Suche senden
Hochladen
Como Fazer Apps Node.Js Seguras
•
3 gefällt mir
•
1,729 views
Paulo Pires
Folgen
Talk apresentado no segundo Meetup de Node.JS de São Paulo.
Weniger lesen
Mehr lesen
Technologie
Melden
Teilen
Melden
Teilen
1 von 46
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
Segurança na web
Segurança na web
Kaito Queiroz
Workshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
Testes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
Desenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
Empfohlen
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
AppSec Latam 2011 - Treinamento OWASP Top 10 + JavaEE
Magno Logan
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
Alex Camargo
Segurança na web
Segurança na web
Kaito Queiroz
Workshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
Testes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
Desenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
Segurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
Webgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
Alcyon Ferreira de Souza Junior, MSc
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
Alexandre Jesus Marcolino
THE WebSec
THE WebSec
Kelvin Campelo
PHP Seguro em 2013
PHP Seguro em 2013
Patrick Kaminski
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
Web Hacking
Web Hacking
Denny Vriesman
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Rubens Guimarães - MTAC MVP
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
Segurança em php
Segurança em php
COTIC-PROEG (UFPA)
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
Weitere ähnliche Inhalte
Was ist angesagt?
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Magno Logan
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Alcyon Ferreira de Souza Junior, MSc
Segurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Alcyon Ferreira de Souza Junior, MSc
Webgoat Project - Apresentação
Webgoat Project - Apresentação
Décio Castaldi, MBA/FIAP
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
Alcyon Ferreira de Souza Junior, MSc
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Pablo Ribeiro
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
Alexandre Jesus Marcolino
THE WebSec
THE WebSec
Kelvin Campelo
PHP Seguro em 2013
PHP Seguro em 2013
Patrick Kaminski
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Alcyon Ferreira de Souza Junior, MSc
Web Hacking
Web Hacking
Denny Vriesman
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Rubens Guimarães - MTAC MVP
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
Was ist angesagt?
(20)
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner Elias
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Webgoat como ferramenta de aprendizado
Webgoat como ferramenta de aprendizado
Defensive Programming - by Alcyon Junior
Defensive Programming - by Alcyon Junior
Segurança em Aplicações Web
Segurança em Aplicações Web
Como se tornar um especialista em Desenvolvimento Seguro de Software
Como se tornar um especialista em Desenvolvimento Seguro de Software
Webgoat Project - Apresentação
Webgoat Project - Apresentação
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Explorando 5 falhas graves de segurança que todos programadores cometem
Explorando 5 falhas graves de segurança que todos programadores cometem
Teste de segurança em aplicações web ( sites )
Teste de segurança em aplicações web ( sites )
Segurança de Aplicações WEB e OpenSource
Segurança de Aplicações WEB e OpenSource
THE WebSec
THE WebSec
PHP Seguro em 2013
PHP Seguro em 2013
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Dica 02 - Como mitigar os ataques de SQL Injection em aplicações WEB
Web Hacking
Web Hacking
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
Desenvolvimento Web - Palestra Coding Night #3 - Microsoft
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Ähnlich wie Como Fazer Apps Node.Js Seguras
Segurança em php
Segurança em php
COTIC-PROEG (UFPA)
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
William Costa
Xss
Xss
gustavopaulo123
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
Carlos Henrique Martins da Silva
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Luis Asensio
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Luis Asensio
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Tchelinux
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
Juliano Padilha
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
Magno Logan
A1 - Sql Injection na Prática Parte 01
A1 - Sql Injection na Prática Parte 01
Reinaldo Junior
TDC 2011 - Arquitetura de desfesa contra injeção de SQL
TDC 2011 - Arquitetura de desfesa contra injeção de SQL
Luis Asensio
MobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile Seguro
Augusto Marinho
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
Kleitor Franklint Correa Araujo
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
CJR, UnB
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
GUTS-RS
Soluções de segurança Cibernética
Soluções de segurança Cibernética
Cisco do Brasil
Website security
Website security
thiagosenac
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
Dércio Luiz Reis
Ähnlich wie Como Fazer Apps Node.Js Seguras
(20)
Segurança em php
Segurança em php
Hacking em consoles webs de security appliances, h2hc-rev-2
Hacking em consoles webs de security appliances, h2hc-rev-2
Xss
Xss
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma Aplicação PHP à Prova de Balas
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Construindo uma aplicação PHP à Prova de Balas - Rafael Jaques
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
OWASP Top 10 2010 para JavaEE (pt-BR)
OWASP Top 10 2010 para JavaEE (pt-BR)
A1 - Sql Injection na Prática Parte 01
A1 - Sql Injection na Prática Parte 01
TDC 2011 - Arquitetura de desfesa contra injeção de SQL
TDC 2011 - Arquitetura de desfesa contra injeção de SQL
MobileConf2013 - Desenvolvimento Mobile Seguro
MobileConf2013 - Desenvolvimento Mobile Seguro
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
CJR Apresenta: OWASP TOP10
CJR Apresenta: OWASP TOP10
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
Soluções de segurança Cibernética
Soluções de segurança Cibernética
Website security
Website security
Desenvolvimento de Aplicações Web Seguras
Desenvolvimento de Aplicações Web Seguras
Mehr von Paulo Pires
GraphQL 101
GraphQL 101
Paulo Pires
Side Effects: Uma Saga até o React
Side Effects: Uma Saga até o React
Paulo Pires
MobX: State Management made easy
MobX: State Management made easy
Paulo Pires
We Work Remotely!
