Webgoat como ferramenta de aprendizado
luizvieira
1,411 views
14 slides
Nov 25, 2014
Slide 1 of 14
1
2
3
4
5
6
7
8
9
10
11
12
13
14
About This Presentation
Palestra no 2º encontro do capítulo RJ da OWASP
Slide Content
Copyright © 2004 -The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document under
the terms of the GNU Free Documentation License.
The OWASP Foundation
http://www.owasp.org
OWASP -WebGoat
Como ferramenta de aprendizado do funcionamento
de vulnerabilidades Web
Luiz Vieira ∴
OWASP Rio de Janeiro
HackProofing
[email protected]
Permission is granted to copy, distribute and/or modify this document under
the terms of the GNU Free Documentation License.
The OWASP Foundation
http://www.owasp.org
OWASP -WebGoat
Como ferramenta de aprendizado do funcionamento
de vulnerabilidades Web
Luiz Vieira ∴
OWASP Rio de Janeiro
HackProofing
[email protected]
2OWASP
Quem sou eu?
Quem sou eu?
3OWASP
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação
web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de
HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating
System Hardening, Database Hardening
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação
web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de
HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating
System Hardening, Database Hardening
4OWASP
O código faz parte do perímetro de
segurança
Firewall
Hardened OS
Web Server
App Server
Firewall
Databases
Legacy Systems
Web Services
Directories
Human Resrcs
Billing
Custom Developed
Application Code
APPLICATION
ATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou
detectar ataques ao nível aplicacional
Network Layer
Application Layer
O seu perímetro de segurança possui
buracos enormes na camada
aplicacional
O código faz parte do perímetro de
segurança
Firewall
Hardened OS
Web Server
App Server
Firewall
Databases
Legacy Systems
Web Services
Directories
Human Resrcs
Billing
Custom Developed
Application Code
APPLICATION
ATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou
detectar ataques ao nível aplicacional
Network Layer
Application Layer
O seu perímetro de segurança possui
buracos enormes na camada
aplicacional
OWASP 5
O que é o OWASP?
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço
voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros
O que é o OWASP?
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço
voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros
OWASP 6
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais
OWASP 7
Publicações OWASP –OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para
aplicações web
Publicações OWASP –OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para
aplicações web
OWASP 8
Publicações OWASP -OWASP Top 10
Top 10 (versão 2013)
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards
Publicações OWASP -OWASP Top 10
Top 10 (versão 2013)
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards
OWASP 9
Software OWASP -WebGoat
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre
segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
–Fácil de usar
–Ilustra cenários credíveis
–Ensina ataques realistas e soluções viáveis
Software OWASP -WebGoat
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre
segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
–Fácil de usar
–Ilustra cenários credíveis
–Ensina ataques realistas e soluções viáveis
OWASP 10
Software OWASP -WebGoat
WebGoat –O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar
Software OWASP -WebGoat
WebGoat –O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar
OWASP 11
Vamos conhecer alguns “bugs”…
Vamos conhecer alguns “bugs”…
OWASP 12
SQL Injection
XML Injection
XSS
CSRF
Session Fixation
Session Hijacking
Vamosconheceralguns“bugs”…
SQL Injection
XML Injection
XSS
CSRF
Session Fixation
Session Hijacking
Vamosconheceralguns“bugs”…
13OWASP
14OWASP
Obrigado pela sua atenção!
https://www.owasp.org/index.php/Rio_de_Janeiro
[email protected]
http://hackproofing.blogspot.com
http://www.hackproofing.com.br(em breve)
Obrigado pela sua atenção!
https://www.owasp.org/index.php/Rio_de_Janeiro
[email protected]
http://hackproofing.blogspot.com
http://www.hackproofing.com.br(em breve)
Tags
Categories
GeneralDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 1,411
- Slides 14
- Favorites 1
- Age 4024 days
Related Slideshows
22
Pray For The Peace Of Jerusalem and You Will Prosper
RodolfoMoralesMarcuc
30 views
26
Don_t_Waste_Your_Life_God.....powerpoint
chalobrido8
32 views
31
VILLASUR_FACTORS_TO_CONSIDER_IN_PLATING_SALAD_10-13.pdf
JaiJai148317
30 views
14
Fertility awareness methods for women in the society
Isaiah47
29 views
35
Chapter 5 Arithmetic Functions Computer Organisation and Architecture
RitikSharma297999
26 views
5
syakira bhasa inggris (1) (1).pptx.......
ourcommunity56
28 views