💀 TOP 10 Ameaças de Segurança em Aplicações Web - DICAS DE PREVENÇÃO!

e não existe melhor forma de criar aplicações seguras do que conhecer as principais ameaças que elas sofrem pensando nisso e para ti tornar um desenvolvedor ainda melhor que nós trouxemos aqui nesse vídeo os top 10 riscos de segurança mais críticos para aplicações [Música] web.pdf tudo bem com você mano estamos bem e felizes porque falar de segurança aqui sempre gera para o canal um vídeo muito interessante e Deveras importante e nós vamos só citar aqui quais são as ameaças vamos explicar cada uma delas e das dicas de como prevenir os por isso eu já vou pedir

o seu like que vai ajudar esse vídeo chegar ao maior número possível de deve-se construir aplicações seguras é Um Desafio e também um dever de todos nós desenvolvedores Olha só de um instantinho com a gente imagina os mais diversos tipos de software que estão sendo utilizados nesse exato momento que podemos afirmar que em todas as áreas né Finanças educação aviação indústria saúde E falando em saúde Esse é o gancho perfeito para apresentar Nossa parceira nesse vídeo mas é nós trouxemos aqui a Philips se nos acompanha já sabe que ela tem um centro de desenvolvimento de

software incrível aqui no Brasil e que ela está em busca de diversos profissionais da área de tecnologia Você sabia que a fibras passou por uma grande transformação de uma companhia industrial para líder em tecnologia de saúde para você ter uma ideia hoje cinquenta por cento da equipe de pesquisa e desenvolvimento da empresa está focada em software e em ciência de dados do Brasil é o segundo maior ramo de Tecnologia da Philips no mundo no momento que nós lançamos esse vídeo está com vagas abertas para desenvolvimento Java análise e desenvolvimento de software Cloud analista devops analista

de testes entre muitas outras vagas se você quer trabalhar em uma multinacional como possibilidade de crescimento profissional não pode deixar de acessar o link que está aqui na descrição para conhecer todas as oportunidades e os benefícios que a Philips oferece para quem trabalha por Lapa e nós trabalhamos com desenvolvimento web ar muito exames nós conhecemos aí bem de perto essas ameaças mas não selecionamos as 10 baseadas apenas na nossa experiência nós contamos com o auxílio do relatório oficial da uasp se você não conhece eu acho que é a sigla de open web application Security browser

uma Fundação sem fins lucrativos que trabalha para melhorar a segurança do soft ela disponibiliza ferramentas treinamentos muito material conferências e tem uma comunidade bem grande e ativa nós vamos deixar o link na descrição se você tiver interesse em conhecer mais através de uma pesquisa eu acho que chegou nesse rank que vamos te apresentar aqui começando com a décima ameaça mais comum um server Side West Ford O que podemos traduzir como falsificação de requisição do lado servidor ela é um tipo de falha que acontece sempre tem um aplicativo da Web está buscando recursos remotos em validar

URL fornecida pelo usuário a incidência do ISS RF vem aumentando assim como sua gravidade deve o preço sendo vem EA complexidade das arquiteturas esse ataque permite que um invasor Fox e o aplicativo a enviar uma solicitação criada por um destino o inesperado mesmo quando protegido por Firewall VPN ou outro tipo de lista de controle de acesso à rede como exemplo desse tipo de ataque nós podemos tentar o acesso armazenamento de metadados de serviço em nuvem ou ainda arquivos locais e serviços internos todos para obter informações confidenciais condições de realizar um mapeamento da rede interna e

uma arquitetura de rede não-segmentada ainda é possível comprometer de serviços internos para realizar outros ataques como execução remota de código ou negação de serviço primeiro server-side uma espécie de Ford eu ia preciso tomar alguns cuidados tanto na camada de rede quanto na da aplicação da camada de rede segmento a funcionalidade de acesso remoto a recursos em redes separados e aplica política de Faro ao negar por padrão Ou regras de controle de acesso à rede para bloquear todo o tráfego da internet é apenas o essencial já na camada da aplicação higienize e valide todos os dados

de entradas fornecidos pelo cliente aplique o esquema de URL Comporta e destino com uma lista de permissões positiva não envie respostas brutas aos clientes desativa e redirecionamentos http tem a consistência da URL para evitar ataques como redirecionamento de DNS e toctou o tempo de verificação tempo de uso uma dica importante usar uma lista de negação ou expressão regular pode não ser suficiente para mitigar os ataques ssrf normalmente Os Invasores têm listas preload ferramentas e habilidades para by passar isso na nona posição temos o seguir de login e monitorem fenders que é o monitoramento de falhas

