https://slides.com/wilcorrea/como-tirar-o-seu-nome-da-lista-do-owasp

Como tirar o seu nome da lista da OWASP?

Se você acha que o SPC e o SERASA são um problema precisa ver a lista da OWASP

/me

William Correa

@wilcorrea

http://wilcorrea.dev

# Agenda

  • A falta de segurança na web
  • A OWASP
  • Top Ten de 10 a 1

# A falta de segurança na web

  • Vazamentos
  • Legislação

# Vazamentos

  • Empresas privadas
  • Órgãos públicos

# Legislação

  • General Data Protection Regulation (EUR)
  • Lei Geral de Proteção de Dados (BRA)

# Legislação

  • General Data Protection Regulation (EUR)
  • Lei Geral de Proteção de Dados (BRA)

# Pra levar pra casa

  • A internet não é um ambiente seguro
  • Há uma crise de segurança na web

# A OWASP

O Open Web Application Security Project é uma comunidade on-line que produz artigos, metodologias, documentação, ferramentas e tecnologias disponíveis gratuitamente no campo da segurança de aplicativos da web.

# Propósito

A OWASP tem como principal objetivo manter uma comunidade global para aumentar a visibilidade e a evolução da segurança de software ao redor do mundo

# Princípios

  • Free & Open
  • Governado por consenso e prática
  • Alinha com um código de ética
  • Sem fins lucrativos
  • Não impulsionado por interesses comerciais
  • Abordagem baseada em risco

# Projetos

Para iniciar um projeto...

  • Explore os atuais projetos da OWASP
  • Coloque sua ideia no quadro de ideias
  • Explore e pesquise se sua ideia abrange um segmento exclusivo na área de segurança
  • Defina que tipo de projeto você gostaria de iniciar
  • Desenvolva seu projeto com base no tipo de projeto

# Projetos

# Pra levar pra casa

  • OWASP não é "aquela parada de hacker"
  • A lista com as 10 falhas mais comuns
  • Não existe segurança na web

# Top ten de 10 a 1

# A10: Insufficient Logging & Monitoring

# A10: Insufficient Logging & Monitoring

Como prevenir:

  • Gerar logs de falhas de acesso
  • Usar formatos de log padronizados
  • Auditoria e alertas de mudanças fora do padrão
  • Monitoramento do servidor
  • Estabelecer ou adotar uma política para incidentes

# A10: Insufficient Logging & Monitoring

# A9: Using Components with Known Vulnerabilities

# A9: Using Components with Known Vulnerabilities

Como prevenir:

  • Remover dependências não utilizadas
  • Inventarie continuamente as versões de componentes
  • Obtenha apenas componentes de fontes oficiais
  • Monitora bibliotecas e componentes que não são mantidos

# A9: Using Components with Known Vulnerabilities

# A8: Insecure Deserialization

# A8: Insecure Deserialization

Como prevenir:

  • Não aceitar fontes não confiáveis de entrada
  • Implementar análises de integridade
  • Impor restrições de tipos
  • Realizar a desserialização com poucos privilégios
  • Gerar logs dos processos de desserialização
  • Garantir o isolamento dos serviços e containers
  • Monitorar a desserialização, alertando recorrências

# A8: Insecure Deserialization

# A7: Cross-Site Scripting (XSS)

# A7: Cross-Site Scripting (XSS)

Como prevenir:

  • Usar ferramentas que dificultem a impressão de código malicioso
  • Não confiar na entrada do usuário
  • Prevenir manipulações do DOM de aplicarem código malicioso à página
  • Habilitar a Content Security Policy (CSP)

# A7: Cross-Site Scripting (XSS)

# A7: Cross-Site Scripting (XSS)

# A6: Security Misconfiguration

# A6: Security Misconfiguration

Como prevenir:

  • Automatizar os processos de manutenção do ambiente
  • Manter o projeto sem recursos esquecidos em desuso
  • Revisar e atualizar as configurações apropriadas para todas as notas de segurança com frequência
  • Utilizar uma estrutura que garanta o isolamento
  • Gerenciar headers para manter as requisições e a identidade do servidor em segurança
  • Arquivos de configuração devem ser inacessíveis via HTTP

# A6: Security Misconfiguration

# A5: Broken Access Control

# A5: Broken Access Control

Como prevenir:

  • Trabalhe com lista branca
  • Escreva rotinas centralizadas de autenticação e
    autorização
  • Segmentar o acesso na modelagem de dados
  • Nunca listar diretório e nunca deixar dados sensíveis em ambiente público
  • Registrar falhas, usar UUID, CAPTCHA, limitar tentativas
  • Manter mensagens pouco amigáveis

# A5: Broken Access Control

# A5: Broken Access Control

# A4: XML External Entities (XXE)

# A4: XML External Entities (XXE)

Como prevenir:

  • Sempre que possível, use formatos de dados menos complexos, como JSON
  • Manter as ferramentas e bibliotecas atualizadas
  • Desabilitar a manipulação remota e o processamento de DTD em toda a manipulção de XML
  • Implementar validação, filtragem ou sanitização de entrada positiva no lado do servidor
  • Validar o XML recebido usando a validação XSD ou similar

# A4: XML External Entities (XXE)

# A3: Sensitive Data Exposure

# A3: Sensitive Data Exposure

Como prevenir:

  • Classificar dados processados, armazenados ou transmitidos por um aplicativo. Identifique quais dados são sensíveis de acordo com as leis de privacidade, requisitos regulatórios ou necessidades comerciais.
  • Aplique controles de acordo com a classificação.
  • Não armazene dados confidenciais desnecessariamente

# A3: Sensitive Data Exposure

Como prevenir:

  • Certifique-se de criptografar todos os dados confidenciais em repouso.
  • Certifique-se de que algoritmos, protocolos e chaves padrão atualizados e fortes estejam em vigor; use o gerenciamento de chaves apropriado.
  • Criptografe todos os dados em trânsito com protocolos seguros

# A3: Sensitive Data Exposure

Como prevenir:

  • Desativar o cache para respostas que contenham dados confidenciais.
  • Armazene senhas usando funções de hashing adaptáveis ​​e fortes com um fator de trabalho (fator de atraso), como Argon2, scrypt, bcrypt ou PBKDF2.
  • Verificar de forma independente a eficácia da configuração e definições.

# A3: Sensitive Data Exposure

# A2: Broken Authentication 

# A2: Broken Authentication 

Como prevenir:

  • Sempre que possível, implemente a autenticação de vários fatores para evitar ataques automatizados, de preenchimento de credenciais, força bruta e reutilização de credenciais roubadas
  • Não envie ou implante com nenhuma credencial padrão, especialmente para usuários administradores.
  • Implemente verificações de senhas fracas, como testar senhas novas ou alteradas em uma lista das 10000 piores senhas

# A2: Broken Authentication 

Como prevenir:

  • Alinhe as políticas de comprimento, complexidade e rotação de senhas com as diretrizes do NIST 800-63 B na seção 5.1.1 para "Memorized Secrets" ou outras políticas de senhas modernas baseadas em evidências
  • Garantir que o registro, a recuperação de credenciais e os caminhos da API sejam protegidos contra ataques de enumeração de contas usando as mesmas mensagens para todos os resultados

# A2: Broken Authentication 

Como prevenir:

  • Limitar ou atrasar cada vez mais as tentativas de login malsucedidas. Registre todas as falhas e notifique os administradores
  • Use um gerenciador de sessão interno, seguro e do lado do servidor que gere um novo ID de sessão aleatório com alta entropia após o login. Os IDs de sessão não devem estar no URL, devem ser armazenados e invalidados com segurança

# A2: Broken Authentication 

# A2: Broken Authentication 

# A1: Injection

# A1: Injection

Como prevenir:

  • A opção preferida é usar uma API segura, que evite o uso do interpretador por completo ou forneça uma interface com parâmetros ou migre para usar as ORMs (Object Relational Mapping Tools)
  • Use validação de entrada do lado do servidor positiva ou "lista branca". Essa não é uma defesa completa, pois muitos aplicativos exigem caracteres especiais, como áreas de texto ou APIs para aplicativos móveis

# A1: Injection

Como prevenir:

  • Para quaisquer consultas dinâmicas residuais, escape de caracteres especiais usando a sintaxe de escape específica para esse interpretador
  • Use LIMIT e outros controles SQL nas consultas para evitar a divulgação em massa de registros no caso de injeção de SQL

# A1: Injection

# A1: Injection

# A1: Injection

# A1: Injection

# A1: Injection

Hora das palmas

# Perguntas

  • Fale agora ou cale-se para sempre

 

  • wilcorrea@gmail.com
  • t.me/wilcorrea
  • medium.com/wilcorrea

# Referências

  • https://www.owasp.org/index.php/Main_Page
  • https://computerworld.com.br/2018/09/19/lgpd-10-pontos-para-entender-a-nova-lei-de-protecao-de-dados-no-brasil

Como tirar o seu nome da lista do OWASP?

By William Correa

Como tirar o seu nome da lista do OWASP?

No mundo do PHP o OWASP Top Ten (https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf) pode servir como referência para monitorar a produção de software e aplicar controles para aumentar ou implementar a segurança mínima necessária para que uma aplicação não sofra com ataques simples. Vamos visitar os itens do OWASP Top Ten e mostrar exemplos práticos de como tirar você e sua aplicação da lista negra das vulnerabilidades mais recorrentes do mundo.

  • 828