Vamos falar sobre o OWASP Top 10 2021? 🗣️ Comentários em vídeo sobre suas principais atualizações! Siga-nos para…
00:18:31
Vamos falar sobre o OWASP Top 10 2021? 🗣️ Comentários em vídeo sobre suas principais atualizações! Siga-nos para…
e depois de quatro anos o hospital top 10 foi atualizado e eu nesse vídeo vou fazer um react com vocês é eu ainda não li o relatório completo Então vem comigo olha como que você vai sair [Música] seja muito bem vindo ao canal do desenvolvedor eu eu me chamo Bruno Brito sou Microsoft MVP e pai de um monte de três filhos e hoje eu quero fazer uma espécie de Wii aqui vocês comentar sobre o assunto top 10 de 2021 que tá fresquinho acabou de sair eu ainda não li o relatório não vi tudo que contém lá acredito que fazer o react desse vídeo primeira mão com vocês vai ser um processo legal se você não sabe o ASP é um projeto de segurança para aplicações web Hoje ele é responsável por mapear e categorizar os principais ataques e os principais vetores de ataque em aplicações web É de longe a organização mais respeitada de segurança e recentemente Saiu uma atualização após 4 anos só com pequenas atualizações no hit Run Então vamos ver aqui vou abrir meu browser pode só que não astro.org top 10 e aqui tá o ícone é livre bem vindos o último aumente seria a última versão gospel top 10 blá blá blá o que mudou bom acho que de cara a gente já vê esse gráfico aqui ó o que algumas coisas muito interessantes mudaram por exemplo Jackson e Jackson era um ataque que vinha sucessivamente durante os anos figurante entre ali o top um desde que ele entrou lote de 2005 desde que ele entrou em 2005 de lá até 2017 ele ela top um ataque e o interessante aquele de uma descida aqui né Agora é só esse tem aqui a zero 2017 bloqueia authentication isso era sobre os processos de autenticação login e senha e caiu significativamente para ir para Top 7 tá aqui na lista mas aí no copo serve é isso daqui provavelmente está relacionado as boas freios que nós temos no mercado você tem lote net Java e já vem toda redondinha questão de resto de senha enfim por isso deve ser uma das explicações que subir desce significativamente agora ele tem uma nova nova não uma outra Seção que continua a mesma que assim sensitive data que pode viu e ele se transformou em criptografia e fez na verdade ele só renomearam então eu percebo que teve bastante renomeação de categoria uma nova uma nova categoria muito interessante é design seguro em design e inseguro ó design seguro é uma nova categoria E 2021 e com foco nos Riscos devido ao mal design não se você nunca viu o relatório do ASP ele nunca é direto ao ponto ele farol Olha nós percebemos o só na lista de segurança aqui fazem o relatório é mais ou menos assim nós percebemos que Mouse design aplicações Mas ele não fala isso é mau design Isso é uma designer coloca categoria um pouco genérica um ao design leva a falhas de segurança por isso que é um pouco difícil alguns itens do do ASP de entender parece um pouco abstrato e realmente é abstrato diferente de injecção porque Jackson talvez em Jackson sejam mais famoso porque ele também é o mais fácil o maior exemplo que nós temos elas querem Jackson Então é eu colocar um SPL que vai executar lá no seu banco é fácil você inferir diferente de outras categorias por exemplo a sala que essa daqui é clássica Security o configuration qualquer coisa é Security misconfiguration por exemplo você só tomar uma aplicação asp.net ela deu um erro e aí em produção tá mostrando aquela azul mostrando qual que é a linha de código não só por aquilo um atacante vai conseguir te atacar ele vai olhar para aquela linha de código a já sei essa linha de código tem uma falha no sistema operacional coloca final às vezes mas é considerado como uma falha de segurança esse aqui é interessante componentes desatualizados é ele que subiu ele subiu nesse mundo ver um ponentes desatualizados sumiu ele tava na posição 9 e veio aqui para a posição 6 botando em seguir de serialization e ele ficou na posição 8 ou sumiu é estranho ele ali Ah legal o que acontece aqui essa é uma nova categoria E dentro dessa categoria ele englobou o que ele chamava adiante the insecure de ser realizei chão essa categoria que não sei ainda exatamente o que que ela quer dizer preciso dar uma olhada vamos dar uma olhada junto comigo agora vamos lá a 08 aqui não abre uma nova aba essa nova nowada ele vai vir as informações uma nova categoria para 2021 fofa e minhas e suposições relacionadas às offerup desses dados críticos e pai QE Line de site diz sem validação de integrin verificação de integridade cenários de ataque 300 está nada já tá esse aqui é um exemplo de ataque com a fácil bem quem sabe o que é ataque de driver né de hardware ele fala