Segurança
em Web 2.0
Paola Garcia Juarez
Tóp.Especiais em Aplicações na Internet
Professores:
Claudia Motta
Carlo Oliveira
Objetivo
Mostrar alguns temas relacionados às
amenaças de segurança que são típicas em um
ambiente Web 2.0 .
Agenda
• Motivação
• Web 2.0 e segurança
• Aspectos chaves na segurança de sistemas
Web 2.0
• Vulnerabilidades mais importantes na Web 2.0
Motivação
Fonte: http://www.youtube.com/watch?v=X5x7tX4zpRY
Web 2.0 e segurança
• As ameaças de segurança colocados pela Web 2.0 são,
resultado das novas utilizações da tecnologia Web 2.0
que oferece.
• Exemplos dessas tecnologias incluem AJAX, widgets,
plataformas e aplicações, tais como blogs, wikis e redes
sociais.
Aspectos chaves da Web 2.0
• Conteudo gerado pelo usuario: Diferente do Web 1.0, os
sistemas Web 2.0 são considerados como uma “web
participativa” porque dependem do conteudo gerado
pelo usuario.
• Mashups e serviços web: Web 2.0 inclui interfaces para
permitir a comunicação com outros sistemas Web 2.0,
usando geralmente um API comun, o Web Services,
baseado em XML.
Aspectos chaves da Web 2.0
• Convergência de usuarios e mundo empresarial: O Web
2.0 não deixa claro o limite entre uma organização e do
mundo real.
• Diversidade de software cliente: Variedade de
plataformas de hardware (OS, celulares), software
cliente executados fuera do browser (desktop widgets),
ventanas de browser compartilhadas (web sites
pessoais).
Vulnerabilidades mais importantes
de Web 2.0
Insuficientes controles de autenticação: existe um risco
de que uma pessoa menos experiente pode fazer uma
alteração que afecta o sistema global.
Cenarios:
▫ Senhas fracas
▫ Controlos insuficientes para ataques de Força bruta
▫ Senhas não encriptadas
▫ Assinação simple
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Cross site scripting (XSS): uma entrada maliciosa
enviada por um atacante é armazenada pelo sistema e,
em seguida, exibida para outros usuários.
Cenarios:
▫ Entradas ilimitadas dos usuarios
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Cross Site Request Forgery (CSRF): Enquanto a vítima
visita uma aparentemente inofensiva, mas maliciosa
Web site, o codigo malicioso do site gera solicitudes
para um site diferente onde a vitima tem acessos.
Cenarios:
▫ Credenciais compartilhadas entre gadgets
▫ CSRF usando solicitudes AJAX
▫ Longas sesões
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Phishing: Ao usar o e-mail para dirigir às vítimas a um
falso site, o phishing não está baseado em
vulnerabilidades de software. A clara diferenciação entre
o falso e o verdadeiro site que imita, é um elementochave na prevenção desde tipo de fraudes.
Cenarios:
▫ Informações falsas
▫ Contenidos falsos usados pelo phising
▫ XSS explotado pelo phishing
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Injeção de erros: Ao depender maiormente do código
ingressado pelo cliente, as aplicações Web 2.0
frequentemente realizam algumas entradas de
validação que um invasor pode ignorar.
Cenarios:
▫ XML injection
▫ Json injection
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Integridade da informação: Mesmo se as alterações
introduzidas não são mal intencionados, adicionar erros
individuais, pode conduzir a uma grande distorção da
verdade, quando são combinadas em uma única
história.
Cenarios:
▫ Usuarios
autenticados
fraudulenta
▫ Moinho de rumores
publicam
informação
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Insuficiente anti automatização: As interfaces dos
aplicativos Web 2.0 permitem ao atacante automatizar
ataques. Uma aplicação Web 2.0 deve incluir
mecanismos
anti-automação
não
comumente
encontrados para evitar este tipo de ataque.
Cenarios:
▫ Web Spam
▫ Abertura automática de contas de usuarios
Vulnerabilidades mais importantes
de Web 2.0
Conclusão
Web 2.0 é um conjunto de tecnologias, e um conjunto
de comportamentos do consumidor. A combinação
destes dois elementos tem criado uma enorme
oportunidade para atacantes para explorar recursos
online para "divertimento e lucro."
É importante compreender as implicações destes novos
riscos, particularmente quando se considera usar
tecnologias da Web 2.0 para uso profissional e
comercial.
Download
  1. No category

Segurança em Web 2.0

Avaliação de Ferramentas de Análise Estática de Código para

Avaliação de Ferramentas de Análise Estática de Código para

1 Conceitos - Departamento de Sistemas e Computação

1 Conceitos - Departamento de Sistemas e Computação

ProjetoSegurançaDaInformação

ProjetoSegurançaDaInformação

VULNERABILIDADES

VULNERABILIDADES

vulnerabilidades relacionais

vulnerabilidades relacionais

II Seminário de Segurança da Informação

II Seminário de Segurança da Informação

Desafios da Segurança da Informação no ambiente híbrido entre

Desafios da Segurança da Informação no ambiente híbrido entre

Segurança em Comunicações Segurança de E-Mail

Segurança em Comunicações Segurança de E-Mail

Análise de Riscos

Análise de Riscos

Educação como instrumento de empoderamento das

Educação como instrumento de empoderamento das

Apresentação FGV EAESP

Apresentação FGV EAESP

FLUXOS E PROCESSOS DE TRABALHO PARA A AVALIAÇÃO

FLUXOS E PROCESSOS DE TRABALHO PARA A AVALIAÇÃO

1-Conceitos - Departamento de Sistemas e Computação

1-Conceitos - Departamento de Sistemas e Computação

1. Conceitos - Departamento de Sistemas e Computação

1. Conceitos - Departamento de Sistemas e Computação

Especificação e Implementação de Políticas de SI

Especificação e Implementação de Políticas de SI

Vulnerabilidades - Departamento de Sistemas e Computação

Vulnerabilidades - Departamento de Sistemas e Computação

Ansanello / 15

Ansanello / 15

Segurança da Informação

Segurança da Informação

NOTA TÉCNICA SOBRE O PROGRAMA BOLSA DA MÃE VERSÃO

NOTA TÉCNICA SOBRE O PROGRAMA BOLSA DA MÃE VERSÃO

O que podemos aprender com os vazamentos dos outros

O que podemos aprender com os vazamentos dos outros

segurança no desenvolvimento de aplicações

segurança no desenvolvimento de aplicações

apresentacao_renato

apresentacao_renato