Baixe o app para aproveitar ainda mais
Prévia do material em texto
Prof. Mario João Jr. mjoaojr@gmail.com Conceitos Princípios de Criptografia Segurança de Aplicações Web Ementa Administração e Segurança de Redes 2 Prof. Mario João Jr. Como acontece com qualquer nova classe de tecnologia, aplicações web trouxeram uma nova gama de vulnerabilidades de segurança Os ataques mais graves contra aplicações web são aqueles que expõem dados sensíveis ou obtém acesso irrestrito aos sistemas de back-end em que o aplicativo está sendo executado Segurança de Aplicações Web Administração e Segurança de Redes 3 Prof. Mario João Jr. Existe uma consciência generalizada de que a segurança é um problema para aplicações web A maioria das aplicações afirma que são seguras porque usam SSL Mas a maioria das aplicações web é insegura Segurança de Aplicações Web Administração e Segurança de Redes 4 Prof. Mario João Jr. “Meu Site é Seguro” Segurança de Aplicações Web Administração e Segurança de Redes 5 Prof. Mario João Jr. “Meu Site é Seguro” Quebra de Autenticação (Broken Authentication) Esta categoria de vulnerabilidade engloba vários defeitos no mecanismo de login da aplicação, o que pode permitir que um invasor adivinhe senhas fracas, lance um ataque de força bruta ou ignore o login. Controles de acesso falhos (Broken Access Controls) A aplicação não protege adequadamente o acesso aos seus dados e funcionalidades, potencialmente permitindo que um invasor visualize os dados confidenciais de outros usuários ou realizar ações privilegiadas Segurança de Aplicações Web Administração e Segurança de Redes 6 Prof. Mario João Jr. “Meu Site é Seguro” SQL injection Esta vulnerabilidade permite que um invasor envie uma entrada de dados criada para interferir com a interação do aplicativo com bancos de dados de back-end Cross-site scripting Esta vulnerabilidade permite que um atacante atinja outros usuários do aplicativo, podendo ter acesso a seus dados, realizar ações não autorizadas em seu nome ou realizar outros ataques contra eles. Segurança de Aplicações Web Administração e Segurança de Redes 7 Prof. Mario João Jr. “Meu Site é Seguro” Vazamento de Informações (Information Leakage) Quando uma aplicação deixa vazar informações sigilosas que podem ser utilizadas por um invasor no desenvolvimento de um ataque contra a aplicação. Costuma ocorrer por falha no tratamento de erros Requisição Forjada Cross-site (Request Forgery Cross-Site) Ocorre quando os usuários da aplicação são induzidos a executar ações não intencionais Permite que um site malicioso visitado pelo usuário vítima interaja com a aplicação alvo Segurança de Aplicações Web Administração e Segurança de Redes 8 Prof. Mario João Jr. “Meu Site é Seguro” Os usuários podem enviar entradas arbitrárias para a aplicação A Aplicação deve assumir que toda entrada é potencialmente maliciosa. Ela deve tomar medidas para garantir que os invasores não possam usar a entrada criada para comprometer a aplicação Segurança de Aplicações Web Administração e Segurança de Redes 9 Prof. Mario João Jr. Usuários Podem Submeter Quaisquer Dados Problemas Usuários podem alterar os dados transmitidos Parâmetros de solicitação Cookies Cabeçalhos HTTP Usuários podem enviar solicitações em qualquer ordem Os podem parâmetros ser enviados em uma ordem diferente daquela que a aplicação espera O usuário não está restrito a utilizar apenas um navegador para acessar a aplicação Existem ferramentas que atuam junto a navegadores para explorar falhas Segurança de Aplicações Web Administração e Segurança de Redes 10 Prof. Mario João Jr. Usuários Podem Submeter Quaisquer Dados Envio de entradas preparadas para causar algum erro Exemplos Alterar um campo oculto de um formulário HTML Modificar um token de sessão transmitido em um cookie HTTP para sequestrar a sessão de outro usuário autenticado Remover certos parâmetros que normalmente são enviados, visando explorar uma falha da aplicação Alterar informações enviadas para injetar uma consulta maliciosa e acessar dados confidenciais Segurança de Aplicações Web Administração e Segurança de Redes 11 Prof. Mario João Jr. Usuários Podem Submeter Quaisquer Dados O principal problema Aceitar e processar dados não confiáveis Principais Fatores Falta de Conscientização em Segurança Ainda não é tradição em desenvolvimento Customização Novo código pode inserir novas falhas Simplicidade Enganosa A utilização de frameworks torna o desenvolvimento mais simples e rápido, mas não garante a segurança Segurança de Aplicações Web Administração e Segurança de Redes 12 Prof. Mario João Jr. Principais Fatores Principais Fatores Rápida Evolução das Ameaças O ritmo de criação de novas ameaças é maior do que o tempo de desenvolvimento de algumas aplicações Limitações de Recursos e Tempo Avaliações de segurança não são prioridade Tecnologias Ultrapassadas Tecnologias são utilizadas para fins além dos quais foram concebidas Demandas Crescentes da Funcionalidade Cada vez mais as aplicações precisam incluir mais funcionalidades, aumentando as vulnerabilidades Segurança de Aplicações Web Administração e Segurança de Redes 13 Prof. Mario João Jr. Principais Fatores
Compartilhar