Saiba mais sobre a OWASP
-
Upload
safeguard -
Category
Technology
-
view
505 -
download
4
description
Transcript of Saiba mais sobre a OWASP
OWASP Seminário de Segurança da Informação
1º Semestre de 2012
Anderson Bittencourt
Carolline Cruz Oliveira de Souza
Thiago Correia Braga
Gabriel Amaral Antunes
Renan Florez
Popularidade da Web
“O número de usuários na internet no mundo em 2011 chegou a 2,1 bilhões” ¹
• Concentração de internautas
• Ásia (922,2 milhões)
• Europa (476,2 milhões)
• América do Norte (271,1 milhões)
• A popularidade torna a internet
um alvo atraente para pessoas mal
intencionadas
¹ Pingdom - empresa de monitoramento de sites
O que é? Uma comunidade aberta que se dedica a habilitar indivíduos e organizações a conceber, desenvolver, adquirir, operar e manter aplicações seguras e confiáveis
Missão
• Promover a visibilidade da segurança das aplicações
• Demonstrar os verdadeiros riscos de segurança das aplicações
• Fazer com que as pessoas e organizações tomem decisões conscientes
O que faz?
• Os projetos desenvolvidos incluem documentos e ferramentas relevantes no cenário da segurança de aplicações e também importantes congressos nessa área.
• Todos os projetos do OWASP são publicados com licenças de software livre
O que faz?
• Eventos de alcance global
• Brasil
O OWASP AppSec Brasil 2012 será um evento de Segurança da Informação, mais especificamente Segurança em Aplicações, que acontecerá nos dia 29 de Novembro até 2 de Dezembro de 2012 em João Pessoa, Paraíba.
Organização • Capítulos locais
• Grupos locais formados por pessoas interessadas em ajudar a OWASP a atingir seus objetivos.
• No Brasil:
Belo Horizonte Brasília
Campinas Cuiabá
Fortaleza Florianópolis
Maceió Goiânia
Natal Manaus
Porto Alegre Paraíba
Rio de Janeiro Recife
São Paulo São Luís
Curitiba Vitória
Quem participa? Todos são livres para participar da organização e de sua comunidade
Empresas: Oracle, Microsoft, Adobe, Mozilla, etc.
Projetos – Top 10
• Listagem dos 10 ataques a segurança de aplicações web mais críticos
• Conscientiza o leitor das vulnerabilidades
• Ensina formas de evitá-las
• Injeção
• Cross-site Scripting
• Autenticação e gerenciamento de sessão quebrados
• Referência direta insegura a objeto
• Cross-site Request Forgery
• Problema com configurações de segurança
• Armazenamento criptográfico inseguro
• Falha ao restringir acesso a URL
• Proteção em nível de transporte insuficiente
• Redirects e forwards não validados
Projetos WebGoat
• Aplicação Web em Java com falhas de segurança
• Lições sobre segurança em aplicações web
• Usuário explora a vulnerabilidade
Projetos – WebScarab • Proxy web
• Analisar dados em tráfego
AntiSamy
• API contra código HTML e CSS malicioso
• Evita ataques cross-script
• Utiliza white-list de elementos HTML
Documentação
• Guia de desenvolvimento
• Guia prático que cobre inúmeros problemas de segurança
• Guia de revisão de código
• Guia o revisor na busca por vulnerabilidades na aplicação
• Guia de teste
• Visa à criação de melhores práticas para pen -tests em aplicações web
Bibliografia • https://www.owasp.org/
• http://www.rodrigocarvalho.blog.br/owasp-projeto-aberto-para-seguranca-em-aplicacoes-web/
• http://tecnologia.uol.com.br/ultimas-noticias/redacao/2012/01/18/internet-atinge-21-bilhoes-de-usuarios-no-mundo-em-2011-aponta-consultoria.jhtm
• http://entretenimento.uol.com.br/noticias/afp/2011/01/26/numero-de-usuarios-de-internet-no-mundo-alcanca-os-2-bilhoes-onu.htm