Tiago Ferreira atualmente é Co-fundador da Blaze Information Security e anteriormente atuou nas principais empresas de segurança do Brasil, acumulando o total de 9 anos, além de participação em projetos internacionais em instituição financeira como analista de segurança sênior. Possui vasta experiência com testes de segurança em aplicações Web como Internet Banking, e-commerce, gateways de pagamento.

Seu principal foco de atuação é voltado para a área de testes de intrusão, hacking de aplicação Web, Mobile security e desenvolvimento de código para exploração de vulnerabilidades.

Participou cooperando com o desenvolvimento de módulos para o Metasploit Framework e com algumas advisories full disclosure.

Vulnerabilidades comuns em aplicações bancárias e financeiras

É notório que as indústrias financeira e bancária são as mais perseguidas quando o assunto é fraude. Em termos de investimento em segurança da informação, essas são as indústrias que mais colocam esforços a fim de evitar que atividades maliciosas ocorram efetivamente.

Com o crescente número de startups no ramo de fintech, segurança torna-se mais importante do que nunca. Em um programa de desenvolvimento seguro, parte desse esforço é destinado a testes de segurança. Do ponto de vista de um analista de segurança, é preciso ter em mente que cada aplicação é única e possui um threat pro file específico. Tal fato resulta na criação de casos de teste que melhor se encaixam à modelagem de ameaças da aplicação.

Desta maneira é possível testar classes de vulnerabilidades que exercitam cenários mais raros e problemas de lógica de negócio, como race conditions e problemas de arredondamento, que dificilmente seriam testadas por scanners automatizados ou testes de segurança tradicionais.

Esta apresentação visa discutir quais pontos devem ser levados em consideração ao realizar testes de segurança contra este tipo de aplicações bem como ilustrar, citando exemplos reais, os efeitos de tais vulnerabilidades.