A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Especialização em Segurança da Informação Segurança em Aplicações 5. Melhores Práticas de Programação Márcio Aurélio Ribeiro Moreira

PublicouLarissa Eanes Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Especialização em Segurança da Informação Segurança em Aplicações 5. Melhores Práticas de Programação Márcio Aurélio Ribeiro Moreira"— Transcrição da apresentação:

1 Especialização em Segurança da Informação Segurança em Aplicações 5. Melhores Práticas de Programação Márcio Aurélio Ribeiro Moreira marcio.moreira@pitagoras.com.br http://si.lopesgazzani.br/docentes/marcio/

2 Márcio Moreira5. Melhores Práticas de Programação – slide 2Segurança em Aplicações Princípios das funções seguras Princípios: Documente as funções Use parâmetros e o retorno fortemente tipados Teste os parâmetros recebidos (evita SQL/code injection) Use funções seguras (strncpy ao invés de strcpy) Crie funções seguras (evita buffer overflow) Teste o retorno das funções Função: // comentários Função nome (parâmetros) retorno Teste de parâmetros Codificação segura Retorno Chamador: Ret. = função(valores) Teste do retorno entradas saídas Função

3 Márcio Moreira5. Melhores Práticas de Programação – slide 3Segurança em Aplicações Princípios gerais Tenha política de versões consistentes O recurso afetado existe desde a versão? Use componentes e bibliotecas confiáveis Evite arquivos temporários Se necessário use nomes fixos (arq_userid.tmp) com privilégios fixos Não armazene senhas e chaves no código if (senha = @b0b4*) then... privkey = 88419787349802 Use ambientes (dev, tst, hml e prd) seguros

4 Márcio Moreira5. Melhores Práticas de Programação – slide 4Segurança em Aplicações Princípios de programação segura Controle as condições de corrida Teste antes, bloqueie, use e libere Use semáforos ou outros mecanismos do SO Minimização de privilégios Use somente os privilégios necessários Use várias camadas de segurança Autenticação para acesso (credencial do usuário) Autenticação estendida em pontos críticos da aplicação (credenciais do supervisor ou usuário)

5 Márcio Moreira5. Melhores Práticas de Programação – slide 5Segurança em Aplicações Princípios de programação segura Validação das entradas (evita injection) Assuma que todas as entradas são vulneráveis Procure valores válidos e rejeite o restante Teste as entradas no client Teste as entradas novamente na apresentação Teste: Tipo dos dados Tamanho dos dados Faixa de valores válidos Formato dos valores válidos

6 Márcio Moreira5. Melhores Práticas de Programação – slide 6Segurança em Aplicações Princípios de programação segura Limite a área de exposição Crie interfaces somente quando necessário Ofereça somente os serviços necessários Use verificadores de código Ferramentas de análise estática de código Buscam vulnerabilidades conhecidas no código Trate as exceções É altamente recomendável tratar exceções As exceções de chamadas ao SO são imperativas Application.dll

7 Márcio Moreira5. Melhores Práticas de Programação – slide 7Segurança em Aplicações Recomendações para Java (e.net) Defina atributos da classe como private Defina métodos de acesso como protected Declare métodos internos como private Defina políticas de acesso a applets Compiler Source code Class files Virtual Machine Libraries User Developer

8 Márcio Moreira5. Melhores Práticas de Programação – slide 8Segurança em Aplicações Recomendações para Java (e.net) Use herança com cuidado Você pode herdar vulnerabilidades Declare as classes como: final (evita reuso), uncloneable (evita instância sem o construtor) e unserializable (evita acesso serial indireto) Se precisar assinar o código use um arquivo Evita o uso indevido de arquivos assinados

9 Márcio Moreira5. Melhores Práticas de Programação – slide 9Segurança em Aplicações Evite ou não use em Java (e.net) Evite blocos privilegiados (privileged blocks) Padrão: if (obj.getClass().getName().equals("Admin")) { // executa aqui a operação privilegiada } Se for necessário, use: if (obj.getClass() == this.getClassLoader().loadClass("Admin")) { // executa aqui a operação privilegiada } Evite atributos estáticos (static)

10 Márcio Moreira5. Melhores Práticas de Programação – slide 10Segurança em Aplicações Evite ou não use em Java (e.net) Não use o mecanismo package para controle de acesso (eles normalmente são abertos) Não use string para armazenar senhas Use vetor de char e limpe o conteúdo após o uso Isto reduz a eficácia do memory dump Não use classes aninhadas (elas tornam-se acessíveis a todo o pacote) Não compare o nome de classes (isto revela informações que um espião não deve saber)

11 Márcio Moreira5. Melhores Práticas de Programação – slide 11Segurança em Aplicações Materiais adicionais Writing Secure Code – Best Practices Secure Programming – Java - SAP Programación Segura Strategies for Securing Java Technology Code Java & Secure Programming (Bad Examples found in JDK) Java & Secure Programming (Bad Examples found in JDK) Catálogo de Práticas de Programação Segura em Java Mechanisms for Secure Modular Programming in Java Security Code Guidelines - Sun

Carregar ppt "Especialização em Segurança da Informação Segurança em Aplicações 5. Melhores Práticas de Programação Márcio Aurélio Ribeiro Moreira"

Apresentações semelhantes

Curso de aprofundamento na linguagem C

Curso de aprofundamento na linguagem C
ABSTRAÇÃO processo de representar um grupo de entidades através de seus atributos comuns feita a abstração, cada entidade particular (instância) do grupo.

ABSTRAÇÃO processo de representar um grupo de entidades através de seus atributos comuns feita a abstração, cada entidade particular (instância) do grupo.
Programação em Java Prof. Maurício Braga

Programação em Java Prof. Maurício Braga
Paulo Marques Hernâni Pedroso

Paulo Marques Hernâni Pedroso
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Iniciação ao Java – Márcio F. Campos

Iniciação ao Java – Márcio F. Campos
Polimorfismo e Acoplamento Dinâmico

Polimorfismo e Acoplamento Dinâmico
Listas lineares Listas Lineares Fila Dupla Pilha Fila Saída restrita

Listas lineares Listas Lineares Fila Dupla Pilha Fila Saída restrita
Políticas Curso de aprofundamento em linguagem C.

Políticas Curso de aprofundamento em linguagem C.
Alexandre Parra E-mail: parrasilva@gmail.com Site: www.udesc.br Linguagem Java Alexandre Parra E-mail: parrasilva@gmail.com Site: www.udesc.br.

Alexandre Parra Site: Linguagem Java Alexandre Parra Site:
Capítulo 13 Pacotes. 2 Capítulo 13 – Pacotes Pacotes Pacote Cláusula package Cláusula import Executando uma classe de pacote Modificadores de acesso.

Capítulo 13 Pacotes. 2 Capítulo 13 – Pacotes Pacotes Pacote Cláusula package Cláusula import Executando uma classe de pacote Modificadores de acesso.
Centro Integrado de Tecnologia da Informação

Centro Integrado de Tecnologia da Informação
Documentando con Javadoc

Documentando con Javadoc
A linguagem C#.

A linguagem C#.
Classes & Objectos em JAVA5

Classes & Objectos em JAVA5
Segurança em Aplicações 5. Melhores Práticas de Programação

Segurança em Aplicações 5. Melhores Práticas de Programação
Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.

Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.
Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.

Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.
Herança e Polimorfismo

Herança e Polimorfismo
Classes e objetos P. O. O. Prof. Grace.

Classes e objetos P. O. O. Prof. Grace.

Apresentações semelhantes

Anúncios Google