APRESENTANDO OWASP TOP 10

Nord VPN: aproveite a promoção NordVPN e proteja sua navegação hoje. Chegada: …

00:12:37
Nord VPN: aproveite a promoção NordVPN e proteja sua navegação hoje. Chegada: …

e você que trabalha com os homens de aplicações aí se preocupa com a segurança daqui no setup ano já parou para olhar sua aplicação tem aí algum tipo de vulnerabilidade ainda não Então vem comigo aqui para conhecer um pouquinho das dez principais novidades em aplicações web que são classificados pelo Astro top 10 se você acha que você está segura agora na internet nesse momento é agora mesmo que você tá conectado no seu 4G no seu wi-fi ou até mesmo naquele wi-fi público de uma cafeteria que você costuma usar sabia que você pode estar sendo rastreado agora mesmo seja por hackers Por anunciantes que eu sei que provavelmente assim como eu você não tem nada para esconder Mas na boa ninguém é que gosta da possibilidade de estar sendo monitorado bom pelo menos eu não gosto e você pensando nisso eu quero indicar para você agora o Nord VPN Esse é um serviço de VPN que é basicamente uma rede privada que você acessa para cima não ter mais seguro na internet com o Nord VPN todo o seu tráfico ele é criptografado para que ninguém possa ver nada do que você tá acessando e o mais interessante disso tudo é que o Nord VPN tem servidores no mundo todo que quer dizer quer dizer que você pode se conectar internet como se você tivesse fisicamente em algum outro país e com isso você vai conseguir acessar conteúdo que tá restrito esses e como por exemplo serviços de streaming Imagina você quer assistir àquela série do Netflix que só tem disponível no Canadá um ar de higiene você consegue eu já uso Nord VPN no meu dia a dia e gosto muito de um recurso específico chamado Cyber segue garante que você não vai cair em sites maliciosos tá ele bloqueia várias coisas com o mal e os rastreadores e anúncios tá fazendo uma proteção ainda maior para os nossos dispositivos e o mais legal disso tudo é que você pode usar ele em seis dispositivos simultaneamente por exemplo eu uso aqui no meu computador no meu iPhone tudo simultaneamente para poder aí ter essa camada de proteção é eu vou deixar o link aqui na descrição desse vídeo para que você possa aproveitar um precinho muito especial que nordvpn tá oferecendo aqui em parceria com canal então não deixe de aproveitar e proteger todos seus dispositivos na internet que é muito importante e aí pessoal tudo certo nojo Arruda e hoje estamos aqui para falar um pouquinho sobre segurança das nossas aplicações no começo desse vídeo fiz uma pergunta aqui para você se você se preocupa ou não com e aplicações do que você está criando né porque isso é cada vez um ponto muito importante para a gente se atentar no nosso dia-a-dia nas aplicações projetos que a gente está desenvolvendo dia após dia a gente vê notícia de dados vazados aplicações invadidas empresas que foram atacadas e muitas das vezes a porta de entrada para um potencial vazamento de dados ou mesmo no potencial invasão tá nas aplicações que a gente mesmo desenvolve isso aí as aplicações que a gente cria muitas vezes é porta de entrada para hackers mal-intencionados isso acontece porque para começar quando a gente aprende a desenvolver as aplicações da faculdade ou em cursos online A gente não é instruído a se preocupar com isso geralmente esse tipo de coisa nem é citado inclusive muitas empresas a gente só vai falar sobre o rolê habilidade quando sofrem realmente aí algum ataque e quando a gente olha para a vulnerabilidade existe uma gama muito grande de opções que podem estar vulneráveis mas também os principais que são as mais comuns E é isso que eu quero falar com vocês hoje são as existentes nessa lista naouaf top 10 mas tem uma durabilidade Preciso falar com vocês aqui agora que ela não tá nessa lista não assa que é uma habilidade o risco de você não deixar o like nesse vídeo Então já Aproveita agora mesmo já deixe o seu like que mostra você está gostando desse conteúdo se inscreve no canal se já inscrita já deixa aqui nos comentários se você já sabia dessa lista já conhecia essa lista ou alguma dessas com gravidade sem poaf é a sigla em inglês para projeto aberto de segurança em aplicações web e é uma Fundação sem fins lucrativos que trabalha para melhorar a segurança em aplicações web e eles não tem essa lista de top 10 categorias com as principais generalidades