Segurança
em Web 2.0
Paola Garcia Juarez
Tóp.Especiais em Aplicações na Internet
Professores:
Claudia Motta
Carlo Oliveira
Objetivo
Mostrar alguns temas relacionados às
amenaças de segurança que são típicas em um
ambiente Web 2.0 .
Agenda
• Motivação
• Web 2.0 e segurança
• Aspectos chaves na segurança de sistemas
Web 2.0
• Vulnerabilidades mais importantes na Web 2.0
Motivação
Fonte: http://www.youtube.com/watch?v=X5x7tX4zpRY
Web 2.0 e segurança
• As ameaças de segurança colocados pela Web 2.0 são,
resultado das novas utilizações da tecnologia Web 2.0
que oferece.
• Exemplos dessas tecnologias incluem AJAX, widgets,
plataformas e aplicações, tais como blogs, wikis e redes
sociais.
Aspectos chaves da Web 2.0
• Conteudo gerado pelo usuario: Diferente do Web 1.0, os
sistemas Web 2.0 são considerados como uma “web
participativa” porque dependem do conteudo gerado
pelo usuario.
• Mashups e serviços web: Web 2.0 inclui interfaces para
permitir a comunicação com outros sistemas Web 2.0,
usando geralmente um API comun, o Web Services,
baseado em XML.
Aspectos chaves da Web 2.0
• Convergência de usuarios e mundo empresarial: O Web
2.0 não deixa claro o limite entre uma organização e do
mundo real.
• Diversidade de software cliente: Variedade de
plataformas de hardware (OS, celulares), software
cliente executados fuera do browser (desktop widgets),
ventanas de browser compartilhadas (web sites
pessoais).
Vulnerabilidades mais importantes
de Web 2.0
Insuficientes controles de autenticação: existe um risco
de que uma pessoa menos experiente pode fazer uma
alteração que afecta o sistema global.
Cenarios:
▫ Senhas fracas
▫ Controlos insuficientes para ataques de Força bruta
▫ Senhas não encriptadas
▫ Assinação simple
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Cross site scripting (XSS): uma entrada maliciosa
enviada por um atacante é armazenada pelo sistema e,
em seguida, exibida para outros usuários.
Cenarios:
▫ Entradas ilimitadas dos usuarios
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Cross Site Request Forgery (CSRF): Enquanto a vítima
visita uma aparentemente inofensiva, mas maliciosa
Web site, o codigo malicioso do site gera solicitudes
para um site diferente onde a vitima tem acessos.
Cenarios:
▫ Credenciais compartilhadas entre gadgets
▫ CSRF usando solicitudes AJAX
▫ Longas sesões
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Phishing: Ao usar o e-mail para dirigir às vítimas a um
falso site, o phishing não está baseado em
vulnerabilidades de software. A clara diferenciação entre
o falso e o verdadeiro site que imita, é um elementochave na prevenção desde tipo de fraudes.
Cenarios:
▫ Informações falsas
▫ Contenidos falsos usados pelo phising
▫ XSS explotado pelo phishing
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Injeção de erros: Ao depender maiormente do código
ingressado pelo cliente, as aplicações Web 2.0
frequentemente realizam algumas entradas de
validação que um invasor pode ignorar.
Cenarios:
▫ XML injection
▫ Json injection
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Integridade da informação: Mesmo se as alterações
introduzidas não são mal intencionados, adicionar erros
individuais, pode conduzir a uma grande distorção da
verdade, quando são combinadas em uma única
história.
Cenarios:
▫ Usuarios
autenticados
fraudulenta
▫ Moinho de rumores
publicam
informação
Vulnerabilidades mais importantes
de Web 2.0
Vulnerabilidades mais importantes
de Web 2.0
Insuficiente anti automatização: As interfaces dos
aplicativos Web 2.0 permitem ao atacante automatizar
ataques. Uma aplicação Web 2.0 deve incluir
mecanismos
anti-automação
não
comumente
encontrados para evitar este tipo de ataque.
Cenarios:
▫ Web Spam
▫ Abertura automática de contas de usuarios
Vulnerabilidades mais importantes
de Web 2.0
Conclusão
Web 2.0 é um conjunto de tecnologias, e um conjunto
de comportamentos do consumidor. A combinação
destes dois elementos tem criado uma enorme
oportunidade para atacantes para explorar recursos
online para "divertimento e lucro."
É importante compreender as implicações destes novos
riscos, particularmente quando se considera usar
tecnologias da Web 2.0 para uso profissional e
comercial.
Download

Segurança em Web 2.0