testes de segurança em aplicações web para web designers
TRANSCRIPT
![Page 1: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/1.jpg)
Testes de Segurança em Aplicações Web para
WebDesigners
![Page 2: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/2.jpg)
Quem sou eu?
• Arthur Paixão• 5 Anos de experiência na área de segurança da informação.• Certificações:
EC-CSA (EcCouncil Certified Security Analyst) EC-CHFI (EcCouncil Computer Hacking Forensic Investigator)
• Diversos cursos de especialização na área:
INTEL, Fundação Bradesco, DragonJAR, Offensive Security, EC-Council
• Atualmente trabalho:Consultor de Segurança e Pentester: Equipe de Resposta a Tratamento de
Incidentes de Segurança (CSIRT)
Desenvolvedor: Java, Flex, PL-SQL, Oracle Forms (6i & 10g)
![Page 3: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/3.jpg)
Páginas são adulterada todos os dias...
![Page 4: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/4.jpg)
Páginas são adulterada todos os dias...
![Page 5: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/5.jpg)
Onde há risco em segurança?
Infraestrutura
Usuários
Aplicações WEB
![Page 6: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/6.jpg)
Porquê segurança de aplicações é prioridade?
Aplicações web são o foco número 1 dos hackers:• 75% dos ataques acontecem na camada da aplicação. (Gartner)
A maior parte das páginas web estão vulneráveis:• 90% dos sites são vulneráveis à ataques na aplicação.
(Watchfire)• 78% das vulnerabilidades facilmente exploráveis afetam
aplicações Web. (Symantec)• 80% das organizações irão experimentar um incidente em
segurança de aplicações até 2014. (Gartner)
![Page 7: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/7.jpg)
Porquê segurança de aplicações é prioridade?
Aplicações web são alvos de alto valor para hackers:• Dados de clientes, cartão de crédito, roubo de identidade,
fraude, etc.• No Brasil 13% das empresas que sofreram ataques tiveram
prejuízos que ultrapassam R$ 1 Milhão. (Módulo)• Estudo realizado com 200 empresas brasileiras afirma que
67,5% sofreram algum tipo de ataque nos últimos 12 meses. (ISS)
• Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia.
![Page 8: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/8.jpg)
Que tipo de prejuízo posso ter?
Vulnerabilidades de software podem ter um escopo muito maior do que o do próprio software.
• O software e sua informação associada.• O sistema operacional dos servidores associados.• A base de dados do backend.• Outras aplicações em um ambiente
compartilhado.• O sistema do usuário.• Outros softwares com os quais o
usuário interage.
![Page 9: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/9.jpg)
Porque existem CMS’s?
Devido à Comodidade:• Desde a criação dos primeiros CMS, o
pensamento de ter um padrão de desenvolvimento e a comodidade de não ter de reescrever toda a base estrutural dos código agitou a web.
• Não há precisão quanto a números, porém é certo que os CMS já são utilizados por milhões de websites em todo o mundo, com repositórios espalhados pelos continentes e novos plugins sendo desenvolvidos diariamente.
![Page 10: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/10.jpg)
Sim, mais e o KIKO??
![Page 11: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/11.jpg)
E qual a semelhança entre eles?
JOOMLALinux Foundation
Nikon Instruments
Mitsubishi Venezuela
Olympus
Porsche
TNA Wrestling
Vodafone
Times Square
Yamaha
West Coast Paintball
WORDPRESSLive Messenger
Yahoo
Sony
Samsung
Mozilla Firefox
CNN
Flickr
Ebay
Globo.com
Ford
![Page 12: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/12.jpg)
O Barato pode sair caro...
• De que vale ter um site muito barato se o site está sempre atacado ou fora do ar ?
• De que vale o site ser muito caro se as empresas não tem lucros com os sites ?
![Page 13: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/13.jpg)
Então é tudo uma maravilha?
A falta de atualização das plataformas pode acarretar na perda de todo o trabalho que o usuário teve para a criação do conteúdo, além da perda das personalizações.
![Page 14: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/14.jpg)
Quais são os CMS’s mais atacados?
![Page 18: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/18.jpg)
Onde me informo sobre as vulnerabilidades?
http://www.wordpressexploit.com/
![Page 19: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/19.jpg)
Onde me informo sobre as vulnerabilidades?
http://www.intelligentexploit.com/
![Page 20: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/20.jpg)
Onde me informo sobre as vulnerabilidades?
http://packetstormsecurity.org/files/tags/exploit/
![Page 22: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/22.jpg)
Muito cuidado com os plugins !!
• Apesar de muitos dos plugins serem seguros, principalmente aqueles que são hospedados nos repositórios oficiais das comunidades, é necessário tomar cuidado na utilização dos mesmos.
![Page 23: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/23.jpg)
Ferramenta de Apoio[ Joomscan ]
![Page 24: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/24.jpg)
Ferramenta de Apoio[ WPScann ]
![Page 25: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/25.jpg)
Vamos trocar uma idéia!
• Os CMS abertos não são limitados?
• Os sites com CMS abertos são melhores do que com código próprio?
• Com os CMS abertos consegue-se uma grande produtividade?
![Page 26: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/26.jpg)
Vamos trocar uma idéia!
• Só por ter um site feito em joomla, wordpress ou outro cms quer dizer que o site é mau ?
• Pode-se usar um CMS aberto e depois desenvolver o que o cliente precisar?
![Page 27: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/27.jpg)
Sem lenga-lenga o segredo é um só!
• Mantenha seu CMS constantemente atualizado.• Esconda a versão utilizada no CMS.• Verifique a procedência dos plugins.• Mantenha se informado sobre novas falhas de
segurança.
![Page 28: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/28.jpg)
Conclusão!
• Lembrando que CMS é uma comodidade ao usuário e desenvolvedores de plantão, porém não é uma garantida que somente por atualizar seu CMS você estará totalmente seguro, recomendamos sempre a utilização de um backups de seus arquivos importantes para uma eventual falha que possa acontecer, em outro lado manter o mesmo sempre atualizado não é tarefa tão difícil quanto parece, basta ficar sempre antenado a novas atualizações que possa aparecer em comunidade e sites oficiais, que você já estará fazendo 99% do esforço necessário para sua segurança.
![Page 29: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/29.jpg)
Agradecimentos!
![Page 30: Testes de segurança em aplicações web para web designers](https://reader033.vdocuments.net/reader033/viewer/2022052906/558aff0dd8b42a40268b45c1/html5/thumbnails/30.jpg)
[email protected]/arthur.paixaotwitter.com.br/arthurpaixao