Upload
jeronimo-zucco
View
616
Download
3
Embed Size (px)
DESCRIPTION
Apresentação realizada no Tchelinux Caxias do Sul 2013 - http://tchelinux.org/site/doku.php?id=evento_2013_08_cxs
Citation preview
About Me
• Blog: http://jczucco.blogspot.com• Twitter: @jczucco• http://www.linkedin.com/in/jeronimozucco• http://www.owasp.org/index.php/User:Jeronimo_Zucco
OWASPOpen Web Application
Security Project• Uma comunidade aberta dedicada
a ajudar as organizações a desenvolver, comprar e manter aplicações que possam ser confiáveis.
OWASP
• Promover o desenvolvimento seguro• Auxiliar a tomada de decisão quanto
ao risco• Oferecer recursos gratuitos• Promover a contribuição e
compartilhamento de informação
4
OWASP
• Organização sem fins lucrativos (US 501c3)• Regida por voluntários– Compartilhar conhecimento– Liderar projetos– Realizar apresentações– Administração
• Financiada por patrocinadores–Membership individuais/empresariais– Projetos suportados por empresas
5
OWASP no Brasil
• 18 capítulos no Brasil:• Belo Horizonte, Brasília, Campinas,
Cuiabá, Curitiba, Fortaleza, Goiânia, Maceió, Manaus, Natal, Paraíba, Porto Alegre, Recife, Rio de Janeiro, São Luís, São Paulo, Vitória e Florianópolis.
6
OWASP no RS
7
https://www.owasp.org/index.php/Porto_Alegre
OWASP Top 10
• Top 10 Vulnerabilidades em Apps. Web– Atualizado a cada 3 anos.– Baseado em dados obtidos de aplicações
na Internet– Aceitação crescente pela indústria
• Um bom começo para criação de práticas seguras de desenvolvimento nas organizações
8
OWASP Top Ten 2013
9
Top 10 2010 -> 2013
10
Riscos de Segurança na Aplicação
11
A1 - Injeção
12
A2 - Autenticação e Gerência de Sessão
Quebradas
13
A3 - Cross-Site Scripting (XSS)
14
A4 - Referências Diretas à Objetos de Forma
Insegura
15
A5 - Configuração Insegura
16
A6 - Exposição de Dados Sensíveis
17
A7 - Sem Controle de Nível de Acesso
18
A8 - CSRF
19
A9 - Uso de Compontes com Vulnerabilidades
Conhecidas
20
A10 - Redirecionamentose Encaminhamentos
Inválidos
21
Top 10 - Riscos
22
23
Demonstração
Desenvolvedores
• Requisitos de segurança de aplicações;• Arquitetura de aplicações seguras;• Controles de segurança padrões;• Ciclo de vida de desenvolvimento (SDL)• Educação sobre segurança de
aplicações
24
Como Participar?
25
• Acesse www.owasp.org• Produção artigos/conteúdo• Lista de discussões• Envolvimento em projetos• Apresentações/Divulgação• Membership• ...
Perguntas?
26
http://www.owasp-poa.org