SlideShare ist ein Scribd-Unternehmen logo

Análise de Vulnerabilidades em Aplicações na Web Nacional

Carlos Serrao
Carlos Serrao

Apresentação realizada na Confraria Security&IT, na TB Store, Lisboa 26.Janeiro.2011

Technologie
1 von 46
Downloaden Sie, um offline zu lesen
Análise de Vulnerabilidades em Aplicações na Web nacional Confraria Security&IT, 26.Jan.2011 ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com ISCTE-IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
Sobre mim… 2 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤ Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤ Livros, Artigos, ... ¨ twitter.com/pontocom ¨ facebook.com/carlosserrao Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estado da Arte 3 ¨ A Internet é um excelente meio de comunicação e de disseminação de informação - ferramentas e manuais que ajudam a explorar vulnerabilidades ¨ Botnets que podem ser usadas para procurar os exploits mais recentes em WebApps ¨ 75% dos ataques ocorrem na camada aplicacional ¨ Maioria das vulnerabilidades das WebApps permanecem “escondidas” ¨ Segurança aplicacional é quase sempre o último aspecto a considerar (se é) em aplicações baseadas na Internet ¨ Os buracos de segurança emm WebApps podem resultar em prejuízos significativos Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Motivação/Contexto 4 ¨ Falta de percepção da segurança ¨ As (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¨ Programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Motivação/Contexto 5 Tendências   Cisco  para   2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Motivação/Contexto 6 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Motivação/Contexto 7 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Motivação/Contexto 8 Gartner  Group  (2009) IBM  (2009) Outros Outros 10% 25% Aplicacional Sites  Web  Vulneráveis 75% 90% WASC  (2009) Outros Outros 15% 22% Sites  Web  Vulneráveis 85% Fáceis  de  Explorar 78% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Objectivo 10 ¨ Conhecer o panorama de segurança aplicacional da Web nacional ¤ emespecial no que diz respeito a WebApps da Administração Pública ¤ Demasiado ambicioso - âmbito reduzido a estudar a segurança aplicacional de alguns sites e depois tentar extrapolar algumas métricas de segurança Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Métodos de Teste 11 White  box Gray  box Acesso  ao  código-­‐fonte  e  algum  Jpo  de  conhecimento  da   infra-­‐estrutura  interna  do  sistema/aplicação -­‐  Testes  com  ferramentas  automáJcas  (WebApp   Black  box scanners) -­‐  Confirmar  os  resultados Acesso  on-­‐line  à   aplicação  Web ü Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
WebApp Scanners 12 ¨ “Tentar” encontrar vulnerabilidades aplicacionais n Realizar testes pré-definidos – análise activa através da simulação de ataques ¤ Manipulação de mensagens HTTP ¤ Inspeção de mensagens HTTP ¤ Encontrar atributos “esquisitos” Analisar  Aplicações  Web ¤ Fuzzing Análise  de  Conteúdo ¤ Análise de Código Pedidos  modificados  específicos ¤ … Geração  de  Resultados Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Web Scanners 13 ¨ Muito importante em alguns cenários Point  and  Shot Procurar   Vulnerabilidades Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Web Scanners 14 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Web Scanners 15 ¨ Commercial Tools ¨ Free / Open Source Tools ¤ Acunetix WVS by Acunetix ¤ Arachni by Tasos Laskos ¤ AppScan by IBM ¤ Grabber by Romain Gaucher ¤ Burp Suite Professional by ¤ Grendel-Scan by David Byrne and PortSwigger Eric Duprey ¤ Hailstorm by Cenzic ¤ Paros by Chinotec n Andiparos ¤ N-Stalker by N-Stalker n Zed Attack Proxy ¤ Nessus by Tenable Network Security ¤ Powerfuzzer by Marcin Kozlowski ¤ NetSparker by Mavituna Security ¤ SecurityQA Toolbar by iSEC Partners ¤ NeXpose by Rapid7 ¤ Skipfish by Michal Zalewski ¤ NTOSpider by NTObjectives ¤ W3AF by Andres Riancho ¤ ParosPro by MileSCAN Technologies ¤ Wapiti by Nicolas Surribas ¤ Retina Web Security Scanner by eEye ¤ Watcher by Casaba Security Digital Security ¤ WATOBO by siberas ¤ WebApp360 by nCircle ¤ Websecurify by GNUCITIZEN ¤ WebInspect by HP ¤ Zero Day Scan ¤ WebKing by Parasoft ¤ Websecurify by GNUCITIZEN Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Web Scanners 16 ¨ Software-as-a-Service Providers ¤ AppScan OnDemand by IBM ¤ ClickToSecure by Cenzic ¤ QualysGuard Web Application Scanning by Qualys ¤ Sentinel by WhiteHat ¤ Veracode Web Application Security by Veracode ¤ VUPEN Web Application Security Scanner by VUPEN Security ¤ WebInspect by HP ¤ WebScanService by Elanize KG Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 17 ¨ NIST SAMATE ¤ Software Assurance Metrics and Tools Evaluation ¨ WASSEC ¤ Web Application Security Scanner Evaluation Criteria Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 18 ¨ NIST SAMATE ¤ Aspectos das Aplicações Web ¤ Vulnerabilidades Técnicas ¤ Vulnerabilidades de Segurança ¤ Vulnerabilidades da Arquitectura/Lógicas ¤ Outras Vulnerabilidades ¨ 1.Jan.2010 – deixou de ser suportado hp://samate.nist.gov/Main_Page.html Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 19 ¨ WASSEC ¤ Suporte de Protocolos ¤ Autenticação ¤ Gestão de Sessões ¤ Crawling ¤ Análise ¤ Testes ¤ Comando e Controlo hp://projects.webappsec.org/w/page/13246986/Web-­‐ ¤ Criação de Relatórios ApplicaJon-­‐Security-­‐Scanner-­‐EvaluaJon-­‐Criteria ¤ <Customização> Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 20 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 21 ¨ Método de Avaliação Complementar ¤ Selecionar a vulnerabilidade a testar ¤ Criar níveis de exploração baseadas na informação sobre como se proteger da vulnerabilidade ¤ Explorar o comportamento do Web Scanner para cada nível Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Avaliação de Web Scanners 22 ¨ Idealmente seria necessário criar uma aplicação Web vulnerável para avaliar cada nível ¨ Opcionalmente, podemos usar alguns sites já pré- definidos ¤ Cenzic ¤ Watchfire ¤ WebMaven / Buggy Bank ¤ Updated HackmeBank ¤ OWASP WebGoat ¤ Stanford SecuriBench Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Análise Manual 23 Porquê? Análise de Vulnerabilidades Existem  sempre  falsos   Perceber como posiJvos testá-las [Para  cada  vulnerabilidade] Impactos Mitigação Confirmação  manual   necessária Documentação [fim] Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 24 17  WebApps  Reais Governo/AP Educação Outros  fornecedores  de  serviços Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 25 ¨ Entidades testadas 2 2 1 Outros Forças Armadas Administração Pública Bancárias Educação Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 26 Escolher  os   WebApp  scanners Aplicar  WebApp   scanners  a   WebApps Avaliar  os   resultados Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 27 ¨ Encontrar os principais WebApp scanners da comunidade Open-Source Grendel-­‐ SecurityQA   Grabber Paros  Proxy Powerfuzzer Scan Toolbar Skipfish W3AF WapiJ Watcher Websecurify Netsparker OpenAcuneJx RatProxy Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 28 ¨ Não considerar as WebApp scanners menos aceites Grendel-­‐ SecurityQA   Grabber Paros  Proxy Powerfuzzer Scan Toolbar Skipfish W3AF WapiJ Watcher Websecurify Netsparker OpenAcuneJx RatProxy Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 29 ¨ Baseado em WASSEC ¤ Cobertura do OWASP Top 10 ¤ Actividade e actualizações recentes ¤ Suporte para novas tecnologias ¤ Resolução rápida de bugs (interação rápida e fácil com os programadores) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 30 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 31 #  WebApps 47% PHP Java 47% .Net/ASPX 6% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Metodologia de Testes 32 Autorização da Entidade Seleccionar  a  aplicação  Web Usar  Web  scanner [para  cada  web  scanner] [para  cada  web  scanner] Criar  relatório  detalhado Documento  de  vulnerabilidades   descobertas [fim  do  teste] Verificação  Manual Entregar  o  relatório  na  organização Usar ferramentas distintas e LiveCDs Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 33 Total Falsos Positivos 900 675 450 225 0 W3AF WebSecurify Skipfish Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 34 De  um  total  de  1387  vulnerabilidades  encontradas.... ....