We Work Remotely!
Paulo Pires
Angular 2
Angular 2
Paulo Pires
NodeBR, um ano memoravel!
NodeBR, um ano memoravel!
Paulo Pires
JS Mad Science
JS Mad Science
Paulo Pires
Node.js and Google Cloud
Node.js and Google Cloud
Paulo Pires
Go e MongoDB
Go e MongoDB
Paulo Pires
ES6
ES6
Paulo Pires
Node não é filme de Terror
Node não é filme de Terror
Paulo Pires
A vida além do jQuery
A vida além do jQuery
Paulo Pires
Mehr von Paulo Pires
(12)
GraphQL 101
GraphQL 101
Side Effects: Uma Saga até o React
Side Effects: Uma Saga até o React
MobX: State Management made easy
MobX: State Management made easy
We Work Remotely!
We Work Remotely!
Angular 2
Angular 2
NodeBR, um ano memoravel!
NodeBR, um ano memoravel!
JS Mad Science
JS Mad Science
Node.js and Google Cloud
Node.js and Google Cloud
Go e MongoDB
Go e MongoDB
ES6
ES6
Node não é filme de Terror
Node não é filme de Terror
A vida além do jQuery
A vida além do jQuery
Como Fazer Apps Node.Js Seguras
1.
Como Fazer Apps
Node.Js SEGURAS
2.
@paulo_hp
3.
4.
Eu não sou
um especialista em segurança web!
5.
Como você inicia uma aplicação?
6.
Muita Coisa Pra Pensar
7.
Regras de Negócio Modelagem Frameworks? Node.JS?
8.
Você trabalha igual louco e
coloca o app em produção
9.
+ usuários + visibilidade +
exposição
10.
Você fica vulnerável
11.
SE GU RAN ÇA?
12.
Segurança quase nunca entra
em pauta!
13.
Maioria dos ataques acontecem
na camada de aplicação
14.
Como prevenir esses ataques em
nossos apps Node.JS?
15.
Defesa
16.
XSS
17.
localhost:8000/?name=<script>alert(1)</script>
18.
Encode Untrusted Data
19.
SSJSi
20.
eval() is evil
21.
{"symbol" : "ASDF"} A
chamada para eval avalia assim a string: ({"symbol" : "ASDF"})
22.
Mas se ao
invés de um simples JSON, o atacante enviar um código JS malicioso?
23.
res.end('success')
24.
O servidor executa esse
comando, retornando o texto "success" como resposta HTTP.
25.
Com essa resposta, o
atacante sabe que seu server é vulnerável.
26.
E assim ele
pode enviar códigos que realmente causam estragos.
27.
DoS*deprecated
28.
Um ataque efetivo
DoS pode ser executado simplesmente enviando um comando
29.
while(1)
30.
Um descuido como esse
pode dar acesso aos arquivos, processos e até ao seu banco NoSQL
31.
Algumas pequenas coisas podem
ser feitas para evitar, como validar inputs com RegEx e evitando o uso de eval()
32.
e se você usa versão
antiga, ATUALIZE!
33.
CSRF
34.
Ativando o uso
de CSRF no Express.JS
35.
app.js form.html
36.
Garanta o uso
correto dos metodos HTTP
37.
Nomes de Cookies Genéricos
38.
39.
X-Powerd-By
40.
Esse valor não
interessa muito pra nós, e pode ser removido facilmente
41.
42.
Avalie os módulos externos
do NPM
43.
nodesecurity.io
44.
Eduque os desenvolvedores com
OWASP Top 10 owasp.org
45.
Inclua testes de
segurança no ciclo de desenvolvimento
46.
vlw :D
Jetzt herunterladen