Treinamento AJAX Segurança

Slides:

Advertisements

Apresentações semelhantes

Segurança Renata Viegas.

Advertisements

Pontifícia Universidade Católica de Campinas

Segurança da Informação

SISTEMAS DE INFORMAÇÃO Sistemas de Bancos de Dados 2º Semestre – 2010 Pedro Antonio Galvão Junior Fone:

Segurança em Redes - Código Seguro

Maurício Edgar Stivanello

Desenvolvimento em Camadas

Integrantes: Danilo Huberto Felipe Dantas Jorge Brasil José Leonardo

Introdução à Engenharia da Computação

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

Linguagem PHP Prof.: Sergio Pacheco Prof.: Sergio Pacheco 1 1.

Material III-Bimestre Wagner Santos C. de Jesus

Emitindo seu Certificado Digital

Emitindo seu Certificado Digital

Segurança em Web 2.0 Paola Garcia Juarez

Introdução a JDBC Eduardo Martins Guerra Instituto Tecnológico de Aeronáutica Curso de Pós-Graduação em Engenharia de Software Programação Distribuída.

Desenvolvimento de Sistemas Seguros

Teste de Segurança em Aplicações Prontas

TSDD Teste de segurança durante o desenvolvimento.

Treinamento AJAX Waelson Negreiros Blog:

Correio Eletrônico (Outlook Express) Mestrando em Computação

Marcos Aurélio Rodrigues

Trabalho – 03/09/ FIM.

DESCRIÇÃO/OBJETIVOS O Controle de Acesso Nacional foi desenvolvido para suprir a necessidade de maior segurança e controle da informação administrada pelos.

Arquitetura e Linguagens

LP II Autenticação em ASP.NET

Segurança na Web SSL - Secure Socket Level TLS - Transport Layer Security SET – Secure Electronic Transaction.

Sistemas de Detecção de Intrusão

Segurança de Redes Wayne Palmeira.

Como fazer um SQL Injection Marco Ferreira Rui Cunha

Segurança em aplicações Web

(Linguagem de Consulta Estruturada)

Otimizando sua TI, maximizando seus negócios

ASP (Active Server Pages)

SEGURANÇA DE APLICAÇÕES NA WEB

Explorando vulnerabilidades em REST (Representational State Transfer)

Treinamento sobre SQL.

Conceitos Programas Programação Linguagens de Programação SQL.

Treinamento PHP Módulo 2 PHP Avançado Waelson Negreiros waelson.com.br “Está conosco o Senhor dos Exércitos”

Treinamento PHP Módulo 2 PHP Avançado Waelson Negreiros waelson.com.br “Está conosco o Senhor dos Exércitos”

Correção da Atividade Análise Orientada a Objetos Wolley W. Silva.

Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações.

A Linguagem PHP Instituto Vianna Júnior Desenvolvimento para Web Prof. Lúcia Helena de Magalhães 2008.

IIS Web Server.

Sistema de Identificação OpenID

Treinamento AJAX Waelson Negreiros Blog:

Sistemas de Informação (SI) para RH

WSJET são serviços que ficam disponíveis na Internet para os clientes autorizados pela Jet Tecnologia, ou seja, são Web Services. Os Web Services são.

Apache Autenticação por usuário e senha. Introdução O princípio da autenticação é simples. O cliente envia o seu login e sua senha para o servidor Apache.

Treinamento Fusion Fusion ECM Suite

SQL- Structured Query Language  SQL é uma linguagem de comandos para interagir com uma BD relacional (não é case-sensitive).  A linguagem Java permite.

Treinamento e entrega do projeto

Treinamento PHP Módulo 1 PHP Básico Waelson Negreiros waelson.com.br “Está conosco o Senhor dos Exércitos”

 Prof. Danilo Vilanova.  Perigos o Atividades ilícitas o Ataques o s falsos o Vírus o Dados Bancários o Fraudes o Roubo de informações pessoais.

VISÃO GERAL DA ÁREA DE SEGURANÇA DA INFORMAÇÃO  ESTÁ RELACIONADA COM A PROTEÇÃO DE UM CONJUNTO DE INFORMAÇÕES, NO SENTIDO DE PRESERVAR O VALOR QUE POSSUEM.

Tema 2: Técnicas de desenvolvimento seguro

Segurança no Desenvolvimento de Sistemas.

Privacidade <Nome> <Instituição> < >

Treinamento AJAX Waelson Negreiros Blog:

UCSal – Bacharelado em Informática

Linguagem de definição de dados - SQL

Hiperconectado e exigente: Entenda o novo perfil do usuário de internet Ricardo Zovaro | Diretor de Vendas LATAM, Exceda.

Acessando banco de dados com JAVA.  Linguagem independente de plataforma; ◦ “Write once, run anywhere” ◦ JVM  Java Virtual Machine  Mecanismo que permite.

Programação para Web I AULA 2 BANCO DE DADOS.

Banco de Dados -Aprendendo conceitos -Usando o SQL Conf para:

Segurança em Comércio Eletrônico Comércio tradicional realizado de maneira centralizada cercado de restrições legais Comércio eletrônico realização de.

Segurança Lógica e Física de Redes Gestão da Segurança da Informação Criptografia Proteção de Perímetro Anderson Aparecido Alves da Silva – Aula 12_2 1.

PHP + MYSQL. Mysql O MySQL é servidor de banco de dados multiusuário, multitarefa que trabalha com uma das linguagens de manipulação de dados mais popularizadas.

Transcrição da apresentação:

Treinamento AJAX Segurança Waelson Negreiros Email: waelson@gmail.com Blog: http://waelson.com.br

Agenda Segurança da Informações Entendendo as falhas Canais Seguros Injeção de SQL

Segurança da Informações Relacionado a proteção de um conjunto de dados; Informação é o maior ativo das empresas; Características básica: Confidencialidade Integridade Disponibilidade

Segurança da Informações Mecanismos de Segurança Controles físicos Limita o contato com a informações ou infraestrutura Controle Lógico Limita o acesso a informação

Segurança da Informações Mecanismos de Controle Lógico Criptografia Assinatura Digital Controle de Acesso: biometria, firewall e etc Honeypot Protocolos Seguros

Segurança da Informações Aplicações Web são frágeis; Razões: Desenvolvedores não capacitados; Requisitos não funcionais não identificados; Ferramentas não detectam todos os erros;

Segurança da Informações Principais falhas no desenvolvimento Cross-Site Scripting (XSS) Manipulação de dados ocultos Falha na restrição de acesso a URL Tratamento indevido de erros Dados valiosos não criptografados Canais inseguros; Injeção de comandos; Processo inadequado de cadastro de usuário

Entendendo as falhas Cross-Site Scripting (XSS) Permite executar scripts maliciosos no navegador

Entendendo as falhas Manipulação de dados ocultos A aplicação permite acesso indevido a dados ocultos.

Entendendo as falhas Falha na restrição de acesso a URL A aplicação permite acesso à módulos o qual o usuário não tem permissão de acesso. Ex: http://erp.minhaempresa/empregado http://erp.minhaempresa/administracao

Entendendo as falhas Tratamento indevido de erros Informações sensíveis são expostas quando acontece um erro com a aplicação. Ex: Aplicação não trata o erro adequadamente e exibe ao usuário o nome de uma tabela.

Entendendo as falhas Dados valiosos não criptografados Dados sensiveis ficam armazenados de forma não criptografada ou usa criptografia inadequada. Ex: Senhas e números de cartões não criptografados no banco de dados ou cookies. Desenvolvedor cria seu próprio mecanismo de criptografia.

Entendendo as falhas Canais inseguros A aplicação trafega dados sensíveis através de canais não-seguro Ex: Não uso do TLS em sistemas de e-commerce

Entendendo as falhas Injeção de comandos Atacante explora a injeção de comandos a serem processados por outro sistema ou camada. Ex: SQL Injection

Entendendo as falhas Processo inadequado de cadastro de usuário O cadastro de usuários da aplicação não segue recomendações de segurança. Ex: Uso de senha “123456”

Canais Seguros Diz respeito por onde os dados irão trafegar; TLS (predecessor SSL); Protocolo Criptográfico; Funcionamento: Cliente conhece o servidor e servidor conhece o cliente; Cada solicitação é autenticada; Dados trafegados são criptografados.

Canais Seguros Utilizados por grandes instituições Visa, Mastercard e American Express

Injeção SQL SQL Injeção SQL Linguagem textual para interagir com o banco de dados DDL e DML Injeção SQL Atacante inserir instruções SQL dentro de uma query através da entrada de dados.

Injeção SQL Validando o acesso do usuário SELECT * FROM usuario WHERE login=‘waelson’ AND senha=‘@wa3’ SELECT * FROM usuario WHERE login=‘waels’on’ AND senha=‘@wa3’