SlideShare ist ein Scribd-Unternehmen logo

Vul sec-web-campus party2011 v2-reserved copy

C
Campus Party Brasil
1 von 51
Downloaden Sie, um offline zu lesen
Campus Party Brasil - 2011 Vulnerabilidades e Segurança em Aplicações Web Leonardo Andrade Nelson Novaes Neto
A Web é 100% BUG Free? All rights reserved.
O gigante adormecido...
Quem quer dinheiro?
Como acessar informações de 1 milhão de amigos?
Como acessar informações de 1 milhão de amigos? “...Within just 20 hours of its October 4, 2005 release, over one million users had run the payload, making Samy one of the fastest spreading viruses of all time...
Vulnerabilidade no Controle de Privacidade?
Vetores de Ataques (TrustWave, 2011)
Código = Dinheiro? “...o custo total de falhas de segurança é de aproximadamente 180 bilhões de doláres ao ano.” (Rice, 2010)
Quais são os riscos? All rights reserved.
Quais são os riscos? ‣ Segurança? All rights reserved.
Quais são os riscos? ‣ Segurança? ‣ Privacidade? All rights reserved.
Quais são os riscos? ‣ Segurança? ‣ Privacidade? ‣ Financeiro? All rights reserved.
Quais são os riscos? ‣ Segurança? ‣ Privacidade? ‣ Financeiro? All rights reserved. ‣ Outros?
Quais são os riscos? ‣ Segurança? ‣ Privacidade? ‣ Financeiro? All rights reserved. ‣ Outros? ‣ Quem paga o Bug?
Quais são os riscos? ‣ Segurança? ‣ Privacidade? ‣ Financeiro? All rights reserved. ‣ Outros? ‣ Quem paga o Bug? ‣ DO IT RIGHT!
0 Bugs + Segurança + Privacidade + WAF + IPS + Firewall + $$$ All rights reserved.
No Silver Bullet All rights reserved.
Como trabalhar juntos? All rights reserved.
Responsabilidade Social All rights reserved.
Segurança em Profundidade All rights reserved.
Secure Development Lifecycle Fonte: Software Security - Building Security In (Gary McGraw, 2006)
$./Behavior-based-safety --help | grep “Análise do Comportamento” (McSween, 2003) All rights reserved.
Educação All rights reserved.
International Information Systems Security Certification Consortium (ISC)2 http://www.isc2.org
Ferramentas de Trabalho http://www.cert.br
Ferramentas de Trabalho http://www.cert.br
Ferramentas de Trabalho http://www.cert.br
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Ferramentas de Trabalho
Open Web Application Security Project http://owasp.org
Open Web Application Security Project http://owasp.org
Open Web Application Security Project http://owasp.org
Open Web Application Security Project http://owasp.org
Open Web Application Security Project http://owasp.org
Microsoft - Melhorias de Segurança Mensuráveis
O final será mais econômico, considerando: All rights reserved.
O final será mais econômico, considerando: ‣ Redução do retrabalho All rights reserved.
O final será mais econômico, considerando: ‣ Redução do retrabalho ‣ Teamwork All rights reserved.
O final será mais econômico, considerando: ‣ Redução do retrabalho ‣ Teamwork ‣ Aspectos legais All rights reserved.
O final será mais econômico, considerando: ‣ Redução do retrabalho ‣ Teamwork ‣ Aspectos legais All rights reserved. ‣ Credibilidade da marca
O final será mais econômico, considerando: ‣ Redução do retrabalho ‣ Teamwork ‣ Aspectos legais All rights reserved. ‣ Credibilidade da marca ‣ Gestão de Risco
O final será mais econômico, considerando: ‣ Redução do retrabalho ‣ Teamwork ‣ Aspectos legais All rights reserved. ‣ Credibilidade da marca ‣ Gestão de Risco ‣ Seu sucesso!
Scripture, 1895
Educação + Segurança + Privacidade All rights reserved.
Educação + Segurança + Privacidade A nossa Web pode ser 10! All rights reserved.
Obrigado! Leonardo Andrade <leonardobuonsanti@uol.com.br> Nelson Novaes Neto <nnovaes@psyzone.org>

Empfohlen

Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?
Vitor Melo
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
Pedro Ivo Lima
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.
Pedro Ivo Lima
 
Mitos, Verdades, Proteção? Por onde Começar?
Mitos, Verdades, Proteção? Por onde Começar?Mitos, Verdades, Proteção? Por onde Começar?
Mitos, Verdades, Proteção? Por onde Começar?
Gonzalo Torres
 
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
PhishX
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Campus Party Brasil
 
Android: Conheça o Futuro Inevitável
Android: Conheça o Futuro InevitávelAndroid: Conheça o Futuro Inevitável
Android: Conheça o Futuro Inevitável
Campus Party Brasil
 
Terapia ocupacional com games
Terapia ocupacional com gamesTerapia ocupacional com games
Terapia ocupacional com games
Campus Party Brasil
 

Empfohlen

Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?Estamos levando a Segurança da Informação a sério?
Estamos levando a Segurança da Informação a sério?
Vitor Melo
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
Pedro Ivo Lima
 
