SITE BLINDADO Participou do TDC 2014
A Site Blindado participou do evento “The Developer’s Conference 2014”, na Universidade Anhembi Morumbi, em São Paulo. O TDC teve duração de 5 dias, de 5 até 09/08, abrangeu 43 trilhas, tratando de temas como “análise de negócios” até “games”.
A Site Blindado participou da trilha de Segurança com a palestra do analista de segurança Carlos Eduardo Santiago, que demonstrou como a falta de segurança no desenvolvimento pode prejudicar toda uma aplicação.
Carlos Eduardo demonstrou como falhas que achamos ser “insignificantes” podem prejudicar completamente uma aplicação e como podemos corrigir essas falhas no ciclo de desenvolvimento com grande facilidade. Entre algumas falhas, foram demonstradas duas em especial; Google Dork e Get/Post Spoofing – Falsificação de Formulários.
Google dork são métodos utilizados para encontrar informações sensíveis no Google, e muitas empresas brasileiras já tiveram dados sensíveis expostos por não corrigir tal vulnerabilidade. Esta falha pode ser facilmente corrigida se o arquivo robots.txt for configurado corretamente.
Get/Post Spoofing, ou mais conhecido como, Falsificação de Formulários, são alterações que podem ser feitas em parâmetros Get ou Post e conseguir, respectivamente, acessar dados de sensíveis de outros usuários em uma aplicação, por exemplo. A correção para tal vulnerabilidade é simples, onde o desenvolvedor deve checar se toda requisição enviada pertence à sessão do usuário em questão.
Todas as palestras tiveram um alto nível de qualidade e tratando de diversos temas, entre eles, como proteger sua aplicação de vulnerabilidades do tipo XSS (William Costa), implementando segurança no ciclo de desenvolvimento ágil (Anderson Dadário), entre outras.
Outra palestra que chamou a atenção foi de Rafael Tosetto Pimentel, que demonstrou como obter informações pessoais de um Android utilizando a calculadora do dispositivo. É muito interessante assistir a palestra de novos analistas, já que a área de segurança tem um ciclo de renovação lento.
Os slides das apresentações estão disponíveis para download no link a seguir
http://www.thedevelopersconference.com.br/tdc/2014/saopaulo/trilha-seguranca
0 comentários: