teste de segurança em aplicações web ( sites )
DESCRIPTION
Teste de segurança Roteiro de apresentação - Introdução - Problemas - Principais Falhas - Causas de invasões - Open Source Introdução No inicio da internet, segurança não era preocupação. Hoje a maioria dos sites é uma aplicação Possuem muitas funcionalidades Suportam login, transações comercias. Conteúdo dinâmico. Informações confidencias. Por que fazer teste de segurança? Apesar do aumento da preocupação, incidentes vêm aumentando ano a no. Aumento de incidentes de 61% de 2008 para 2009. Aumento de 11530% de 1999 até 2009. Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave. Site blindado 70% dos sites corporativo possuem falhas graves. “Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1 - Top 10 de falhas mais comuns Falhas de injeção (SQL INJECTION) Falhas de autenticação e de gerenciamento de sessão Problemas de configuração Falhas ao restringir o acesso a alguma URL Redirecionamento inválidos Ex: Js. Tecnologia Ex: Apache, php, asp. Página de login sem critografia. Proteção na camada de transporte de informação Sem criptografia (MD5) Certificados inválidos (E-commerce) - Por que fazer teste de segurança? - O usuário pode enviar QUALQUER dado - Deve-se assumir que toda entrada pode ser maliciosa. - Usuários não irão usar apenas o navegador para acessar a aplicação - Exemplos de ataques (Sql injection) - O que vai acontecer se eu clicar em ok? - Teste de segurança X VulnerabilidadesTRANSCRIPT
![Page 1: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/1.jpg)
Teste de segurança
Alunos:
Pablo Ribeiro / Wilkins Guimarães
![Page 2: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/2.jpg)
Teste de segurança
Roteiro de apresentação
Introdução
Problemas
Principais Falhas
Causas de invasões
Open Source
![Page 3: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/3.jpg)
Um pouco sobre a internet
Introdução
• No inicio da internet, segurança não era preocupação.
• Hoje a maioria dos sites é uma aplicação
• Possuem muitas funcionalidades
• Suportam login, transações comercias.
• Conteúdo dinâmico.
• Informações confidencias.
![Page 4: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/4.jpg)
Por que fazer teste de segurança?
Teste de segurança
![Page 5: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/5.jpg)
Teste de segurança
Por que fazer teste de segurança?
• Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.
• Aumento de incidentes de 61% de 2008 para 2009.• Aumento de 11530% de 1999 até 2009.• Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.• Site blindado 70% dos sites corporativo possuem falhas graves.
“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1
![Page 6: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/6.jpg)
Top 10 de falhas mais comuns
• Falhas de injeção (SQL INJECTION)• Falhas de autenticação e de gerenciamento de sessão• Problemas de configuração• Falhas ao restringir o acesso a alguma URL• Redirecionamento inválidos Ex: Js.• Tecnologia Ex: Apache, php, asp.• Página de login sem critografia.• Proteção na camada de transporte de informação• Sem criptografia (MD5)• Certificados inválidos (E-commerce)
Teste de segurança
![Page 7: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/7.jpg)
Motivos de ataques
• Sites com muitos acessos• Sites / Sistema de domínio público• Funcionários insatisfeitos• Dinheiro• E outros
Teste de segurança
![Page 8: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/8.jpg)
Por que fazer teste de segurança?
• O usuário pode enviar QUALQUER dado
• Deve-se assumir que toda entrada pode ser maliciosa.• Usuários não irão usar apenas o navegador para acessar a aplicação
Teste de segurança
![Page 9: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/9.jpg)
Teste de segurança
Por que fazer teste de segurança?
• Exemplos de ataques (Sql injection)
• O que vai acontecer se eu clicar em ok?
![Page 10: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/10.jpg)
Teste de segurança
Por que fazer teste de segurança?• Clicando em ok consigo entrar dentro sistema• Com uso de algumas aplicações consigo acessar banco de dados, arquivos e etc.
![Page 11: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/11.jpg)
Teste de segurança
Por que fazer teste de segurança?
• www.seusite.com.br/cursos.php?id=303&tipo=2'
![Page 12: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/12.jpg)
Teste de segurançaX
Vulnerabilidades
Teste de segurança
![Page 13: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/13.jpg)
Teste de segurança X Vulnerabilidades
Saia na frente... • Faça validações na entradas de dados.• Ex: upload de imagens .png .gif .jpg.• Ex: upload de arquivos .doc .docx .pdf e etc.
• Login e senhas com criptografia (MD5)• Limitar a entrada de dados ex: 20 caracteres.
• Controle de acessos• Ex: nenhum usuário pode fazer 200 acessos
em 2 minutos, bloqueia temporariamente o ip.
• Bloqueio das notificações de erro• Servidor Apache php.ini
![Page 14: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/14.jpg)
Jamais esqueça de fazer teste de segurança• Retrabalho, desenvolver novamente uma aplicação
• Imagem negativa para empresa
• Imagem negativa para clientes de clientes
• Sistemas expostos em fórum de hacks • http://www.zone-h.org/• http://forum.guiadohacker.com.br/
• Prejuízo financeiro
Teste de segurança
![Page 15: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/15.jpg)
Teste de segurança
Não reinvente a roda... • Conheça projetos open source.
• Gerenciadores de conteúdo• Wordpress • Drupal• Joomla
• Lojas virtuais (Ecommerce)• Magento• PrestaShop• OpenCart• Joomla
Estude se no seu projeto e possível utilizar um cms open source.
![Page 16: Teste de segurança em aplicações web ( sites )](https://reader035.vdocuments.net/reader035/viewer/2022062220/5576077cd8b42a0d5e8b461a/html5/thumbnails/16.jpg)
Teste de segurança