web essa lista é atualizada de tempos em tempos tá com as principais categorias e modalidades naquele momento a última atualização a tinha acontecido lá em 2017 e agora depois de quatro anos o time do Astro lançou em uma nova atualização em outubro desse ano a primeira edição quem não sabe lá em 2003 o mundo habilidades muito comuns na época e de lá até hoje algumas coisas saíram da lista algumas coisas Entraram na lista e algumas coisas ainda permanecem como por exemplo a parte de injeção de código configuração de segurança incorreta entre algumas outras coisas então a gente pode ver que mesmo não passar dos anos algumas coisas se mantém bom o intuito não é falar sobre o passado aqui então como é que tá a lista na atualização deste ano esse é o grande. Né Como que tá o nosso 20 hoje as 10 celebridades mais relevantes nesta edição são as seguintes tá a primeira delas por oxicontrol esse tipo de uma habilidade permite que o usuário tenha muito mais acesso do que deveria acessando páginas arquivos informações que ele não deveria ter acesso podendo daí causar problemas de vazamento de dados por exemplo a segunda vulnerabilidade aí seria criptográfico fillers ou falhas de criptografia né é esse tipo de modalidade é quando uma aplicação é uma criptografia Realmente segura ou ou então não tem nenhuma que convenhamos que algo realmente muito sério né falando ali de uma criptografia que não é segura eu lembrei de uma parada que falando aí de criptografia que não é seguro lembrei de uma parada aqui eu passei por uma empresa uma vez que tinha um sistema de dados e Teoricamente disseram que fotografados na base de dados mas era uma criptografia tão simples substituição de caracter E aí por exemplo a senha do sistema era um número de quatro dígitos e cada dia está substituído por uma letra então um essa estruturadores porque e assim por diante por exemplo Então você identificando qualquer um padrão da letra você descobrir a senha era bem simples de resolver essa pensava que nem um clipe muito mirabolante então isso a gente considera aí uma falha de criptografia é muito simples então não resolve de fato problema da sua usarem alguém vai quebrar e vai passar usados de qualquer forma a nossa terceira vulnerabilidade aqui seria a parte de injection Essa rua é habilidade é quando uma aplicação aceita geralmente injeção de código por o Xbox houve um parâmetro onde é possível você executar comandos que não deveriam rodar como comandos impressionar ou o comando do banco de dados Então imagina você poder buscar informações do Servidor rodar comandos internos do Servidor mesmo navegador ali algo que não deveria acontecer e você conseguiu que tem informação por isso Isso é uma parte de injeção ou você conseguir injetar comandos SQL também na tela de login por exemplo isso também filho assim de injeção jamais uma dessas habilidades aqui é um seguir design perceber o que se o que já não falei no mesmo que eu já me perdi né Essa categoria é nova e ela diz respeito a riscos arquiteturais de sócio e falhas deixadas durante o desenvolvimento mais uma vulnerabilidade aqui é seu time configuration essa habilidade ela acontece quando as aplicações ferramentas e soluções segurança elas não são configuradas corretamente de acordo com a aplicação a cola protege lembram da nossa Live de redes porque a gente teve aqui ele comentou alguns é parecido com isso e passou por um cliente que estou atacada por Messenger E aí é esse cliente tinha um Faro mas o Fábio tava com as configurações de full e ele não pegava nada de fato então é uma falha aí de segurança outra vulnerabilidade é burro mesmo hein alto Day Outside The component’s essas durabilidade ela diz respeito a dispositivos ferramentas e aplicações legadas as coisas antigas e desatualizadas que podem aí causar problemas na nossa aplicação Todo dia aparece uma durabilidade nova Eles comem coisa que te usou pacotes Fox Guedes vem então isso pode estar na sua aplicação e causava na habilidades também esse é um grande. Tá entre diversas outras coisas código antigo que você ficou então assim se importante se atentar isso também mais uma das vulnerabilidades aqui a identifiquei Chan authentication trailers essa vulnerabilidade ela é baseada em como o nome sugere falhas de autenticação essa durabilidade ela caiu muito de posição em relação de 2017 isso mostra para a gente que o sistema de autenticação um dos