apostila de segurança web , esta apostila mostra as falhas e como soluciona-las
link abaixo
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Sumário
1. Introdução ao OWASP............................................. .................................................. ........4
2. Introdução a Segurança da Informação .................................................. ............................5
2.1. Segurança em Web............................................... .................................................. ...6
3. Vulnerabilidades Web .................................................. .................................................. ...7
3.1. Cross-Site-Script (OWASP #1) .................................................. ....................................7
3.1.1 Primeiro Exemplo – Retorno de Variáveis .................................................. .............8
3.1.2 Segundo Exemplo – Recuperação de Dados............................................. .............12
3.2.3 Terceiro Exemplo – Alteração de Informações da Página .......................................15
3.1.4 Quarto Exemplo – Mudança de Escopo .................................................. ..............16
3.1.5 Solução .................................................. .................................................. ..........18
3.2. Injeção de SQL (OWASP #2) .................................................. ....................................20
3.2.1 Primeiro Exemplo – Formulário de Acesso .................................................. ..........21
3.2.1.1 – Método de Ataque .................................................. ..................................22
3.2.1.2 – Primeira Proteção Ineficaz.......................................... ................................23
3.2.1.3 – Segunda Proteção Ineficaz .................................................. .......................25
3.2.1.4 – Terceira Proteção do Primeiro Exemplo (Eficiente?).....................................2 6
3.2.2 – Segundo Exemplo (Ajax + Variáveis Numéricas) .................................................2 8
3.2.2.1 – Ferramenta Auxiliar (FireBug) .................................................. ...................30
3.2.2.2 - Utilizando o INFORMATION_SCHEMA................................ ..........................33
3.2.2.3 – Descobrindo o Número de Colunas .................................................. ...........34
3.2.2.4 – Obtendo colunas visíveis .................................................. ..........................36
3.2.2.5 – Localizando Tabelas Necessárias....................................... ..........................37
3.2.2.6 – Descobrindo o Nome das Colunas........................................... ....................37
3.2.2.7 – Efetuando o Ataque .................................................. .................................38
3.2.7 - Conclusão......................................... .................................................. ..............41
Curso de Extensão Tecnológica de Segurança em Web Página 3
3.3. Execução de Arquivo Remoto (OWASP #3)............................................... ..................42
3.3.1 Exemplo .................................................. .................................................. .........43
3.3.2 Solução .................................................. .................................................. ..........48
3.4. Referência Direta a Objetos Inseguros (OWASP #4) .................................................. ..50
3.4.1 Primeiro Exemplo - Acesso a Arquivos do Sistema Operacional..............................50
3.4.2 Segundo Exemplo - Acesso a Registros do Banco de Dados....................................51
3.4.3 Solução .................................................. .................................................. ..........53
3.5. Cross Site Request Forgery (OWASP #5)............................................... ......................54
3.5.1 Primeiro Exemplo – Forum Logout .................................................. .....................54
3.5.2 Segundo Exemplo – Sites de e-Commerce.......................................... ...................54
2.5.3 Solução .................................................. .................................................. ..........58
3.6. Vazamento de Informação e Tratamento Incorreto de Erros (OWASP #6) ....................59
3.6.1 Primeiro Exemplo – Mensagens Diversas.......................................... ....................59
3.6.2 Segundo Exemplo – Mensagens de Erro.............................................. .....................60
Solução .................................................. .................................................. ..................61
