Desenvolva SW seguro !

Nossa participação ontem no evento da OWASP foi muito instigante,muito especialmente pela palestra do Jerônimo Zucco e do L. Gustavo C. Barbato, o primeiro falando sobre o projeto OWASP e o segundo “A história da InSegurança de SW”. Os links das apresentações estarão em breve disponíveis no site da www.owasp-poa.org e eu recomendo, em especial o material de orientação sobre os Top 10 das vulnerabilidades em aplicações web (site).

Fiquei pensando: Acho que temos alguma coisa a aprender neste campo de conhecimento, mas qual o primeiro passo para analisar o nosso status atual e como saber por onde começar, o que são os problemas mais comuns? Assim como o PMI para GP e IIBA para AN, existe o OWASP (Open Web Application Security Project) com o objetivo de ajudar a comunidade de desenvolvimento de software à preparar-se e prevenir vulnerabilidades.

A Open Web Application Security Project (OWASP), entidade internacional sem fins lucrativos, com o objetivo de divulgar melhores práticas para a melhoria da segurança de softwares aplicativos, através de voluntários reúne, compilando e divulga informações importantes para a análise de riscos de segurança e formas de ataques através da internet.

Este evento foi patrocinado pela e apoiado pela POASEC, uma comunidade sediada aqui em Porto Alegre, com o objetivo de difundir a Segurança da Informação. Fundada em Maio de 2010. A Andrade Soto proporcionou um micro-ônibus para uma galera aqui de POA, pela RBS fomos eu e o André Trevisani, mas tinha gente da DELL e outras empresas de POA.

A OWASP libera grande quantidade de conhecimento na área de segurança de desenvolvimento de software, em diversos níveis, inclusive dividido por arquitetura, plataforma ou linguagem de desenvolvimento, como o Java, usado por nós. Há um projeto WebGoat da OWASP para orientar desenvolvedores a desenvolver seguro desde a análise e durante toda a programação.

Resumo dos 10 maisores riscos de segurança em aplicativos:

1. Injection – Injection flaw como SQL, ocorrem quando os dados não seguros são enviados a um intérprete como parte do comando ou consulta;
2. Cross-Site Scripting (XSS) – Permite executar scripts no navegador da vítima, roubar sessões do usuário ou redirecionar à sites mal intencionados;
3. Broken Authentication and Session Management – Quebra dos mecanismos de autenticação e gerenciamento de sessão para roubar senha, chave, token, para dizer-se outro usuário;
4. Insecure Direct Object References – Exposição de referência a objeto de implementação interna como arquivo, diretório ou chave de banco de dados;
5. Cross-Site Request Forgery (CSRF) – O navegador da vítima envia uma requisição à uma aplicação web vulnerável como se fosse a vítima executando;
6. Security Misconfiguration – Servidores configurados sem boas práticas de segurança e sem as últimas versões recomendadas pelo fabricante.
7. Insecure Cryptographic Storage – Aplicações web que não protegem ou criptografam dados como cartão de crédito, conta bancária, CPF, CNPJ, …;
8. Failure to Restrict URL Access – Ocorre quando se pode acessar uma página apenas pelo seu endereço sem o devido controle de acesso.
9. Insufficient Transport Layer Protection – Aplicações não proteger dados trafegados na rede, por uso incorreto das normas de segurança;
10. Unvalidated Redirects and Forwards – Redirecionamento a outras páginas sem validação facilita redirecionar a sites de phishing e malware.

Um comentário sobre “Desenvolva SW seguro !

  1. Pingback: Um ano e meio de blog – Obrigado galera! | Jorge Horácio "Kotick" Audy

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s