Loading Events

« All Events

  • This event has passed.

Web Application Protection

March 18, 2015 @ 19:00 - 21:00

Speaker:  Ibéria Medeiros

Session Title: Web Application Protection

Session Description:

Há mais de uma década que os ataques às aplicações web (webapp) são constantes, sendo muitos deles bem sucedidos. Como consequência disso, as webapp são conhecidas pela falta de segurança de software, deixando os dados por elas acedidos desprotegidos. Tal, deve-se à falta de construção de código seguro, ou seja, ao desenvolvimento de webapp com implementação de código seguro.A classe de vulnerabilidades mais explorada nestas aplicações é a de validação de inputs (input validation vulnerabilities), permitindo aos atacantes introduzirem inputs maliciosos (ex., em formulários da webapp) que não são sanitizados e/ou validados pela webapp e que serão parâmetros de funções susceptíveis de serem exploradas por ataques. A injecção de SQL (SQLI) e o XSS refletido são as duas vulnerabilidades mais conhecidas e mais exploradas, desta classe de vulnerabilidades.

Para colmatar este problema de falta de segurança de software existem ferramentas de: (1) análise dinâmica, que monitorizam as webapp em runtime para detecção e bloqueio de ataques; não identificam no código fonte da aplicação a vulnerabilidade explorada; (2) análise estática, que analisam o código fonte da aplicação, procurando vulnerabilidades e identificando-as; os programadores podem, assim, remover as vulnerabilidades, corrigindo o código (tornando-o seguro).

Nesta apresentação, numa primeira instância, será demonstrado o problema e as consequências da falta de segurança de software numa webapp insegura. De seguida será apresentada a ferramenta WAP – Web Application Protection (http://awap.sourceforge.net) -, que realiza análise estática de código fonte para detectar e corrigir vulnerabilidades de validação de input. Serão, então, apresentadas as suas funcionalidades e a sua importância no desenvolvimento de webapp seguras, e consequente da segurança de informação. Também, uma comparação com outras ferramentas será abordada, realçando as vantagens e desvantagens entre elas. Por fim, em contexto de pen-test, uma demosntração da WAP será efectuada, visualizando-se, assim, a detecção e remoção das vulnerabilidades anteriormente exploradas, e a invalidação dos ataques após a webapp ser corrigida.
Na demonstração, dar-se-á enfase ao facto da WAP, para além de detectar vulnerabilidades, também, lidar com falsos positivos (uma não vulnerabilidade reportada) – factor que caracteriza negativamente as ferramentas de análise estática de código.

 

 

Registrationhttp://security3v3ntz-webapplicationprotection.eventbrite.co.uk

Location: Edifício 1, Auditório 0NE01

Edifício 1
Edifício 1
Auditório 0NE01
Auditório 0NE01

 

 

 

 

 

 

 

 

 

 

Notas:

Auditório 0NE01:
Edificio 1, piso 0.

Entrada Este do Edificio 1:
Depois de passar o túnel de acesso da porta este, virar à direita. A porta para o edifício fica de esquina, depois entrar na porta de acesso ao átrio onde fica o auditório.

 

Entrada da Reitoria do Edifício 1:
Seguir pelos corredores (é indiferente se pela direita ou pela esquerda) até encontrar o auditório JJ Laginha. Uma vez ai, é só descer as escadas e está no átrio onde fica o auditório.

 

Entrada pelo piso 4 do Edifício 2:
Atravessar o túnel até ao auditório JJ Laginha. Uma vez ai, é só descer as escadas e está no átrio onde fica o auditório.

 

 

Quando virem este roll-up, chegaram ao destino.

Details

Date:
March 18, 2015
Time:
19:00 - 21:00
Event Category:

Notes:

  • Checkin start 20-30 minutes before session
  • Registration is highly recommended due the limitation of seats
%d bloggers like this: