{"id":108,"date":"2022-12-12T05:04:37","date_gmt":"2022-12-12T08:04:37","guid":{"rendered":"https:\/\/www.criptografarphp.com.br\/site\/owasp-2021-primeiras-impressoes\/"},"modified":"2023-03-30T16:35:11","modified_gmt":"2023-03-30T19:35:11","slug":"owasp-2021-primeiras-impressoes","status":"publish","type":"post","link":"https:\/\/www.criptografarphp.com.br\/site\/owasp-2021-primeiras-impressoes\/","title":{"rendered":"OWASP 2021 &#8211; PRIMEIRAS IMPRESS\u00d5ES"},"content":{"rendered":"\n<p>Vamos falar sobre o OWASP Top 10 2021?  \ud83d\udde3\ufe0f Coment\u00e1rios em v\u00eddeo sobre suas principais atualiza\u00e7\u00f5es!  Siga-nos para&#8230;<br \/>\n<iframe  width=\"580\" height=\"385\" src=\"https:\/\/www.youtube.com\/embed\/J__FtdbyYKU\" frameborder=\"0\" allowfullscreen><\/iframe><br \/>\n 00:18:31<br \/>\nVamos falar sobre o OWASP Top 10 2021?  \ud83d\udde3\ufe0f Coment\u00e1rios em v\u00eddeo sobre suas principais atualiza\u00e7\u00f5es!  Siga-nos para&#8230;<\/p>\n<p>e depois de quatro anos o hospital top 10 foi atualizado e eu nesse v\u00eddeo vou fazer um react com voc\u00eas \u00e9 eu ainda n\u00e3o li o relat\u00f3rio completo Ent\u00e3o vem comigo olha como que voc\u00ea vai sair [M\u00fasica] seja muito bem vindo ao canal do desenvolvedor eu eu me chamo Bruno Brito sou Microsoft MVP e pai de um monte de tr\u00eas filhos e hoje eu quero fazer uma esp\u00e9cie de Wii aqui voc\u00eas comentar sobre o assunto top 10 de 2021 que t\u00e1 fresquinho acabou de sair eu ainda n\u00e3o li o relat\u00f3rio n\u00e3o vi tudo que cont\u00e9m l\u00e1 acredito que fazer o react desse v\u00eddeo primeira m\u00e3o com voc\u00eas vai ser um processo legal se voc\u00ea n\u00e3o sabe o ASP \u00e9 um projeto de seguran\u00e7a para aplica\u00e7\u00f5es web Hoje ele \u00e9 respons\u00e1vel por mapear e categorizar os principais ataques e os principais vetores de ataque em aplica\u00e7\u00f5es web \u00c9 de longe a organiza\u00e7\u00e3o mais respeitada de seguran\u00e7a e recentemente Saiu uma atualiza\u00e7\u00e3o ap\u00f3s 4 anos s\u00f3 com pequenas atualiza\u00e7\u00f5es no hit Run Ent\u00e3o vamos ver aqui vou abrir meu browser pode s\u00f3 que n\u00e3o astro.org top 10 e aqui t\u00e1 o \u00edcone \u00e9 livre bem vindos o \u00faltimo aumente seria a \u00faltima vers\u00e3o gospel top 10 bl\u00e1 bl\u00e1 bl\u00e1 o que mudou bom acho que de cara a gente j\u00e1 v\u00ea esse gr\u00e1fico aqui \u00f3 o que algumas coisas muito interessantes mudaram por exemplo Jackson e Jackson era um ataque que vinha sucessivamente durante os anos figurante entre ali o top um desde que ele entrou lote de 2005 desde que ele entrou em 2005 de l\u00e1 at\u00e9 2017 ele ela top um ataque e o interessante aquele de uma descida aqui n\u00e9 Agora \u00e9 s\u00f3 esse tem aqui a zero 2017 bloqueia authentication isso era sobre os processos de autentica\u00e7\u00e3o login e senha e caiu significativamente para ir para Top 7 t\u00e1 aqui na lista mas a\u00ed no copo serve \u00e9 isso daqui provavelmente est\u00e1 relacionado as boas freios que n\u00f3s temos no mercado voc\u00ea tem lote net Java e j\u00e1 vem toda redondinha quest\u00e3o de resto de senha enfim por isso deve ser uma das explica\u00e7\u00f5es que subir desce significativamente agora ele tem uma nova nova n\u00e3o uma outra Se\u00e7\u00e3o que continua a mesma que assim sensitive data que pode viu e ele se transformou em criptografia e fez na verdade ele s\u00f3 renomearam ent\u00e3o eu percebo que teve bastante renomea\u00e7\u00e3o de categoria uma nova uma nova categoria muito interessante \u00e9 design seguro em design e inseguro \u00f3 design seguro \u00e9 uma nova categoria E 2021 e com foco nos Riscos devido ao mal design