Upload
kelvin-campelo
View
190
Download
0
Embed Size (px)
Citation preview
THE WebSec2016
ldquoALCANCcedilAR QUALQUER OBJETIVO NA PRESENCcedilA DE ALGUM ADVERSAacuteRIOrdquo
SEGURANCcedilA
SEGURANCcedilA
POLIacuteTICA
OBJETIVOS COMUNS
MODELO DE AMEACcedilA
MECANISMO
OBJETIVO RESULTANTE
PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA
SEGURANCcedilA
SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]
ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA
MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]
SEGURANCcedilA
ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUALrdquo
RISCO VS BENEFIacuteCIO
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
ldquoALCANCcedilAR QUALQUER OBJETIVO NA PRESENCcedilA DE ALGUM ADVERSAacuteRIOrdquo
SEGURANCcedilA
SEGURANCcedilA
POLIacuteTICA
OBJETIVOS COMUNS
MODELO DE AMEACcedilA
MECANISMO
OBJETIVO RESULTANTE
PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA
SEGURANCcedilA
SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]
ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA
MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]
SEGURANCcedilA
ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUALrdquo
RISCO VS BENEFIacuteCIO
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SEGURANCcedilA
POLIacuteTICA
OBJETIVOS COMUNS
MODELO DE AMEACcedilA
MECANISMO
OBJETIVO RESULTANTE
PLANO DE ALTO NIacuteVEL SOBRE SEGURANCcedilA
SEGURANCcedilA
SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]
ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA
MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]
SEGURANCcedilA
ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUALrdquo
RISCO VS BENEFIacuteCIO
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SEGURANCcedilA
SARAH PALINrsquoS EMAIL ACCOUNT [HTTPENWIKIPEDIAORGWIKISARAH_PALIN_EMAIL_HACK]
ALGUNS EXEMPLOS DE FALHAS DE SEGURANCcedilA
MAT HONANS ACCOUNTS AT AMAZON APPLE GOOGLE ETC [HTTPWWWWIREDCOMGADGETLAB201208APPLE-AMAZON-MAT-HONAN-HACKINGALL]
SEGURANCcedilA
ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUALrdquo
RISCO VS BENEFIacuteCIO
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SEGURANCcedilA
ldquoVAacuteRIOS SISTEMAS SEGUROS SIGNIFICAM BAIXOS RISCOSCONSEQUEcircNCIAS DE VAacuteRIAS ACcedilOtildeES JAacute SISTEMAS INSEGUROS PODEM NECESSITAR DE
UM GERENCIAMENTO DE ATAQUES MANUALrdquo
RISCO VS BENEFIacuteCIO
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
ldquoUM RISCO Eacute O CAMINHO ENTRE UM ADVERSAacuteRIO E O IMPACTO DE NEGOacuteCIOS DE SUA APLICACcedilAtildeOrdquo
RISCO
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
RISCOS DE SEGURANCcedilA
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
RISCOS DE SEGURANCcedilA
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
FaacutecilEspecifico da
Aplicaccedilatildeo
Especifico do NegoacutecioAplicaccedilatildeoMeacutedia
Difiacutecil
Generalizada
Comum
Rara
Faacutecil
Meacutedia
Difiacutecil
Severo
Moderado
Pequeno
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
RISCO
1 INJECcedilAtildeO
2 QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
