This talk was presented to the developers of the Golang skill at a private company. In it, we addressed the most common vulnerabilities found in software written with Go and discussed some ways to fix them.
e visíveis somente para quem possuir autorização Disponibilidade O sistema estará disponível sempre que for demandado Integridade Dados não são alterados de forma não autorizada
e visíveis somente para quem possuir autorização Disponibilidade O sistema estará disponível sempre que for demandado Integridade Dados não são alterados de forma não autorizada Autenticidade Comprova a origem, a autoria e a veracidade da informação Não repúdio A autoria da informação não pode ser negada
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
separadas entre o serviço de autenticação e o que realiza a requisição Authentication Falhas para autenticar / reautenticar Existências de procedimentos de falha Mensagens de erro não tão específicas e idênticas para todos os casos Previne principalmente: Broken Access
garantir que as senhas são armazenadas na base de dados somente sob a forma de resumo/hash da senha na forma de one-way salted hashes, e que a tabela/arquivo que armazena as senhas e as próprias chaves são manipuladas apenas pela aplicação. Password Management Falhas para autenticar / reautenticar Previne principalmente: Broken Access
Management Falhas para autenticar / reautenticar Inspeção cuidadosa de códigos ligados a autenticação e ao gerenciamento / tráfego de senhas Previne principalmente: Broken Access
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
de depuração ou de excessão Error Handling and Logging Tratamentos de erros e de logs Quaisquer erro ligados aos processos de segurança devem negar acesso Acesso restrito aos logs Validação de integridade de registros de logs
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
da aplicação Desativar privilégios de execução de arquivos File Management Falhas para autenticar / reautenticar Sempre solicitar autenticação antes do carregamento de arquivos Validação do tipo do arquivo Scan de arquivos Previne principalmente: injection, XSS
Encoding Communication Security Authentication and Password Management File Management Session Management Memory Management Access Control General Practices
Verificar limites de buffer Memory Management Garantir que existirá memória suficiente para execução Verificar os limites e os tamanhos recebidos e esperados do buffer caso as chamadas à função sejam realizadas em ciclos Previne principalmente: Indisponibilidade
que possível utilizar pilhas não executáveis Memory Management Garantir que existirá memória suficiente para execução Evitar o uso de funções que conhecidamente são vulneráveis cmo strcat() e printf() Previne principalmente: Indisponibilidade