n\u00e3o se voc\u00ea nunca viu o relat\u00f3rio do ASP ele nunca \u00e9 direto ao ponto ele farol Olha n\u00f3s percebemos o s\u00f3 na lista de seguran\u00e7a aqui fazem o relat\u00f3rio \u00e9 mais ou menos assim n\u00f3s percebemos que Mouse design aplica\u00e7\u00f5es Mas ele n\u00e3o fala isso \u00e9 mau design Isso \u00e9 uma designer coloca categoria um pouco gen\u00e9rica um ao design leva a falhas de seguran\u00e7a por isso que \u00e9 um pouco dif\u00edcil alguns itens do do ASP de entender parece um pouco abstrato e realmente \u00e9 abstrato diferente de injec\u00e7\u00e3o porque Jackson talvez em Jackson sejam mais famoso porque ele tamb\u00e9m \u00e9 o mais f\u00e1cil o maior exemplo que n\u00f3s temos elas querem Jackson Ent\u00e3o \u00e9 eu colocar um SPL que vai executar l\u00e1 no seu banco \u00e9 f\u00e1cil voc\u00ea inferir diferente de outras categorias por exemplo a sala que essa daqui \u00e9 cl\u00e1ssica Security o configuration qualquer coisa \u00e9 Security misconfiguration por exemplo voc\u00ea s\u00f3 tomar uma aplica\u00e7\u00e3o asp.net ela deu um erro e a\u00ed em produ\u00e7\u00e3o t\u00e1 mostrando aquela azul mostrando qual que \u00e9 a linha de c\u00f3digo n\u00e3o s\u00f3 por aquilo um atacante vai conseguir te atacar ele vai olhar para aquela linha de c\u00f3digo a j\u00e1 sei essa linha de c\u00f3digo tem uma falha no sistema operacional coloca final \u00e0s vezes mas \u00e9 considerado como uma falha de seguran\u00e7a esse aqui \u00e9 interessante componentes desatualizados \u00e9 ele que subiu ele subiu nesse mundo ver um ponentes desatualizados sumiu ele tava na posi\u00e7\u00e3o 9 e veio aqui para a posi\u00e7\u00e3o 6 botando em seguir de serialization e ele ficou na posi\u00e7\u00e3o 8 ou sumiu \u00e9 estranho ele ali Ah legal o que acontece aqui essa \u00e9 uma nova categoria E dentro dessa categoria ele englobou o que ele chamava adiante the insecure de ser realizei ch\u00e3o essa categoria que n\u00e3o sei ainda exatamente o que que ela quer dizer preciso dar uma olhada vamos dar uma olhada junto comigo agora vamos l\u00e1 a 08 aqui n\u00e3o abre uma nova aba essa nova nowada ele vai vir as informa\u00e7\u00f5es uma nova categoria para 2021 fofa e minhas e suposi\u00e7\u00f5es relacionadas \u00e0s offerup desses dados cr\u00edticos e pai QE Line de site diz sem valida\u00e7\u00e3o de integrin verifica\u00e7\u00e3o de integridade cen\u00e1rios de ataque 300 est\u00e1 nada j\u00e1 t\u00e1 esse aqui \u00e9 um exemplo de ataque com a f\u00e1cil bem quem sabe o que \u00e9 ataque de driver n\u00e9 de hardware ele fala muitos home halter setup box idevices e outros hoop dentes n\u00e3o verificam se o f\u00eamur foi assinado um sai na defender t\u00e1 \u00e9 uma toque que est\u00e1 crescendo Oi E a expectativa \u00e9 que as coisas v\u00e3o piorar bom vamos voltar para nossa lista eu vou dar uma olhada s\u00f3 nos tr\u00eas primeiros ali com mais detalhes e se viermos aqui em Gurupi taxicontrol o pulo da quinta posi\u00e7\u00e3o para primeira Muito provavelmente relacionada \u00e0 lgpd para Broken Axis Comprou o qu\u00ea que ele descreve como falha de acesso se movendo da quinta posi\u00e7\u00e3o para primeira Ah e ele tamb\u00e9m tem uns srf antigamente tinha Som\u00e1lia s\u00f3 para ele acho que ele sentou igual ele fez com tinha n\u00e3o n\u00e3o tinha N\u00e3o essa server-side e quase fully n\u00e3o \u00faltimo eu confundi aqui Muito provavelmente daqui t\u00e1 muito relacionado com a LGP de aquele fala controle de acessos for\u00e7a ap\u00f3lices para os usu\u00e1rios n\u00e3o conseguirem agir fora das suas permiss\u00f5es ent\u00e3o \u00e9 o caso do cara que se logar como usu\u00e1rio e tenta acessar Um independente de