A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança em Aplicações 5. Melhores Práticas de Programação

PublicouCaio Carda Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança em Aplicações 5. Melhores Práticas de Programação"— Transcrição da apresentação:

1 Segurança em Aplicações 5. Melhores Práticas de Programação
Márcio Aurélio Ribeiro Moreira Pós-SI – 4ª Turma – 2008

2 Princípios das funções seguras
Protótipo: função nome (parâmetros) retorno Documente as funções Use parâmetros e o retorno fortemente tipados Teste os parâmetros recebidos (evita SQL/code injection) Use funções seguras (strncpy ao invés de strcpy) Crie funções seguras (evita buffer overflow) Use componentes e bibliotecas confiáveis Teste o retorno das funções entradas Função saídas Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 2

3 Unidade 5 – Melhores Práticas de Programação – Slide 3
Princípios gerais Tenha política de versões consistentes O recurso afetado existe desde a versão? Use componentes e bibliotecas confiáveis Evite arquivos temporários Se necessário use nomes fixos (arq_userid.tmp) com privilégios fixos Não armazene senhas e chaves no código if (senha = then ... privkey = “ ” Use ambientes (dev, tst, hml e prd) seguros Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 3

4 Princípios de programação segura
Controle as condições de corrida Teste antes, bloqueie, use e libere Use semáforos ou outros mecanismos do SO Minimização de privilégios Use somente os privilégios necessários Use várias camadas de segurança Autenticação para acesso (credencial do usuário) Autenticação estendida em pontos críticos da aplicação (credenciais do supervisor ou usuário) Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 4

5 Princípios de programação segura
Validação das entradas (evita injection) Assuma que todas as entradas são vulneráveis Procure valores válidos e rejeite o restante Teste as entradas no client Teste as entradas novamente na apresentação Teste: Tipo dos dados Tamanho dos dados Faixa de valores válidos Formato dos valores válidos Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 5

6 Princípios de programação segura
Application.dll Limite a área de exposição Crie interfaces somente quando necessário Ofereça somente os serviços necessários Use verificadores de código Ferramentas de análise estática de código Buscam vulnerabilidades conhecidas no código Trate as exceções É altamente recomendável tratar exceções As exceções de chamadas ao SO são imperativas Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 6

7 Recomendações para Java (e .net)
Defina atributos da classe como private Defina métodos de acesso como protected Declare métodos internos como private Defina políticas de acesso a applets Typical Use Source code Compiler Developer Class files Libraries User Virtual Machine Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 7

8 Recomendações para Java (e .net)
Use herança com cuidado Você pode herdar vulnerabilidades Declare as classes como: final (evita reuso), uncloneable (evita instância sem o construtor) e unserializable (evita acesso serial indireto) Se precisar assinar o código use um arquivo Evita o uso indevido de arquivos assinados Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 8

9 Evite ou não use em Java (e .net)
Evite blocos privilegiados (privileged blocks) Padrão: if (obj.getClass().getName().equals("Admin")) { // executa aqui a operação privilegiada } Se for necessário, use: if (obj.getClass() == this.getClassLoader().loadClass("Admin")) { Evite atributos estáticos (static) Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 9

10 Evite ou não use em Java (e .net)
Não use o mecanismo package para controle de acesso (eles normalmente são abertos) Não use string para armazenar senhas Use vetor de char e limpe o conteúdo após o uso Isto reduz a eficácia do memory dump Não use classes aninhadas (elas tornam-se acessíveis a todo o pacote) Não compare o nome de classes (isto revela informações que um espião não deve saber) Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 10

11 Unidade 5 – Melhores Práticas de Programação – Slide 11
Materiais adicionais Writing Secure Code – Best Practices Secure Programming – Java - SAP Programación Segura Strategies for Securing Java Technology Code Java & Secure Programming (Bad Examples found in JDK) Catálogo de Práticas de Programação Segura em Java Mechanisms for Secure Modular Programming in Java Security Code Guidelines - Sun Márcio Moreira Unidade 5 – Melhores Práticas de Programação – Slide 11

Carregar ppt "Segurança em Aplicações 5. Melhores Práticas de Programação"

Apresentações semelhantes

Curso de aprofundamento na linguagem C

Curso de aprofundamento na linguagem C
ABSTRAÇÃO processo de representar um grupo de entidades através de seus atributos comuns feita a abstração, cada entidade particular (instância) do grupo.

ABSTRAÇÃO processo de representar um grupo de entidades através de seus atributos comuns feita a abstração, cada entidade particular (instância) do grupo.
Programação em Java Prof. Maurício Braga

Programação em Java Prof. Maurício Braga
Paulo Marques Hernâni Pedroso

Paulo Marques Hernâni Pedroso
Java Básico Orientação a Objeto Marco Antonio Software Architect Fev/2008.

Java Básico Orientação a Objeto Marco Antonio Software Architect Fev/2008.
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
De 17 1 Linguagens de Programação Orientadas a Objetos Pós-Gradução(Lato-Sensu) em Sistemas de Banco de Dados - UFPa Marco Fagundes Aula.

De 17 1 Linguagens de Programação Orientadas a Objetos Pós-Gradução(Lato-Sensu) em Sistemas de Banco de Dados - UFPa Marco Fagundes Aula.
Iniciação ao Java – Márcio F. Campos

Iniciação ao Java – Márcio F. Campos
Anatomia de uma classe Nome:

Anatomia de uma classe Nome:
Políticas Curso de aprofundamento em linguagem C.

Políticas Curso de aprofundamento em linguagem C.
Alexandre Parra E-mail: parrasilva@gmail.com Site: www.udesc.br Linguagem Java Alexandre Parra E-mail: parrasilva@gmail.com Site: www.udesc.br.

Alexandre Parra Site: Linguagem Java Alexandre Parra Site:
Capítulo 13 Pacotes. 2 Capítulo 13 – Pacotes Pacotes Pacote Cláusula package Cláusula import Executando uma classe de pacote Modificadores de acesso.

Capítulo 13 Pacotes. 2 Capítulo 13 – Pacotes Pacotes Pacote Cláusula package Cláusula import Executando uma classe de pacote Modificadores de acesso.
Centro Integrado de Tecnologia da Informação

Centro Integrado de Tecnologia da Informação
Documentando con Javadoc

Documentando con Javadoc
Introdução a JDBC Eduardo Martins Guerra Instituto Tecnológico de Aeronáutica Curso de Pós-Graduação em Engenharia de Software Programação Distribuída.

Introdução a JDBC Eduardo Martins Guerra Instituto Tecnológico de Aeronáutica Curso de Pós-Graduação em Engenharia de Software Programação Distribuída.
A linguagem C#.

A linguagem C#.
Classes & Objectos em JAVA5

Classes & Objectos em JAVA5
Segurança em Aplicações 3. Principais Ataques às Aplicações

Segurança em Aplicações 3. Principais Ataques às Aplicações
Segurança em Aplicações 1. Introdução

Segurança em Aplicações 1. Introdução
Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.

Clique para editar o estilo do subtítulo mestre Desenvolvimento web com Java JAVA 5 – Declarações e Controles de Acesso.

Apresentações semelhantes

Anúncios Google