{"id":50,"date":"2022-12-11T06:45:01","date_gmt":"2022-12-11T09:45:01","guid":{"rendered":"https:\/\/criptografarphp.com.br\/site\/apresentando-owasp-top-10\/"},"modified":"2023-03-30T16:44:20","modified_gmt":"2023-03-30T19:44:20","slug":"apresentando-owasp-top-10","status":"publish","type":"post","link":"https:\/\/www.criptografarphp.com.br\/site\/apresentando-owasp-top-10\/","title":{"rendered":"APRESENTANDO OWASP TOP 10"},"content":{"rendered":"\n<p>Nord VPN: aproveite a promo\u00e7\u00e3o NordVPN e proteja sua navega\u00e7\u00e3o hoje. Chegada: &#8230;<br \/>\n<iframe src=\"https:\/\/www.youtube.com\/embed\/WFzmw66v2sg\" width=\"580\" height=\"385\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><\/iframe><br \/>\n00:12:37<br \/>\nNord VPN: aproveite a promo\u00e7\u00e3o NordVPN e proteja sua navega\u00e7\u00e3o hoje. Chegada: &#8230;<\/p>\n<p>e voc\u00ea que trabalha com os homens de aplica\u00e7\u00f5es a\u00ed se preocupa com a seguran\u00e7a daqui no setup ano j\u00e1 parou para olhar sua aplica\u00e7\u00e3o tem a\u00ed algum tipo de vulnerabilidade ainda n\u00e3o Ent\u00e3o vem comigo aqui para conhecer um pouquinho das dez principais novidades em aplica\u00e7\u00f5es web que s\u00e3o classificados pelo Astro top 10 se voc\u00ea acha que voc\u00ea est\u00e1 segura agora na internet nesse momento \u00e9 agora mesmo que voc\u00ea t\u00e1 conectado no seu 4G no seu wi-fi ou at\u00e9 mesmo naquele wi-fi p\u00fablico de uma cafeteria que voc\u00ea costuma usar sabia que voc\u00ea pode estar sendo rastreado agora mesmo seja por hackers Por anunciantes que eu sei que provavelmente assim como eu voc\u00ea n\u00e3o tem nada para esconder Mas na boa ningu\u00e9m \u00e9 que gosta da possibilidade de estar sendo monitorado bom pelo menos eu n\u00e3o gosto e voc\u00ea pensando nisso eu quero indicar para voc\u00ea agora o Nord VPN Esse \u00e9 um servi\u00e7o de VPN que \u00e9 basicamente uma rede privada que voc\u00ea acessa para cima n\u00e3o ter mais seguro na internet com o Nord VPN todo o seu tr\u00e1fico ele \u00e9 criptografado para que ningu\u00e9m possa ver nada do que voc\u00ea t\u00e1 acessando e o mais interessante disso tudo \u00e9 que o Nord VPN tem servidores no mundo todo que quer dizer quer dizer que voc\u00ea pode se conectar internet como se voc\u00ea tivesse fisicamente em algum outro pa\u00eds e com isso voc\u00ea vai conseguir acessar conte\u00fado que t\u00e1 restrito esses e como por exemplo servi\u00e7os de streaming Imagina voc\u00ea quer assistir \u00e0quela s\u00e9rie do Netflix que s\u00f3 tem dispon\u00edvel no Canad\u00e1 um ar de higiene voc\u00ea consegue eu j\u00e1 uso Nord VPN no meu dia a dia e gosto muito de um recurso espec\u00edfico chamado Cyber segue garante que voc\u00ea n\u00e3o vai cair em sites maliciosos t\u00e1 ele bloqueia v\u00e1rias coisas com o mal e os rastreadores e an\u00fancios t\u00e1 fazendo uma prote\u00e7\u00e3o ainda maior para os nossos dispositivos e o mais legal disso tudo \u00e9 que voc\u00ea pode usar ele em seis dispositivos simultaneamente por exemplo eu uso aqui no meu computador no meu iPhone tudo simultaneamente para poder a\u00ed ter essa camada de prote\u00e7\u00e3o \u00e9 eu vou deixar o link aqui na descri\u00e7\u00e3o desse v\u00eddeo para que voc\u00ea possa aproveitar um precinho muito especial que nordvpn t\u00e1 oferecendo aqui em parceria com canal ent\u00e3o n\u00e3o deixe de aproveitar e proteger todos seus dispositivos