A SEGURANÇA DA INFORMAÇÃO

UNIVERSIDADE CATÓLICA DE SANTOS

BRUNA LOPES

JOÃO VITOR NUNES

RAFAEL OLIVEIRA

OWASP TOP 10 – 2013

SEGURANÇA DA INFORMAÇÃO

1. O que é o documento?

O documento é conjunto de informações e políticas que procuram discutir e sensibilizar sobre segurança da informação mostrando as ameaças, riscos e vulnerabilidades que são enfrentados para garantir maior proteção ao longo dos anos.

1. Qual a abrangência do conteúdo?

O conteúdo abrange as ferramentas, métodos de riscos que são encontrados no dia-a-dia, o que as organizações enfrentam para proteger seus dados, sistemas de informação e até mesmo nos negócios. É recomendado para profissionais de Segurança de Informação.

1. Principais conceitos

A Segurança da Informação está relacionada a proteção de dados e informações que pertencem aos usuários e organizações, no sentido que a preservação destes seja a principal causa para área.

Com isso, são entendidos como três aspectos principais, sendo eles a confidencialidade, integridade e disponibilidade e não é somente restrita aos sistemas computacionais, como também as políticas de segurança que garantem a proteção das informações. O documento trata de possíveis riscos que são mais enfrentados pelas organizações e professionais da área.

Os ataques às aplicações se aproveitam das vulnerabilidades e acessam os controles de segurança, criando-se impacto nos negócios da organização.

De acordo com o OWASP Top 10 - 2013, os riscos mais comuns são: injeção de SQL, quebra de Autenticação e Gerenciamento de Sessão, Cross-Site Scripting, referência insegura e direta a objetos, configuração incorreta de segurança, exposição de dados sensíveis, falta de função para controle do nível de acesso, Cross-Site Request Forgery (CSRF), utilização de componentes vulneráveis conhecidos, redirecionamentos e encaminhamentos inválidos.

1. Injeção de SQL

Consiste em uma ameaça de segurança, que uma falha exposta nos sistemas de banco de dados, o atacante pode consultar os dados, e captar as informações de servidores.

1. Quebra de Autenticação e Gerenciamento de Sessão

Permite que o atacante obtenha dados de usuários, como credenciais, senhas, ID de sessão, informações e dados pessoais, o que pode ocasionar roubo de contas, criação de contas falsas, alterações de senhas, tornar menos desprotegido a acessos aos sistemas.

1. Cross-Site Scripting

São ataques do tipo injeção, nas quais scripts maliciosos são injetados em sites. O atacante utiliza um código maligno a alguma aplicação, permitindo acesso a cookies, sessões ou qualquer informação sensível pelo navegador. Isso faz com que o usuário não saiba se o site tem scripts confiáveis,

1. Referência Insegura e Direta a Objetos

Este geralmente, está atrelado ao atacante que conhece e está autorizado acessar o sistema. É comum, que seja relatado que usuários com irrestrições ou com acessos privilegiados possam utilizar disso para roubar dados e informações para benefício próprio ou competição mercadológica.

1. Configuração Incorreta de Segurança

Nos dias atuais, a Segurança de Informação é a maior forma de proteger dados, porém é necessário que se tenha rigidez e cumprimento das políticas de segurança, nas quais as organizações exija. A falta e configuração permitem que usuários e atacantes possam fazer qualquer alteração e disfarces de práticas ilícitas dentro do sistema, como ataques a servidores. É preciso políticas duras para fortalecer a organização.

1. Exposição De Dados Sensíveis

O uso de senhas fracas, irrestrições ao acesso, dados armazenados de forma que possam ser visualizados permitem que o atacante se aproveite das brechas encontradas para coleta. A engenharia social é um mecanismo utilizado para obter informações de usuários e acesso aos sistemas.

1. Falta de Função para Controle de Nível de Acesso

Com a evolução das redes públicas, isso permite que o usuário possa ter acesso a funcionalidades privadas dos sistemas. É necessário que a organização tenha um controle de nível de acesso, permitindo que se tenha níveis diferentes conforme a necessidade de acesso as funções.

...