book

Segurança para Desenvolvedores Web

by John Paul Mueller

March 2018

Intermediate to advanced

416 pages

12h 21m

Portuguese (Portugal, Brazil)

Novatec Editora Ltda

Read now

Unlock full access

Desenvolvendo um plano de segurança
Definindo o ambiente da aplicaçãoEspecificando as ameaças às aplicações webEntendendo a Software Security Assurance (SSA)Considerando o OSSAPDefinindo os requisitos de SSAClassificando dados e recursosFazendo a análise necessáriaMergulhando em questões específicas de linguagemDefinindo os principais problemas de HTMLDefinindo os principais problemas de CSSDefinindo os principais problemas de JavaScriptConsiderando o essencial para defesa nos endpointsEvitando falhas de segurançaDetectando falhas de segurançaCorrigindo um software com problemasLidando com armazenamento em nuvemUsando códigos e recursos externosDefinindo o uso de bibliotecasDefinindo o uso de APIsDefinindo o uso de microsserviçosAcessando dados externosPermitindo acesso a outros
Acolhendo as necessidades e expectativas dos usuáriosDesenvolvendo uma visão de usuário à aplicaçãoConsiderando os problemas de BYOD (Bring Your Own Device)Entendendo a segurança de aplicações baseadas em webConsiderando problemas de aplicações nativasUsando navegadores customizadosVerificando problemas de compatibilidade de códigoTratando atualizações quase contínuas de dispositivosPlanejando alternativas a senhasTrabalhando com frases-senhaUsando soluções biométricasContando com cartões-chaveContando com chaves USBImplementando uma estratégia de tokenFocando nas expectativas dos usuáriosDeixando a aplicação fácil de usarDeixando a aplicação rápidaCriando um ambiente confiávelMantendo a segurança em perspectiva
Obtendo assistência de terceirosIdentificando soluções de terceiros para segurançaConsiderando soluções para segurança em nuvemEntendendo os repositórios de dadosLidando com problemas de compartilhamento de arquivosConsiderando o armazenamento em nuvemEscolhendo um tipo de produtoTrabalhando com bibliotecasAcessando APIsConsiderando os microsserviços
Aplicando práticas de programação bem-sucedidas
Desenvolvendo interfaces bem-sucedidasAcessando a interface de usuárioCriando uma interface claraDeixando as interfaces flexíveisOferecendo auxílio ao usuárioDefinindo os problemas de acessibilidadeOferecendo opções controladasEscolhendo um nível de solução para interface de usuárioImplementando controles HTML padrãoTrabalhando com controles CSSCriando controles com JavaScriptValidando a entradaPermitindo apenas entradas específicasProcurando dados de entrada furtivosSolicitando novas entradasUsando validação tanto do lado cliente quanto do lado servidorEsperando o inesperado
Implementando um código confiávelDiferenciando confiabilidade e segurançaDefinindo os papéis da confiabilidade e da segurançaEvitando brechas de segurança em códigos confiáveisFocando nas funcionalidades da aplicaçãoDesenvolvendo protocolos de equipeCriando um ciclo de feedback de lições aprendidasConsiderando os problemas de soluções prontasLidando com bibliotecas externasLidando com APIs externasTrabalhando com frameworksAcionando os microsserviços
Incorporando bibliotecasConsiderando os usos de bibliotecasMelhorando o CSS com bibliotecasInteragindo com HTML usando bibliotecasEstendendo o JavaScript com bibliotecasDiferenciando bibliotecas armazenadas internamente de bibliotecas armazenadas externamenteDefinindo as ameaças de segurança causadas por bibliotecasHabilitando o modo estritoDesenvolvendo uma CSP (Content Security Policy)Incorporando bibliotecas de forma seguraFazendo uma pesquisa completa sobre a bibliotecaDefinindo exatamente quais são os usos da bibliotecaMantendo o tamanho da biblioteca reduzido e o conteúdo focadoExecutando os testes necessáriosDiferenciando bibliotecas de frameworks
Usando APIs com cuidadoDiferenciando APIs de bibliotecasConsiderando as diferenças em popularidadeDefinindo as diferenças quanto ao usoEstendendo JavaScript usando APIsLocalizando as APIs apropriadasCriando um exemplo simplesDefinindo as ameaças de segurança causadas por APIsArruinando seu bom nome com o MailPoetDesenvolvendo uma imagem do snappeningPerdendo seu dispositivo com o Find My iPhoneDeixando suas informações mais importantes vazarem com o HeartbleedSofrendo com o ShellshockAcessando APIs de forma segura a partir de JavaScriptVerificando a segurança da APITestando entradas e saídasMantendo os dados localizados e segurosProgramando de forma defensiva