na internet que \u00e9 muito importante e a\u00ed pessoal tudo certo nojo Arruda e hoje estamos aqui para falar um pouquinho sobre seguran\u00e7a das nossas aplica\u00e7\u00f5es no come\u00e7o desse v\u00eddeo fiz uma pergunta aqui para voc\u00ea se voc\u00ea se preocupa ou n\u00e3o com e aplica\u00e7\u00f5es do que voc\u00ea est\u00e1 criando n\u00e9 porque isso \u00e9 cada vez um ponto muito importante para a gente se atentar no nosso dia-a-dia nas aplica\u00e7\u00f5es projetos que a gente est\u00e1 desenvolvendo dia ap\u00f3s dia a gente v\u00ea not\u00edcia de dados vazados aplica\u00e7\u00f5es invadidas empresas que foram atacadas e muitas das vezes a porta de entrada para um potencial vazamento de dados ou mesmo no potencial invas\u00e3o t\u00e1 nas aplica\u00e7\u00f5es que a gente mesmo desenvolve isso a\u00ed as aplica\u00e7\u00f5es que a gente cria muitas vezes \u00e9 porta de entrada para hackers mal-intencionados isso acontece porque para come\u00e7ar quando a gente aprende a desenvolver as aplica\u00e7\u00f5es da faculdade ou em cursos online A gente n\u00e3o \u00e9 instru\u00eddo a se preocupar com isso geralmente esse tipo de coisa nem \u00e9 citado inclusive muitas empresas a gente s\u00f3 vai falar sobre o rol\u00ea habilidade quando sofrem realmente a\u00ed algum ataque e quando a gente olha para a vulnerabilidade existe uma gama muito grande de op\u00e7\u00f5es que podem estar vulner\u00e1veis mas tamb\u00e9m os principais que s\u00e3o as mais comuns E \u00e9 isso que eu quero falar com voc\u00eas hoje s\u00e3o as existentes nessa lista naouaf top 10 mas tem uma durabilidade Preciso falar com voc\u00eas aqui agora que ela n\u00e3o t\u00e1 nessa lista n\u00e3o assa que \u00e9 uma habilidade o risco de voc\u00ea n\u00e3o deixar o like nesse v\u00eddeo Ent\u00e3o j\u00e1 Aproveita agora mesmo j\u00e1 deixe o seu like que mostra voc\u00ea est\u00e1 gostando desse conte\u00fado se inscreve no canal se j\u00e1 inscrita j\u00e1 deixa aqui nos coment\u00e1rios se voc\u00ea j\u00e1 sabia dessa lista j\u00e1 conhecia essa lista ou alguma dessas com gravidade sem poaf \u00e9 a sigla em ingl\u00eas para projeto aberto de seguran\u00e7a em aplica\u00e7\u00f5es web e \u00e9 uma Funda\u00e7\u00e3o sem fins lucrativos que trabalha para melhorar a seguran\u00e7a em aplica\u00e7\u00f5es web e eles n\u00e3o tem essa lista de top 10 categorias com as principais generalidades web essa lista \u00e9 atualizada de tempos em tempos t\u00e1 com as principais categorias e modalidades naquele momento a \u00faltima atualiza\u00e7\u00e3o a tinha acontecido l\u00e1 em 2017 e agora depois de quatro anos o time do Astro lan\u00e7ou em uma nova atualiza\u00e7\u00e3o em outubro desse ano a primeira edi\u00e7\u00e3o quem n\u00e3o sabe l\u00e1 em 2003 o mundo habilidades muito comuns na \u00e9poca e de l\u00e1 at\u00e9 hoje algumas coisas sa\u00edram da lista algumas coisas Entraram na lista e algumas coisas ainda permanecem como por exemplo a parte de inje\u00e7\u00e3o de c\u00f3digo configura\u00e7\u00e3o de seguran\u00e7a incorreta entre algumas outras coisas ent\u00e3o a gente pode ver que mesmo n\u00e3o passar dos anos algumas coisas se mant\u00e9m bom o intuito n\u00e3o \u00e9 falar sobre o passado aqui ent\u00e3o como \u00e9 que t\u00e1 a lista na atualiza\u00e7\u00e3o deste ano esse \u00e9 o grande. N\u00e9 Como que t\u00e1 o nosso 20 hoje as 10 celebridades mais relevantes nesta edi\u00e7\u00e3o s\u00e3o as seguintes t\u00e1 a primeira delas por oxicontrol esse tipo de uma habilidade permite que o usu\u00e1rio tenha muito mais acesso do que deveria acessando p\u00e1ginas arquivos informa\u00e7\u00f5es que ele n\u00e3o deveria ter acesso podendo da\u00ed causar problemas de vazamento de dados por exemplo a segunda vulnerabilidade a\u00ed seria criptogr\u00e1fico fillers ou falhas de criptografia n\u00e9 \u00e9 esse tipo de modalidade \u00e9 quando uma aplica\u00e7\u00e3o \u00e9 uma criptografia Realmente segura ou ou ent\u00e3o n\u00e3o tem nenhuma que convenhamos que algo realmente muito s\u00e9rio n\u00e9 falando ali de uma criptografia que n\u00e3o \u00e9 segura eu lembrei de uma parada que falando a\u00ed de criptografia que n\u00e3o \u00e9 seguro lembrei de uma parada aqui eu passei por uma empresa uma vez que tinha um sistema de dados e Teoricamente disseram que fotografados na base de dados mas era uma criptografia t\u00e3o simples substitui\u00e7\u00e3o de caracter E a\u00ed por exemplo a senha do sistema era um n\u00famero de quatro d\u00edgitos e cada dia est\u00e1 substitu\u00eddo por uma letra ent\u00e3o um essa estruturadores porque e assim por diante por exemplo Ent\u00e3o voc\u00ea identificando qualquer um padr\u00e3o da letra voc\u00ea descobrir a senha era bem simples de resolver essa pensava que nem um clipe muito mirabolante ent\u00e3o isso a gente considera a\u00ed uma falha de criptografia \u00e9 muito simples ent\u00e3o n\u00e3o resolve de fato problema da sua usarem algu\u00e9m vai quebrar e vai passar usados de qualquer forma a nossa terceira vulnerabilidade aqui seria a parte de injection Essa rua \u00e9 habilidade \u00e9 quando uma aplica\u00e7\u00e3o aceita geralmente inje\u00e7\u00e3o de c\u00f3digo por o Xbox houve um par\u00e2metro onde \u00e9 poss\u00edvel voc\u00ea executar comandos que n\u00e3o deveriam rodar como comandos impressionar ou o comando do banco de dados Ent\u00e3o imagina voc\u00ea poder buscar informa\u00e7\u00f5es do Servidor rodar comandos internos do Servidor mesmo navegador ali algo que n\u00e3o deveria acontecer e voc\u00ea conseguiu que tem informa\u00e7\u00e3o por isso Isso \u00e9 uma parte de inje\u00e7\u00e3o ou voc\u00ea conseguir injetar comandos SQL tamb\u00e9m na tela de login por exemplo isso tamb\u00e9m filho assim de inje\u00e7\u00e3o jamais uma dessas habilidades aqui \u00e9 um seguir design perceber o que se o que j\u00e1 n\u00e3o falei no mesmo que eu j\u00e1 me perdi n\u00e9 Essa categoria \u00e9 nova e ela diz respeito a riscos arquiteturais de s\u00f3cio e falhas deixadas durante o desenvolvimento mais uma vulnerabilidade aqui \u00e9 seu time configuration essa habilidade ela acontece quando as aplica\u00e7\u00f5es ferramentas e solu\u00e7\u00f5es seguran\u00e7a elas n\u00e3o s\u00e3o configuradas corretamente de acordo com a aplica\u00e7\u00e3o a cola protege lembram da nossa Live de redes porque a gente teve aqui ele comentou alguns \u00e9 parecido com isso e passou por um cliente que estou atacada por Messenger E a\u00ed \u00e9 esse cliente tinha um Faro mas o F\u00e1bio tava com as configura\u00e7\u00f5es de full e ele n\u00e3o pegava nada de fato ent\u00e3o \u00e9 uma falha a\u00ed de seguran\u00e7a outra vulnerabilidade \u00e9 burro mesmo hein alto Day Outside The component&#8217;s essas durabilidade ela diz respeito a dispositivos ferramentas e aplica\u00e7\u00f5es legadas as coisas antigas e desatualizadas que podem a\u00ed