Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites

Documentos relacionados
Gestão de Identidades

Microsoft TechDays Lisboa

Microsoft TechDays Lisboa

Análise de Vulnerabilidades em Aplicações WEB

Miguel Teixeira Unified Communications Solutions-Product Manager Microsoft Portugal

Patrocinadores. Agenda. Introdução ao BizTalk Server CTS01 O que há de novo no BizTalk Server 2006? Perspectiva Histórica

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho Thiago Canozzo Lahr

segurança em aplicações web

SRV Coisas que Necessita de Saber Acerca do Failover Clustering no Windows Server "Longhorn"

Patrocinadores. Agenda. Objectivos SEC07 SEC07. Sérgio Martins Security Consultant Unisys. Security Consultant Unisys.

Ataques a Aplicações Web

Demo Windows Vista OPK

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo

Microsoft TechDays Lisboa

Microsoft TechDays Lisboa

Microsoft Software + Serviços

Programa de Unidade Curricular

Attacking Session Management

Alcance Adapte-se a mundança. Nome, Título

Desenvolvimento e disponibilização de Conteúdos para a Internet

Suites Integradas - Proteja, Otimize e Economize Mais. Rafael Garcia

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Segurança no Plone. Fabiano Weimar dos Santos [Xiru]

System Center Essentials permite à Cintra gerir a sua infra-estrutura de TI com um mínimo de custos e de recursos

Palestrante: Leandro Carvalho. Palestrante: Francisco Ferreira. Moderador: Thiago Cardoso

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO

Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

Segurança da Informação na Internet no Brasil: Últimos Estudos do Comitê Gestor da Internet no Brasil e Iniciativas para Aumentar a Segurança

A Miopia dos CSO s. Por Jordan M. Bonagura

Uma nova luz na web com Microsoft Silverlight. Leonardo Sobral Consultor de Tecnologia

Dicas para a prova do MPU (cargos Analista e Técnico) NOÇÕES DE INFORMÁTICA: (comentário por tópico do edital visando o CESPE/UnB)

Eliminando Fronteiras: Aumente a Produtividade com Soluções de Mobilidade Symantec Arthur Cesar Oreana

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Microsoft TechDays Lisboa

Conheça a nova solução de servidor que ajuda pequenas empresas a fazer mais Com menos.

Webinar. 11 Funções Essenciais que Seu Firewall Deveria Fazer

Seja Bem-Vindo. System Center Family. Inicio: 09:00 Termino: 12:00

Seja Bem-Vindo. Sharepoint 2007 para Desenvolvedores. Inicio: 19:00 Termino: 22:00

CA Protection Suites. Proteção total dos dados para as pequenas e médias empresas

Segurança da Informação:

RELATÓRIO ANUAL DE ACTIVIDADES

Ciclo de Webcasts de Exchange Server 2007

Patrocinadores. Agenda Presente: Virtual Server Visão e objectivos a longo prazo

Grupo de Arquitetos Microsoft Brasil

Especificação da Appliance + SO CAMES - CAixa Mágica Enterprise Server

Tecnologias WEB Web 2.0

Grupo de Arquitetos Microsoft Brasil

Relatório de Instalação do Windows 2003 Server

Porto Editora acentua ganhos de produtividade e eficiência com investimento em tecnologia Microsoft

Automação de Locais Distantes

O que temos pra hoje?

Tarefa Orientada 2 Criar uma base de dados

APRESENTAÇÃO INSTITUCIONAL

ITIL v3 melhora Gestão de Serviço de TI no CHVNG/Espinho

Instituto de Inovação com TIC. [Junho/ 2009]

Amadeus Pro Printer 5.1P275

Firewall. Alunos: Hélio Cândido Andersson Sales

Escola Superior de Tecnologia de Setúbal. Projecto Final

DELEGAÇÃO REGIONAL DO ALENTEJO CENTRO DE FORMAÇÃO PROFISSIONAL DE ÉVORA REFLEXÃO 3

MCTS SHAREPOINT 2010, CONFIGURING Um exame para obter a Certificação completa

Uma introdução sobre Frameworks de Desenvolvimento

ATA DE REGISTRO DE PREÇO

CA Protection Suites Proteção Total de Dados

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

Web Services. Autor: Rômulo Rosa Furtado

COLIBRI Ambiente Colaborativo Multimédia MÓDULO MOODLE. Rui Ribeiro FCCN - Dezembro 2010

LINHA CRIATIVA, Informática & Soluções PORTFOLIO

2015 Check Point Software Technologies Ltd. 1

RECAPITULANDO... TRIBUNAIS TRIBUNAIS ENCONTRO 1/5 TRIBUNAIS TRIBUNAIS TRIBUNAIS TRIBUNAIS HUB. WiFi. IPV4 a.b.c.d. 0 a 255. WiFi. pmaximo@gmail.

UNIVERSIDADE. Sistemas Distribuídos

Implementação de Web Services em Projetos de LabVIEW

Rogério Molina Primeiros Passos em TI

Soluções de Gestão de Clientes e Impressão Universal

ESET NOD32 ANTIVIRUS 9

Gerenciando Mobilidade: Usuários e Dispositivos Seguros

UCM001 Exchange 2007 Arquitectura e Desenho

Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro

IP significa Internet Protocol. A Internet é uma rede, e assim como ocorre em qualquer tipo de rede, os seus nós (computadores, impressoras, etc.

Patrocinadores. Agenda. Visual Studio Visual Studio Alberto Silva Mobile Devices MVP

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)

Prof. Ravel Silva ( SIMULADO 02 ESCRIVÃO PF

Transcrição:

DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope Patrocinadores DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

Agenda Segurança Aplicações Web Cenários Web 2.0 Cenários AJAX Ataques Soluções & Boas Práticas Segurança Aplicacional Motivação Tão importante como a segurança de servidores e de rede Foco na equipa de desenvolvimento HTTPs, Firewalls, Anti Vírus & HotFixes são imprescindíveis, mas não garantem a segurança aplicacional 75% dos ataques informáticos exploram falhas aplicacionais Gartner Group Web 2.0 Hoje Web 2.0 Isto para dizer que Grande usabilidade Combinação crescente de conteúdos Orientação a serviços: Mash-Ups, Gadgets Grande dependência de recursos OnLine Tabbed browsing Controlo do PC já não é objectivo primordial de um ataque Recursos online são cada vez mais apetitosos Milhões de utilizadores Diversidade de recursos valiosos This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2

AJAX Segurança- o que traz de novo? AJAX Segurança- o que traz de novo? (Não esquecendo os problemas tradicionais: sql injection, xss, etc!) Massificação XMLHTTP (nativo!) Multi Threading Controlo total de pedidos HTTP Exposição de Web Services aumenta Evolução/Estudo de JavaScript XMLHTTP também é ferramenta de ataque! Ataques AJAX O que é? Explora relação de confiança de um site nos seus utilizadores Realmente simples mas devastador! Pouco divulgado This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

O problema Realidade A maioria dos sites pode ser explorada! Potencial imenso: ataque ips internos configuração de routers, impressoras, qualquer endpoint http standard que possa ser automatizado! MySpace Sammy Worm XSS, XSRF, XMLHTTP Bypass de Tokens 1M Utilizadores/ 24 Horas podia ter sido muito pior! Yahoo Webmail Yamanner Soluções Conclusão Referer Header ViewStateUserKey Tokens CAPTCHAs A mínima falha XSS derrota grande parte destas defesas! Aplicações AJAX Seguras Segurança aplicações web tradicionais! +Boas práticas AJAX Atenção novos ataques Web 2.0 Worms, CSRF This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4

Resources/Recursos Úteis Resources/Recursos Úteis Joe Stagner AJAX Security Webcasts http://blogs.msdn.com/joestagner/archive/2007/01/12/upcomingajax-security-webcasts.aspx WhiteHat Security http://www.whitehatsec.com/ Improving Web Application Security: Threats and Countermeasures http://msdn.microsoft.com/library/default.asp?url=/library/enus/dnnetsec/html/threatcounter.asp Web Application Security Lab http://ha.ckers.org/ OWASP (.NET) http://owasp.net/default.aspx Web Application Security Consortium http://webappsec.org/ Related Sessions/Participe Noutras Sessões SEC006 : Publicação Segura de Aplicações com o Intelligent Application Gateway 2007: Análise Técnica Detalhada Dia 22, 11:15 Related Sessions/Participe Noutras Sessões DEV025 : Segurança na Windows Communication Foundation: objectivos, modelos, padrões e pontos de extensão Dia 22, 17:00 DEVHOL02 : Core Features of Windows Cardspace Dia 22, 17:00 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5

Pergunte aos Especialistas Obtenha Respostas às Suas Questões Dia 21, 16:00-17:00 Questionário de Avaliação Passatempo! Complete o questionário de avaliação e devolva-o no balcão da recepção. Habilite-se a ganhar uma Xbox 360 por dia! DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback