palestra dfjug #java20 anos - web hacking - desenvolva na defesa, jogando no ataque
TRANSCRIPT
Web hackingDesenvolva na defesa,
jogando no ataque
20 anos de Java - 20/06/2015
Eu sou@ThiagoDieb
Gerente de DesenvolvimentoProgramador por vocação
Fanático por processosCurioso por Segurança
1O que esperar ?
“
Conceito de segurança não se restringe a uma linguagem ou tecnologia.
Fonte: CBS News - https://cbsnews.com
2Cenário de risco
Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
Fonte: National Vulnerability Database (NVD) - https://web.nvd.nist.gov
3Reflexão
O que aconteceu ?
O que aconteceu ?
● Não houve estudo prévio sobre o ADVERSÁRIO
O que aconteceu ?
● Não houve estudo préviso sobre o ADVERSÁRIO
● Esqueceram da ESTRATÉGIA de jogo
“Aprenda a se defender
conhecendo seu ADVERSÁRIO
“Seremos sempre surpreendidos se …
4Vulnerabilidades
SQL Injection
LFD / LFIXSS
XSS - Cross-site scriptingVulnerabilidade que permite a inclusão de código malicioso, podendo ser persistente ou não.
LFD - Local File Download / DisclosureNormalmente utilizada para visualizar ou baixararquivos confidenciais do sistema.
SQL InjectionFalha em sistemas com banco de dados, permitindo a insersão de instruções maliciosas de SQL dentro de uma consulta (query).
5Proteção
Tudo deve ser pra ontem
!
● Redes● Serviços● Aplicações● Dispositivos● Seres Humanos
“
Desenvolvimento SEGURO de software
● Segurança por Padrão● Menor Privilégio● Controle de Acesso● Validação de Dados● Garantia de Integridade● Trilhas de Auditoria
Microsoft SDL OpenSAMMOWASP
obrigadoDúvidas ?
@thiagodieb
http://thiago.dieb.com.brhttp://www.aszone.com.br