Palestrante !utores $o%al Data !le"andre Sieira, #ISSP !le"andre #orreia Pinto, #ISSP !le"andre Sieira, #ISSP &'S 0()(00* + Praia ,ermel-a, ./ 0*01(0(00*
Introduo
Organizaes utilizam-se de sistemas desenvolvidos internamente ou por terceiros para uma variedade de objetivos. Estes sistemas podem ser crticos, ou estar intimamente ligados a sistemas crticos, operao da organizao. Estes sistemas muitas vezes esto e postos e ternamente para parceiros e clientes, como extranets ou servios !nternet. "o # usual a incorporao de re$uisitos de segurana na %uncionalidade e no processo de desenvolvimento, por um dos seguintes motivos& - 'alta de cultura de (egurana da !n%ormao. - 'alta de preparo da e$uipe de desenvolvimento. - Escassez de recursos $ue leva a uma priorizao dos re$uisitos %uncionais.
Introduo
) $uesto do elo mais %raco&
Sistemas ;e7 so e8uivalentes a daemons, e devem ser desenvolvidos %om %rit<rios estritos de Segurana da Informao)
query = select id from usuarios where nome = $nome and senha = $senha; $stmt = oci_parse( $conn, $query ); oci_e ec( $stmt ); if (oci_fetchinto( $stmt, $result, !"#_$%%!" ) == &$'%() ) (***) ++ ,olta usu-rio para tela de lo.in com mensa.em de erro / else ) ++ .ra,a identidade do usu-rio em coo0ie setcoo0ie( user_id, $result123 ); (***) ++ redireciona usu-rio para tela de entrada /
K )s p2ginas de autenticao, bem como todas as restritas a usu2rios autenticados, devem ser acessveis apenas atrav#s de ((.> K Os ar$uivos $ue armazenam as vari2veis de sesso no servidor devem ser movidos para diret@rio com permisses restritas usando a opo session.save_path> K ) opo session.use_only_cookies deve ser usada para $ue o identi%icador de sesso seja armazenado apenas em cookies; K ) opo session.cookie_secure deve ser usada de %orma $ue o cookie com o identi%icador de sesso tra%egue apenas em cone es seguras> K +odas as p2ginas restritas a usu2rios autenticados devem acessar as vari2veis de sesso e garantir $ue o endereo de origem e a identi%icao do browser e istem e so as mesmas da re$uisio atual, de %orma a detectar usu2rios no autenticados e session hijacking.
Concluses
(egurana de rede no basta se as aplicaes tiverem vulnerabilidades.
) !(O /DEFG : 9ommon 9riteria # a re%erAncia internacional para desenvolvedores, administradores e auditores de segurana de sistemas de in%ormao>
(istemas 6eb so e$uivalentes a daemons, e devem ser desenvolvidos com crit#rios estritos de (egurana da !n%ormao.
Contato
Cipher
.ua Ear8uFs de So ,i%ente, ((5 + 4d) &Fnesis &Avea + ((451+041 .io de /aneiro + ./