top 5 vulnerabilidades_em_aplicacoes_web
TRANSCRIPT
Mini CurriculoLuis Asensio:Analista e desenvolvedor de sistemas que trabalha com desenvolvimento a mais de 14 anos. Conhecedor nas linguagens: Clipper, Delphi, .Net (asp,c# e vb.net) e Java. Certificações em SCJP 1.4 (Java), MCPD em ASP.NET Developer 3.5 (Microsoft) e CISSP Candidate. Atualmente se dedica a desenvolvimento seguro, onde atua como analista de processos na Editora Abril na área da Segurança da Informação.
Jonas Costa:Analista e desenvolvedor de sistemas a 7 anos, com linguagens como Delphi, .Net (asp e c#) e Java. Analista de processos na área da Segurança da Informação da Editora Abril, atualmente se dedica na multiplicação dos conceitos de desenvolvimento seguro para os desenvolvedores do Grupo Abril.
Agenda - Top 5
• A1: Injeção
• A2: Cross-Site Scripting (XSS)
• A3: Furo na autenticação e na gerencia de sessão
• A4: Referencia insegura direta a objetos
• A5: Vazamento de informações e tratamento de erros inapropriado
A1: Injeção
Consiste em injetar qualquer tipo de código em um sistema sem atender o seu propósito e para uso maléfico.
Tipos de injeção de código:
• Injeção de HTML e JavaScript • Injeção de SQL• Injeção de PHP• Injeção de HTTP• Injeção de e-mail(SMTP)• Injeção de inclusão de arquivos• Injeção de Shell
A2: Cross-Site Scripting (XSS)
Execução de script no lado do cliente (navegador) utilizando alguma linguagem de codificação, normalmente o JavaScript.
A manipulação de qualquer componente DOM ou XmlHttpRequest (Ajax) também pode ser considerado um ataque de XSS.
A3: Furo de autenticação e gerencia de sessão
Autenticação falha ou mal concebida pode gerar roubo da sessão ou entregar de forma simples a identidade para uma autenticação válida.
Como mitigar:Tentar ao máximo utilizar frameworks usados e aprovados pelo mercado.
A4: Referencia insegura direta a objetoExposição de objetos (controle ou não) de implementação interna publicada no lado do cliente que pode ser explorada para manipulação maliciosa.
Cuidados ao implementar controles no lado do cliente. Toda validação de dados deve ocorrer no servidor.
Acontece no momento que a aplicação de forma proposital ou não "expõem" informações sobre a infraestrutura, configurações e etc, através de mensagens de erro.
A5: Vazamento de informações e tratamento de erros inapropriados