SlideShare ist ein Scribd-Unternehmen logo

OWASP TOP 10 2013

Jeronimo Zucco
Jeronimo Zucco

O documento apresenta o OWASP Top 10 2013, que lista as 10 vulnerabilidades mais críticas em aplicações web. O OWASP é uma organização dedicada a melhorar a segurança de software, e o Top 10 destaca riscos como injeção, autenticação quebrada e exposição de dados para ajudar desenvolvedores a criar aplicações mais seguras.

Technologie
1 von 26
Downloaden Sie, um offline zu lesen
OWASP TOP 10 2013 Jerônimo Zucco jeronimo.zucco@owasp.org
About Me • Blog: http://jczucco.blogspot.com • Twitter: @jczucco • http://www.linkedin.com/in/jeronimozucco • http://www.owasp.org/index.php/User:Jeronimo_Zucco
OWASP Open Web Application Security Project • Uma comunidade aberta dedicada a ajudar as organizações a desenvolver, comprar e manter aplicações que possam ser confiáveis.
OWASP • Promover o desenvolvimento seguro • Auxiliar a tomada de decisão quanto ao risco • Oferecer recursos gratuitos • Promover a contribuição e compartilhamento de informação 4
OWASP • Organização sem fins lucrativos (US 501c3) • Regida por voluntários – Compartilhar conhecimento – Liderar projetos – Realizar apresentações – Administração • Financiada por patrocinadores – Membership individuais/empresariais – Projetos suportados por empresas 5
OWASP no Brasil • 18 capítulos no Brasil: • Belo Horizonte, Brasília, Campinas, Cuiabá, Curitiba, Fortaleza, Goiânia, Maceió, Manaus, Natal, Paraíba, Porto Alegre, Recife, Rio de Janeiro, São Luís, São Paulo, Vitória e Florianópolis. 6
OWASP no RS 7 https://www.owasp.org/index.php/Porto_Alegre
OWASP Top 10 • Top 10 Vulnerabilidades em Apps. Web – Atualizado a cada 3 anos. – Baseado em dados obtidos de aplicações na Internet – Aceitação crescente pela indústria • Um bom começo para criação de práticas seguras de desenvolvimento nas organizações 8
OWASP Top Ten 2013 9
Top 10 2010 -> 2013 10
Riscos de Segurança na Aplicação 11
A1 - Injeção 12
A2 - Autenticação e Gerência de Sessão Quebradas 13
A3 - Cross-Site Scripting (XSS) 14
A4 - Referências Diretas à Objetos de Forma Insegura 15
A5 - Configuração Insegura 16
A6 - Exposição de Dados Sensíveis 17
A7 - Sem Controle de Nível de Acesso 18
A8 - CSRF 19
A9 - Uso de Compontes com Vulnerabilidades Conhecidas 20
A10 - Redirecionamentose Encaminhamentos Inválidos 21
Top 10 - Riscos 22
23 Demonstração
Desenvolvedores • Requisitos de segurança de aplicações; • Arquitetura de aplicações seguras; • Controles de segurança padrões; • Ciclo de vida de desenvolvimento (SDL) • Educação sobre segurança de aplicações 24
Como Participar? 25 • Acesse www.owasp.org • Produção artigos/conteúdo • Lista de discussões • Envolvimento em projetos • Apresentações/Divulgação • Membership • ...
Perguntas? 26 jeronimo.zucco@owasp.org http://www.owasp-poa.org

Empfohlen

Universo
UniversoUniverso
UniversoCANALDOTCHRITIMOSESA
 
Eu cuido de ti- Amanda Wanessa
Eu cuido de ti- Amanda WanessaEu cuido de ti- Amanda Wanessa
Eu cuido de ti- Amanda WanessaDirceu Reis
 
Inspire, inove, renove..
Inspire, inove, renove..Inspire, inove, renove..
Inspire, inove, renove..Merkato2025
 
Seja lembrado.
Seja lembrado.Seja lembrado.
Seja lembrado.PirataTag
 
Internet Explorer 6
Internet Explorer 6Internet Explorer 6
Internet Explorer 6b_moralles
 
Projecto Cross-Media
Projecto Cross-MediaProjecto Cross-Media
Projecto Cross-MediaPatrícia Vieira
 
Tenha uma mente rica, próspera e abundante
Tenha uma mente rica, próspera e abundanteTenha uma mente rica, próspera e abundante
Tenha uma mente rica, próspera e abundantessuserb6f4d0
 
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!luizaKuee
 

Empfohlen

Universo
UniversoUniverso
UniversoCANALDOTCHRITIMOSESA
 
Eu cuido de ti- Amanda Wanessa
Eu cuido de ti- Amanda WanessaEu cuido de ti- Amanda Wanessa
Eu cuido de ti- Amanda WanessaDirceu Reis
 
Inspire, inove, renove..
Inspire, inove, renove..Inspire, inove, renove..
Inspire, inove, renove..Merkato2025
 
Seja lembrado.
Seja lembrado.Seja lembrado.
Seja lembrado.PirataTag
 
Internet Explorer 6
Internet Explorer 6Internet Explorer 6
Internet Explorer 6b_moralles
 
Projecto Cross-Media
Projecto Cross-MediaProjecto Cross-Media
Projecto Cross-MediaPatrícia Vieira
 
Tenha uma mente rica, próspera e abundante
Tenha uma mente rica, próspera e abundanteTenha uma mente rica, próspera e abundante
Tenha uma mente rica, próspera e abundantessuserb6f4d0
 
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!
COMECE A TER UMA MENTALIDADE DE GANHOS INFINITOS!luizaKuee
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
Implementing ossec
Implementing ossecImplementing ossec
Implementing ossecJeronimo Zucco
 
