we are developers

iMaster Developers

iMaster DevelopersPowered by:

Desenvolvimento

26 dez, 2016

Vamos falar de OWASP?

Kleber Toyota

Tem 6 artigos publicados com 3600 visualizações desde 2016

Kleber Toyota
Publicidade

Fala, pessoal!

Há algumas semanas, fiz uma introdução sobre Pentest. Hoje, vamos descrever um pouco melhor a metodologia OWASP (Open Web Application Security Project).

O OWASP é uma comunidade aberta dedicada a capacitar as organizações para que possam desenvolver, adquirir e manter aplicações seguras. É direcionada para testes de vulnerabilidades de segurança em servidores e aplicações web e mantém uma lista com dez principais vulnerabilidades:

Injeção

Métodos de injeção de códigos, arquivos e comandos que ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta, com intuito de retornar dados privativos, quebrar um fluxo de negócio ou sistêmico.

Os principais são:

  • Injeção de SQL: injeção de códigos SQL;
  • Local file inclusion: injeção de arquivos locais na página;
  • Remote file inclusion: injeção de arquivos remotos na página;
  • Code Injection: injeção de códigos arbitrários;
  • Command Injection: injeção de comandos na página;
  • XSS: injeção de códigos JavaScript.

Quebra de autenticação e gerenciamento de sessão

Permite que os atacantes comprometam senhas, chaves e tokens de sessão, podendo assumir a identidade de outros usuários.

Referência insegura e direta a objetos

Exposição da referência de uma implementação de um objeto interno, permitindo sua manipulação e acesso a dados restritos.

Path traversal

Acessos a diretórios e arquivos fora da pasta de web root.

File upload

Envio de um arquivo malicioso que permite controle da página web.

Configuração incorreta de segurança

Garantir a correta configuração de segurança dos aplicativos, servidores, servidores web e servidores de banco de dados, um teste de intrusão nestes pode validar alguns destes pontos falhos.

Exposição de dados sensíveis

Tráfego e armazenamento de dados importantes sem sistemas de proteção ou criptografia adequada.

CSRF

Forja de requisições HTTP, permitindo que o sistema atacado crie registros, usuários, troca de senhas ou qualquer ação não-autorizada.

Falta de função para controle do nível de acesso

Páginas e áreas restritas do sistema sem controle de autenticações e níveis de acesso.

Utilização de componentes vulneráveis conhecidos

Uso de framework, aplicativos, componentes com vulnerabilidades já conhecidas.

Redirecionamentos e encaminhamentos inválidos

Os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não -autorizadas.

Manutenção do acesso

Instalação de páginas, códigos e scripts maliciosos no servidor para poder ter o acesso posteriormente.

Negação de serviço

Teste de stress com objetivo de sobrecarregar o servidor/aplicação, podendo derrubá-lo e/ou até mesmo fazer com que fique inacessível.

E por hoje é isso! Espero que tenha conseguido explicar bem o que é o projeto OWASP. Se você tiver alguma dúvida, pode deixar abaixo nos comentários.

Até a próxima!

***

Artigo publicado originalmente em: http://www.concretesolutions.com.br/2016/12/09/vamos-falar-de-owasp/

De 0 a 10, o quanto você recomendaria este artigo para um amigo?

Kleber Toyota
Saiba mais

Kleber Toyota

edit6 Artigo(s)

é desenvolvedor Java na Concrete Solutions, mas sabe também de back-end, front-end, API, Pentest, Android... só não muito de design. É tecnólogo de banco de dados, data mining e BI pela Faculdade Impacta de Tecnologia, mas também já estudou redes wifi pela DLink e Android Udacity. Nas horas vagas, curte guitarra, cozinha, skate, artes maciais e jogos.