Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Tamanho: px
Começar a partir da página:

Download "Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):"

Transcrição

1 Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma inserção de código SQL em campos desprotegidos e obtém acesso a áreas não autorizadas, dados sigilosos e diversos outras funções. Neste desafio seu objetivo será acessar a área administrativa do sistema desenvolvido através da injeção de código SQL, como dica para a resolução deste desafio pense em um código SQL e como burlar seu resultado. Caso obtenha sucesso no acesso à área administrativa, tente utilizar alguma ferramenta de SQL Injection, como por exemplo o SQL Map e realize um select em alguma tabela do banco de dados.

2 Questão 2 Vulnerabilidade: OS Command Injection (Injeção de comandos do sistema operacional): Esta vulnerabilidade quando não tratada corretamente expõe o sistema a um grave risco, na qual algum atacante pode realizar a injeção de comando diretamente no host. Geralmente a criação de diretórios em sistemas web é realizada através de comandos do sistema operacional como exec, system, etc., tente realizar a execução de algum comando do sistema operacional através da aplicação Web em PHP, como exemplo o ipconfig ou dir.

3 Questão 3 Vulnerabilidade: Cross-site Scripting (XSS) O XSS é uma vulnerabilidade que tem sido muito explorada nos últimos anos, seu principal problema é a execução de código no browser do usuário sem a intervenção do mesmo. Com base nesta afirmação verifique em qual parte do sistema é possível explorar essa vulnerabilidade e tente realizar um javascript, por exemplo, no sistema web.

4 Questão 4 Vulnerabilidade: Missing Authentication for Critical Function (Falta de autenticação para funções críticas) Algumas funções em sistemas WEB são críticas por diversas razões, geralmente em sistema que realizam cadastro de clientes, os dados armazenados como CPF, endereço, telefone, etc., necessitam de um cuidado especial, pois se algum usuário mal intencionado obter acesso pode realizar diversos crimes e prejudicar a empresa que teve o sistema explorado. Devido a essa razão verifique o acesso a alguma função crítica que tem fundamental importância no sistema e que necessitaria de um cuidado especial na autenticação, outro ponto interessante a ressaltar é que em alguns sistemas programadores descuidados deixam links para páginas muito importantes e que não estão protegidas no código HTML. Tente descobrir qual seria a(s) função (ões) crítica(s) desprotegida(s) e o link para esta função.

5 Questão 5 Vulnerabilidade: Missing Authorization (Falta de autenticação) Um grave problema encontrado em muitos sistemas Web atualmente é a falta de autenticação para páginas ou funções restritas, o que acaba expondo em muitos casos dados sigilosos, informações ou funções que podem permitir a atacantes realizar acessos ou ações não autorizadas no sistema. Tente realizar o acesso a alguma função da área administrativa sem realizar o login no sistema.

6 Questão 6 Vulnerabilidade: Use of Hard-coded Credentials (Uso de credencias no código) Em diversos sistemas é possível localizar credencias de acesso salvas na codificação das páginas o que permite para algum atacante analisar o código fonte do site e realizar acessos não autorizados facilmente. Nesta vulnerabilidade descubra qual usuário e senha estão embutidos no código fonte do sistema e avalie sua utilização.

7 Questão 7 Vulnerabilidade: Missing Encryption of Sensitive Data (Falta de encriptação de dados sensíveis) Atualmente é possível verificar que diversas aplicações não realizam a encriptação de informações sensíveis e que caso sejam divulgadas podem prejudicar a imagem de empresas ou causar transtornos aos donos das informações. Com base nesta informação verifique se as informações sigilosas neste sistema são armazenadas no banco de dados criptografadas.