~  319  são  falsos  posiOvos 23% 77% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de Caso 35 ¨ Exemplo de Relatório produzido ¤ Conteúdo n Lista da totalidade das ferramentas utilizadas n Listagem da totalidade das vulnerabilidades encontradas n Listagem de acções de mitigação para cada vulnerabilidade (quando aplicável) n Para cada ferramenta n Vulnerabilidades encontradas n Impacto das vulnerabilidades n Mitigação das vulnerabilidades n Output dos testes da ferramenta n Inspecções manuais efectuadas para confirmação da vulnerabilidade (quando aplicável) • Ferramentas utilizadas neste nível • Resultado da inspecção manual Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
( !"#$%&'()#*+),*'+%-.'/0)*1"2*&"#&'('* Estudo de caso 012345! (5! 6(785! 41! (91:(;! 1<3;83'! )=(! (9>37(?@5! 9('(! (! ()4385'3(! 95'! 9('81! 45! ABCDE"AFG,! 5;! '1;)>8(45;! ;1'@5! (9'1;1:8(45;! :(! ;17?@5! 45! 9(:5'(=(! H1'(>! 4(! 1:834(41,! 41;7'385! 3=143(8(=1:85! (I(3<5J! ! 36 !"#$%&'()#*"%$.-('&-3)#*()*+'4),'5'*6",'%* K1;8(!;17?@5!3'L!;1'!65':17345!)=!9(:5'(=(!H1'(>!;5I'1!(;!(9>37(?M1;!81;8(4(;!9('(!5!ABCDE"AFGJ! ! ¨ Relatório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nálise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
! ! $%#&'()%*+,-(-$+$%.# &! &! ! Estudo de caso ! ! &! ()*+!%! ()*+!&! !"# ! ! ()*+!'! %! ! #$%&'( 37 ! )*+,-.($%/#01"203(342(&"5%+0#6('"574*/*86(-*/%#0*4-( ! ! ¨ Relatório ! # $! ()*+!%! ()*+!&! ()*+!'! 39#=%*+(#39>#49$+.#+.#:'()%*+,-(-$+$%.#%)39)4*+$+.# # # ! ! ! # # &'()%*+,-(-$+$%.#/#0%)-12-.34%254# # 6-.4*-,'-789#$%#:'()%*+,-(-$+$%.#/#0%)-12-.34%254# # '! '! &,-! $%#&'()%*+,-(-$+$%.# &! &! /'-! &! ()*+!%! ()*+!%! ()*+!&! ()*+!&! !"# ()*+!'! &.-! ()*+!'! %! $! ()*+!%! ()*+!&! ()*+!'! 6-.4*-,'-789#$%#:'()%*+,-(-$+$%.#/#0%)-12-.34%254# # Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Estudo de caso !"#$%&'( 38 ! !"#)*+,-.($%/#01"203(342(&"5%+0#6('"574*/*86(-*/%#0*4-( ( ¨ Relatório O*PN-43#431#+.#I'()%*+,-(-$+$%.#56789#:30#;<# ! /+0%+1%)23#431#56789#:30#;<# (! $%#&'()%*+,-(-$+$%.# '! !"# &! %! $! # Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Resultados 39 ¨ Reuniões realizadas com entidades ¨ 3000+ páginas de relatórios de auditorias ¨ Apresentações sobre resultados ¨ Produzidos 4 artigos científicos sobre o tema ¤ IBWAS’09 – Espanha – aceite / publicado / apresentado ¤ CAPSI 2010 – Portugal – aceite / - / apresentado ¤ IBWAS’10 – Portugal - ¤ WCIS 2011 – Londres – aceite / por publicar / por apresentar ¨ Contribuição para especificação de requisitos de segurança para aplicações Web (ISCTE-IUL) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Principais dificuldades 40 ¨ Convencer organizações a submeterem as suas aplicações Web a testes ¨ Tempo de execução dos testes ¨ Tempo de verificação manual Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Trabalho Futuro 41 ¨ Aumentar número de entidades ¨ Aumentar número de aplicações ¨ Reduzir o tempo de testes ¤ Aumento do número de aplicações em testes ¨ Melhorar nas análises manuais ¤ Cada teste fornece experiência, melhorando o conhecimento e a velocidade de execução ¨ Providenciar sugestões de melhoria para ferramentas ¨ Contributo para melhoria de padrões de requisitos de segurança Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Trabalho Futuro 42 ¨ ... work in progress! ¨ Deadline: Julho/Setembro 2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
... mais uma coisa 43 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
OWASP SUMMIT 2011 44 ¨ 8-11 Fevereiro 2011 ¨ CampoReal resort ¨ +150 WebAppSec experts de todo o mundo ¨ empresas como: Google, Facebook, Mozilla, Verizon, etc... ¨ http://www.owasp.org/ index.php/Summit_2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
OWASP SUMMIT 2011 45 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
Análise de Vulnerabilidades em Aplicações na Web nacional Confraria Security&IT, 26.Jan.2011 ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com ISCTE-IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao

Empfohlen

Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Wlad1m1r
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
The Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialThe Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialAlan Richardson
 
Daina Ruttul Ipsos Marplan
Daina Ruttul Ipsos MarplanDaina Ruttul Ipsos Marplan
Daina Ruttul Ipsos Marplangfalcione
 
Slide effect (efecto de diapositivas)
Slide effect (efecto de diapositivas)Slide effect (efecto de diapositivas)
Slide effect (efecto de diapositivas)Carolinee Tamay
 

Empfohlen

Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Wlad1m1r
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
The Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialThe Evil Tester's Guide to HTTP proxies Tutorial
The Evil Tester's Guide to HTTP proxies TutorialAlan Richardson
 
Daina Ruttul Ipsos Marplan
Daina Ruttul Ipsos MarplanDaina Ruttul Ipsos Marplan
Daina Ruttul Ipsos Marplangfalcione
 
Slide effect (efecto de diapositivas)
Slide effect (efecto de diapositivas)Slide effect (efecto de diapositivas)
Slide effect (efecto de diapositivas)Carolinee Tamay
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindadoSite Blindado S.A.
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?KeySupport Consultoria e Informática Ltda
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteMarcelo de Freitas Lopes
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Umit Presentation
Umit PresentationUmit Presentation
Umit PresentationLuís Bastião Silva
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - FerramentasCarlos Serrao
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASPCarlos Serrao
 
Qualificação MACC- Entities
Qualificação MACC- EntitiesQualificação MACC- Entities
Qualificação MACC- EntitiesMarcius Brandão
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 

Weitere ähnliche Inhalte

Ähnlich wie Análise de Vulnerabilidades em Aplicações na Web Nacional

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãCarlos Serrao
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012Marcio Cunha
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomAndracom Solutions
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesVagner Rodrigues Fernandes
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Qualificação MACC- Entities
Qualificação MACC- EntitiesQualificação MACC- Entities
Qualificação MACC- EntitiesMarcius Brandão
 

Ähnlich wie Análise de Vulnerabilidades em Aplicações na Web Nacional (20)

OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
Apresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, CovilhãApresentação OWASP - UBI, Covilhã
Apresentação OWASP - UBI, Covilhã
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 
Solucoes site blindado
Solucoes site blindadoSolucoes site blindado
Solucoes site blindado
 
Gestão de Risco de Ti | Andracom
Gestão de Risco de Ti | AndracomGestão de Risco de Ti | Andracom
Gestão de Risco de Ti | Andracom
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?(1) Por que Seguranca de Aplicacoes Web?
(1) Por que Seguranca de Aplicacoes Web?
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...
 
