A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações.

PublicouGabriel Marcos Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações."— Transcrição da apresentação:

1 Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

2 Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Melhores práticas de programação Principais ataques utilizados para exploração de vulnerabilidades. Técnicas utilizadas nos ataques Práticas comuns relacionadas com o desenvolvimento seguro de aplicações.

3 Técnicas de Ataques Mais Comuns em Aplicações Buffer Overflow Para garantir que uma aplicação não fique vulnerável a ataques de buffer overflow, deve-se programá-la tomando os seguintes cuidados: Testes do tamanho dos blocos a serem importados em variáveis ou funções Verificar funções de bibliotecas prontas  Se a biblioteca implementa os testes Pode apenas parar um servidor ou aplicação ou pode rodar códigos arbitrários Data Tampering Os principais motivos que fazem com que se obtenha sucesso na execução deste tipo de ataque são: Negar a inserção de símbolos que terão valores especiais e não aceitar que estes caracteres sejam enviados nas aplicações como caracteres normais. “quotação” das informações textuais Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

4 Técnicas de Ataques Mais Comuns em Aplicações Script Injection Os principais erros no desenvolvimento são: Não eliminação de tags HTML e comandos de script dos campos que serão retornados para o browser do cliente. Não implementação da “quotação” do conteúdo de um determinado campo antes da exibição daquele valor. SQL Injection Tratativa dos caracteres aceitos nos campos “quotação” dos valores recebidos Race Condition Não é um ataque trivial requerer um conhecimento bem mais aprofundado de estrutura do sistema operacional pelo atacante, porém, caso o atacante consiga fazer com que aconteça uma “race condition” no sistema operacional e que o código ou arquivo que vai ser executado possua o nível de execução elevado, o resultado poderá ser bastante desastroso no sistema operacional. Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações

5 Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Principais Motivos do Sucesso dos Ataques Vulnerabilidade do software Falhas da administração da equipe de desenvolvimento Falta de comunicação no concepção do projeto Ambiente de produção inseguro Ferramentas inadequadas para o processo de desenvolvimento Não atender as premissas de segurança

6 Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Cuidados Adicionais no Desenvolvimento Seguro de Aplicações Validar campos, variáveis e funções. Validar dados esperados, recusar o que não é esperado. Usuários com permissões necessárias. Teste com software que possui assinaturas Criptografia Utilização de recursos do Sistema Operacional

7 Melhores práticas de programação Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações Conclusão Segurança Desenvolvimento seguro Normatização Padrão no processo de desenvolvimento Requisitos

Carregar ppt "Especialização em Segurança da Informação MELHORES PRÁTICAS DE PROGRAMAÇÃO Carlos/Cleofas/Rafael/StéphanasSegurança em Aplicações."

Apresentações semelhantes

(Buffer Overflow…) Tópicos de Engenharia de Computação B

(Buffer Overflow…) Tópicos de Engenharia de Computação B
INTRODUÇÃO À COMPUTAÇÃO Sistemas Operacionais

INTRODUÇÃO À COMPUTAÇÃO Sistemas Operacionais
Metodologia de testes Nome: Gustavo G. Quintão

Metodologia de testes Nome: Gustavo G. Quintão
Adélia Barros (adelia_nassau@yahoo.com.br) Testes de Software Adélia Barros (adelia_nassau@yahoo.com.br)

Adélia Barros Testes de Software Adélia Barros
Nome da Apresentação Clique para adicionar um subtítulo.

Nome da Apresentação Clique para adicionar um subtítulo.
Agentes Inteligentes e Sistemas Cooperativos

Agentes Inteligentes e Sistemas Cooperativos
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
Pontifícia Universidade Católica de Campinas

Pontifícia Universidade Católica de Campinas
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Entrada e Saída Introdução.

Entrada e Saída Introdução.
Débora da Silva Orientadora: Maria Inés Castiñeira

Débora da Silva Orientadora: Maria Inés Castiñeira
Teste de Software.

Teste de Software.
Segurança da Informação

Segurança da Informação
Profa. Priscila Facciolli

Profa. Priscila Facciolli
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
Tópicos Motivação para teste Por que algumas empresas não testam

Tópicos Motivação para teste Por que algumas empresas não testam
Uma Ferramenta Baseada em MDA para a Especialização de Mecanismos de Persistência Fabio Seixas Marques Seminário LES – 28 de outubro.

Uma Ferramenta Baseada em MDA para a Especialização de Mecanismos de Persistência Fabio Seixas Marques Seminário LES – 28 de outubro.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Applets Carlos Bazilio Depto de Ciência e Tecnologia

Applets Carlos Bazilio Depto de Ciência e Tecnologia
Modelos Fundamentais -> Segurança

Modelos Fundamentais -> Segurança

Apresentações semelhantes

Anúncios Google