8 Questão 8 Vulnerabilidade: Unrestricted Upload of File with Dangerous Type (Upload irrestrito de arquivos de tipos perigosos) Em diversos sistemas Web é possível encontrar upload de arquivos como fotos, músicas, filmes, etc., em algumas aplicações não é realizado checagem na extensão o que acaba permitindo muitas vezes a usuários mal-intencionados disponibilizar arquivos perigosos nos sites e enviar o link para diversos usuários que podem, sem o devido conhecimento, instalar backdoors ou outras ameaças. Tendo em vista a afirmação acima verifique na aplicação em qual (is) parte(s) está vulnerabilidade pode ser explorada.

9 Questão 9 Vulnerabilidade: Reliance on Untrusted Inputs in a Security Decision (Confiança em entradas não-confiáveis em uma decisão segura) Uma grave falha no controle de acesso em aplicações Web é a confiança em entradas de dados ou variáveis que podem ser alteradas facilmente por algum atacante. Nos sistemas desenvolvidos com áreas restritas muitas vezes as autenticações se baseiam em cookies e sessões para verificar se determinado usuário possui permissão de acesso à função ou página. Com base neste problema enfrentado em diversos sistemas verifique na aplicação qual seria à área restrita que possui uma validação da autenticação que apresenta esta falha.

10 Questão 10 Vulnerabilidade: Cross-Site Request Forgery (CSRF) Esta vulnerabilidade está presente atualmente em muitas aplicações disponíveis na Internet, esse problema ocorre geralmente quando usuários já autenticados em algum sistema podem executar ações automaticamente utilizando apenas a URL ou endereço da aplicação. Por exemplo, se algum usuário autenticado pode excluir ou incluir algum dado no sistema apenas utilizando uma URL é possível para algum atacante enviar a URL para vítima e esta executar alguma ação sem conhecimento. Tente executar no sistema alguma ação apenas utilizando a URL de acesso quando estiver autenticado na área administrativa.

11 Questão 11 Vulnerabilidade: Path Traversal (Limitação incorreta do caminho de um diretório restrito) A criação de diretórios ou arquivos é uma área muito sensível em qualquer aplicação voltada para a Web, pois se ocorrer algum descuido tanto na aplicação como na configuração do ambiente é possível criar pastas ou arquivos que podem ser utilizados como backdoors para acesso não autorizado. Teste a aplicação verificando se é possível criar algum diretório ou arquivo fora dos caminhos pré-definidos no sistema.

12 Questão 12 Vulnerabilidade: Use of a Broken or Risky Cryptographic Algorithm (Uso de um algoritmo criptográfico quebrado ou com riscos) Com o passar dos anos muitos algoritmos criptográficos foram sendo quebrados ou expostos através de vulnerabilidades descobertas, entre eles 3DES, DES, entre outros. Com base nesta informação verifique no sistema a utilização de um algoritmo criptográfico quebrado e realize testes de exploração dos dados criptografados.

13 Questão 13 Vulnerabilidade: Improper Restriction of Excessive Authentication Attempts (Restrição incorreta de excessivas tentativas de autenticação) A parte de autenticação dos sistemas atualmente é uma das áreas mais exploradas e com maior tentativa de acesso não autorizado, visto que na maior parte das aplicações permitem acesso a informações criticas ou funções primordiais nos sistemas. Tendo em vista esta vulnerabilidade realize testes no sistema para verificar se está exposto a este problema de segurança.

14 Questão 14 Vulnerabilidade: Open Redirect (Redirecionamento de URL para sites não confiáveis) O redirecionamento aberto (open redirect) é quando alguns sites permitem o redirecionamento para outras páginas através de variáveis recebidas de forma insegura, o que permite a usuários mal-intencionados utilizar em alguns casos sites confiáveis como forma de camuflar o acesso a urls maliciosas ou que contenham scripts prontos para corromper ou atacar o computador dos usuários que acessarem o link redirecionado. Teste o sistema para verificar se o mesmo possui está vulnerabilidade e se é possível redirecionar para algum site malicioso com parâmetros inseguros.