muitos home halter setup box idevices e outros hoop dentes não verificam se o fêmur foi assinado um sai na defender tá é uma toque que está crescendo Oi E a expectativa é que as coisas vão piorar bom vamos voltar para nossa lista eu vou dar uma olhada só nos três primeiros ali com mais detalhes e se viermos aqui em Gurupi taxicontrol o pulo da quinta posição para primeira Muito provavelmente relacionada à lgpd para Broken Axis Comprou o quê que ele descreve como falha de acesso se movendo da quinta posição para primeira Ah e ele também tem uns srf antigamente tinha Somália só para ele acho que ele sentou igual ele fez com tinha não não tinha Não essa server-side e quase fully não último eu confundi aqui Muito provavelmente daqui tá muito relacionado com a LGP de aquele fala controle de acessos força apólices para os usuários não conseguirem agir fora das suas permissões então é o caso do cara que se logar como usuário e tenta acessar Um independente de administrador e consegue nada de novidade aqui violação do princípio do list privilégio privilégio mínimo ou de negação por padrão Inclusive essa delegação que o padrão tem um projeto recente aqui da desenvolvedora aí o que nós fizemos e que nós colocamos no ar e ele tem ali todo um uma questão de acesso sem instrutor e acessar Só que ele ainda está em teste em uma das coisas que nós fizemos é né ele por padrão todas as controle apólice né todas as polices requer que o usuário seja administrador então a gente só libera para algumas pessoas fazerem teste e aí eles vão testando verificando-se as telas tão bonitinho para depois ir tirando essa policy de administrador e dando uma ajeitada clássico erro aqui ó passa o erro clássico ataque passar um controle de acesso multicanal RL cara já vi gente que não é diferente brincando url de empresa grande conseguir nas essa esse esse aqui também é bem interessante e é Hidden Field cara a galera coloca Campo sensível em Hidden Field traz uma informação que em tese usuário não poderia saber nessa difícil de confiar nesse Raider filme de 100 porcento tão usuário vai lá f12 ver aí formação online fio de modifica passando uma informação do vizinho dá um post e o camarada aceita no Black and já vi também sua acontecendo empresa grande em elevação de Privilégio usuário logado agindo como administrador elevação no final nessa área como admiro não necessariamente como administrador mas como usuário um pouco mais de Privilégio Cosmo esse configuration duvido que configura Kors todo mundo vai lá e põe* no poros é batata todo desenvolvedor se eu pegar uns 15 vídeos na primeira página do YouTube que tem angular ou Heat com emoji ou lote net vai ter código liberado nessa pele e isso vai para Profissão é eu desabilito corpos tem um pé no saco configurar e aqui é um caso bem comum também o usuário vai acesso a uma página que não tem nenhuma proteção nela isso acontece todo dia e aqui algumas previsões de ataque não próximo próximo próximo é interessante eu quero ver se aqui ó tipo teu braço feliz e isso é que o design acho que interessante a gente dá uma olhada é isso e eu quero também dá uma olhada nesse porque que ele caiu tanto Então vamos lá criptografia e feitores vamos lá subiu uma posição antigamente conhecido como sensitividade taxi por que é muito mais um sintoma do que uma um problema raiz o foco está relacionados a falhas de criptografia ou falta dela né como eu falo aqui e o que geralmente leva a exposição de dados sensíveis Olha só primeira coisa que ele fala e determinar a exposição a proteção precisa na transição de um dado de uma Face para outra eles que eles falam aqui vai aqui por exemplo password acreditar cartão de pesca inclusive temos um vídeo aqui na desenvolvedor aí eu falando sobre cartão de crédito como como passar entre a pênis pa sobre pastor gile digo né Tem quilos de vídeo nosso falando sobre password dados sensíveis passando sem nenhuma proteção inferior me seguir isso aqui é muito complicado de validar quando você trabalha numa empresa grande tem algum dado transmitido em Clear text e se você tiver em protocolos como http smtp FTP sem proteção quem tiver com Snake na rede pega prima o tráfico externo ainda já meio que padrão as todo mundo funciona https mas o tráfico interno nas empresas não então aqui ó verificar todo o tráfico interno load balance Web Server isso aqui é um pouco complexo mas tô aqui no no Ask que é uma das vulnerabilidades mais comuns de encontrar em aplicação até Pergunta dele Existe algum algoritmo de criptografia fraca o antigo e é usado por uma aplicação de é bom daqui sempre vai acontecer aplicação antiga com criptografia fora inseguro enfim ninguém quer me dar mais manutenção são problema Existe alguma chave de criptografia de