Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.

1. Copyright © 2004 -The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License.
The OWASP Foundation
http://www.owasp.org
OWASP -WebGoatComo ferramenta de aprendizado do funcionamento de vulnerabilidades Web
Luiz Vieira ∴
OWASP Rio de Janeiro
HackProofing
luizwt@gmail.com

2. 2
OWASP
Quem sou eu?

3. 3
OWASP
O que é segurança de Aplicações Web?
Não é Segurança de Redes
Segurança do “código” criado para implementar a aplicação web
Segurança de bibliotecas
Segurança de sistemas de back-end
Segurança de servidores web e aplicacionais
Segurança de Redes ignora o conteúdo do tráfego de HTTP
Firewalls, SSL, Intrusion Detection Systems, Operating System Hardening, Database Hardening

4. 4
OWASP
O código faz parte do perímetro de segurança
Firewall
Hardened OS
Web Server
App Server
Firewall
Databases
Legacy Systems
Web Services
Directories
Human Resrcs
Billing
Custom Developed Application Code
APPLICATIONATTACK
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS, hardening) para parar ou detectar ataques ao nível aplicacional
Network Layer
Application Layer
O seu perímetro de segurança possui buracos enormes na camada aplicacional

5. OWASP
5
O que é o OWASP?
Open Web Application Security Project
Organização sem fins lucrativos, orientada para esforço voluntário
Todos os membros são voluntários
Todo o trabalho é “doado” por patrocinadores
Oferecer recursos livres para a comunidade
Publicações, Artigos, Normas
Software de Testes e de Formação
Chapters Locais & Mailing Lists
Suportada através de patrocínios
Suporte de empresas através de patrocínios financeiros ou de projetos
Patrocínios pessoais por parte dos membros

6. OWASP
6
O que é o OWASP?
O que oferece?
Publicações
OWASP Top 10
OWASP Guide to Building Secure Web Applications
Software
WebGoat
WebScarab
oLabs Projects
.NET Projects
Chapters Locais
Orientação das comunidades locais

7. OWASP
7
Publicações OWASP –OWASP Top 10
Top 10 Web Application Security Vulnerabilities
Uma lista dos 10 aspectos de segurança mais críticos
Atualizado a cada três anos
Crescente aceitação pela indústria
Federal Trade Commission (US Gov)
US Defense Information Systems Agency
VISA (Cardholder Information Security Program)
Está a ser adotado como um standard de segurança para aplicações web

8. OWASP
8
Publicações OWASP -OWASP Top 10
Top 10 (versão 2013)
A1. Injection
A2. Broken Authentication and Session Management
A3. Cross-Site Scripting (XSS)
A4. Insecure Direct Object Reference
A5. Security Misconfiguration
A6. Sensitive Data Exposure
A7. Missing Function Level Access Control
A8. Cross Site Request Forgery (CSRF)
A9. Using Components with Known Vulnerabilities
A10. Unvalidated Redirects and Forwards

9. OWASP
9
Software OWASP -WebGoat
WebGoat
Essencialmente é uma aplicação de treino
Oferece
Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional
Uma ferramenta para testar ferrementas de segurança
O que é?
Uma aplicação web J2EE disposta em diversas “Lições de Segurança”
Baseado no Tomcat e no JDK 1.5
Orientada para o ensino
–Fácil de usar
–Ilustra cenários credíveis
–Ensina ataques realistas e soluções viáveis

10. OWASP
10
Software OWASP -WebGoat
WebGoat –O que se pode aprender?
Um número crescente de ataques e de soluções
Cross Site Scripting
SQL Injection Attacks
Thread Safety
Field & Parameter Manipulation
Session Hijacking and Management
Weak Authentication Mechanisms
Mais ataques vão sendo adicionados
Obter a ferramenta
https://code.google.com/p/webgoat/
Descarregar, descomprimir, e executar

11. OWASP
11
Vamos conhecer alguns “bugs”…

12. OWASP
12
SQL Injection
XML Injection
XSS
CSRF
Session Fixation
Session Hijacking
Vamosconheceralguns“bugs”…

13. 13
OWASP

14. 14
OWASP
Obrigado pela sua atenção!
https://www.owasp.org/index.php/Rio_de_Janeiro
luizwt@gmail.com
http://hackproofing.blogspot.com
http://www.hackproofing.com.br(em breve)