melhores mas ainda assim preciso melhorar os seus homens e melhore outras durabilidade aqui é o software inteira internet fez essa durabilidade está mais relacionada ao código-fonte da aplicação e uma infraestrutura mais insegura tá um exemplo interessante aqui é a aplicação usar pacotes que não sejam confiadas outra modalidade é Security login em monitor me fez essas falhas elas são meio difíceis de identificar mas basicamente são as faltas de log da aplicação e falta de monitoramento de segurança a relação difícil estado a gente poder encontrar mas são as que mais acontecem sejam um monitor muito mal feito um blog mal feito ou mesmo não fazer um blog outras habilidades que a gente tem aqui a server-side requests for Gere ssrs 18 essa durabilidade ela acontece sempre que uma aplicação busca o recurso um servidor sem validar URL do usuário Então você acaba conseguindo acessar algum destino que não deveria mesmo que a Faro esteja bloqueando esse coisas a gente for comparar com a instalar de 2017 as categorias e sentir design software integration velhos e server-side Forget requests for Gabriel são novas elas não existiam lá na lista de 2017 um ponto interessante que a gente pode notar é que se a gente compara com a lista de 2017 a vulnerabilidades de injection ela caiu de primeiro lugar para terceiro lugar nessa lista né já vulnerabilidade de Brooke next contou e da quinta posição 2017 pela primeira agora em 2021 a a falha de bronca enexis comprou o controle de acesso quebrado como a gente falou um pouquinho mais cedo ela é uma vulnerabilidade que permite que o usuário tenha mais acessos do que realmente deveria do que realmente foi permitido a ele por exemplo a sua permissão determinada aplicação de um usuário comum e Praça está determinada a tela tá específico Mas aí você acaba conseguindo de alguma forma acessar por exemplo a área administrativa nesse site e acesso a outra eu acho que você não deveria Então você acaba conseguindo acessar coisas alterar coisas ele informações que você por padrão não deveria ter permissão para isso isso pode causar vazamento de dados alterações de dados indevidos ou mesmo exclusão de informações que são cruciais no dia de ir às vezes a gente olha para isso como essa com essas principais falhas e acha que nunca vai acontecer com essas aplicações Mas acredite algum dia em algum momento algo pode sim acontecer e problemas sérios podem vir aí junto com isso com prejuízos financeiros danos à imagem da empresa multas e Ainda Mais atualmente ele está falando dele de pedreiro né E sem contar que em vários casos as empresas acabam de mentira de segurança em movimento afins quando este fez acontece então é muito bom a gente se atentar este coisa assim tá para evitar essas modalidades existem ferramentas que a gente pode incluir inclusive no processo de devops como incluir uma analisada itamanari excelente qualidade de código uma análise de dependência para ver se a gente tá usando as dependências antigas ou Conga o conhecidas nossas aplicações ferramentas para análise de segurança como forty-five era Cold entre diversas outras também tá essas ferramentas que eu citei você consegue incluir no seu processo de deve ser copos e vai Minimizar e algumas coisas e vulnerabilidades que você pode virar teta outra coisa importante é você ter um tinha de segurança da empresa que esteja olhando para essas coisas né também interessante realizar um teste nas aplicações de tempos em tempos para buscar vulnerabilidades nas que as ferramentas automatizadas elas não encontram tá Nem tudo as ferramentas tomar tá vão encontrar o pentest ele vai achar outros tipos de brechas também basicamente segurança é algo de extrema importância e você precisa da atenção é isso desde o processo de desenvolvimento seguir com o tormento seguro e as listagens é uma boa básica a gente saber como proteger de fato as nossas aplicações Mas e aí e as suas aplicações as estão protegidas contra essas vulnerabilidades regionalista deixa aqui nos comentários se você já passou por algum problema dessa Vista você tem alguma dica para ajudar ao eu posso ter esse vídeo eu tô deixando para você aqui mais dois vídeos aqui no canal Inclusive a Live de rede a gente teve com uma gela aqui também vai tá aparecendo pra vocês eu acho que vale muito a pena vocês entenderem algumas coisas lá e dá umas dicas de segurança também eu tivesse no próximo vídeo aqui