![Page 1: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/1.jpg)
![Page 2: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/2.jpg)
Walter Dias twitter: @walterbh
![Page 3: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/3.jpg)
Agenda
• Sobre o OWASP
• A01 - Injection
• A02 - Cross-Site Scripting (XSS)
• A03 - Broken Authentication and Session Management
• A04 - Insecure Direct Object References
• A05 - Cross Site Request Forgery (CSRF)
• A06 - Security Misconfiguration
• A07 - Insecure Cryptographic Storage
• A08 - Failure to Restrict URL Access
• A09 - Insufficient Transport Layer Protection
• A10 - Malicious File Execution
• Conclusão
![Page 4: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/4.jpg)
Sobre o OWASP
• Comunidade aberta.
• Sem fins lucrativos.
• Tem como finalidade auxiliar o ALM no que tange segurança.
• Segundo o OWASP existem no mínimo 300 falhas que afetam a WEB.
• Sobre o OWASP Top 10.
• Publicações adicionais.
![Page 5: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/5.jpg)
A01 - Injection
• O que é
É uma técnica que visa introdução de elementos.
• Tipos de Injeção
SQL
Script
XML
LDAP
• Quem já sofreu
• Demo
![Page 6: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/6.jpg)
A02 – Cross-Site Scripting (XSS)
• O que é
É uma técnica injeção.
• Detecção
Fácil desde que...
Difícil quando...
• Quem já sofreu
• Demo
![Page 7: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/7.jpg)
A03 - Broken Authentication and Session Management
• O que é
Ocorre quando o invasor toma posse das informações sensíveis para se passar pelo usuário do sistema.
• Execução...
Fácil quando...
Difícil quando...
• Demo
![Page 8: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/8.jpg)
A04 - Insecure Direct ObjectReferences
• O que é
Esse problema ocorre quando um usuário consegue acessar um recurso em um sistema, ao qual ele não possui permissão, através de um acesso direto a este recurso.
• Execução
Fácil quando...
Moderado quando...
• Quem já sofreu
• Demo
![Page 9: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/9.jpg)
A05 - Cross Site Request Forgery (CSRF)
• O que é
Através de uma URL alterada, o invasor força o usuário a realizar uma operação não desejada.
É conhecido também como:
one-click attack
• Fácil de se executar uma vez se conheça o contexto de negocio.
• Demo
![Page 10: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/10.jpg)
A06 - Security Misconfiguration
• O que é
Ocorre quando o invasor do sistema devido a uma falha de configuração do mesmo, expõem dos que permite que um usuário do sistema tenha acesso ou permissão de alteração em informações não cabíveis a ele.
• Considerado como porta de entrada para possíveis “exploits”.
• Demo
![Page 11: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/11.jpg)
A07 - Insecure CryptographicStorage
• O que é
Armazenar dados sensíveis na base de dados é sempre um desafio e deve ser considerado ao máximo. Quando esse tipo de dados for armazenado sem a devida proteção, um invasor ou até mesmo um usuário do sistema pode se apossar dessas informações.
• Justificativa através de falsas considerações.
• Demo
![Page 12: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/12.jpg)
A08 - Failure to Restrict URL Access
• O que é
Semelhante ao item 4, essa vulnerabilidade consiste no invasor acessar diretamente uma URL que não possui acesso.
• Segurança por obscuridade.
• Demo
![Page 13: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/13.jpg)
A09 - Insufficient Transport LayerProtection
• O que é
Ocorre quando o invasor consegue monitorar os dados trafegados em uma rede, interceptando as informações sensíveis que não possuem proteção.
• Facilmente executado em conjunto com o ataque “Malicious File Execution”.
• Demo
![Page 14: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/14.jpg)
A10 - Malicious File Execution
• O que é
O invasor utiliza falhas nas verificações dos dados e envia um arquivo malicioso para o servidor web, executando-o depois.
• Cria a possibilidade de execução de diversos outros ataques.
• Demo
![Page 15: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/15.jpg)
Conclusão
• Falhas vão acontecer.
• Jamais duvide da capacidade de seu usuário.
• Não precisamos de ataques elaborados para causar estragos.
• Boas praticas continuam sendo nossas amigas.
• Existe uma larga gama de material na internet.
• Esteja preparado.
![Page 16: As 10 maiores falhas de segurança e como executá-las](https://reader033.vdocuments.us/reader033/viewer/2022052912/55a1167b1a28ab98148b45a6/html5/thumbnails/16.jpg)