solicitação é autenticada; Dados trafegados são criptografados.
Canais Seguros
Utilizados por grandes instituições Visa, Mastercard e American Express
Injeção SQL
SQL Linguagem textual para interagir com o banco de
dados DDL e DML
Injeção SQL Atacante inserir instruções SQL dentro de uma
query através da entrada de dados.
Injeção SQL
Validando o acesso do usuário
SELECT * FROM usuario WHERE login=‘waelson’ AND senha=‘@wa3’
SELECT * FROM usuario WHERE login=‘waels’on’ AND senha=‘@wa3’