Considerando o uso de microsserviçosDefinindo microsserviçosEspecificando as características dos microsserviçosDiferenciando microsserviços de bibliotecasDiferenciando microsserviços de APIsConsiderando as políticas dos microsserviçosFazendo chamadas a microsserviços usando JavaScriptEntendendo o papel do REST na comunicaçãoTransmitindo dados usando JSONDefinindo as ameaças de segurança causadas por microsserviçosFalta de consistênciaConsiderando o papel da máquina virtualUsando JSON para transferências de dadosDefinindo a TLSCriando paths alternativos para microsserviços
Criando estratégias de testes úteis e eficientes
Pensando como um hackerDefinindo a necessidade de scans de segurança webCriando um sistema de testesObtendo o treinamento necessárioCriando o ambiente corretoUsando máquinas virtuaisObtendo as ferramentasConfigurando o sistemaRestaurando o sistemaDefinindo as fontes mais comuns de brechas de segurançaEvitando ataques de injeção de SQLEntendendo o Cross-Site ScriptingEnfrentando problemas de negação de serviço (denial-of-service)Aproveitando-se da localização previsível de recursosEvitando a divulgação de informações que não deveriam ser reveladasTestando em um ambiente BYODConfigurando uma zona de acesso remotoVerificando hacks entre aplicaçõesLidando com equipamentos e softwares realmente antigosContando com testes de usuárioDeixando o usuário correr soltoDesenvolvendo passos reproduzíveisDando voz ao usuárioUsando pentesters externosConsiderando a empresa de testes de invasãoGerenciando o projetoIncluindo o essencialObtendo o relatório
Criando uma zona de segurança para APIsEntendendo o conceito de zona de segurança de APIDefinindo a necessidade de uma zona de segurança de APIGarantindo que sua API funcionePossibilitando um desenvolvimento rápidoGarantindo a melhor integração possívelVerificando se a API se comporta quando houver cargaMantendo a API segura contra hackersDesenvolvendo com uma API em sandboxUsando uma solução de prateleiraUsando sandboxes de outros fornecedoresConsiderando ambientes virtuaisDefinindo o ambiente virtualDiferenciando ambientes virtuais de sandboxingImplementando a virtualizaçãoContando com a virtualização de aplicações
Verificando se há brechas de segurança em bibliotecas e APIsCriando um plano de testesConsiderando metas e objetivosTestando bibliotecas internasTestando APIs internasTestando bibliotecas externasTestando APIs externasEstendendo os testes aos microsserviçosTestando bibliotecas e APIs individualmenteCriando um test harness para bibliotecasCriando scripts de teste para APIsEstendendo as estratégias de teste aos microsserviçosDesenvolvendo estratégias de respostaRealizando testes de integraçãoTestando problemas específicos de linguagemProjetando testes para problemas de HTMLProjetando testes para problemas de CSSProjetando testes para problemas de JavaScript
Usando empresas terceirizadas de testesLocalizando serviços de testes oferecidos por terceirosDefinindo os motivos para contratar um terceiroConsiderando a variedade de possíveis serviços de testesGarantindo a legitimidade do terceiroEntrevistando o terceiroRealizando testes em uma instalação para testesCriando um plano de testesEspecificando as metas da empresa terceirizada nos testesGerando um plano de testes por escritoListando as saídas dos testes e os requisitos de relatórioConsiderando os requisitos de testesImplementando um plano de testesDeterminando a participação da empresa nos testesIniciando o processo de testesFazendo a monitoração necessária nos testesTratando problemas inesperados nos testesUsando os relatórios resultantesDiscutindo o relatório gerado com o terceiroApresentando o relatório à empresaAtuando sobre as recomendações dos testes
Implementando um ciclo de manutenção
