2. Development Pitfalls
2/ 34
®
Quem sou ?
Antonio Costa “Cooler_”
●
Experiência de 4 anos em desenvolvimento de sistemas web
e web spiders em geral, automações diversas, soluções
diversas para problemas em unix...
●
Desenvolvedor, pesquisador...
●
Faço parte do grupo de pesquisa BugSec.
●
Programador em ASM, C, C++,Common
Lisp(SBCL,Clisp),Perl,PHP,Python...
●
Trabalho na CONVISO.
https://github.com/CoolerVoid/
http://code.google.com/p/bugsec/
@Cooler_freenode
8. Development Pitfalls
8/ 34
®
Qual é o problema ?
● Lista para gerar captcha
● Obviamente o atacante vai usar a lista
● Cada informação acaba sendo útil...
22. Development Pitfalls
22/ 34
®
Boas práticas
● Leia documentação
● Não use funções “deprecated”
● Resolva os “Warnings”
● Faça validação de todas as entradas de dados
● Procure saber se foi feito “Hardening” no ambiente
● Use políticas para forçar complexidade nas senhas
● Não deixe a público informações desnecessárias
● Use SSL ao transportar dados
● Se necessário técnicas anti-tampering
● Teste o software de todas as formas possíveis
…
● Contrate um serviço para Pentest de tempos em tempos...
23. Development Pitfalls
23/ 34
®
Procure boas práticas...
Exemplo para evitar memory leaks
● Em “C”:
char *x=(char *)malloc(sizeof(char)*20);
...
free(x);
● Em “C++”:
int *x=(int *)new int;
…
● delete x;
● Use o “Valgrind” para auditar a memória...
29. Development Pitfalls
29/ 34
®
Conheça a OWASP
● O que é Owasp?
● Open Web Application Security Project (OWASP)
● Uma entidade sem fins lucrativos e de reconhecimento
internacional.
● Reúne informações importantes para permitir
avaliar riscos de segurança e combater formas
de ataques através da internet.
● www.owasp.org
32. Development Pitfalls
32/ 34
®
● I'm trying to free your mind, Neo. But I can only
show you the door. You're the one that has to
walk through it.
● “Morpheus - The Matrix”