html5 seguro ou inseguro?

22
HTML5 Seguro ou Inseguro? Wagner Elias Gerente de Pesquisa e Desenvolvimento sexta-feira, 3 de dezembro de 2010

Upload: conviso-application-security

Post on 17-Jul-2015

865 views

Category:

Technology


1 download

TRANSCRIPT

Page 1: HTML5 Seguro ou Inseguro?

HTML5 Seguro ou Inseguro?

Wagner EliasGerente de Pesquisa e Desenvolvimento

sexta-feira, 3 de dezembro de 2010

Page 2: HTML5 Seguro ou Inseguro?

Agenda

• HTML5

• O que é?

• Quem usa?

• Alguns Recursos

• localStorage

• Websocket

• Ele pode ser um big brother

• Navigator

• Geolocation

• Uma nova e eficaz abordagem para Botnets

• Geolocation

• WebSocket

• LocalStorage

• Explorando

• Client-Side SQLi

• Stored XSS

• Conclusão

2CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 3: HTML5 Seguro ou Inseguro?

HTML53CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 4: HTML5 Seguro ou Inseguro?

O que é?

4CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Morra Flash

Video

Offline Web App

Canvas

Geolocation

sexta-feira, 3 de dezembro de 2010

Page 5: HTML5 Seguro ou Inseguro?

Quem usa?

5CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 6: HTML5 Seguro ou Inseguro?

Alguns Recursos6CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 7: HTML5 Seguro ou Inseguro?

localStorage

7CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

5Mb(No browser)

sexta-feira, 3 de dezembro de 2010

Page 8: HTML5 Seguro ou Inseguro?

Websockets

8CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 9: HTML5 Seguro ou Inseguro?

Ele pode ser um Big Brother9CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 10: HTML5 Seguro ou Inseguro?

Navigator

10CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Você está online?

Qual o seu sistema

Operacional?

Qual o seu histórico de navegação?

sexta-feira, 3 de dezembro de 2010

Page 11: HTML5 Seguro ou Inseguro?

Geolocation

11CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 12: HTML5 Seguro ou Inseguro?

Uma nova e eficaz abordagem para Botnets

12CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 13: HTML5 Seguro ou Inseguro?

Abordagem segmentada por região com Geolocation

13CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 14: HTML5 Seguro ou Inseguro?

Usando Websocket pode se ter uma comunicação entre os nós da Botnet rápida e menos barulhenta

14CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 15: HTML5 Seguro ou Inseguro?

LocalStorage e/ou Web Database permite armazenar código e estende os ataques a dispositivos móveis (Um foco do HTML5)

15CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 16: HTML5 Seguro ou Inseguro?

Client-Side Exploit16CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 17: HTML5 Seguro ou Inseguro?

Client-Side SQLi

17 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY

* PoC baseado no apresentado no AndLabs: http://www.andlabs.org/html5/csSQLi.html

sexta-feira, 3 de dezembro de 2010

Page 18: HTML5 Seguro ou Inseguro?

Stored XSS

18 HTML5 SEGURO OU INSEGURO?CONVISO IT SECURITY

sexta-feira, 3 de dezembro de 2010

Page 19: HTML5 Seguro ou Inseguro?

Conclusão19CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 20: HTML5 Seguro ou Inseguro?

Conclusão

• Um avanço para aplicações web, mas ainda é cedo para adotá-lo. O próprio w3c pediu cautela

• Um novo desafio para ferramentas e profissionais que testam aplicações web

• Alguns recursos serão alvo de ataques e ações criminosas

20CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 21: HTML5 Seguro ou Inseguro?

Referências

• http://HTML5Rocks.com

• http://html5demos.com/

• http://websockets.org/

• http://dev.w3.org/html5/websockets/

21CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

sexta-feira, 3 de dezembro de 2010

Page 22: HTML5 Seguro ou Inseguro?

• Blog: http://wagnerelias.com

• E-mail: [email protected]

• Twitter: @welias

22CONVISO IT SECURITY HTML5 SEGURO OU INSEGURO?

Obrigado...

sexta-feira, 3 de dezembro de 2010