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de VulnerabilidadesDevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
DevSecOps - CI/CD com Pentest e Análise de Vulnerabilidades
 
Owasp Chapter Belo Horizonte
Owasp Chapter Belo HorizonteOwasp Chapter Belo Horizonte
Owasp Chapter Belo Horizonte
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Umit Presentation
Umit PresentationUmit Presentation
Umit Presentation
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Qualificação MACC- Entities
Qualificação MACC- EntitiesQualificação MACC- Entities
Qualificação MACC- Entities
 

Mehr von Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-lineCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP PortugalCarlos Serrao
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASPCarlos Serrao
 

Mehr von Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Principios básicos de segurança on-line
Principios básicos de segurança on-linePrincipios básicos de segurança on-line
Principios básicos de segurança on-line
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 
cTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIAcTIC2009 - Segurança em Aplicações Web-based e RIA
cTIC2009 - Segurança em Aplicações Web-based e RIA
 
Apresentação do OWASP Portugal
Apresentação do OWASP PortugalApresentação do OWASP Portugal
Apresentação do OWASP Portugal
 
Welcome to OWASP
Welcome to OWASPWelcome to OWASP
Welcome to OWASP
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
Introdução ao OWASP
Introdução ao OWASPIntrodução ao OWASP
Introdução ao OWASP
 

Kürzlich hochgeladen

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsDanilo Pinotti
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfNatalia Granato
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria
 

Kürzlich hochgeladen (6)