administrador e consegue nada de novidade aqui viola\u00e7\u00e3o do princ\u00edpio do list privil\u00e9gio privil\u00e9gio m\u00ednimo ou de nega\u00e7\u00e3o por padr\u00e3o Inclusive essa delega\u00e7\u00e3o que o padr\u00e3o tem um projeto recente aqui da desenvolvedora a\u00ed o que n\u00f3s fizemos e que n\u00f3s colocamos no ar e ele tem ali todo um uma quest\u00e3o de acesso sem instrutor e acessar S\u00f3 que ele ainda est\u00e1 em teste em uma das coisas que n\u00f3s fizemos \u00e9 n\u00e9 ele por padr\u00e3o todas as controle ap\u00f3lice n\u00e9 todas as polices requer que o usu\u00e1rio seja administrador ent\u00e3o a gente s\u00f3 libera para algumas pessoas fazerem teste e a\u00ed eles v\u00e3o testando verificando-se as telas t\u00e3o bonitinho para depois ir tirando essa policy de administrador e dando uma ajeitada cl\u00e1ssico erro aqui \u00f3 passa o erro cl\u00e1ssico ataque passar um controle de acesso multicanal RL cara j\u00e1 vi gente que n\u00e3o \u00e9 diferente brincando url de empresa grande conseguir nas essa esse esse aqui tamb\u00e9m \u00e9 bem interessante e \u00e9 Hidden Field cara a galera coloca Campo sens\u00edvel em Hidden Field traz uma informa\u00e7\u00e3o que em tese usu\u00e1rio n\u00e3o poderia saber nessa dif\u00edcil de confiar nesse Raider filme de 100 porcento t\u00e3o usu\u00e1rio vai l\u00e1 f12 ver a\u00ed forma\u00e7\u00e3o online fio de modifica passando uma informa\u00e7\u00e3o do vizinho d\u00e1 um post e o camarada aceita no Black and j\u00e1 vi tamb\u00e9m sua acontecendo empresa grande em eleva\u00e7\u00e3o de Privil\u00e9gio usu\u00e1rio logado agindo como administrador eleva\u00e7\u00e3o no final nessa \u00e1rea como admiro n\u00e3o necessariamente como administrador mas como usu\u00e1rio um pouco mais de Privil\u00e9gio Cosmo esse configuration duvido que configura Kors todo mundo vai l\u00e1 e p\u00f5e* no poros \u00e9 batata todo desenvolvedor se eu pegar uns 15 v\u00eddeos na primeira p\u00e1gina do YouTube que tem angular ou Heat com emoji ou lote net vai ter c\u00f3digo liberado nessa pele e isso vai para Profiss\u00e3o \u00e9 eu desabilito corpos tem um p\u00e9 no saco configurar e aqui \u00e9 um caso bem comum tamb\u00e9m o usu\u00e1rio vai acesso a uma p\u00e1gina que n\u00e3o tem nenhuma prote\u00e7\u00e3o nela isso acontece todo dia e aqui algumas previs\u00f5es de ataque n\u00e3o pr\u00f3ximo pr\u00f3ximo pr\u00f3ximo \u00e9 interessante eu quero ver se aqui \u00f3 tipo teu bra\u00e7o feliz e isso \u00e9 que o design acho que interessante a gente d\u00e1 uma olhada \u00e9 isso e eu quero tamb\u00e9m d\u00e1 uma olhada nesse porque que ele caiu tanto Ent\u00e3o vamos l\u00e1 criptografia e feitores vamos l\u00e1 subiu uma posi\u00e7\u00e3o antigamente conhecido como sensitividade taxi por que \u00e9 muito mais um sintoma do que uma um problema raiz o foco est\u00e1 relacionados a falhas de criptografia ou falta dela n\u00e9 como eu falo aqui e o que geralmente leva a exposi\u00e7\u00e3o de dados sens\u00edveis Olha s\u00f3 primeira coisa que ele fala e determinar a exposi\u00e7\u00e3o a prote\u00e7\u00e3o precisa na transi\u00e7\u00e3o de um dado de uma Face para outra eles que eles falam aqui vai aqui por exemplo password acreditar cart\u00e3o de pesca inclusive temos um v\u00eddeo aqui na desenvolvedor a\u00ed eu falando sobre cart\u00e3o de cr\u00e9dito como como passar entre a p\u00eanis pa sobre pastor gile digo n\u00e9 Tem quilos de v\u00eddeo nosso falando sobre password dados sens\u00edveis passando sem nenhuma prote\u00e7\u00e3o inferior me seguir isso aqui \u00e9 muito complicado de validar quando voc\u00ea trabalha numa empresa grande tem algum dado transmitido em Clear text e se voc\u00ea