3 CROSS-SITE-SCRIPTING
4 REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
5 CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
6 EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
7 FALTA DE FUNCcedilAtildeO PARA CONTROLE DE NIacuteVEL DE ACESSO
8 CROSS-SITE-REQUEST-FORGERY
9 UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
10 REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
TOP 10 RISCOS OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Severo
OWASPOpen Web Application
Security ProjectA1 - INJECcedilAtildeO
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
AS FALHAS DE INJECcedilAtildeO OCORREM QUANDO UMA APLICACcedilAtildeO ENVIA DADOS NAtildeO CONFIAacuteVEIS PARA UM INTERPRETADOR
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
PROBLEMA
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS PARA INJETAR TRECHOS DE COacuteDIGOS
httpexamplecomappaccountViewid= or 1=1
A1 - INJECcedilAtildeO
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
1 A OPCcedilAtildeO PREFERIDA Eacute UTILIZAR UMA API SEGURA QUE EVITE O USO DO INTERPRETADOR INTEIRAMENTE OU FORNECcedilA UMA
INTERFACE PARAMETRIZADA
SOLUCcedilAtildeO
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
2 SE UMA API PARAMETRIZADA NAtildeO ESTIVER DISPONIacuteVEL VOCEcirc DEVE CUIDADOSAMENTE FILTRAR OS CARACTERES ESPECIAIS UTILIZANDO A SINTAXE PARA ESSE
INTERPRETADOR OWASPrsquoS ESAPI FORNECE MUITAS DESSAS ROTINAS DE FILTRAGEM
A1 - INJECcedilAtildeOOWASP
Open Web Application Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Severo
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
OS DESENVOLVEDORES FREQUENTEMENTE IMPLEMENTAM A AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO EM SUAS APLICACcedilOtildeES DE
FORMA PERSONALIZADA MAS A IMPLEMENTACcedilAtildeO CORRETA Eacute DIFIacuteCIL
PROBLEMA
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
OWASPOpen Web Application
Security Project
ESSES ESQUEMAS PERSONALIZADOS FREQUENTEMENTE POSSUEM FALHAS EM AacuteREAS DO SISTEMA COMO LOGOUT GESTAtildeO DE SENHAS TEMPO DE EXPIRACcedilAtildeO
LEMBRAR SENHA PERGUNTA SECRETA ATUALIZAR CONTA ETC
PROBLEMA
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
UMA APLICACcedilAtildeO DE RESERVAS DE PASSAGENS AEacuteREAS SUPORTA REESCRITA DE URL COLOCANDO IDS DE SESSAtildeO NA URL
ENVIAR O LINK POR E-MAILhellip
httpexamplecomsalesaleitemsjsessionid=2P0OC2JSNDLPSK HCJUN2JVdest=Hawaii
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
A) CUMPRIR TODOS OS REQUISITOS DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO DEFINIDOS NO PADRAtildeO DE VERIFICACcedilAtildeO DE SEGURANCcedilA DA APLICACcedilAtildeO DO OWASP (ASVS) AacuteREAS V2 (AUTENTICACcedilAtildeO) E V3 (GERENCIAMENTO DE SESSAtildeO)
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeOUM CONJUNTO UacuteNICO DE CONTROLES FORTES DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO TAIS CONTROLES DEVEM PROCURAR
B) TER UMA INTERFACE SIMPLES PARA OS DESENVOLVEDORES CONSIDERE O ESAPI AUTHENTICATOR E USER APIS COMO BONS EXEMPLOS PARA SIMULAR USAR OU CONSTRUIR COMO BASE
