Segurança e Gestão de Identidade na Web

Condições e Inscrição

Docentes

Pedro Félix

Carga Lectiva

3 semanas, 10h / semana (total de 30h)

Objectivos

Este módulo tem por objectivo dotar os participantes com competências na área da segurança em cenários Web, mais especificamente:

  • Conhecimento e capacidade de prevenção dos tipos de vulnerabilidades mais comuns;
  • Desenho e implementação de sistemas de gestão de identidade e controlo de acessos.

Resultados da Aprendizagem

  • Compreender e saber identificar os tipos de vulnerabilidades mais comuns em aplicações Web. Saber aplicar formas de mitigação destas vulnerabilidades.
  • Compreender e saber usar programaticamente os protocolos de gestão de identidade e controlo de acesso mais usados no cenário internet.

Programa

Vulnerabilidades em aplicações Web:

  • Aspectos fundamentais de segurança em aplicações Web
    • Motivação, tendências, exemplos de ataques e implicações das vulnerabilidades
    • Revisão do protocolo HTTP e mecanismos de segurança do browser
  • Análise de vulnerabilidades
    • Injecção (Cross Site Scripting, SQL Injection, comandos do SO, …)
    • Gestão de sessões (Session Hijacking, Session Fixation e Session Donation)
    • Geração de tokens (Cross Site Request Forgery)
    • Armazenamento seguro de dados (passwords, hashes, salt)
    • Confidencialidade dos dados em trânsito na rede (HTTPS)
    • Redirecções não validadas, Clickjacking, erros de lógica de negócio e configuração do servidor
  • Identificação de vulnerabilidades e sua resolução em aplicações reais e de exemplo

Modelos e protocolos para gestão de identidade e controlo de acessos:

  • O Identity Metasystem e o modelo de gestão de identidades baseado em providers.
  • Gestão de identidade e controlo de acessos baseada em claims.
  • O protocolo HTTPS e a autenticação baseada em certificados de cliente.
  • Protocolos e asserções SAML (Security Assertion Markup Language).
  • Protocolos WS-Federation e WS-Trust.
  • Protocolo de autenticação OpenID.
  • Protocolo de autorização OAuth.

Utilização programática de protocolos para gestão de identidade e controlo de acessos:

  • O Windows Identity Foundation – realização de emissores e consumidores de claims em aplicações ASP.NET e serviços WCF.
  • Utilização do “Cartão de Cidadão” como forma de autenticação em aplicações e serviços Web.

Comments are closed.