tiver em protocolos como http smtp FTP sem prote\u00e7\u00e3o quem tiver com Snake na rede pega prima o tr\u00e1fico externo ainda j\u00e1 meio que padr\u00e3o as todo mundo funciona https mas o tr\u00e1fico interno nas empresas n\u00e3o ent\u00e3o aqui \u00f3 verificar todo o tr\u00e1fico interno load balance Web Server isso aqui \u00e9 um pouco complexo mas t\u00f4 aqui no no Ask que \u00e9 uma das vulnerabilidades mais comuns de encontrar em aplica\u00e7\u00e3o at\u00e9 Pergunta dele Existe algum algoritmo de criptografia fraca o antigo e \u00e9 usado por uma aplica\u00e7\u00e3o de \u00e9 bom daqui sempre vai acontecer aplica\u00e7\u00e3o antiga com criptografia fora inseguro enfim ningu\u00e9m quer me dar mais manuten\u00e7\u00e3o s\u00e3o problema Existe alguma chave de criptografia de furto e utiliza\u00e7\u00e3o provavelmente aquela que voc\u00ea se voc\u00ea control V l\u00e1 do Google de facas de flor \u00e9 isso sabe de criptografia fracas todas duvido voc\u00ea encontrar um projeto na primeira e segunda p\u00e1gina \u00e9 do Google seja no dia seja dot net em jwt e tem uma chave de criptografia forte duvido ningu\u00e9m pai no Brasil acho que tem \u00fanica pessoa que eu vi n\u00e3o tem algum tempo atr\u00e1s sozinha n\u00e3o \u00e9 o Renato growth beijo Renato Grosso aqui \u00f3 gerenciamento da chave com um pr\u00f3prio direito n\u00e9 corretamente um correto gerenciamento da chave ou est\u00e1 faltando rota\u00e7\u00e3o do vidro que eu vou fa\u00e7o a rota\u00e7\u00e3o da chave a n\u00e3o ser que voc\u00ea esteja utilizando um um projeto que j\u00e1 tenha isso por baixo dos panos aquele deve t\u00e1 falando sobre aqueles vetores de inicializa\u00e7\u00e3o porque quando voc\u00ea escolhe ainda que voc\u00ea escolha uma criptografia correta voc\u00ea tem que selecionar uma um gerador de n\u00fameros rand\u00f4micos geralmente pessoal pega um Ride e transforma ele em a\u00e7o e fa\u00e7a ali para aquela fun\u00e7\u00e3o para que ele a atualiza\u00e7\u00e3o o que \u00e9 completamente errado voc\u00ea tem que usar um Random Random Number generator e o.net tem uma classe espec\u00edfica para isso que ningu\u00e9m usa eu estou agora numa VPN e Provavelmente vou estar saindo l\u00e1 pelos Estados Unidos e vou procurar aqui eu jwt asp.net Core bom veja s\u00f3 olha aqui no local todos os Estados Unidos por que que eu t\u00f4 fazendo isso de uma VPN de Estados Unidos para uma treta porque vai aparecer um monte de gente que voc\u00eas conhecem \u00c9 melhor evitar n\u00e9 Vamos l\u00e1 aspnetcore&#8230; Altos eu vou pegar que todas vou clicar um homem e n\u00e3o n\u00e3o todos todos a primeira parte vamos l\u00e1 na primeira vamos ver como que ele gera jwt vamo pegar aqui olha como j\u00e1 era jwm Secret \u00c9 nesse Secret da Top sendo gerado Aonde d\u00e1 onde t\u00e1 vindo esse fim do app serem e ele t\u00e1 usando em Secret que n\u00e3o \u00e9 um Random Number generator j\u00e1 n\u00e3o \u00e9 recomendado usar dessa forma beleza primeiro n\u00e3o deve ser usado assim vamos l\u00e1 para o segundo o site vamos ver como voc\u00ea come\u00e7ar a gente faz assim novamente aqui t\u00e1 vindo ele praticamente Copiou o c\u00f3digo do primeiro cara \u00f3 e Aqui tamb\u00e9m est\u00e1 vindo daqui e voc\u00ea tem que usar um lamber um Ranger \u00c9rica n\u00e3o a terceiro terceira p\u00e1gina olha aqui na p\u00e1gina tentar um aqui t\u00e1 vendo est\u00e1 buscando em um Secret tamb\u00e9m n\u00e3o foi auto-gerado n\u00e3o \u00e9 a melhor forma de voc\u00eas vamos l\u00e1 palavras como pular para pr\u00f3xima Microsoft nunca ensina como faz JW p\u00e9 t\u00e1 vendo ele aqui j\u00e1 \u00e9 um um formato muito melhor ele j\u00e1 t\u00e1 passando aqui \u00f3 Aonde