15 Questão 15 Vulnerabilidade: Use of a One-Way Hash without a Salt (Uso de Hash de mão única sem salto) A utilização de algoritmos de Hash está em crescimento nos últimos anos principalmente na parte de armazenamento de informações criticas em bancos de dados como usuários e senhas, porém ao realizar a criação do hash sem a execução de um salto extra é possível que algum usuário mal intencionado tenha maior facilidade na tentativa de descobrir a informação que foi gerada através do algoritmo. Verifique no sistema se é realizado o salto extra durante a criação do hash na área de criação dos usuários.

16 Após o término das questões, se possível responder o seguinte questionário para analisar o resultado do estudo: https://docs.google.com/spreadsheet/viewform?formkey=dgiwtlfhc0r0sjh0b3p4rzfytedde nc6mq

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Cartilha de Desenvolvimento Seguro

Cartilha de Desenvolvimento Seguro Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix)

PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix) PHP Seguro Ernani Azevedo (PROCERGS DRE/ARS Unix) 1 Introdução A linguagem PHP, por ser muito flexível, normalmente é utilizada de forma insegura, tanto pelo desenvolvedor quanto pelos administradores

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO CURITIBA 2011 JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB:

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

LUCAS LIMA DE SOUZA DESENVOLVIMENTO SEGURO DE APLICAÇÕES WEB SEGUINDO A METODOLOGIA OWASP

LUCAS LIMA DE SOUZA DESENVOLVIMENTO SEGURO DE APLICAÇÕES WEB SEGUINDO A METODOLOGIA OWASP LUCAS LIMA DE SOUZA DESENVOLVIMENTO SEGURO DE APLICAÇÕES WEB SEGUINDO A METODOLOGIA OWASP LAVRAS - MG 2012 LUCAS LIMA DE SOUZA DESENVOLVIMENTO SEGURO DE APLICAÇÕES WEB SEGUINDO A METODOLOGIA OWASP Monografia

Leia mais

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009

PROJETO DE REDES www.projetoderedes.com.br. Prof. José Maurício S. Pinheiro - UGB - 2009 PROJETO DE REDES www.projetoderedes.com.br Auditoria i e Análise de Segurança da Informação Segurança e Confiabilidade Prof. José Maurício S. Pinheiro - UGB - 2009 Dados e Informação Dado é a unidade básica

Leia mais

Vulnerabilidades em Sistemas de Informação:

Vulnerabilidades em Sistemas de Informação: Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos

Leia mais

Exercício em ASP.NET (Agenda)

Exercício em ASP.NET (Agenda) Exercício em ASP.NET (Agenda) 1 Introdução O exercício será composto basicamente por 3 módulos: - Autenticação/Autorização de Usuários - Menu - Cadastro / Exclusão de contatos Todos os módulos da aplicação

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Dicas de Segurança no uso de Computadores Desktops

Dicas de Segurança no uso de Computadores Desktops Universidade Federal de Goiás Dicas de Segurança no uso de Computadores Desktops Jánison Calixto CERCOMP UFG Cronograma Introdução Conceitos Senhas Leitores de E-Mail Navegadores Anti-Vírus Firewall Backup

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

PHP & Segurança: Uma União Possível

PHP & Segurança: Uma União Possível PHP & Segurança: Uma União Possível v. 2.1 Abril/2007 Objetivo: Esta apresentação tem por objetivo apresentar técnicas para o desenvolvimento de aplicações seguras utilizando a linguagem PHP, eliminando

Leia mais

Michel Max SMTP Redirect Versão 1.00

Michel Max SMTP Redirect Versão 1.00 Índice Configuration Console (Console de Configuração)... 2 Aba Seriviço... 2 Aba Permissão de Envio... 3 Aba Permissão de Destino... 4 Aba Rastreamento... 5 Michel Max All Rights Reserved 1 Configuration

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza Sessions e Cookies progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Cookies e Sessions Geralmente, um bom projeto

Leia mais

PHP SECURITY INTEGRANTES:

