Você está seguro na WEB? E suas aplicações, estão seguras?

Muitas vezes não sabemos responder a esta pergunta de maneira simples, mas eu vou te ajudar a descobrir neste post!

 

O que determina a segurança de uma aplicação?

Sempre ouvimos falar em Hackers, em segurança da informação… Mas, o que determina a segurança de uma aplicação WEB?

Existem várias formas de se determinar a segurança de aplicações. As principais são os testes de vulnerabilidades. Estes testes consistem em utilizar ferramentas automatizadas, ou mesmo manualmente, forçar a exploração de vulnerabilidades em determinado sistema, seja WEB ou não. Para sistemas WEB existem diversos testes consolidados no mercado, dentre os principais está a OWASP. Uma organização sem fins lucrativos que visa manter a segurança de aplicações WEB por meio de divulgações de vulnerabilidades, bem como de ferramentas que auxiliam na detecção e correção destas vulnerabilidades.

Como posso eu mesmo descobrir as vulnerabilidades de minha aplicação WEB?

Para isso, posso te ajudar! É com bastante alegria que venho divulgar o lançamento de meu primeiro curso online! O curso “Segurança em Aplicações WEB”

Trata-se de um curso pensado especialmente para você desenvolvedor, para você profissional de segurança da informação! Este curso possui uma metodologia voltada para lhe mostrar na prática as maneiras de encontrar vulnerabilidades e corrigi-las. Se você trabalha com Tecnologia, seja desenvolvendo, dando manutenções ou mesmo com infraestrutura e segurança, embarque comigo neste aprendizado!

O curso está com preço promocional, aproveite os valores promocionais clicando no link abaixo!

O que aprenderei neste curso?

Neste curso você irá aprender a descobrir vulnerabilidades atacando um servidor WEB real! Também aprenderá a se defender  de ataques! Para nos guiar utilizaremos a lista das principais vulnerabilidades em aplicações WEB disponibilizada pela OWASP,que seguem abaixo:

 

  1. Injeção Falhas de injeção, como SQL, NoSQL, OS e LDAP, ocorrem quando dados não confiáveis ​​são enviados para um intérprete como parte de um comando ou consulta. Os dados hostis do invasor podem induzir o intérprete a executar comandos não intencionais ou acessar dados sem a devida autorização.
  2. Autenticação quebrada . As funções de aplicativos relacionadas à autenticação e ao gerenciamento de sessões são frequentemente implementadas incorretamente, permitindo que os invasores comprometam senhas, chaves ou tokens de sessão ou explorem outras falhas de implementação para assumir a identidade de outros usuários temporária ou permanentemente.
  3. Exposição de dados confidenciais . Muitos aplicativos da Web e APIs não protegem adequadamente dados confidenciais, como financeiro, assistência médica e PII. Os invasores podem roubar ou modificar esses dados com pouca proteção para realizar fraudes no cartão de crédito, roubo de identidade ou outros crimes. Os dados confidenciais podem ser comprometidos sem proteção extra, como criptografia em repouso ou em trânsito, e requer precauções especiais quando trocados com o navegador.
  4. Entidades externas XML (XXE) . Muitos processadores XML mais antigos ou mal configurados avaliam referências de entidades externas em documentos XML. Entidades externas podem ser usadas para divulgar arquivos internos usando o manipulador de URI de arquivos, compartilhamentos de arquivos internos, varredura de portas internas, execução remota de código e ataques de negação de serviço.
  5. Controle de acesso quebrado . Restrições sobre o que os usuários autenticados têm permissão para fazer geralmente não são aplicadas corretamente. Os invasores podem explorar essas falhas para acessar funcionalidades e / ou dados não autorizados, como acessar contas de outros usuários, visualizar arquivos confidenciais, modificar dados de outros usuários, alterar direitos de acesso etc.
  6. Configuração incorreta de segurança . A configuração incorreta da segurança é o problema mais comum. Isso geralmente resulta de configurações padrão inseguras, incompletas ou ad hoc, armazenamento em nuvem aberta, cabeçalhos HTTP configurados incorretamente e mensagens de erro detalhadas que contêm informações confidenciais. Não apenas todos os sistemas operacionais, estruturas, bibliotecas e aplicativos devem ser configurados com segurança, mas devem ser corrigidos / atualizados em tempo hábil.
  7. XSS de script entre sites . As falhas do XSS ocorrem sempre que um aplicativo inclui dados não confiáveis ​​em uma nova página da Web sem validação ou escape adequados ou atualiza uma página da Web existente com dados fornecidos pelo usuário usando uma API do navegador que pode criar HTML ou JavaScript. O XSS permite que os atacantes executem scripts no navegador da vítima, que podem seqüestrar sessões do usuário, desfigurar sites ou redirecionar o usuário para sites maliciosos.
  8. Desserialização insegura . A desserialização insegura geralmente leva à execução remota de código. Mesmo que as falhas de desserialização não resultem em execução remota de código, elas podem ser usadas para executar ataques, incluindo ataques de repetição, ataques de injeção e ataques de escalonamento de privilégios.
  9. Usando componentes com vulnerabilidades conhecidas . Componentes, como bibliotecas, estruturas e outros módulos de software, são executados com os mesmos privilégios que o aplicativo. Se um componente vulnerável for explorado, esse ataque poderá facilitar a perda séria de dados ou a aquisição de servidores. Aplicativos e APIs que usam componentes com vulnerabilidades conhecidas podem minar as defesas de aplicativos e permitir vários ataques e impactos.
  10. Registro e monitoramento insuficientes . O registro e o monitoramento insuficientes, juntamente com a integração ausente ou ineficaz com a resposta a incidentes, permitem que os invasores continuem atacando os sistemas, mantenham a persistência, façam o pivô para mais sistemas e violem, extraiam ou destruam dados. A maioria dos estudos de violação mostra que o tempo para detectar uma violação é superior a 200 dias, geralmente detectados por partes externas, em vez de processos ou monitoramento interno.

Como estudarei neste curso?

Nós vamos estudar estas vulnerabilidades que citei acima. Seguiremos a seguinte agenda em nosso curso:

  • Apresentação do curso “Segurança em Aplicações WEB”
  • Criação do Laboratório de Estudos
  • Princípios da Segurança da Informação e Proteção de Dados
  • Tipos de Testes de Invasão
  • OWASP
  • Testes realizados em Ambientes WEB
  • Injeção SQL
  • Local/Remote File Inclusion
  • Code Injection
  • Command Injection
  • XSS / Cross Site Scripting
  • Mecanismos de Recuperação de senhas vulneráveis

 

Vale a pena investir em seu conhecimento! Aproveite os valores promocionais clicando no link abaixo, se inscreva já!

Deixe um comentário