Seguranca-parte3

Prévia do material em texto

Prof. Mario João Jr. 
mjoaojr@gmail.com 
 Conceitos 
 Princípios de Criptografia 
 Segurança de Aplicações Web 
 
Ementa 
Administração e Segurança de Redes 2 Prof. Mario João Jr. 
 
 Como acontece com qualquer nova classe de 
tecnologia, aplicações web trouxeram uma nova gama 
de vulnerabilidades de segurança 
 
 Os ataques mais graves contra aplicações web são 
aqueles que expõem dados sensíveis ou obtém acesso 
irrestrito aos sistemas de back-end em que o aplicativo 
está sendo executado 
Segurança de Aplicações Web 
Administração e Segurança de Redes 3 Prof. Mario João Jr. 
 
 Existe uma consciência generalizada de que a 
segurança é um problema para aplicações web 
 
 A maioria das aplicações afirma que são seguras 
porque usam SSL 
 
 Mas a maioria das aplicações web é insegura 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 4 Prof. Mario João Jr. 
“Meu Site é Seguro” 
Segurança de Aplicações Web 
Administração e Segurança de Redes 5 Prof. Mario João Jr. 
“Meu Site é Seguro” 
 Quebra de Autenticação (Broken Authentication) 
 Esta categoria de vulnerabilidade engloba vários defeitos 
no mecanismo de login da aplicação, o que pode 
permitir que um invasor adivinhe senhas fracas, lance 
um ataque de força bruta ou ignore o login. 
 Controles de acesso falhos (Broken Access Controls) 
 A aplicação não protege adequadamente o acesso aos 
seus dados e funcionalidades, potencialmente 
permitindo que um invasor visualize os dados 
confidenciais de outros usuários ou realizar ações 
privilegiadas 
 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 6 Prof. Mario João Jr. 
“Meu Site é Seguro” 
 SQL injection 
 Esta vulnerabilidade permite que um invasor envie uma 
entrada de dados criada para interferir com a interação 
do aplicativo com bancos de dados de back-end 
 Cross-site scripting 
 Esta vulnerabilidade permite que um atacante atinja 
outros usuários do aplicativo, podendo ter acesso a seus 
dados, realizar ações não autorizadas em seu nome ou 
realizar outros ataques contra eles. 
 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 7 Prof. Mario João Jr. 
“Meu Site é Seguro” 
 Vazamento de Informações (Information Leakage) 
 Quando uma aplicação deixa vazar informações sigilosas 
que podem ser utilizadas por um invasor no 
desenvolvimento de um ataque contra a aplicação. 
 Costuma ocorrer por falha no tratamento de erros 
 Requisição Forjada Cross-site (Request Forgery 
Cross-Site) 
 Ocorre quando os usuários da aplicação são induzidos a 
executar ações não intencionais 
 Permite que um site malicioso visitado pelo usuário 
vítima interaja com a aplicação alvo 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 8 Prof. Mario João Jr. 
“Meu Site é Seguro” 
 Os usuários podem enviar entradas arbitrárias para a 
aplicação 
 
 A Aplicação deve assumir que toda entrada é 
potencialmente maliciosa. 
 
 Ela deve tomar medidas para garantir que os invasores 
não possam usar a entrada criada para comprometer a 
aplicação 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 9 Prof. Mario João Jr. 
Usuários Podem Submeter Quaisquer Dados 
 Problemas 
 Usuários podem alterar os dados transmitidos 
 Parâmetros de solicitação 
 Cookies 
 Cabeçalhos HTTP 
 Usuários podem enviar solicitações em qualquer ordem 
 Os podem parâmetros ser enviados em uma ordem diferente 
daquela que a aplicação espera 
 O usuário não está restrito a utilizar apenas um 
navegador para acessar a aplicação 
 Existem ferramentas que atuam junto a navegadores para 
explorar falhas 
Segurança de Aplicações Web 
Administração e Segurança de Redes 10 Prof. Mario João Jr. 
Usuários Podem Submeter Quaisquer Dados 
 Envio de entradas preparadas para causar algum erro 
 Exemplos 
 Alterar um campo oculto de um formulário HTML 
 Modificar um token de sessão transmitido em um cookie 
HTTP para sequestrar a sessão de outro usuário 
autenticado 
 Remover certos parâmetros que normalmente são 
enviados, visando explorar uma falha da aplicação 
 Alterar informações enviadas para injetar uma consulta 
maliciosa e acessar dados confidenciais 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 11 Prof. Mario João Jr. 
Usuários Podem Submeter Quaisquer Dados 
 O principal problema 
 Aceitar e processar dados não confiáveis 
 Principais Fatores 
 Falta de Conscientização em Segurança 
 Ainda não é tradição em desenvolvimento 
 Customização 
 Novo código pode inserir novas falhas 
 Simplicidade Enganosa 
 A utilização de frameworks torna o desenvolvimento mais 
simples e rápido, mas não garante a segurança 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 12 Prof. Mario João Jr. 
Principais Fatores 
 Principais Fatores 
 Rápida Evolução das Ameaças 
 O ritmo de criação de novas ameaças é maior do que o tempo 
de desenvolvimento de algumas aplicações 
 Limitações de Recursos e Tempo 
 Avaliações de segurança não são prioridade 
 Tecnologias Ultrapassadas 
 Tecnologias são utilizadas para fins além dos quais foram 
concebidas 
 Demandas Crescentes da Funcionalidade 
 Cada vez mais as aplicações precisam incluir mais 
funcionalidades, aumentando as vulnerabilidades 
 
 
Segurança de Aplicações Web 
Administração e Segurança de Redes 13 Prof. Mario João Jr. 
Principais Fatores