Upload
ait-proeg-ufpa
View
791
Download
0
Embed Size (px)
DESCRIPTION
Owasp - Segurança de aplicação na web. TOP 10 ano 2013
Citation preview
OWASP - Segurança de aplicações WEBVitor castro - [email protected]
quinta-feira, 28 de março de 13
O que é ?
• Projeto aberto dedicado a capacitação das organizações para manter aplicações confiáveis
quinta-feira, 28 de março de 13
Risco de Segurança em Aplicações
quinta-feira, 28 de março de 13
TOP 10 - 201310 PRINCIPAIS FALHAS DE SEGURANÇA WEB
quinta-feira, 28 de março de 13
TOP 10 - 2013• AI - Injeção
• A2 - Autenticação quebrada e gerenciamento de sessão
• A3 - XSS
• A4 - Referências inseguras diretas de objetos
• A5 - Segurança das configurações
• A6 - Exposição sensível de dados
• A7 - Falta de controle do nível de acesso
• A8 - Cross-Site Requisição forjada
• A9 - Uso de componentes com vulnerabilidade conhecida
• A10 - Redirecionamento inválidos
quinta-feira, 28 de março de 13
A1 - Injeção
• Vulnerabilidade
• Qualquer fonte de entrada de dados pode ser um vetor de injecção, incluindo as fontes internas.
quinta-feira, 28 de março de 13
A1 - Injeção
• Ex: String query = "SELECT * FROM accounts WHERE custID='" + request.getParameter("id") +"'";
• Ex: http://example.com/app/accountView?id=' or '1'='1
quinta-feira, 28 de março de 13
A1 - Injeção
• Prevenção
• Usar biblioteca de interpretação de dados
quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos
• Vulnerabilidade
• Para referências diretas a recursos limitados, o aplicativo precisa verificar se o usuário está autorizado a acessar o recurso.
• Se a referência é uma referência indireta, o mapeamento para a referência direta deve ser limitada aos valores autorizados para o usuário atual.
quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos
• Ex: example.com?id=400
• Ex: example.com?id=18d8042386b79e2c279fd162df0205c8
• Ex: example.com/promocao_de_pascoa
quinta-feira, 28 de março de 13
A4 - Referências inseguras diretas de objetos
• Prevenção
• Usar referências indiretas
• Verificar o acesso
quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso
• Vulnerabilidade
• Será que a navegação mostra URL para funções não autorizadas ?
• São verificadas as autenticação e autorização ?
• São verificações feitas no servidor, sem depender de informações fornecidas pelo atacante?
quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso
• Ex: example.com/user
• Ex: example.com/admin
• Ex: example.com/user/new
• Ex: example.com/admin/user/new
quinta-feira, 28 de março de 13
A7 - Falta de controle de nível de acesso
• Prevenção
• Autenticação e autorização.
• Não exibir link ou botões de funções não autorizadas.
quinta-feira, 28 de março de 13
Referências
• https://www.owasp.org/index.php/Main_Page
• http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202013%20-%20RC1.pdf
quinta-feira, 28 de março de 13
Obrigadofacebook.com/aitproegslideshare.net/aitproeg
quinta-feira, 28 de março de 13