A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Treinamento AJAX Segurança Waelson Negreiros Blog:

Apresentações semelhantes


Apresentação em tema: "Treinamento AJAX Segurança Waelson Negreiros Blog:"— Transcrição da apresentação:

1 Treinamento AJAX Segurança Waelson Negreiros Blog:

2 Agenda Segurança da Informações Entendendo as falhas Canais Seguros Injeção de SQL

3 Segurançada Informações Relacionado a proteção de um conjunto de dados; Informação é o maior ativo das empresas; Características básica: Confidencialidade Integridade Disponibilidade

4 Segurançada Informações Mecanismos de Segurança Controles físicos Limita o contato com a informações ou infraestrutura Controle Lógico Limita o acesso a informação

5 Segurançada Informações Mecanismos de Controle Lógico Criptografia Assinatura Digital Controle de Acesso: biometria, firewall e etc Honeypot Protocolos Seguros

6 Segurançada Informações Aplicações Web são frágeis; Razões: Desenvolvedores não capacitados; Requisitos não funcionais não identificados; Ferramentas não detectam todos os erros;

7 Segurançada Informações Principais falhas no desenvolvimento Cross-Site Scripting (XSS) Manipulação de dados ocultos Falha na restrição de acesso a URL Tratamento indevido de erros Dados valiosos não criptografados Canais inseguros; Injeção de comandos; Processo inadequado de cadastro de usuário

8 Entendendo as falhas Cross-Site Scripting (XSS) Permite executar scripts maliciosos no navegador

9 Entendendo as falhas Manipulação de dados ocultos A aplicação permite acesso indevido a dados ocultos.

10 Entendendo as falhas Falha na restrição de acesso a URL A aplicação permite acesso à módulos o qual o usuário não tem permissão de acesso. Ex:

11 Entendendo as falhas Tratamento indevido de erros Informações sensíveis são expostas quando acontece um erro com a aplicação. Ex: Aplicação não trata o erro adequadamente e exibe ao usuário o nome de uma tabela.

12 Entendendo as falhas Dados valiosos não criptografados Dados sensiveis ficam armazenados de forma não criptografada ou usa criptografia inadequada. Ex: Senhas e números de cartões não criptografados no banco de dados ou cookies. Desenvolvedor cria seu próprio mecanismo de criptografia.

13 Entendendo as falhas Canais inseguros A aplicação trafega dados sensíveis através de canais não-seguro Ex: Não uso do TLS em sistemas de e-commerce

14 Entendendo as falhas Injeção de comandos Atacante explora a injeção de comandos a serem processados por outro sistema ou camada. Ex: SQL Injection

15 Entendendo as falhas Processo inadequado de cadastro de usuário O cadastro de usuários da aplicação não segue recomendações de segurança. Ex: Uso de senha “123456”

16 Canais Seguros Diz respeito por onde os dados irão trafegar; TLS (predecessor SSL); Protocolo Criptográfico; Funcionamento: Cliente conhece o servidor e servidor conhece o cliente; Cada solicitação é autenticada; Dados trafegados são criptografados.

17 Canais Seguros Utilizados por grandes instituições Visa, Mastercard e American Express

18 Injeção SQL SQL Linguagem textual para interagir com o banco de dados DDL e DML Injeção SQL Atacante inserir instruções SQL dentro de uma query através da entrada de dados.

19 Injeção SQL Validando o acesso do usuário SELECT * FROM usuario WHERE login=‘waelson’ AND SELECT * FROM usuario WHERE login=‘waels’on’ AND


Carregar ppt "Treinamento AJAX Segurança Waelson Negreiros Blog:"

Apresentações semelhantes


Anúncios Google