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 

Análise de Vulnerabilidades em Aplicações na Web Nacional

  • 1. Análise de Vulnerabilidades em Aplicações na Web nacional Confraria Security&IT, 26.Jan.2011 ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com ISCTE-IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao
  • 2. Sobre mim… 2 ¨ {Professor Auxiliar}@ISCTE-IUL/ISTA/DCTI ¨ {R&D, Consultor, PM}@ADETTI-IUL ¤ Projectos. EC, Nacionais, Privados. ¨ {Líder}@PT.OWASP ¨ {Author}@* ¤ Livros, Artigos, ... ¨ twitter.com/pontocom ¨ facebook.com/carlosserrao Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 3. Estado da Arte 3 ¨ A Internet é um excelente meio de comunicação e de disseminação de informação - ferramentas e manuais que ajudam a explorar vulnerabilidades ¨ Botnets que podem ser usadas para procurar os exploits mais recentes em WebApps ¨ 75% dos ataques ocorrem na camada aplicacional ¨ Maioria das vulnerabilidades das WebApps permanecem “escondidas” ¨ Segurança aplicacional é quase sempre o último aspecto a considerar (se é) em aplicações baseadas na Internet ¨ Os buracos de segurança emm WebApps podem resultar em prejuízos significativos Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 4. Motivação/Contexto 4 ¨ Falta de percepção da segurança ¨ As (algumas) organizações não investem o suficiente em segurança (ou investem incorretamente) ¨ Programadores não percebem os riscos de segurança (ou não podem ou querem perceber) n DISCLAIMER: não estou com isto a insinuar que *TODOS* os programadores são maus ;-) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 5. Motivação/Contexto 5 Tendências   Cisco  para   2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 6. Motivação/Contexto 6 Número médio de vulnerabilidades sérias encontradas em WebApps por sector (fonte: WhiteHat, 2010) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 7. Motivação/Contexto 7 Percentagem de ocorrência de problemas de segurança em WebApps (fonte: WhiteHat, 2010) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 8. Motivação/Contexto 8 Gartner  Group  (2009) IBM  (2009) Outros Outros 10% 25% Aplicacional Sites  Web  Vulneráveis 75% 90% WASC  (2009) Outros Outros 15% 22% Sites  Web  Vulneráveis 85% Fáceis  de  Explorar 78% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 9.
  • 10. Objectivo 10 ¨ Conhecer o panorama de segurança aplicacional da Web nacional ¤ emespecial no que diz respeito a WebApps da Administração Pública ¤ Demasiado ambicioso - âmbito reduzido a estudar a segurança aplicacional de alguns sites e depois tentar extrapolar algumas métricas de segurança Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 11. Métodos de Teste 11 White  box Gray  box Acesso  ao  código-­‐fonte  e  algum  Jpo  de  conhecimento  da   infra-­‐estrutura  interna  do  sistema/aplicação -­‐  Testes  com  ferramentas  automáJcas  (WebApp   Black  box scanners) -­‐  Confirmar  os  resultados Acesso  on-­‐line  à   aplicação  Web ü Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 12. WebApp Scanners 12 ¨ “Tentar” encontrar vulnerabilidades aplicacionais n Realizar testes pré-definidos – análise activa através da simulação de ataques ¤ Manipulação de mensagens HTTP ¤ Inspeção de mensagens HTTP ¤ Encontrar atributos “esquisitos” Analisar  Aplicações  Web ¤ Fuzzing Análise  de  Conteúdo ¤ Análise de Código Pedidos  modificados  específicos ¤ … Geração  de  Resultados Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 13. Web Scanners 13 ¨ Muito importante em alguns cenários Point  and  Shot Procurar   Vulnerabilidades Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 14. Web Scanners 14 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 15. Web Scanners 15 ¨ Commercial Tools ¨ Free / Open Source Tools ¤ Acunetix WVS by Acunetix ¤ Arachni by Tasos Laskos ¤ AppScan by IBM ¤ Grabber by Romain Gaucher ¤ Burp Suite Professional by ¤ Grendel-Scan by David Byrne and PortSwigger Eric Duprey ¤ Hailstorm by Cenzic ¤ Paros by Chinotec n Andiparos ¤ N-Stalker by N-Stalker n Zed Attack Proxy ¤ Nessus by Tenable Network Security ¤ Powerfuzzer by Marcin Kozlowski ¤ NetSparker by Mavituna Security ¤ SecurityQA Toolbar by iSEC Partners ¤ NeXpose by Rapid7 ¤ Skipfish by Michal Zalewski ¤ NTOSpider by NTObjectives ¤ W3AF by Andres Riancho ¤ ParosPro by MileSCAN Technologies ¤ Wapiti by Nicolas Surribas ¤ Retina Web Security Scanner by eEye ¤ Watcher by Casaba Security Digital Security ¤ WATOBO