A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.A ameaça real do Phishing em nossas vidas.
A ameaça real do Phishing em nossas vidas.
Pedro Ivo Lima
 
Mitos, Verdades, Proteção? Por onde Começar?
Mitos, Verdades, Proteção? Por onde Começar?Mitos, Verdades, Proteção? Por onde Começar?
Mitos, Verdades, Proteção? Por onde Começar?
Gonzalo Torres
 
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
Palestra sobre Cybersecurity para Startups no CUBO Talks - Realizada em 09/Ab...
PhishX
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Campus Party Brasil
 
Android: Conheça o Futuro Inevitável
Android: Conheça o Futuro InevitávelAndroid: Conheça o Futuro Inevitável
Android: Conheça o Futuro Inevitável
Campus Party Brasil
 
Terapia ocupacional com games
Terapia ocupacional com gamesTerapia ocupacional com games
Terapia ocupacional com games
Campus Party Brasil
 
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
Rubens Guimarães - MTAC MVP
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
Roney Médice
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
Bravo Tecnologia
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
Vinicius Oliveira Ferreira
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Andre Henrique
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
Rodrigo Jorge
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produto
riciericasadey
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Hardening: Concepts and Techniques
Hardening: Concepts and TechniquesHardening: Concepts and Techniques
Hardening: Concepts and Techniques
Michel Alves
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
TI Safe
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
DeServ - Tecnologia e Servços
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
Andre Henrique
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
Paulo Renato Lopes Seixas
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008
amirahamia
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
Sidney Modenesi, MBCI
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
Enrique Gustavo Dutra
 
A Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtosA Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtos
Christian Zambra
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
tdc-globalcode
 
Semeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João RamosSemeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João Ramos
Instituto da Transformação Digital
 
Wordpress
WordpressWordpress
Wordpress
Campus Party Brasil
 
Buracos negros
Buracos negrosBuracos negros
Buracos negros
Campus Party Brasil
 

Weitere ähnliche Inhalte

Ähnlich wie Vul sec-web-campus party2011 v2-reserved copy

Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
Roney Médice
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
Vinicius Oliveira Ferreira
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
Andre Henrique
 

Ähnlich wie Vul sec-web-campus party2011 v2-reserved copy (20)

Segurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas ProfissionaisSegurança no Desenvolvimento WEB - Técnicas Profissionais
Segurança no Desenvolvimento WEB - Técnicas Profissionais
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Por quê o software continua inseguro?
Por quê o software continua inseguro?Por quê o software continua inseguro?
Por quê o software continua inseguro?
 
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de SoftwaresPalestra: Fundamentos do Desenvolvimento Seguro de Softwares
Palestra: Fundamentos do Desenvolvimento Seguro de Softwares
 
in Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestoresin Seguranca da Informação - Desafio para novos gestores
in Seguranca da Informação - Desafio para novos gestores
 
cEYE | Apresentação do Produto
cEYE | Apresentação do ProdutocEYE | Apresentação do Produto
cEYE | Apresentação do Produto
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Hardening: Concepts and Techniques
Hardening: Concepts and TechniquesHardening: Concepts and Techniques
Hardening: Concepts and Techniques
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
CLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo CardosoCLASS 2016 - Palestra Leonardo Cardoso
CLASS 2016 - Palestra Leonardo Cardoso
 
Apresentação GVTech
Apresentação GVTechApresentação GVTech
Apresentação GVTech
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008Gestão de riscos abnt sp-15999-1_3jun2008
Gestão de riscos abnt sp-15999-1_3jun2008
 
Requisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informaçãoRequisitos da continuidade (dos negócios) na segurança da informação
Requisitos da continuidade (dos negócios) na segurança da informação
 
[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
A Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtosA Contabilidade como Impulsionadora da inovação e criação de produtos
A Contabilidade como Impulsionadora da inovação e criação de produtos
 
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
TDC2018SP | Trilha Design Thinking - Design thinking e para todos?
 
Semeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João RamosSemeando Segurança no Agronegócio - João Ramos
Semeando Segurança no Agronegócio - João Ramos
 

Mehr von Campus Party Brasil

Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
Campus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
Campus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
Campus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
Campus Party Brasil
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
Campus Party Brasil
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Campus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
Campus Party Brasil
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
Campus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusiva
Campus Party Brasil
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
Campus Party Brasil
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
Campus Party Brasil
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
Campus Party Brasil
 

Mehr von Campus Party Brasil (20)

Wordpress
WordpressWordpress
Wordpress
 
Buracos negros
Buracos negrosBuracos negros
Buracos negros
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App Engine
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
 
Passeio virtual pelo LHC
Passeio virtual pelo LHCPasseio virtual pelo LHC
Passeio virtual pelo LHC
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectX
 
Blue Via
Blue ViaBlue Via
Blue Via
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusiva
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
 
Vida de Programador
Vida de Programador Vida de Programador
Vida de Programador
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 

Vul sec-web-campus party2011 v2-reserved copy