causar problemas na nossa aplica\u00e7\u00e3o Todo dia aparece uma durabilidade nova Eles comem coisa que te usou pacotes Fox Guedes vem ent\u00e3o isso pode estar na sua aplica\u00e7\u00e3o e causava na habilidades tamb\u00e9m esse \u00e9 um grande. T\u00e1 entre diversas outras coisas c\u00f3digo antigo que voc\u00ea ficou ent\u00e3o assim se importante se atentar isso tamb\u00e9m mais uma das vulnerabilidades aqui a identifiquei Chan authentication trailers essa vulnerabilidade ela \u00e9 baseada em como o nome sugere falhas de autentica\u00e7\u00e3o essa durabilidade ela caiu muito de posi\u00e7\u00e3o em rela\u00e7\u00e3o de 2017 isso mostra para a gente que o sistema de autentica\u00e7\u00e3o um dos melhores mas ainda assim preciso melhorar os seus homens e melhore outras durabilidade aqui \u00e9 o software inteira internet fez essa durabilidade est\u00e1 mais relacionada ao c\u00f3digo-fonte da aplica\u00e7\u00e3o e uma infraestrutura mais insegura t\u00e1 um exemplo interessante aqui \u00e9 a aplica\u00e7\u00e3o usar pacotes que n\u00e3o sejam confiadas outra modalidade \u00e9 Security login em monitor me fez essas falhas elas s\u00e3o meio dif\u00edceis de identificar mas basicamente s\u00e3o as faltas de log da aplica\u00e7\u00e3o e falta de monitoramento de seguran\u00e7a a rela\u00e7\u00e3o dif\u00edcil estado a gente poder encontrar mas s\u00e3o as que mais acontecem sejam um monitor muito mal feito um blog mal feito ou mesmo n\u00e3o fazer um blog outras habilidades que a gente tem aqui a server-side requests for Gere ssrs 18 essa durabilidade ela acontece sempre que uma aplica\u00e7\u00e3o busca o recurso um servidor sem validar URL do usu\u00e1rio Ent\u00e3o voc\u00ea acaba conseguindo acessar algum destino que n\u00e3o deveria mesmo que a Faro esteja bloqueando esse coisas a gente for comparar com a instalar de 2017 as categorias e sentir design software integration velhos e server-side Forget requests for Gabriel s\u00e3o novas elas n\u00e3o existiam l\u00e1 na lista de 2017 um ponto interessante que a gente pode notar \u00e9 que se a gente compara com a lista de 2017 a vulnerabilidades de injection ela caiu de primeiro lugar para terceiro lugar nessa lista n\u00e9 j\u00e1 vulnerabilidade de Brooke next contou e da quinta posi\u00e7\u00e3o 2017 pela primeira agora em 2021 a a falha de bronca enexis comprou o controle de acesso quebrado como a gente falou um pouquinho mais cedo ela \u00e9 uma vulnerabilidade que permite que o usu\u00e1rio tenha mais acessos do que realmente deveria do que realmente foi permitido a ele por exemplo a sua permiss\u00e3o determinada aplica\u00e7\u00e3o de um usu\u00e1rio comum e Pra\u00e7a est\u00e1 determinada a tela t\u00e1 espec\u00edfico Mas a\u00ed voc\u00ea acaba conseguindo de alguma forma acessar por exemplo a \u00e1rea administrativa nesse site e acesso a outra eu acho que voc\u00ea n\u00e3o deveria Ent\u00e3o voc\u00ea acaba conseguindo acessar coisas alterar coisas ele informa\u00e7\u00f5es que voc\u00ea por padr\u00e3o n\u00e3o deveria ter permiss\u00e3o para isso isso pode causar vazamento de dados altera\u00e7\u00f5es de dados indevidos ou mesmo exclus\u00e3o de informa\u00e7\u00f5es que s\u00e3o cruciais no dia de ir \u00e0s vezes a gente olha para isso como essa com essas principais falhas e acha que nunca vai acontecer com essas aplica\u00e7\u00f5es Mas acredite algum dia em algum momento algo pode sim acontecer e problemas s\u00e9rios