OWASPOpen Web Application
Security Project
A2 -QUEBRA DE AUTENTICACcedilAtildeO E GERENCIAMENTO DE SESSAtildeO
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedia
Prevalecircncia Generalizada
Detecccedilatildeo Meacutedia
Impacto Moderado
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
XSS Eacute A MAIS PREDOMINANTE FALHA DE SEGURANCcedilA EM APLICACcedilOtildeES WEB AS FALHAS DE XSS OCORREM QUANDO UMA APLICACcedilAtildeO INCLUI OS DADOS
FORNECIDOS PELO USUAacuteRIO NA PAacuteGINA ENVIADOS AO NAVEGADOR SEM A VALIDACcedilAtildeO OU FILTRO APROPRIADOS DESSE CONTEUacuteDO
PROBLEMA
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwvulsitewelcomehtmlname=fulano
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
UM APLICATIVO WEB QUE RECEBA UM PARAcircMETRO ldquoNOMErdquo CONTENDO A IDENTIFICACcedilAtildeO DO USUAacuteRIO LEGIacuteTIMO E APRESENTE O CONTEUacuteDO SEM
QUAISQUER FILTROS
httpwwwexamplecomwelcomehtmlname=ltscriptgtalert(documentcookie)ltscriptgt
echo lsquolth1gtOlaacute usuaacuterio lsquo + getParameter(lsquonamersquo) + lsquolth1gt
A3 - CROSS-SITE SCRIPTING (XSS)
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
EVITAR XSS REQUER A SEPARACcedilAtildeO DO DADO NAtildeO-CONFIAacuteVEL DO CONTEUacuteDO ATIVO NO NAVEGADOR
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
1 A OPCcedilAtildeO APROPRIADA Eacute FILTRAR ADEQUADAMENTE TODOS OS DADOS NAtildeO-CONFIAacuteVEIS COM BASE NO CONTEXTO HTML (CORPO ATRIBUTO JAVASCRIPT CSS OU
URL) NO QUAL OS DADOS SERAtildeO COLOCADOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
2 ldquoLISTA BRANCA OU VALIDACcedilAtildeO DE ENTRADA TAMBEacuteM Eacute RECOMENDADA POIS AJUDA A PROTEGER CONTRA XSS MAS NAtildeO Eacute UMA DEFESA COMPLETA JAacute QUE MUITAS
APLICACcedilOtildeES REQUEREM CARACTERES ESPECIAIS EM SUA ENTRADA TAL VALIDACcedilAtildeO DEVE TANTO QUANTO POSSIacuteVEL VALIDAR O TAMANHO CARACTERES FORMATO E AS
REGRAS DE NEGOacuteCIO SOBRE OS DADOS ANTES DE ACEITAR A ENTRADA
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A3 - CROSS-SITE SCRIPTING (XSS)
3 CONSIDERE A CONTENT SECURITY POLICY (CSP) PARA SE DEFENDER CONTRA XSS EM TODO O SEU SITE
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE USAM O NOME REAL OU A CHAVE DE UM OBJETO AO GERAR PAacuteGINAS WEB APLICACcedilOtildeES NEM SEMPRE VERIFICAM SE O USUAacuteRIO Eacute AUTORIZADO PARA O OBJETO ALVO ISTO RESULTA NUMA FALHA DE REFEREcircNCIA INSEGURA E DIRETA A UM OBJETO
PROBLEMA
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
ATACANTES MANIPULAM PARAcircMETROS DE MANEIRA A ALTERAR AS REFEREcircNCIAS CONSEGUINDO ASSIM ACESSO A DIRETOacuteRIOS OU OUTROS RECURSOS DA
APLICACcedilAtildeO
Tal coacutedigo pode ser atacado usando uma string como ldquoetcpasswd00rdquo
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
1 USO DE REFEREcircNCIA INDIRETAS A OBJETOS POR USUAacuteRIO OU SESSAtildeO ISSO IMPEDE QUE O ATACANTE ATINJA DIRETAMENTE OS RECURSOS NAtildeO AUTORIZADOS
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeOPOR EXEMPLO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