3.7. Furo de Autenticação e Gerência de Sessão (OWASP #7) ... Erro! Indicador não definido.
3.8. Armazenamento Criptográfico Inseguro (OWASP #8) .................................................6 5
3.8.1 Criptografia VS Hash .................................................. .........................................65
3.8.2 Mal da Política de Segurança .................................................. .............................65
3.8.3 Ataques a Sistemas Criptográficos .................................................. .....................66
3.8.4 Ataques a Funções Hash.............................................. ........................................67
3.8.5 Solução .................................................. .................................................. ..........68
3.9. Comunicação Insegura (OWASP #9)............................................... ............................69
3.9.1 Solução .................................................. .................................................. ..........69
3.10. Falha de Restrição de URL (OWASP #10) .................................................. ................70
3.10.1 Solução .................................................. .................................................. ........71
4. Referências .................................................. .................................................. ................72
creditos pro cara que postou esta apostila : kautela
tá bom eu admito foi ctrl+c ctrl+v , mesmo assim agradece ae pow
link abaixo
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Sumário
1. Introdução ao OWASP............................................. .................................................. ........4
2. Introdução a Segurança da Informação .................................................. ............................5
2.1. Segurança em Web............................................... .................................................. ...6
3. Vulnerabilidades Web .................................................. .................................................. ...7
3.1. Cross-Site-Script (OWASP #1) .................................................. ....................................7
3.1.1 Primeiro Exemplo – Retorno de Variáveis .................................................. .............8
3.1.2 Segundo Exemplo – Recuperação de Dados............................................. .............12
3.2.3 Terceiro Exemplo – Alteração de Informações da Página .......................................15
3.1.4 Quarto Exemplo – Mudança de Escopo .................................................. ..............16
3.1.5 Solução .................................................. .................................................. ..........18
3.2. Injeção de SQL (OWASP #2) .................................................. ....................................20
3.2.1 Primeiro Exemplo – Formulário de Acesso .................................................. ..........21
3.2.1.1 – Método de Ataque .................................................. ..................................22
3.2.1.2 – Primeira Proteção Ineficaz.......................................... ................................23
3.2.1.3 – Segunda Proteção Ineficaz .................................................. .......................25
3.2.1.4 – Terceira Proteção do Primeiro Exemplo (Eficiente?).....................................2 6
3.2.2 – Segundo Exemplo (Ajax + Variáveis Numéricas) .................................................2 8
3.2.2.1 – Ferramenta Auxiliar (FireBug) .................................................. ...................30
3.2.2.2 - Utilizando o INFORMATION_SCHEMA................................ ..........................33
3.2.2.3 – Descobrindo o Número de Colunas .................................................. ...........34
3.2.2.4 – Obtendo colunas visíveis .................................................. ..........................36
3.2.2.5 – Localizando Tabelas Necessárias....................................... ..........................37
3.2.2.6 – Descobrindo o Nome das Colunas........................................... ....................37
3.2.2.7 – Efetuando o Ataque .................................................. .................................38
3.2.7 - Conclusão......................................... .................................................. ..............41
Curso de Extensão Tecnológica de Segurança em Web Página 3
3.3. Execução de Arquivo Remoto (OWASP #3)............................................... ..................42
3.3.1 Exemplo .................................................. .................................................. .........43
3.3.2 Solução .................................................. .................................................. ..........48
3.4. Referência Direta a Objetos Inseguros (OWASP #4) .................................................. ..50
3.4.1 Primeiro Exemplo - Acesso a Arquivos do Sistema Operacional..............................50
3.4.2 Segundo Exemplo - Acesso a Registros do Banco de Dados....................................51
3.4.3 Solução .................................................. .................................................. ..........53
3.5. Cross Site Request Forgery (OWASP #5)............................................... ......................54
3.5.1 Primeiro Exemplo – Forum Logout .................................................. .....................54
3.5.2 Segundo Exemplo – Sites de e-Commerce.......................................... ...................54
2.5.3 Solução .................................................. .................................................. ..........58
3.6. Vazamento de Informação e Tratamento Incorreto de Erros (OWASP #6) ....................59
3.6.1 Primeiro Exemplo – Mensagens Diversas.......................................... ....................59
3.6.2 Segundo Exemplo – Mensagens de Erro.............................................. .....................60
Solução .................................................. .................................................. ..................61
3.7. Furo de Autenticação e Gerência de Sessão (OWASP #7) ... Erro! Indicador não definido.
3.8. Armazenamento Criptográfico Inseguro (OWASP #8) .................................................6 5
3.8.1 Criptografia VS Hash .................................................. .........................................65
3.8.2 Mal da Política de Segurança .................................................. .............................65
3.8.3 Ataques a Sistemas Criptográficos .................................................. .....................66
3.8.4 Ataques a Funções Hash.............................................. ........................................67
3.8.5 Solução .................................................. .................................................. ..........68
3.9. Comunicação Insegura (OWASP #9)............................................... ............................69
3.9.1 Solução .................................................. .................................................. ..........69
3.10. Falha de Restrição de URL (OWASP #10) .................................................. ................70
3.10.1 Solução .................................................. .................................................. ........71
4. Referências .................................................. .................................................. ................72
creditos pro cara que postou esta apostila : kautela
tá bom eu admito foi ctrl+c ctrl+v , mesmo assim agradece ae pow
Comment