furto e utilização provavelmente aquela que você se você control V lá do Google de facas de flor é isso sabe de criptografia fracas todas duvido você encontrar um projeto na primeira e segunda página é do Google seja no dia seja dot net em jwt e tem uma chave de criptografia forte duvido ninguém pai no Brasil acho que tem única pessoa que eu vi não tem algum tempo atrás sozinha não é o Renato growth beijo Renato Grosso aqui ó gerenciamento da chave com um próprio direito né corretamente um correto gerenciamento da chave ou está faltando rotação do vidro que eu vou faço a rotação da chave a não ser que você esteja utilizando um um projeto que já tenha isso por baixo dos panos aquele deve tá falando sobre aqueles vetores de inicialização porque quando você escolhe ainda que você escolha uma criptografia correta você tem que selecionar uma um gerador de números randômicos geralmente pessoal pega um Ride e transforma ele em aço e faça ali para aquela função para que ele a atualização o que é completamente errado você tem que usar um Random Random Number generator e o.net tem uma classe específica para isso que ninguém usa eu estou agora numa VPN e Provavelmente vou estar saindo lá pelos Estados Unidos e vou procurar aqui eu jwt asp.net Core bom veja só olha aqui no local todos os Estados Unidos por que que eu tô fazendo isso de uma VPN de Estados Unidos para uma treta porque vai aparecer um monte de gente que vocês conhecem É melhor evitar né Vamos lá aspnetcore… Altos eu vou pegar que todas vou clicar um homem e não não todos todos a primeira parte vamos lá na primeira vamos ver como que ele gera jwt vamo pegar aqui olha como já era jwm Secret É nesse Secret da Top sendo gerado Aonde dá onde tá vindo esse fim do app serem e ele tá usando em Secret que não é um Random Number generator já não é recomendado usar dessa forma beleza primeiro não deve ser usado assim vamos lá para o segundo o site vamos ver como você começar a gente faz assim novamente aqui tá vindo ele praticamente Copiou o código do primeiro cara ó e Aqui também está vindo daqui e você tem que usar um lamber um Ranger Érica não a terceiro terceira página olha aqui na página tentar um aqui tá vendo está buscando em um Secret também não foi auto-gerado não é a melhor forma de vocês vamos lá palavras como pular para próxima Microsoft nunca ensina como faz JW pé tá vendo ele aqui já é um um formato muito melhor ele já tá passando aqui ó Aonde está o seu o seu certificados x-509 E aí passa o local do certificado esse aqui Apesar dele não ter geral dos certificados seria uma forma muito mudas utilizar então use aí a documentação social e seja feliz e aí tá gostando desse vídeo é um oferecimento da desenvolvedora eu a maior e melhor plataforma de cursos da Microsoft do Brasil acesse desenvolvedor.io vamos ao próximo tópico O que é e isso é Yuri design o inspector design isso aqueles design dá só uma coisa bem bem genérica uma nova categoria para 2021 focado nos Riscos relacionados a design e falhas de arquitetura e aí ele vai fazer uma chamada para arquiteturas de referência Então acho que vai vai por conta disso vai ter uma explosão aí de projetos open source que são seguros para o padrão então acho que isso vai começar aparecer no mercado posso estar errado naqueles três faltando vocês me corrigir eu aquele dá uma descrição que tem uma diferença entre design inseguro e uma implementação e segura o design pode ser seguro mas alguém foi lá pois a mão e fez uma implementação de segura desse design aqueles falam que claramente diferenciam entre falhas de design e falhas de implementação porque ele pode ter a Isis diferente é o caso de você é um arquiteto planejou tudo bonitinho seguindo as melhores práticas Seguro aí foi lá para fazer e o deve nascer sabe falou para você aí aqui como prevenir a e são coisas muito muito genéricas o próximo que eu quero ver com vocês é uma área que eu gosto bastante que é isso aqui ó olha de identificação e autenticação aqui ó a identificação e autenticação interiores ele tá falando que essa categoria continua uma parte integral né do Top 10 É mas o aumento da disponibilidade e DIP em inox Standard Aparentemente está ajudando ela cair no top-10 ou seja asp.net identity sei lá cadastro freio eu fiquei deve ter o seu vem ajudando a resolver esse problema vamos ver se é isso eu queria só passar assim um overview Geral com vocês vendo categoria que mudou coisa nova que me chamaram atenção no primeiro momento e por esse vídeo é isso vamos ficando por aqui e até o próximo vídeo e você já sabe né e baguá como a fruta respeite seus pais tchau tchau [Música]
Bruno,
poderia indicar o melhor caminho para aprender sobre essas coisas ?
Há algum curso seu a respeito dessa temática ?