de segurança de lotes existem vai além do ataque Visa justamente detectar em responder a ele por isso eu preciso registrar em monitorar os logs da aplicação além de mantermos próprios logo e seguros afinal se estas informações forem comprometi e não será possível que cumpra um com sua função podemos dar aqui algumas dicas para construção dos lotes em segurança mantenha logins logins com falha e transações importantes registrados Tem a certeza de que as mensagens de log são claros e que contém informações suficientes para identificar a ação ou e Garanta que todas as falhas de login controle

de acesso e validação de entrada do lado do servidor possam ser registradas com contexto usuário suficiente para identificar contas suspeitas ou maliciosas E mantenha esses dados a salvo por tempo suficiente para permitir análises forenses de um ataque consumir Logos pode não ser uma tarefa simples por isso É aconselhável que ele seja um gerados Em um formato que as soluções de gerenciamento de loja e possam consumir facilmente certifique-se de que os dados de log sejam codificados corretamente para evitar injeções ou ataque no sistema de log ou monitoramento as equipes de deve ser copo deve estabelecer monitoramento

e Alerta eficaz para que a atividade Olá sejam detectados e respondidas rapidamente mesmo tomando todos os cuidados é preciso ter um plano de resposta e Recuperação de incidentes traçado isso fará com que a empresa consiga contornar o problema da melhor forma oitava ameaça nomeada de software and to integrate Fire se aproveita justamente das falhas na integridade dos prótons e dos dados isso ocorre por exemplo por uma aplicação Depende de plugins ou bibliotecas de fontes externas não confiáveis repositório e ou até CDN vídeo o exemplo do log for céu que mandou viu a tecla de controle

geração de logs que foi comprometida a sua segurança e automaticamente vários sistemas foram comprometidos também um pai do online disse a esse dia inseguro pode trazer acessos não autorizados código malicioso ou comprometimento do sistema Outro exemplo é quando objetos são dados são codificados ou ser realizados em uma estrutura que o invasor pode ver e modificar algumas dicas de prevenção são use assinaturas um mecanismo semelhante para verificar se o software ou os dados são da fonte esperada e não foram alterados varanda que bibliotecas independências estejam sendo utilizadas de repositórios confiáveis não tem um processo de revisão

para alteração de código e configuração para evitar que erros ou códigos e configurações mal intencionadas sejam inseridos em um particular também vale mantenho a segregação configuração e controle de acessos adequados no Pilar me disse a incidir para garantir a integridade do código que flui pelos processos de compilação e implantação até que uma ameaça mais uma vez se aproveita de falhas mas nesse caso de identificação e autenticação chamada de identifiquei authentication Renner a confirmação da identidade do usuário autenticação em gerenciamento de sessão é fundamental para proteger as aplicações podemos citar aqui algumas das deficiências de autenticação

de uma aplicação como permitir ataques automatizados com o preenchimento de credenciais em que o invasor possui uma lista de nomes de usuários o permitir sem as fracas como aquelas velhas conhecidas né assim um dois três quatro cinco seis admin admin Craft olha usar também os sistemas de recuperação de senhas fracos ou ineficaz armazenar senhas em texto simples ou com um sistema de criptografia e ineficiente como o resto fraco por exemplo não disponibilizaram autenticação de dois fatores que já se mostrou bem seguro expor o identificador de sessão na URL que utilizaram o identificador de sessão após

o login bem-sucedido não invalidar corretamente os a digestão sessões de usuário ou token de autenticação principalmente single sai não não invalidados corretamente durante o logout ou em um período de inatividade baseado nesses pontos você já deve ter uma ideia do que deve ser feito para prevenir essa ameaça Mas vamos te dar mais algumas dicas sempre que possível implemente autenticação multi-fator para evitar ataques automatizado de força bruta e reutilização de credenciais roubadas nunca eu dizer nunca ou o ambiente de produção as credencias padrões de qualquer serviço ou Sócrates implemente verificações de senhas fracas Garanta que cadastro

recuperação de credenciais e enfiar sejam protegidos contra-ataques usando as mesmas mensagens para todos os resultados em mente as tentativas de login com falha mas tome cuidado para não exagerar impactar de forma negativa a experiência do usuário não deixe de registrar todas as falhas esse preciso alerte os administradores Quando forem detectados padrões de um ataque vale a pena usar um gerenciador de sessão integrado seguro e do lado do servidor que gera um novo aí de sessão aleatório após o login Lembrando que Esse identificador de sessão não deve estar na URL ele deve ser armazenado com segurança

e em validado após o logout e na atividade e até depois de um tempo determinado em sexto lugar tá acordada ainda né temos os ataques que se aproveitam de vulnerabilidade e componentes desatualizado ai ai o vulnerable and out the other components infelizmente e nós deve sabemos o quanto é difícil manter todas as aplicações que desenvolvemos em Dia com todas as atualizações olha por aqui nós costumamos falar que o código fica velho e cabe a nós fazer com que ele envelhece bem E para isso é preciso conhecer as versões de todos os componentes que usamos tanto

do lado cliente enquanto do lado servidor incluindo todas as dependências animadas ainda devemos incluir nessa lista de atualizações sistemas operacionais servidor de aplicações web sistema gerenciamento de banco de idade aplicativos essenciais ambiente de tempo de execução e principalmente as libs Como saber se tudo está em ordem não é fácil mas é possível assinar boletim de segurança relacionados aos componentes que você utiliza para se prevenir não tem jeito vai ser preciso ter um processo de gerenciamento de atualizações fazendo monitoramento e realizando as atualizações sempre que for necessário inclusive existem ferramentas do próprio kit Rubi ele já

vem embutido um gerenciador de dependências que ele Analisa a independência que está no seu repositório ela está desatualizada ou está insegura vem também algumas Fontes bem interessante como o próprio site da USP a comam vulnerabilities exposer e a nesse canal vulnerability da também se dois bancos de dados para consulta de vulnerabilidades no mas devemos sempre remover todas as dependências que não estão sendo utilizados e obviamente só utilizar livres e componentes de fontes oficiais em link Seguros Já chegamos aqui na vantagem fica acordado a quinta é a seguir se misconfiguration que utiliza as falhas e erros

nas configurações de segurança para realizar os ataques que era alguns exemplos Então vamos lá permissões incorretas e em serviços de nuvem a gente ouviu isso acontecer recursos desnecessários ativados ou instalados por exemplo porta e serviços conta sô privilégios desnecessários usuários e sem as padrão habilitadas inalteradas mensagens de erro com excesso de informação para os usuários configurações de segurança não definidos ou inseguros em servidores de aplicativos o aplicativos como struts Spring asp.net bibliotecas banco de dados e etc a prevenção nós temos algumas dicas como a criação de um processo que possa ser facilmente repicado com um

ano de um ambiente para o outro além disso ambiente de desenvolvimento teste de produção devem ser configuradas de formas idênticas mas obviamente um credenciais diferente para cada um deles de preferência a criação desses ambientes deve ser feita de forma automática não tenha todo o ambiente limpo nada de deixaram instalar componente líder do Queens documentação nada que não for necessário para aplicação funcionar Quanto ganha um arquitetura segmentada que forneça separação eficaz insegura com segmentação conter nização ou através de grupos de usuários terão processo automatizado para verificar a eficácia das configurações e ajustes em todos os ambientes

estão bem válido o quarto item é chamado de insistir design pela USP ou design inseguro ele está diretamente ligado às regras a aplicação e não a implementação em se eu acho que fica mais fácil de entender através de um evento imagine um e-commerce que permite a inclusão de um cupão de desconto quando o cliente aceitou a compra mais o cliente descobre que ao efetuar o cadastro ocupam o sistema permite a inclusão de um novo cupom conseguindo assim desconto em cima de desconto sendo possível até zerar valor da compra esse seria um problema de design seguro

todas as funcionalidades podem ter sido implementadas de forma correta e segura mais uma falha gera um caso de uso que não foi especificado e consequentemente uma falha no sistema pra se proteger nesse caso é preciso fazer um bom trabalho de análise coletando todos os requisitos de negócio da aplicação incluindo o pontos relativos à confidencialidade integridade disponibilidade e autenticidade de todos os dados EA lógica de negócio desesperada em cada um dos casos de uso é preciso determinar o fluxo principal e também identificar as falhas em nosso exemplo o fluxo principal é a compra e aplicação de

um cupom o fluxo de falha é aplicação de dois ou mais cupons por isso é preciso identificar e ter um cenário que atenda cada um deles é possível usar frente moda em uma modelagem de ameaças por exemplo para autenticação crítica controle de acesso e lógica de negócio e também é preciso criar teste de unidade de integração para validar todos os fluxos críticos e terceiro lugar temos injection ou injeção que inclui por exemplo injeção SQL xss atack ou Cross site scripting esses dois ataques são tão comuns que já receberam até um dicionário do programador aqui no