est\u00e1 o seu o seu certificados x-509 E a\u00ed passa o local do certificado esse aqui Apesar dele n\u00e3o ter geral dos certificados seria uma forma muito mudas utilizar ent\u00e3o use a\u00ed a documenta\u00e7\u00e3o social e seja feliz e a\u00ed t\u00e1 gostando desse v\u00eddeo \u00e9 um oferecimento da desenvolvedora eu a maior e melhor plataforma de cursos da Microsoft do Brasil acesse desenvolvedor.io vamos ao pr\u00f3ximo t\u00f3pico O que \u00e9 e isso \u00e9 Yuri design o inspector design isso aqueles design d\u00e1 s\u00f3 uma coisa bem bem gen\u00e9rica uma nova categoria para 2021 focado nos Riscos relacionados a design e falhas de arquitetura e a\u00ed ele vai fazer uma chamada para arquiteturas de refer\u00eancia Ent\u00e3o acho que vai vai por conta disso vai ter uma explos\u00e3o a\u00ed de projetos open source que s\u00e3o seguros para o padr\u00e3o ent\u00e3o acho que isso vai come\u00e7ar aparecer no mercado posso estar errado naqueles tr\u00eas faltando voc\u00eas me corrigir eu aquele d\u00e1 uma descri\u00e7\u00e3o que tem uma diferen\u00e7a entre design inseguro e uma implementa\u00e7\u00e3o e segura o design pode ser seguro mas algu\u00e9m foi l\u00e1 pois a m\u00e3o e fez uma implementa\u00e7\u00e3o de segura desse design aqueles falam que claramente diferenciam entre falhas de design e falhas de implementa\u00e7\u00e3o porque ele pode ter a Isis diferente \u00e9 o caso de voc\u00ea \u00e9 um arquiteto planejou tudo bonitinho seguindo as melhores pr\u00e1ticas Seguro a\u00ed foi l\u00e1 para fazer e o deve nascer sabe falou para voc\u00ea a\u00ed aqui como prevenir a e s\u00e3o coisas muito muito gen\u00e9ricas o pr\u00f3ximo que eu quero ver com voc\u00eas \u00e9 uma \u00e1rea que eu gosto bastante que \u00e9 isso aqui \u00f3 olha de identifica\u00e7\u00e3o e autentica\u00e7\u00e3o aqui \u00f3 a identifica\u00e7\u00e3o e autentica\u00e7\u00e3o interiores ele t\u00e1 falando que essa categoria continua uma parte integral n\u00e9 do Top 10 \u00c9 mas o aumento da disponibilidade e DIP em inox Standard Aparentemente est\u00e1 ajudando ela cair no top-10 ou seja asp.net identity sei l\u00e1 cadastro freio eu fiquei deve ter o seu vem ajudando a resolver esse problema vamos ver se \u00e9 isso eu queria s\u00f3 passar assim um overview Geral com voc\u00eas vendo categoria que mudou coisa nova que me chamaram aten\u00e7\u00e3o no primeiro momento e por esse v\u00eddeo \u00e9 isso vamos ficando por aqui e at\u00e9 o pr\u00f3ximo v\u00eddeo e voc\u00ea j\u00e1 sabe n\u00e9 e bagu\u00e1 como a fruta respeite seus pais tchau tchau [M\u00fasica]<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vamos falar sobre o OWASP Top 10 2021? \ud83d\udde3\ufe0f Coment\u00e1rios em v\u00eddeo sobre suas principais atualiza\u00e7\u00f5es! Siga-nos para&#8230; 00:18:31 Vamos falar sobre o OWASP&#8230;<\/p>\n","protected":false},"author":1,"featured_media":109,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,2],"tags":[48,135,49,50,134],"acf":[],"_links":{"self":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/108"}],"collection":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/comments?post=108"}],"version-history":[{"count":2,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/108\/revisions"}],"predecessor-version":[{"id":300,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/108\/revisions\/300"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media\/109"}],"wp:attachment":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media?parent=108"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/categories?post=108"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/tags?post=108"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}