Web hackingDesenvolva na defesa,

jogando no ataque

20 anos de Java - 20/06/2015

Eu sou@ThiagoDieb

Gerente de DesenvolvimentoProgramador por vocação

Fanático por processosCurioso por Segurança

1O que esperar ?

“

Conceito de segurança não se restringe a uma linguagem ou tecnologia.

Fonte: CBS News - https://cbsnews.com

2Cenário de risco

Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov

Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov

3Reflexão

O que aconteceu ?

O que aconteceu ?

● Não houve estudo prévio sobre o ADVERSÁRIO

O que aconteceu ?

● Não houve estudo préviso sobre o ADVERSÁRIO

● Esqueceram da ESTRATÉGIA de jogo

“Aprenda a se defender

conhecendo seu ADVERSÁRIO

“Seremos sempre surpreendidos se …

4Vulnerabilidades

SQL Injection

LFD / LFIXSS

XSS - Cross-site scriptingVulnerabilidade que permite a inclusão de código malicioso, podendo ser persistente ou não.

LFD - Local File Download / DisclosureNormalmente utilizada para visualizar ou baixararquivos confidenciais do sistema.

SQL InjectionFalha em sistemas com banco de dados, permitindo a insersão de instruções maliciosas de SQL dentro de uma consulta (query).

5Proteção

Tudo deve ser pra ontem

!

● Redes● Serviços● Aplicações● Dispositivos● Seres Humanos

“

Desenvolvimento SEGURO de software

● Segurança por Padrão● Menor Privilégio● Controle de Acesso● Validação de Dados● Garantia de Integridade● Trilhas de Auditoria

Microsoft SDL OpenSAMMOWASP

obrigadoDúvidas ?

@thiagodieb

http://thiago.dieb.com.brhttp://www.aszone.com.br