podem vir a\u00ed junto com isso com preju\u00edzos financeiros danos \u00e0 imagem da empresa multas e Ainda Mais atualmente ele est\u00e1 falando dele de pedreiro n\u00e9 E sem contar que em v\u00e1rios casos as empresas acabam de mentira de seguran\u00e7a em movimento afins quando este fez acontece ent\u00e3o \u00e9 muito bom a gente se atentar este coisa assim t\u00e1 para evitar essas modalidades existem ferramentas que a gente pode incluir inclusive no processo de devops como incluir uma analisada itamanari excelente qualidade de c\u00f3digo uma an\u00e1lise de depend\u00eancia para ver se a gente t\u00e1 usando as depend\u00eancias antigas ou Conga o conhecidas nossas aplica\u00e7\u00f5es ferramentas para an\u00e1lise de seguran\u00e7a como forty-five era Cold entre diversas outras tamb\u00e9m t\u00e1 essas ferramentas que eu citei voc\u00ea consegue incluir no seu processo de deve ser copos e vai Minimizar e algumas coisas e vulnerabilidades que voc\u00ea pode virar teta outra coisa importante \u00e9 voc\u00ea ter um tinha de seguran\u00e7a da empresa que esteja olhando para essas coisas n\u00e9 tamb\u00e9m interessante realizar um teste nas aplica\u00e7\u00f5es de tempos em tempos para buscar vulnerabilidades nas que as ferramentas automatizadas elas n\u00e3o encontram t\u00e1 Nem tudo as ferramentas tomar t\u00e1 v\u00e3o encontrar o pentest ele vai achar outros tipos de brechas tamb\u00e9m basicamente seguran\u00e7a \u00e9 algo de extrema import\u00e2ncia e voc\u00ea precisa da aten\u00e7\u00e3o \u00e9 isso desde o processo de desenvolvimento seguir com o tormento seguro e as listagens \u00e9 uma boa b\u00e1sica a gente saber como proteger de fato as nossas aplica\u00e7\u00f5es Mas e a\u00ed e as suas aplica\u00e7\u00f5es as est\u00e3o protegidas contra essas vulnerabilidades regionalista deixa aqui nos coment\u00e1rios se voc\u00ea j\u00e1 passou por algum problema dessa Vista voc\u00ea tem alguma dica para ajudar ao eu posso ter esse v\u00eddeo eu t\u00f4 deixando para voc\u00ea aqui mais dois v\u00eddeos aqui no canal Inclusive a Live de rede a gente teve com uma gela aqui tamb\u00e9m vai t\u00e1 aparecendo pra voc\u00eas eu acho que vale muito a pena voc\u00eas entenderem algumas coisas l\u00e1 e d\u00e1 umas dicas de seguran\u00e7a tamb\u00e9m eu tivesse no pr\u00f3ximo v\u00eddeo aqui<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nord VPN: aproveite a promo\u00e7\u00e3o NordVPN e proteja sua navega\u00e7\u00e3o hoje. Chegada: &#8230; 00:12:37 Nord VPN: aproveite a promo\u00e7\u00e3o NordVPN e proteja sua navega\u00e7\u00e3o&#8230;<\/p>\n","protected":false},"author":1,"featured_media":51,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,2],"tags":[96,48,49,50,51],"acf":[],"_links":{"self":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/50"}],"collection":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/comments?post=50"}],"version-history":[{"count":2,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/50\/revisions"}],"predecessor-version":[{"id":310,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/50\/revisions\/310"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media\/51"}],"wp:attachment":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media?parent=50"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/categories?post=50"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/tags?post=50"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}