código fonte TV ajuda a habilidades exploradas por Jackson são feitas através do não-tratamento do Estado fornecidos pelos usuários sendo possível por exemplo a utilização de dados hostins usado sem parâmetros de pesquisa para estranho e registros confidenciais ou ainda a utilização direta na concatenação para gerar comandos maliciosos utilizados no banco de dados para se prevenir vale a pena realizar uma a previsão de código fonte em testes automatizados de todos os parâmetros cabeçalhos URL cookies de sessão soup entrada de dados XML ou qualquer outro formato outra forma é a utilização de Epi acho que farão o meio

de campo entre usuário e à base de dados ou menos a utilização de RM que já operam de forma segura os acesso aos dados na segunda posição temos as petrographic Fire são falhas criptográficos que incluem a criptografia de todos os dados sensíveis de uma aplicação Podemos fazer aqui várias perguntas que irão identificar se a sua aplicação possui ou não essas falhas algum dado é transmitida em texto simples pensa em protocolos como http smtp FTP e também usando atualizações tls como o status de LS todo tráfico externo da internet é potencialmente perigoso e temos que verificar

tão bem todo o tráfego interno por exemplo entre balanceadores de carga servidores web ou sistema CB500 algum algoritmo a litografia antigo ou fraco ainda está em uso as chaves criptográficas padrão estão em uso Chaves criptográficas fracas são geradas ou reutilizados ou o gerenciamento ou rotação de Chaves está ausente essa chave são verificadas nos repositórios de código-fonte Existe alguma diretiva de segurança de cabeçalhos http navegador ou cabeçalhos ausentes as funções de hash obsoletos como md5 sha1 ainda são utilizadas ainda podemos continuar por aqui fazendo perguntas por mais alguns minutos mas ao invés disso vamos te dar

algumas dicas de como se prevenir identifique quais dados são confidenciais e sensíveis na sua aplicação e não deixe de levar em conta leis como a lgpd só armazene dados confidenciais quando eles forem de fato necessário caso contrário livre-se deles o mais rápido possível criptografar todos os dados em trânsito com protocolos Seguros como tls conforme simples priorização de cifras pela pelo servidor e parâmetros Seguros e aqui pro grafia usando diretivas com http strict-transport-security não usa protocolos legados como FTP smtp para transportar dados confidenciais Armazém usando funções de hash em forte como órgão 2 script bbswitch ou

pbkdf2 finalmente Chegamos no tão aguardado top um mesmo com tudo que falamos até agora a sua aplicação ainda não está a salvo do Grou can access control ou controle de acesso quebrado inglês ou até mais perigoso e se tem entram vulnerabilidades como Exposições informações confidenciais a um agente não autorizado a inserção de informações confidenciais em dados enviados e falsificação de solicitação entre site ou seja o controle de acesso de respeito ao usuário ter acesso apenas ao que lhe é permitido meio óbvio né que podemos citar alguns exemplos de como essa vulnerabilidade é explorada a sessão

do hippie com controle de acessos ausentes para Poço e demite processo e é de um administrador sendo apenas um usuário padrão através da visualização ou edição da conta de outra pessoa fornecendo seu identificador exclusivo o famoso aí de realizando a manipulação de metadados como reproduzir ou alterar um toque de controle de acesso como um jwt unc um campo oculto manipulado para elevar privilégios ou abusar da invalidação do jwt para prevenir que temos que fazer o básico usar a tática de negar por padrão só deixando liberado o recurso que é público implementar mecanismos de controle de

acesso os identificadores de sessão com o estado devem serem validados no servidor após logout Desative a listagem de diretórios de servidor web e certifique-se de que arquivos como por exemplo. Seguinte e os arquivos de backup não estejam presentes nas raízes da web depois de tudo o que te apresentamos não é difícil de imaginar porque existem tantas aplicações sendo atacado simplesmente se proteger de todos os ataques não é fácil mas é preciso conhecer o tempo as novas ameaças que aparecem a cada momento tenho certeza que esse vídeo vai te ajudar e você pode deixar o salvo

aí no seus favoritos para consultas futuras e isso vai ser necessário porque não dá para assimilar tudo que nós falamos assistindo só uma vez que a gente vai deixar o vídeo todo divididinho também em capítulos para ficar mais fácil para você ir no item que te interessa mais esperamos ter aberto somente para alguns desses possíveis ataques é claro que a lista é muito maior citamos aqui apenas os top 10 e sem dúvida cada um deles poderia ser assunto para alguns vídeos aqui no caso você gostou dessa ideia de ir para gente aqui nos comentários não

esquece de deixar o seu like e também acessar o link para conhecer as oportunidades da Philips que está aqui na descrição nós vamos ficar por aqui nos vemos no próximo vídeo tchau tchau tchau tchau E aí E aí E aí [Música] E aí [Música]