by siberas ¤ WebApp360 by nCircle ¤ Websecurify by GNUCITIZEN ¤ WebInspect by HP ¤ Zero Day Scan ¤ WebKing by Parasoft ¤ Websecurify by GNUCITIZEN Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 16. Web Scanners 16 ¨ Software-as-a-Service Providers ¤ AppScan OnDemand by IBM ¤ ClickToSecure by Cenzic ¤ QualysGuard Web Application Scanning by Qualys ¤ Sentinel by WhiteHat ¤ Veracode Web Application Security by Veracode ¤ VUPEN Web Application Security Scanner by VUPEN Security ¤ WebInspect by HP ¤ WebScanService by Elanize KG Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 17. Avaliação de Web Scanners 17 ¨ NIST SAMATE ¤ Software Assurance Metrics and Tools Evaluation ¨ WASSEC ¤ Web Application Security Scanner Evaluation Criteria Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 18. Avaliação de Web Scanners 18 ¨ NIST SAMATE ¤ Aspectos das Aplicações Web ¤ Vulnerabilidades Técnicas ¤ Vulnerabilidades de Segurança ¤ Vulnerabilidades da Arquitectura/Lógicas ¤ Outras Vulnerabilidades ¨ 1.Jan.2010 – deixou de ser suportado hp://samate.nist.gov/Main_Page.html Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 19. Avaliação de Web Scanners 19 ¨ WASSEC ¤ Suporte de Protocolos ¤ Autenticação ¤ Gestão de Sessões ¤ Crawling ¤ Análise ¤ Testes ¤ Comando e Controlo hp://projects.webappsec.org/w/page/13246986/Web-­‐ ¤ Criação de Relatórios ApplicaJon-­‐Security-­‐Scanner-­‐EvaluaJon-­‐Criteria ¤ <Customização> Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 20. Avaliação de Web Scanners 20 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 21. Avaliação de Web Scanners 21 ¨ Método de Avaliação Complementar ¤ Selecionar a vulnerabilidade a testar ¤ Criar níveis de exploração baseadas na informação sobre como se proteger da vulnerabilidade ¤ Explorar o comportamento do Web Scanner para cada nível Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 22. Avaliação de Web Scanners 22 ¨ Idealmente seria necessário criar uma aplicação Web vulnerável para avaliar cada nível ¨ Opcionalmente, podemos usar alguns sites já pré- definidos ¤ Cenzic ¤ Watchfire ¤ WebMaven / Buggy Bank ¤ Updated HackmeBank ¤ OWASP WebGoat ¤ Stanford SecuriBench Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 23. Análise Manual 23 Porquê? Análise de Vulnerabilidades Existem  sempre  falsos   Perceber como posiJvos testá-las [Para  cada  vulnerabilidade] Impactos Mitigação Confirmação  manual   necessária Documentação [fim] Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 24. Estudo de Caso 24 17  WebApps  Reais Governo/AP Educação Outros  fornecedores  de  serviços Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 25. Estudo de Caso 25 ¨ Entidades testadas 2 2 1 Outros Forças Armadas Administração Pública Bancárias Educação Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 26. Estudo de Caso 26 Escolher  os   WebApp  scanners Aplicar  WebApp   scanners  a   WebApps Avaliar  os   resultados Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 27. Estudo de Caso 27 ¨ Encontrar os principais WebApp scanners da comunidade Open-Source Grendel-­‐ SecurityQA   Grabber Paros  Proxy Powerfuzzer Scan Toolbar Skipfish W3AF WapiJ Watcher Websecurify Netsparker OpenAcuneJx RatProxy Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 28. Estudo de Caso 28 ¨ Não considerar as WebApp scanners menos aceites Grendel-­‐ SecurityQA   Grabber Paros  Proxy Powerfuzzer Scan Toolbar Skipfish W3AF WapiJ Watcher Websecurify Netsparker OpenAcuneJx RatProxy Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 29. Estudo de Caso 29 ¨ Baseado em WASSEC ¤ Cobertura do OWASP Top 10 ¤ Actividade e actualizações recentes ¤ Suporte para novas tecnologias ¤ Resolução rápida de bugs (interação rápida e fácil com os programadores) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 30. Estudo de Caso 30 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 31. Estudo de Caso 31 #  WebApps 47% PHP Java 47% .Net/ASPX 6% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 32. Metodologia de Testes 32 Autorização da Entidade Seleccionar  a  aplicação  Web Usar  Web  scanner [para  cada  web  scanner] [para  cada  web  scanner] Criar  relatório  detalhado Documento  de  vulnerabilidades   descobertas [fim  do  teste] Verificação  Manual Entregar  o  relatório  na  organização Usar ferramentas distintas e LiveCDs Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 33. Estudo de Caso 33 Total Falsos Positivos 900 675 450 225 0 W3AF WebSecurify Skipfish Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 34. Estudo de Caso 34 De  um  total  de  1387  vulnerabilidades  encontradas.... ....