Definindo claramente os ciclos de upgradeDesenvolvendo um plano detalhado de ciclo de upgradeProcurando upgradesDeterminando os requisitos do upgradeDefinindo a criticidade do upgrade Verificando upgrades para ver se há problemasCriando cenários de testesImplementando as mudançasCriando um cronograma para teste de upgradeExecutando os pré-testes necessáriosExecutando os testes de integração necessáriosPassando um upgrade para o ambiente de produção
Considerando as opções de updateDiferenciando entre upgrades e updatesDeterminando quando o update deve ser feitoTrabalhando com updates de bibliotecaTrabalhando com updates de API e microsserviçosAceitando updates automáticosFazendo update em pacotes de idiomasCriando uma lista de idiomas aceitosContando com especialistas de confiança em idiomasConferindo se os prompts específicos de um idioma funcionam na aplicaçãoGarantindo que os dados apareçam no formato corretoDefinindo os requisitos especiais para testes de suporte a idiomasEfetuando updates de emergênciaEvitando as emergências sempre que for possívelCriando uma equipe para respostas rápidasExecutando testes simplificadosCriando um cronograma permanente de updatesCriando um cronograma para testes de update
Considerando a necessidade de relatóriosUsando relatórios para fazer alteraçõesEvitando relatórios inúteisControlando o instante e a frequência de relatórios de upgrades e updatesUsando relatórios gerados automaticamenteUsando relatórios personalizadosCriando relatórios consistentesUsando relatórios para executar tarefas específicas da aplicaçãoCriando relatórios internosDeterminando quais fontes de dados serão usadasEspecificando usos para os relatóriosContando com relatórios gerados externamenteObtendo relatórios completos de terceirosDesenvolvendo relatórios a partir de dados brutosMantendo os dados internos segurosPossibilitando feedback de usuáriosObtendo feedback de usuáriosDeterminando a usabilidade do feedback de usuário
Localizando recursos de segurança
Monitorando as ameaças de segurança atuaisDesenvolvendo fontes para obter informações sobre ameaças de segurançaLendo artigos relacionados à segurança escritos por especialistasVerificando sites de segurançaObtendo informações de consultoresEvitando sobrecarga de informaçõesCriando um plano para upgrades baseado em ameaçasPrevendo situações que não exigem nenhuma açãoDecidir-se entre um upgrade e um updateDefinindo um plano de upgradeCriando um plano para updates baseado em ameaçasVerificar se os updates resolvem as ameaçasDeterminando se a ameaça é uma emergênciaDefinindo um plano de updateSolicitando updates de terceiros
Proporcionando o treinamento necessárioCriando um plano de treinamento interno para segurançaDefinindo os treinamentos necessáriosDefinindo metas razoáveisUsando instrutores internosMonitorando os resultadosObtendo treinamento de terceiros para os desenvolvedoresEspecificando os requisitos de treinamentoContratando um instrutor terceirizado para sua empresaUsando cursos onlineContando com centros de treinamentoUsando faculdades e universidades locaisGarantindo que os usuários estejam cientes da segurançaCriando treinamentos específicos para segurançaCombinando treinamento com orientações por escritoCriando e usando lembretes alternativos para segurançaVerificando se os treinamentos são eficientesSobre o autorColofão

Content preview from Segurança para Desenvolvedores Web

capítulo 10

Criando uma zona de segurança para APIs

Qualquer API que você criar ou usar como parte de sua aplicação tem o potencial para criar uma grande variedade de problemas. No entanto, de modo diferente das bibliotecas, você pode deixar o uso de uma API muito mais seguro porque uma API executa em seu próprio espaço de endereçamento e em seu próprio processo. Colocar a API em uma sandbox ou em um ambiente virtual (essencialmente, em um ambiente protegido) possibilita:

• controlar precisamente as ações que a API pode executar, os recursos que ela pode acessar e as maneiras como ela interage com sua aplicação. É claro que você também pode deixar a API sem recursos ou fazer com que seja impossível que ela conclua uma tarefa, deixando a sandbox ...