EM VEZ DE UTILIZAR A CHAVE DE BANCO DE DADOS DO RECURSO UMA LISTA DE SEIS RECURSOS AUTORIZADOS PARA O USUAacuteRIO ATUAL PODERIA UTILIZAR OS NUacuteMEROS DE 1 A 6 PARA INDICAR QUAL VALOR O USUAacuteRIO SELECIONOU A APLICACcedilAtildeO TEM QUE MAPEAR AS REFEREcircNCIAS INDIRETAS POR USUAacuteRIO DE VOLTA PARA A CHAVE DO BANCO DE DADOS REAL NO SERVIDOR
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A4 - REFEREcircNCIA INSEGURA E DIRETA A OBJETOS
2 VERIFICAR O ACESSO CADA UTILIZACcedilAtildeO DE UMA REFEREcircNCIA DIRETA A OBJETO DE UMA ORIGEM NAtildeO CONFIAacuteVEL DEVE INCLUIR UMA VERIFICACcedilAtildeO DE CONTROLE DE ACESSO PARA GARANTIR QUE O USUAacuteRIO ESTAacute AUTORIZADO PARA O OBJETO REQUISITADO
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
CONFIGURACcedilOtildeES INCORRETAS PODEM ACONTECER EM QUALQUER NIacuteVEL DA PILHA DA APLICACcedilAtildeO INCLUINDO A PLATAFORMA SERVIDOR WEB SERVIDOR DE APLICACcedilAtildeO BANCO DE DADOS FRAMEWORK E COacuteDIGO PERSONALIZADO
PROBLEMA
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
O console de administraccedilatildeo do servidor de aplicaccedilatildeo eacute instalado automaticamente e natildeo eacute removido Contas padratildeo natildeo satildeo
alteradas Atacantes descobrem as paacuteginas padratildeo de administraccedilatildeo que estatildeo em seu servidor fazem login com
senhas padratildeo e assumem o acesso do ambiente
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO 1 UM PROCESSO DE HARDENING RECORRENTE QUE TORNE FAacuteCIL E RAacutePIDO DE IMPLANTAR OUTRO AMBIENTE QUE ESTAacute DEVIDAMENTE BLINDADO AMBIENTES DE DESENVOLVIMENTO CONTROLE DE QUALIDADE E PRODUCcedilAtildeO DEVEM SER TODOS CONFIGURADOS DE FORMA IDEcircNTICA (COM SENHAS DIFERENTES USADAS EM CADA AMBIENTE) ESTE PROCESSO DEVE SER AUTOMATIZADO PARA MINIMIZAR O ESFORCcedilO NECESSAacuteRIO PARA CONFIGURAR UM NOVO AMBIENTE SEGURO
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
2 UM PROCESSO PARA SE MANTER A PAR E IMPLANTAR TODAS AS NOVAS ATUALIZACcedilOtildeES E CORRECcedilOtildeES DE SOFTWARE EM TEMPO HAacuteBIL E EM PARA CADA AMBIENTE ESTE PROCESSO DEVE INCLUIR TODAS AS BIBLIOTECAS DE COacuteDIGO (VER NOVO A9)
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
3 UMA ARQUITETURA DE APLICACcedilAtildeO FORTE QUE FORNECcedilA A SEPARACcedilAtildeO SEGURA E EFICAZ ENTRE OS COMPONENTES
OWASPOpen Web Application
Security Project
A5 - CONFIGURACcedilAtildeO INCORRETA DE SEGURANCcedilA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Difiacutecil
Prevalecircncia Rara
Detecccedilatildeo Meacutedia
Impacto Severo
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
A FALHA MAIS COMUM Eacute SIMPLESMENTE NAtildeO CRIPTOGRAFAR DADOS SENSIacuteVEIS QUANDO A CRIPTOGRAFIA Eacute UTILIZADA A GERACcedilAtildeO E GERENCIAMENTO DE CHAVES Eacute FRACA ALEacuteM DA UTILIZACcedilAtildeO DE ALGORITMOS E TEacuteCNICAS DE HASHING FRACOS
PROBLEMA
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
Um site simplesmente natildeo usa SSL em todas as paacuteginas autenticadas O atacante simplesmente monitora o traacutefego de
rede (como uma rede wireless aberta) e rouba o cookie de sessatildeo do usuaacuterio O atacante entatildeo reproduz este cookie e
sequestra a sessatildeo do usuaacuterio acessando dados privados do mesmo
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
1 CONSIDERANDO QUE VOCEcirc PRETENDE PROTEGER OS DADOS DE AMEACcedilAS (COMO POR EXEMPLO ATAQUE INTERNO OU DE USUAacuteRIO EXTERNO) TENHA A CERTEZA DE CRIPTOGRAFAR TODOS OS DADOS SENSIacuteVEIS EM REPOUSO E EM TRAcircNSITO DE UMA FORMA QUE INIBA ESTAS AMEACcedilAS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
2 NAtildeO ARMAZENE DADOS SENSIacuteVEIS DESNECESSARIAMENTE DESCARTE-OS O MAIS RAacutePIDO POSSIacuteVEL DADOS QUE VOCEcirc NAtildeO TEM NAtildeO PODEM SER ROUBADOS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
3 CERTIFIQUE-SE QUE O NIacuteVEL UTILIZADO NOS ALGORITMOS E CHAVES SAtildeO FORTES E QUE O GERENCIAMENTO DE CHAVES ESTAacute APLICADO ADEQUADAMENTE CONSIDERE UTILIZAR OS MOacuteDULOS CRIPTOGRAacuteFICOS VALIDADOS DO FIPS-140
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
4 CERTIFIQUE-SE QUE AS SENHAS SAtildeO ARMAZENADAS COM UM ALGORITMO PROJETADO ESPECIALMENTE PARA A PROTECcedilAtildeO DE SENHAS COMO O BCRYPT PBKDF2 OU SCRYPT
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
5 DESABILITE O AUTOCOMPLETAR EM FORMULAacuteRIOS DE COLETA DE DADOS SENSIacute- VEIS E DESABILITE O CACHE EM PAacuteGINAS QUE CONTENHAM DADOS SENSIacuteVEIS
OWASPOpen Web Application
Security Project
A6 - EXPOSICcedilAtildeO DE DADOS SENSIacuteVEIS
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Faacutecil
Prevalecircncia Comum
Detecccedilatildeo Meacutedio
Impacto Moderado
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES NEM SEMPRE PROTEGEM ADEQUADAMENTE AS FUNCcedilAtildeO DE APLICACcedilAtildeO AgraveS VEZES A PROTECcedilAtildeO EM NIacuteVEL DE FUNCcedilAtildeO Eacute GERENCIADA VIA CONFIGURACcedilAtildeO E O SISTEMA Eacute MAL CONFIGURADO AgraveS VEZES DESENVOLVEDORES DEVEM INCLUIR VERIFICACcedilOtildeES DE COacuteDIGO ADEQUADAS E ELES ESQUECEM
PROBLEMA
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
httpexamplecomappgetappInfo httpexamplecomappadmin_getappInfo
O ATACANTE SIMPLESMENTE FORCcedilA A NAVEGACcedilAtildeO PELAS URLS ALVO AS SEGUINTES URLS EXIGEM AUTENTICACcedilAtildeO DIREITOS DE ADMINISTRADOR TAMBEacuteM SAtildeO EXIGIDOS PARA ACESSAR A PAacuteGINA ldquoADMIN_GETAPPINFOrdquo
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
1 PENSE SOBRE O PROCESSO PARA GERENCIAR OS DIREITOS E GARANTIR QUE VOCEcirc POSSA ATUALIZAR E AUDITAR FACILMENTE NAtildeO CODIFIQUE DIRETAMENTE
2 A EXECUCcedilAtildeO DE MECANISMOS DEVE NEGAR TODO O ACESSO POR PADRAtildeO EXIGINDO DIREITOS EXPLIacuteCITOS PARA PAPEacuteIS ESPECIacuteFICOS NO ACESSO A TODAS AS FUNCcedilOtildeES
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A7 - FALTA DE FUNCcedilAtildeO PARA CONTROLE DO NIacuteVEL DE ACESSO
3 SE A FUNCcedilAtildeO ESTAacute ENVOLVIDA EM UM FLUXO DE TRABALHO VERIFIQUE PARA TER CERTEZA SE AS CONDICcedilOtildeES ESTAtildeO EM ESTADO ADEQUADO PARA PERMITIR ACESSO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Comum
