![Page 1: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/1.jpg)
CLEÓRBETE SANTOSCLEÓRBETE [email protected]@gmail.comwww.cleorbete.comwww.cleorbete.com
www.twitter.com/cleorbetewww.twitter.com/cleorbetewww.facebook.com/cleorbetewww.facebook.com/cleorbete
Entre em contato, terei prazer em trocar conhecimentos com você!Entre em contato, terei prazer em trocar conhecimentos com você!
![Page 2: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/2.jpg)
SEGURANÇA EM APLICAÇÕES WEB
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
![Page 3: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/3.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
SEGURANÇA EM APLICAÇÕES WEB
ESCOLHI A PÍLULA VERMELHA!
![Page 4: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/4.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Matrix- Alice no país das maravilhas- O mito da caverna- Jean Baudrillard- Interdisciplinaridade da ITSec
SEGURANÇA EM APLICAÇÕES WEB
Escolhi a pílula vermelha!
![Page 5: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/5.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Definição confusa- Década de 50 no MIT- Filme “Jogos de Guerra” (1983)- “Eles são crackers!” (1985)- White, Black, e Gray Hats- Elite Hackers- Hacktivistas- Ethical Hacker
SEGURANÇA EM APLICAÇÕES WEB
Hacker: “o que muda o que toca”
![Page 6: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/6.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- CEH – Certified Ethical Hacker- EC-Council (www.council.org)- Capacita o FBI, NSA, PF, etc- Exige curso p/ certificação- CHFI, além de outros- Mestrado em Segurança
SEGURANÇA EM APLICAÇÕES WEB
CEH
![Page 7: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/7.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
SEGURANÇA EM APLICAÇÕES WEB
THE “D” CEH MASTER
![Page 8: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/8.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- CompTIA (www.comptia.org)- Exige curso p/ certificação- Exige 2 anos de experiência- A página deles é feita em...- aspx
SEGURANÇA EM APLICAÇÕES WEB
SECURITY+
![Page 9: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/9.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Certified Information System Security Professional;
- (ISC)²- International Information Systems Security Certification Consortium
- www.isc2.org- Mínimo de 5 anos de experiência- Entre outros requisitos
SEGURANÇA EM APLICAÇÕES WEB
CISSP
![Page 10: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/10.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- www.clavis.com.br- www.strongsecurity.com.br
SEGURANÇA EM APLICAÇÕES WEB
TREINAMENTOS NO BRASIL
![Page 11: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/11.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Currículos- Editais de licitação- Shoulder surfing- Códigos em fóruns- Phishing- Spear Phishing- Caso CEZ...- Caso FORTES...
SEGURANÇA EM APLICAÇÕES WEB
ENGENHARIA SOCIAL
![Page 12: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/12.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
SEGURANÇA EM APLICAÇÕES WEB
CASO FORTES
![Page 13: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/13.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Open Web Application Security Project- www.owasp.org- Representação em vários países- OWASP Floripa Day 2012
SEGURANÇA EM APLICAÇÕES WEB
OWASP
![Page 14: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/14.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
1 Injection2 Cross-Site Scripting (XSS)3 Broken Authentication and Session Management
4 Insecure Direct Object References5 Cross-Site Request Forgery (CSRF)6 Security Misconfiguration7 Insecure Cryptographic Storage8 Failure to Restrict URL Access
SEGURANÇA EM APLICAÇÕES WEB
OWASP TOP 10
![Page 15: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/15.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
9 Insufficient Transport Layer Protection
10 Unvalidated Redirects and Forwards
SEGURANÇA EM APLICAÇÕES WEB
OWASP TOP 10 - continuação
![Page 16: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/16.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- http://code.google.com/p/dvwa/
SEGURANÇA EM APLICAÇÕES WEB
DVAW
![Page 17: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/17.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
1. Validar entrada (em todos os lugares)2. Habilitar alertas do compilador em nível máximo3. Modelar o sistema pensando na segurança4. Manter a simplicidade5. O padrão é negar6. Princípio do menor privilégio7. Sanitizar dados que sairão para outros sistemas8. Combinar práticas de defesa (como programação
segura & ambiente seguro)9. Validar a segurança (Pentest, Auditoria de código,
Etc)10. Adotar um padrão de código seguro (para a
linguagem utilizada)
SEGURANÇA EM APLICAÇÕES WEB
10 DICAS PARA SECURE DEV
![Page 18: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/18.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Segurança por Design- Segurança por Padrão- Segurança na Implantação- Segurança na Comunicação
SEGURANÇA EM APLICAÇÕES WEB
SDL – Security Development Lifecycle (princípios)
![Page 19: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/19.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- BSIMM – Maturity Model...- Políticas de Seg. da Corporação- Leis, Sarbanes-Oxley, HIPAA, etc- Normas ISO (27000, etc)- Outros (PCI DSS, ANSI-x9)
SEGURANÇA EM APLICAÇÕES WEB
ALÉM DISSO TUDO...
![Page 20: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/20.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Nessus- Nikto- w3af- Acunetix- Burp- OWASP ZAP - Zed Attack Proxy Project- Vega- Arachni- Core Impact*- Metasploit Pro*- Immunity Canvas*- HP Webinspect*
SEGURANÇA EM APLICAÇÕES WEB
FERRAMENTAS
![Page 21: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/21.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- The Secret of Hacking 4- Hacking Exposed - Web 2.0- Hacking Exposed - Web
Applications 3- 24 Deadly Sins of Software
Security- The Web Application Hackers
Handbook 2- SafeCode - Fundamentals Practices
for Secure Software Development
SEGURANÇA EM APLICAÇÕES WEB
LIVROS
![Page 22: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/22.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
- Defcon (www.defcon.org)- SegInfo (www.seginfo.com.br)- ICCYBER (www.iccyber.org)
SEGURANÇA EM APLICAÇÕES WEB
ENCONTROS
![Page 23: Segurança em aplicações Web, por Cleórbete Santos](https://reader035.vdocuments.net/reader035/viewer/2022062319/556441d7d8b42ad3308b5686/html5/thumbnails/23.jpg)
Cleórbete Santos - Cleórbete Santos - www.cleorbete.comwww.cleorbete.comFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortesFORTES – Fórum de Tecnologias e Engenharia de Software do Tocantins – www.tre-to.jus.br/fortes
SEGURANÇA EM APLICAÇÕES WEB
OBRIGADO...