~  319  são  falsos  posiOvos 23% 77% Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 35. Estudo de Caso 35 ¨ Exemplo de Relatório produzido ¤ Conteúdo n Lista da totalidade das ferramentas utilizadas n Listagem da totalidade das vulnerabilidades encontradas n Listagem de acções de mitigação para cada vulnerabilidade (quando aplicável) n Para cada ferramenta n Vulnerabilidades encontradas n Impacto das vulnerabilidades n Mitigação das vulnerabilidades n Output dos testes da ferramenta n Inspecções manuais efectuadas para confirmação da vulnerabilidade (quando aplicável) • Ferramentas utilizadas neste nível • Resultado da inspecção manual Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 36. ( !"#$%&'()#*+),*'+%-.'/0)*1"2*&"#&'('* Estudo de caso 012345! (5! 6(785! 41! (91:(;! 1<3;83'! )=(! (9>37(?@5! 9('(! (! ()4385'3(! 95'! 9('81! 45! ABCDE"AFG,! 5;! '1;)>8(45;! ;1'@5! (9'1;1:8(45;! :(! ;17?@5! 45! 9(:5'(=(! H1'(>! 4(! 1:834(41,! 41;7'385! 3=143(8(=1:85! (I(3<5J! ! 36 !"#$%&'()#*"%$.-('&-3)#*()*+'4),'5'*6",'%* K1;8(!;17?@5!3'L!;1'!65':17345!)=!9(:5'(=(!H1'(>!;5I'1!(;!(9>37(?M1;!81;8(4(;!9('(!5!ABCDE"AFGJ! ! ¨ Relatório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nálise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 37. ! ! $%#&'()%*+,-(-$+$%.# &! &! ! Estudo de caso ! ! &! ()*+!%! ()*+!&! !"# ! ! ()*+!'! %! ! #$%&'( 37 ! )*+,-.($%/#01"203(342(&"5%+0#6('"574*/*86(-*/%#0*4-( ! ! ¨ Relatório ! # $! ()*+!%! ()*+!&! ()*+!'! 39#=%*+(#39>#49$+.#+.#:'()%*+,-(-$+$%.#%)39)4*+$+.# # # ! ! ! # # &'()%*+,-(-$+$%.#/#0%)-12-.34%254# # 6-.4*-,'-789#$%#:'()%*+,-(-$+$%.#/#0%)-12-.34%254# # '! '! &,-! $%#&'()%*+,-(-$+$%.# &! &! /'-! &! ()*+!%! ()*+!%! ()*+!&! ()*+!&! !"# ()*+!'! &.-! ()*+!'! %! $! ()*+!%! ()*+!&! ()*+!'! 6-.4*-,'-789#$%#:'()%*+,-(-$+$%.#/#0%)-12-.34%254# # Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 38. Estudo de caso !"#$%&'( 38 ! !"#)*+,-.($%/#01"203(342(&"5%+0#6('"574*/*86(-*/%#0*4-( ( ¨ Relatório O*PN-43#431#+.#I'()%*+,-(-$+$%.#56789#:30#;<# ! /+0%+1%)23#431#56789#:30#;<# (! $%#&'()%*+,-(-$+$%.# '! !"# &! %! $! # Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 39. Resultados 39 ¨ Reuniões realizadas com entidades ¨ 3000+ páginas de relatórios de auditorias ¨ Apresentações sobre resultados ¨ Produzidos 4 artigos científicos sobre o tema ¤ IBWAS’09 – Espanha – aceite / publicado / apresentado ¤ CAPSI 2010 – Portugal – aceite / - / apresentado ¤ IBWAS’10 – Portugal - ¤ WCIS 2011 – Londres – aceite / por publicar / por apresentar ¨ Contribuição para especificação de requisitos de segurança para aplicações Web (ISCTE-IUL) Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 40. Principais dificuldades 40 ¨ Convencer organizações a submeterem as suas aplicações Web a testes ¨ Tempo de execução dos testes ¨ Tempo de verificação manual Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 41. Trabalho Futuro 41 ¨ Aumentar número de entidades ¨ Aumentar número de aplicações ¨ Reduzir o tempo de testes ¤ Aumento do número de aplicações em testes ¨ Melhorar nas análises manuais ¤ Cada teste fornece experiência, melhorando o conhecimento e a velocidade de execução ¨ Providenciar sugestões de melhoria para ferramentas ¨ Contributo para melhoria de padrões de requisitos de segurança Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 42. Trabalho Futuro 42 ¨ ... work in progress! ¨ Deadline: Julho/Setembro 2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 43. ... mais uma coisa 43 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 44. OWASP SUMMIT 2011 44 ¨ 8-11 Fevereiro 2011 ¨ CampoReal resort ¨ +150 WebAppSec experts de todo o mundo ¨ empresas como: Google, Facebook, Mozilla, Verizon, etc... ¨ http://www.owasp.org/ index.php/Summit_2011 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 45. OWASP SUMMIT 2011 45 Análise de Vulnerabilidades em Aplicações na Web nacional 26.Jan.2011
  • 46. Análise de Vulnerabilidades em Aplicações na Web nacional Confraria Security&IT, 26.Jan.2011 ISCTE-IUL/ISTA/ADETTI-IUL Carlos Serrão Instituto Superior de Ciências do Trabalho e da Empresa carlos.serrao@iscte.pt Lisbon University Institute carlos.j.serrao@gmail.com ISCTE-IUL School of Technology and Architecture ADETTI-IUL http://www.carlosserrao.net http://blog.carlosserrao.net http://www.linkedin.com/in/carlosserrao