OWASP Seminário de Segurança da Informação

1º Semestre de 2012

Anderson Bittencourt

Carolline Cruz Oliveira de Souza

Thiago Correia Braga

Gabriel Amaral Antunes

Renan Florez

Popularidade da Web

“O número de usuários na internet no mundo em 2011 chegou a 2,1 bilhões” ¹

• Concentração de internautas

• Ásia (922,2 milhões)

• Europa (476,2 milhões)

• América do Norte (271,1 milhões)

• A popularidade torna a internet

um alvo atraente para pessoas mal

intencionadas

¹ Pingdom - empresa de monitoramento de sites

O que é? Uma comunidade aberta que se dedica a habilitar indivíduos e organizações a conceber, desenvolver, adquirir, operar e manter aplicações seguras e confiáveis

Missão

• Promover a visibilidade da segurança das aplicações

• Demonstrar os verdadeiros riscos de segurança das aplicações

• Fazer com que as pessoas e organizações tomem decisões conscientes

O que faz?

• Os projetos desenvolvidos incluem documentos e ferramentas relevantes no cenário da segurança de aplicações e também importantes congressos nessa área.

• Todos os projetos do OWASP são publicados com licenças de software livre

O que faz?

• Eventos de alcance global

• Brasil

O OWASP AppSec Brasil 2012 será um evento de Segurança da Informação, mais especificamente Segurança em Aplicações, que acontecerá nos dia 29 de Novembro até 2 de Dezembro de 2012 em João Pessoa, Paraíba.

Organização • Capítulos locais

• Grupos locais formados por pessoas interessadas em ajudar a OWASP a atingir seus objetivos.

• No Brasil:

Belo Horizonte Brasília

Campinas Cuiabá

Fortaleza Florianópolis

Maceió Goiânia

Natal Manaus

Porto Alegre Paraíba

Rio de Janeiro Recife

São Paulo São Luís

Curitiba Vitória

Quem participa? Todos são livres para participar da organização e de sua comunidade

Empresas: Oracle, Microsoft, Adobe, Mozilla, etc.

Projetos – Top 10

• Listagem dos 10 ataques a segurança de aplicações web mais críticos

• Conscientiza o leitor das vulnerabilidades

• Ensina formas de evitá-las

• Injeção

• Cross-site Scripting

• Autenticação e gerenciamento de sessão quebrados

• Referência direta insegura a objeto

• Cross-site Request Forgery

• Problema com configurações de segurança

• Armazenamento criptográfico inseguro

• Falha ao restringir acesso a URL

• Proteção em nível de transporte insuficiente

• Redirects e forwards não validados

Projetos WebGoat

• Aplicação Web em Java com falhas de segurança

• Lições sobre segurança em aplicações web

• Usuário explora a vulnerabilidade

Projetos – WebScarab • Proxy web

• Analisar dados em tráfego

AntiSamy

• API contra código HTML e CSS malicioso

• Evita ataques cross-script

• Utiliza white-list de elementos HTML

Documentação

• Guia de desenvolvimento

• Guia prático que cobre inúmeros problemas de segurança

• Guia de revisão de código

• Guia o revisor na busca por vulnerabilidades na aplicação

• Guia de teste

• Visa à criação de melhores práticas para pen -tests em aplicações web

Bibliografia • https://www.owasp.org/

• http://www.rodrigocarvalho.blog.br/owasp-projeto-aberto-para-seguranca-em-aplicacoes-web/

• http://tecnologia.uol.com.br/ultimas-noticias/redacao/2012/01/18/internet-atinge-21-bilhoes-de-usuarios-no-mundo-em-2011-aponta-consultoria.jhtm

• http://entretenimento.uol.com.br/noticias/afp/2011/01/26/numero-de-usuarios-de-internet-no-mundo-alcanca-os-2-bilhoes-onu.htm