A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)Anchises Moraes
 
Conhecendo a owasp
Conhecendo a owaspConhecendo a owasp
Conhecendo a owaspFernando Galves
 
Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português Fernanda Bornhausen Sá
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroMagno Logan
 
Inteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias SociaisInteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias SociaisTarcízio Silva
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Ai Tp1 G3
Ai Tp1 G3Ai Tp1 G3
Ai Tp1 G3Andreia Morais
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014Social Good Brasil
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Case Senac São Paulo
Case Senac São PauloCase Senac São Paulo
Case Senac São PauloSandro Neto Ribeiro
 
e-Business Collaboration
e-Business Collaboratione-Business Collaboration
e-Business Collaborationvasco marques
 
Fiesp 06.09
Fiesp 06.09Fiesp 06.09
Fiesp 06.09kleber.torres
 
Fiesp jun/2009
Fiesp jun/2009Fiesp jun/2009
Fiesp jun/2009kleber.torres
 

Weitere ähnliche Inhalte

Andere mochten auch

Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de softwareJeronimo Zucco
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de SoftwareJeronimo Zucco
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications FirewallsJeronimo Zucco
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Jeronimo Zucco
 
A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)Anchises Moraes
 

Andere mochten auch (8)

Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
 
Segurança em desenvolvimento de software
Segurança em desenvolvimento de softwareSegurança em desenvolvimento de software
Segurança em desenvolvimento de software
 
Validando a Segurança de Software
Validando a Segurança de SoftwareValidando a Segurança de Software
Validando a Segurança de Software
 
Introducão a Web Applications Firewalls
Introducão a Web Applications FirewallsIntroducão a Web Applications Firewalls
Introducão a Web Applications Firewalls
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
Implementing ossec
Implementing ossecImplementing ossec
Implementing ossec
 
A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)A NSA me segue (e a CIA também!)
A NSA me segue (e a CIA também!)
 

Ähnlich wie OWASP TOP 10 2013

Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português Fernanda Bornhausen Sá
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroMagno Logan
 
Inteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias SociaisInteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias SociaisTarcízio Silva
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá OWASP_cuiaba
 
Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014Social Good Brasil
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP Brasília
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
e-Business Collaboration
e-Business Collaboratione-Business Collaboration
e-Business Collaborationvasco marques
 
A plataforma E-fer como catalisadora de comunidade de prática
A plataforma E-fer como catalisadora de comunidade de práticaA plataforma E-fer como catalisadora de comunidade de prática
A plataforma E-fer como catalisadora de comunidade de práticaRogerio Costa
 
Como impulsionar sua carreira através das Mídias Digitais
Como impulsionar sua carreira através das Mídias DigitaisComo impulsionar sua carreira através das Mídias Digitais
Como impulsionar sua carreira através das Mídias DigitaisLeonardo Diogo Silva
 
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...Israel Degasperi
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
Fontes de Financimento 4 - Minom Pinho
Fontes de Financimento 4 - Minom PinhoFontes de Financimento 4 - Minom Pinho
Fontes de Financimento 4 - Minom PinhoCultura e Mercado
 

Ähnlich wie OWASP TOP 10 2013 (20)

Conhecendo a owasp
Conhecendo a owaspConhecendo a owasp
Conhecendo a owasp
 
Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português Relatório Social Good Brasil 2014 português
Relatório Social Good Brasil 2014 português
 
GTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguroGTS 17 - OWASP em prol de um mundo mais seguro
GTS 17 - OWASP em prol de um mundo mais seguro
 
Inteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias SociaisInteligência Digital: Influência nas Mídias Sociais
Inteligência Digital: Influência nas Mídias Sociais
 
Owasp Chapter Cuiabá
Owasp Chapter Cuiabá Owasp Chapter Cuiabá
Owasp Chapter Cuiabá
 
Ai Tp1 G3
Ai Tp1 G3Ai Tp1 G3
Ai Tp1 G3
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014Relatório Social Good Brasil 2014
Relatório Social Good Brasil 2014
 
OWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de FatimaOWASP - Instituto Maria de Fatima
OWASP - Instituto Maria de Fatima
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Case Senac São Paulo
Case Senac São PauloCase Senac São Paulo
Case Senac São Paulo
 
e-Business Collaboration
e-Business Collaboratione-Business Collaboration
e-Business Collaboration
 
Fiesp 06.09
Fiesp 06.09Fiesp 06.09
Fiesp 06.09
 
Fiesp jun/2009
Fiesp jun/2009Fiesp jun/2009
Fiesp jun/2009
 
A plataforma E-fer como catalisadora de comunidade de prática
A plataforma E-fer como catalisadora de comunidade de práticaA plataforma E-fer como catalisadora de comunidade de prática
A plataforma E-fer como catalisadora de comunidade de prática
 
Como impulsionar sua carreira através das Mídias Digitais
Como impulsionar sua carreira através das Mídias DigitaisComo impulsionar sua carreira através das Mídias Digitais
Como impulsionar sua carreira através das Mídias Digitais
 
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...
Palestra Israel Degasperi sobre Mídias Sociais com foco no linkedin - Oportun...
 
Dados Comparativos players Redes Sociais
Dados Comparativos players Redes SociaisDados Comparativos players Redes Sociais
Dados Comparativos players Redes Sociais
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
Fontes de Financimento 4 - Minom Pinho
Fontes de Financimento 4 - Minom PinhoFontes de Financimento 4 - Minom Pinho
Fontes de Financimento 4 - Minom Pinho
 

OWASP TOP 10 2013