Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações.

Slides:



Advertisements
Apresentações semelhantes
(Buffer Overflow…) Tópicos de Engenharia de Computação B
Advertisements

INTRODUÇÃO À COMPUTAÇÃO Sistemas Operacionais
Metodologia de testes Nome: Gustavo G. Quintão
Adélia Barros Testes de Software Adélia Barros
Nome da Apresentação Clique para adicionar um subtítulo.
Agentes Inteligentes e Sistemas Cooperativos
ISO Processos do Ciclo de Vida do Software
Pontifícia Universidade Católica de Campinas
Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Entrada e Saída Introdução.
Débora da Silva Orientadora: Maria Inés Castiñeira
Teste de Software.
Segurança da Informação
Profa. Priscila Facciolli
Segurança em Redes - Código Seguro
Tópicos Motivação para teste Por que algumas empresas não testam
Uma Ferramenta Baseada em MDA para a Especialização de Mecanismos de Persistência Fabio Seixas Marques Seminário LES – 28 de outubro.
Mecanismo de Proteção (Prevenção e Detecção)
Applets Carlos Bazilio Depto de Ciência e Tecnologia
Modelos Fundamentais -> Segurança
Segurança em Web 2.0 Paola Garcia Juarez
Sistemas Operacionais de Rede
Teste de Segurança em Aplicações Prontas
TSDD Teste de segurança durante o desenvolvimento.
Segurança em Aplicações 5. Melhores Práticas de Programação
Faculdade Pitágoras Prof. Fabrício Lana
Tecnologias para Internet
Trabalho – 03/09/ FIM.
Cuide da informação, ela é o bem mais precioso de sua empresa.
Especialização em Segurança da Informação Segurança em Aplicações 5. Melhores Práticas de Programação Márcio Aurélio Ribeiro Moreira
Testes de Penetração – Pen Tests
Selenium Componentes: Fábio Gomes Claver Pari Eni Conde
Treinamento AJAX Segurança
Test Driven Development por Johann Gomes e Thaís Moura.
Análise e Projeto de Sistemas
ASP (Active Server Pages)
Modelos de Processo de Software
Prof. Alexandre Monteiro Recife
Professor: Márcio Amador
Engenharia de Software
Processos.
O que é? É o processo de investigação técnica com intuito de identificar a qualidade, a segurança e a exatidão do software desenvolvido. A validação do.
Gestão de defeitos.
PROGRAMAÇÃO WEB AULA 01 Prof. Gustavo Linhares
Teste de Software. Sumário Introdução a Teste de Software; Verificação x Validação; Processo de Teste de Software; Suíte de Teste.
Automação de Testes de Software
Sistema de Gestão de Segurança da Informação
PROCESSO DE DESENVOLVIMENTO DE SOFTWARE AULA 5
Criptografia Assimétrica e Autenticação de Mensagens
Academia de Ensino Superior - Prof. André Morais Desenvolvimento de Aplicações Web na plataforma Microsoft Programando eventos.
Tema 2: Técnicas de desenvolvimento seguro
Implementação Distribuída Escalonamento de Tempo-Real Prof. Dr. Norian Marranghello Grupo 8 Daniela Gonçalves Strozi – Sayuri Watanabe
Objetivos do Capítulo Identificar diversos problemas éticos causados pelo uso das tecnologias de informação em e-business, tais como os relacionados ao.
HTML - HyperText Markup Language Professora: Fabrícia F. de Souza.
Segurança no Desenvolvimento de Sistemas.
Trabalho Teórico Sistemas Distribuídos e Tolerância a Falhas
AMAZON WEB SERVICES AULA DEMONSTRATIVA. AMAZON WEB SERVICES Começou a atuar no ramo de computação em nuvem em Provê serviços de infraestrutura de.
Sistemas Operacionais IV – Gerenciamento de E/S
Análise de vulnerabilidades
Duvidas. Andamento de programação  Finalizado adm de áreas e conteúdos  Finalizado cadastro de operadores e administradores  Finalizado cadastro de.
Programação para Web I AULA 2 BANCO DE DADOS.
Gerenciamento de Escopo
1 Projeto Piloto Conclusão em Agenda Projeto Piloto –Descrição –Execução da aplicação –Implementação de requisitos funcionais e não- funcionais.
Prevenção Software de detecção de intrusos – detectam NOP Proteção de pilha – detecta os ataques mais comuns Randomização do endereço de espaço (muitos.
GUTS-RS TESTES EM PROJETO DE IMPLANTAÇÃO ERP.
UNIVERSIDADE CATÓLICA DE PELOTAS CENTRO POLITÉCNICO CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores Ferramenta NTop (Network Traffic Probe) Explorador.
TESTES DE SOFTWARE – AULA 1 Prof. Me. Ronnison Reges Vidal
Sistemas Operacionais de Redes Windows - Planejamento IGOR ALVES.
Especialização em Segurança da Informação Segurança em Aplicações 1. Introdução Márcio Aurélio Ribeiro Moreira
Tarefa Autor: Skyup Informática. Atividade – Tarefa O módulo atividade tarefa tem como principio básico a interação professor-aluno. Os alunos podem apresentar.
Transcrição da apresentação:

Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Melhores práticas de programação Principais ataques utilizados para exploração de vulnerabilidades. Técnicas utilizadas nos ataques Práticas comuns relacionadas com o desenvolvimento seguro de aplicações.

Técnicas de Ataques Mais Comuns em Aplicações Buffer Overflow Para garantir que uma aplicação não fique vulnerável a ataques de buffer overflow, deve-se programá-la tomando os seguintes cuidados: Testes do tamanho dos blocos a serem importados em variáveis ou funções Verificar funções de bibliotecas prontas  Se a biblioteca implementa os testes Pode apenas parar um servidor ou aplicação ou pode rodar códigos arbitrários Data Tampering Os principais motivos que fazem com que se obtenha sucesso na execução deste tipo de ataque são: Negar a inserção de símbolos que terão valores especiais e não aceitar que estes caracteres sejam enviados nas aplicações como caracteres normais. “quotação” das informações textuais Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

Técnicas de Ataques Mais Comuns em Aplicações Script Injection Os principais erros no desenvolvimento são: Não eliminação de tags HTML e comandos de script dos campos que serão retornados para o browser do cliente. Não implementação da “quotação” do conteúdo de um determinado campo antes da exibição daquele valor. SQL Injection Tratativa dos caracteres aceitos nos campos “quotação” dos valores recebidos Race Condition Não é um ataque trivial requerer um conhecimento bem mais aprofundado de estrutura do sistema operacional pelo atacante, porém, caso o atacante consiga fazer com que aconteça uma “race condition” no sistema operacional e que o código ou arquivo que vai ser executado possua o nível de execução elevado, o resultado poderá ser bastante desastroso no sistema operacional. Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Principais Motivos do Sucesso dos Ataques Vulnerabilidade do software Falhas da administração da equipe de desenvolvimento Falta de comunicação no concepção do projeto Ambiente de produção inseguro Ferramentas inadequadas para o processo de desenvolvimento Não atender as premissas de segurança

Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Cuidados Adicionais no Desenvolvimento Seguro de Aplicações Validar campos, variáveis e funções. Validar dados esperados, recusar o que não é esperado. Usuários com permissões necessárias. Teste com software que possui assinaturas Criptografia Utilização de recursos do Sistema Operacional

Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Conclusão Segurança Desenvolvimento seguro Normatização Padrão no processo de desenvolvimento Requisitos

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.