| theme | class | background | highlighter | info |
|---|---|---|---|---|
default |
text-center |
shiki |
## OWASP Top 10
Presentation slides for developers.
Learn more at [Sli.dev](https://sli.dev)
|
As 10 vulnerabilidades mais críticas da internet.
Vamos la!
Time Security
Luisa Soares
Head of Legal and Security
Juliano Dapper
Manager
Bruno Garcia
Information Security Analyst
Yara Rodrigues
Information Security Analyst
Pedro Bittencourt
PCI Specialist
Fernando Guisso
Security Software Engineer
Marcos Nunes
LGPD Specialist
layout: image-right image: https://s3.amazonaws.com/super-notion/images/34a18b0d-bd76-44bb-ab9a-4fe3c9ce9221.png
O OWASP (Open Web Application Security Project), ou Projeto Aberto de Segurança em Aplicações Web, é uma comunidade online que cria e disponibiliza de forma gratuita artigos, metodologias, documentação, ferramentas e tecnologias no campo da segurança de aplicações web.
layout: image-left image: https://super-static-assets.s3.amazonaws.com/4eb5bada-97e6-4a1f-9899-2f3cd62679af/images/9d76b419-5f67-4c40-b976-cbbf29e7805e.png
- 📝 Injeção
- 🧑💻 Quebra de Autenticação
- 🎨 Exposição de dados sensiveis
- 🤹 XXE / Entidades Externas de XML
- 🎥 Quebra no controle de acesso
- 📤 Configuração de segurança incorretas
- 🛠 XSS
- 🤹 Desserializacão insegura
- 🎨 Uso de componentes com vulnerabilidades conhecidas
- 🛠 Registro e monitoração insuficiente
Falhas de injeção, tais como injeções de SQL, OS e LDAP ocorrem quando dados não-confiáveis são enviados para um interpretador como parte de um comando ou consulta legítima.
Os dados hostis do atacante podem enganar o interpretador levando-o a executar comandos não pretendidos ou a aceder a dados sem a devida autorização.
String query = "SELECT * FROM accounts WHERE userID='"
+ request.getParameter("id") + "'";
id=' or 1=1--
As funções da aplicação que estão relacionadas com a autenticação e gestão de sessões são muitas vezes implementadas incorretamente, permitindo que um atacante possa comprometer passwords, chaves, tokens de sessão, ou abusar doutras falhas da implementação que lhe permitam assumir a identidade de outros utilizadores (temporária ou permanentemente).
import requests
url = "http://localhost:3000/rest/user/login"
params = {"email":"[email protected]","password":""}
wordlist = open("wordlist.txt", "r")
linhas = wordlist.readlines()
for index, line in enumerate(linhas):
params["password"] = line.rstrip("\n")
tentativa_login = requests.post(url,params)
print("Tentativa {}, Senha: {}".format(index, senha))
if tentativa_login.status_code != 401:
print("Achei a senha: {}".format(senha))
break
Muitas aplicações web e APIs não protegem de forma adequada dados sensíveis, tais como dados financeiros, de saúde ou dados de identificação pessoal (PII). Os atacantes podem roubar ou modificar estes dados mal protegidos para realizar fraudes com cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis necessitam de proteções de segurança extra como encriptação quando armazenados ou em trânsito, tal como precauções especiais quando trocadas com o navegador web.
Muitos processadores de XML mais antigos ou mal configurados avaliam referências a entidades externas dentro dos documentos XML. Estas entidades externas podem ser usadas para revelar ficheiros internos usando o processador de URI de ficheiros, partilhas internas de ficheiros, pesquisa de portas de comunicação internas, execução de código remoto e ataques de negação de serviço, tal como o ataque Billion Laughs.
<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY bar "World ">
<!ENTITY t1 "&bar;&bar;">
<!ENTITY t2 "&t1;&t1;&t1;&t1;">
<!ENTITY t3 "&t2;&t2;&t2;&t2;&t2;">
]>
<foo>
Hello &t3;
</foo>
As restrições sobre o que os utilizadores autenticados estão autorizados a fazer nem sempre são corretamente verificadas. Os atacantes podem abusar destas falhas para aceder a funcionalidades ou dados para os quais não têm autorização, tais como dados de outras contas de utilizador, visualizar ficheiros sensíveis, modificar os dados de outros utilizadores, alterar as permissões de acesso, entre outros.
As más configurações de segurança são o aspeto mais observado nos dados recolhidos. Normalmente isto é consequência de configurações padrão inseguras, incompletas ou ad hoc, armazenamento na nuvem sem qualquer restrição de acesso, cabeçalhos HTTP mal configurados ou mensagens de erro com informações sensíveis. Não só todos os sistemas operativos, frameworks, bibliotecas de código e aplicações devem ser configurados de forma segura, como também devem ser atualizados e alvo de correções de segurança atempadamente.
As falhas de XSS ocorrem sempre que uma aplicação inclui dados não-confiáveis numa nova página web sem a validação ou filtragem apropriadas, ou quando atualiza uma página web existente com dados enviados por um utilizador através de uma API do browser que possa criar JavaScript. O XSS permite que atacantes possam executar scripts no browser da vítima, os quais podem raptar sessões do utilizador, descaraterizar sites web ou redirecionar o utilizador para sites maliciosos.
Desserialização insegura normalmente leva à execução remota de código. Mesmo que isto não aconteça, pode ser usada para realizar ataques, incluindo ataques por repetição, injeção e elevação de privilégios.
Componentes tais como, bibliotecas, frameworks e outros módulos de software, são executados com os mesmos privilégios que a aplicação. O abuso dum componente vulnerável pode conduzir a uma perda séria de dados ou controlo completo de um servidor. Aplicações e APIs que usem componentes com vulnerabilidades conhecidas podem enfraquecer as defesas da aplicação possibilitando ataques e impactos diversos.
O registo e monitorização insuficientes, em conjunto com uma resposta a incidentes inexistente ou insuficiente permite que os atacantes possam abusar do sistema de forma persistente, que o possam usar como entrada para atacar outros sistemas, e que possam alterar, extrair ou destruir dados. Alguns dos estudos demonstram que o tempo necessário para detetar uma violação de dados é de mais de 200 dias e é tipicamente detetada por entidades externas ao invés de processos internos ou monitorização.