Detecccedilatildeo Faacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
O CSRF SE APROVEITA DO FATO DE QUE A MAIORIA DAS APLICACcedilOtildeES WEB PERMITEM QUE OS ATACANTES PREVEJAM TODOS OS DETALHES DE UMA ACcedilAtildeO PARTICULAR DA APLICACcedilAtildeO COMO OS NAVEGADORES AUTOMATICAMENTE TRAFEGAM CREDENCIAIS COMO COOKIES DE SESSAtildeO OS ATACANTES PODEM CRIAR PAacuteGINAS WEB MALICIOSAS QUE GERAM REQUISICcedilOtildeES FORJADAS INDISTINGUIacuteVEIS DAS LEGIacuteTIMAS
PROBLEMA
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
httpexemplocomapptransferirFundosquantia=1500 ampcontaDestino=4673243243
A APLICACcedilAtildeO PERMITE QUE UM USUAacuteRIO SUBMETA UMA REQUISICcedilAtildeO DE MUDANCcedilA DE ESTADO QUE NAtildeO INCLUI QUALQUER SEGREDO POR EXEMPLO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
ltimg src=httpexemplocomapptransferirFundos quantia=1500ampcontaDestino=contaAtacanteldquo width=0 height=0 gt
COM ISSO O ATACANTE CONSTROacuteI UMA REQUISICcedilAtildeO QUE IRAacute TRANSFERIR DINHEIRO DA CONTA DA VIacuteTIMA PARA A CONTA DO ATACANTE E ENTAtildeO INCORPORA ESTE ATAQUE EM UMA REQUISICcedilAtildeO ARMAZENADA EM UMA IMAGEM OU IFRAME EM VAacuteRIOS SITES SOB O CONTROLE DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
SE A VIacuteTIMA VISITAR QUALQUER UM DOS SITES DO ATACANTE ENQUANTO ESTIVER AUTENTICADO EM EXEMPLOCOM ESSAS REQUISICcedilOtildeES FORJADAS IRAtildeO INCLUIR AUTOMATICAMENTE INFORMACcedilOtildeES DE SESSAtildeO DO USUAacuteRIO AUTORIZANDO O PEDIDO DO ATACANTE
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A PREVENCcedilAtildeO DE UM CSRF GERALMENTE REQUER A INCLUSAtildeO DE UM TOKEN IMPREVISIacuteVEL EM CADA REQUISICcedilAtildeO HTTP TAIS TOKENS DEVEM NO MIacuteNIMO SER UacuteNICOS POR SESSAtildeO DE USUAacuteRIO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 A OPCcedilAtildeO PREFERIDA CONSISTE EM INCLUIR UM TOKEN UacuteNICO EM UM CAMPO OCULTO ISSO FAZ COM QUE O VALOR SEJA ENVIADO NO CORPO DA REQUISICcedilAtildeO HTTP EVITANDO-SE A SUA INSERCcedilAtildeO NA URL QUE Eacute MAIS PROPENSA A EXPOSICcedilAtildeO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
2 O TOKEN UacuteNICO PODE SER INCLUIacuteDO NA PROacutePRIA URL OU EM PARAcircMETROS DA URL CONTUDO TAL POSICIONAMENTO CORRE UM RISCO MAIOR JAacute QUE A URL SERAacute EXPOSTA AO ATACANTE COMPROMETENDO ASSIM O TOKEN SECRETO
A8 - CROSS-SITE REQUEST FORGERY (CSRF)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Generalizada
Detecccedilatildeo Difiacutecil
Impacto Moderado
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
VIRTUALMENTE TODAS APLICACcedilOtildeES POSSUEM ESTES PROBLEMAS PORQUE A MAIORIA DOS TIMES DE DESENVOLVIMENTO NAtildeO FOCAM EM GARANTIR QUE SEUS COMPONENTES EOU BIBLIOTECAS ESTEJAM ATUALIZADOS EM MUITOS CASOS OS DESENVOLVEDORES SEQUER CONHECEM TODOS OS COMPONENTES QUE ESTAtildeO USANDO MUITO MENOS SUAS VERSOtildeES
PROBLEMA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
MUITOS PROJETOS DE COMPONENTES NAtildeO CRIAM CORRECcedilOtildeES DE VULNERABILIDADES PARA VERSOtildeES ANTIGAS EM VEZ DISSO Eacute MAIS SIMPLES CORRIGIR O PROBLEMA NA PROacuteXIMA VERSAtildeO ENTAtildeO ATUALIZAR PARA ESSAS NOVAS VERSOtildeES Eacute CRIacuteTICO PROJETOS DE SOFTWARE DEVEM TER PROCESSOS PARA
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
A) IDENTIFICAR TODOS OS COMPONENTES E AS VERSOtildeES QUE VOCEcirc ESTAacute UTILIZANDO INCLUINDO TODAS AS DEPENDEcircNCIAS (EX VERSOtildeES DOS PLUGINS)
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
B) MONITORAR A SEGURANCcedilA DESSES COMPONENTES EM BANCO DE DADOS PUacuteBLICOS LISTAS DE E-MAIL DE PROJETOS E SEGURANCcedilA E MANTEcirc-LOS ATUALIZADOS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
C) ESTABELECER POLIacuteTICAS DE SEGURANCcedilA QUE DEFINAM O USO DO COMPONENTE ASSIM COMO EXIGIR CERTAS PRAacuteTICAS DE DESENVOLVIMENTO DE SOFTWARE PASSANDO EM TESTES DE SEGURANCcedilA E LICENCcedilAS ACEITAacuteVEIS
A9 - UTILIZACcedilAtildeO DE COMPONENTES VULNERAacuteVEIS CONHECIDOS
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
Agente da Ameaccedila Vetor de Ataque Vulnerabilidade Impactos Teacutecnicos Impactos de
Negoacutecios
Exploraccedilatildeo Meacutedio
Prevalecircncia Rara
Detecccedilatildeo Faacutecil
Impacto Moderado
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
APLICACcedilOtildeES FREQUENTEMENTE REDIRECIONAM USUAacuteRIOS PARA OUTRAS PAacuteGINAS OU USAM ENCAMINHAMENTOS INTERNOS DE UMA MANEIRA SIMILAR POR VEZES A PAacuteGINA DE DESTINO Eacute ESPECIFICADA ATRAVEacuteS DE UM PARAcircMETRO QUE NAtildeO Eacute VALIDADO PERMITINDO QUE O ATACANTE ESCOLHA ESSA PAacuteGINA DE DESTINO
PROBLEMA
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
OWASPOpen Web Application
Security Project
A APLICACcedilAtildeO POSSUI UMA PAacuteGINA CHAMADA ldquoREDIRECTJSPrdquo QUE RECEBE APENAS UM PARAcircMETRO ldquoURLrdquo O ATACANTE CRIA UMA URL MALICIOUSA QUE REDIRECIONA OS USUAacuteRIOS PARA O SITE MALICIOSO QUE EXECUTA PHISHING E INSTALA MALWARE
httpwwwexamplecomredirectjspurl=evilcom
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
USO SEGURO DE REDIRECIONAMENTOS E ENCAMINHAMENTOS PODE SER FEITO DE VAacuteRIAS FORMAS
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
SOLUCcedilAtildeO
OWASPOpen Web Application
Security Project
1 SIMPLESMENTE EVITAR USAacute-LOS
2 SE FOREM USADOS NAtildeO ENVOLVA PARAcircMETROS DO USUAacuteRIO NO CAacuteLCULO DO DESTINO NORMALMENTE ISTO PODE SER FEITO
3 SE OS PARAcircMETROS DE DESTINO NAtildeO PODEM SER EVITADOS TENHA CERTEZA QUE O VALOR FORNECIDO Eacute VAacuteLIDO E AUTORIZADO PARA O USUAacuteRIO
A10 -REDIRECIONAMENTOS E ENCAMINHAMENTOS INVAacuteLIDOS
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016
THE WebSec2016
BIBLIOGRAacuteFIA INTRODUCcedilAtildeO MIT HTTPOCWMITEDUCOURSESELECTRICAL-ENGINEERING-AND-COMPUTER-SCIENCE6-858-COMPUTER-SYSTEMS-SECURITY-FALL-2014LECTURE-NOTES
PRINCIPAIS ERROS OWASP HTTPSWWWOWASPORGINDEXPHPTOP_10_2013-TOP_10
CSRF CAELUM HTTPBLOGCAELUMCOMBRPROTEGENDO-SUA-APLICACAO-WEB-CONTRA-CROSS-SITE-REQUEST-FORGERYCSRF
THE WebSec2016