PHP SECURITY INTEGRANTES: PHP SECURITY INTEGRANTES: BERNARDO GONTIJO CARLOS EDUARDO CRUZ FILIPE GUIMARÃES SCALIONI FLÁVIO AUGUSTO M. SANTIAGO HELIO JÚNIOR LUIZ BRUNO SAMPAIO CHAGAS VINÍCIUS OLIVEIRA CARMO TÚLIO LENER SUHOSIN SUHOSIN

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Programação WEB II. Formulários Em PHP. Métodos GET e POST progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação WEB II. Formulários Em PHP. Métodos GET e POST progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza Formulários Em PHP Métodos GET e POST progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Objetivos Entender o funcionamento

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Segurança de Sistemas

Segurança de Sistemas Faculdade de Tecnologia Senac Curso de Análise e Desenvolvimento de Sistemas Segurança de Sistemas Edécio Fernando Iepsen (edeciofernando@gmail.com) Segurança em Desenvolvimento de Software Segurança do

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

Aula 4 WEB 2.0. 1. Conceito

Aula 4 WEB 2.0. 1. Conceito Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 4 WEB 2.0 Web 2.0 é um

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Sistema de Avaliação Institucional WEB SAI 2011 - Atividades de Autenticação no Sistema

Sistema de Avaliação Institucional WEB SAI 2011 - Atividades de Autenticação no Sistema Sistema de Avaliação Institucional WEB SAI 2011 - Atividades de Autenticação no Sistema Orientação Geral Sistema de Avaliação Institucional Autenticação no Sistema Página 1 Índice 1. Tela Inicial do Sistema

Leia mais

SisLegis Sistema de Cadastro e Controle de Leis

SisLegis Sistema de Cadastro e Controle de Leis Sistema de Cadastro e Controle de Leis Desenvolvido por Fábrica de Software Coordenação de Tecnologia da Informação Pág 1/22 Módulo: 1 Responsável: Desenvolvimento Ti Data: 01/11/2012 Versão: 1.0 Empresa:

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais

TOP Plugins. Segurança para WordPress

TOP Plugins. Segurança para WordPress TOP Plugins Segurança para WordPress Agradecimentos Gostaria de Agradecer a Deus por conseguir concluir mais um pequeno trabalho. Sobre o Autor Tales Augusto, Analista de Sistemas, se especializando em

Leia mais

Segurança de Aplicações Internet e Comércio Eletrônico Especialização em Administração e Segurança de Sistemas Computacionais

Segurança de Aplicações Internet e Comércio Eletrônico Especialização em Administração e Segurança de Sistemas Computacionais O material utilizado neste curso é de autoria de Leonardo Gardini. No caso de eventual necessidade o material somente poderá ser utilizado, mesmo que em parte, mediante prévia e explícita anuência do autor.

Leia mais

Como colocar material no blog da turma?

Como colocar material no blog da turma? Como colocar material no blog da turma? O que é um blog? CICLO A palavra blog é uma abreviação de weblog um log na web. Um notebook online ou uma log de viagem. Um blog pode ser descrito como um fluxo

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Escrito por Sáb, 15 de Outubro de 2011 01:19 - Última atualização Seg, 26 de Março de 2012 03:32

Escrito por Sáb, 15 de Outubro de 2011 01:19 - Última atualização Seg, 26 de Março de 2012 03:32 Preço R$ 129.00 Compre aqui Curso de PHP O.O usando Adodb, aprenda a criar uma loja virtual (carrinho de compras) até a geração do boleto bancário. Usei: Mysql e Dreamweaver cs4. São 163 videoaulas, 2

Leia mais

Gerência de Segurança

Gerência de Segurança Gerência de segurança envolve a proteção de dados sensíveis dos dispositivos de rede através do controle de acesso aos pontos onde tais informações se localizam Benefícios do processo de gerência de segurança

Leia mais

Programação Web Prof. Wladimir

Programação Web Prof. Wladimir Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação

Leia mais

Módulo e-rede OpenCart v1.0. Manual de. Instalação do Módulo. estamos todos ligados

Módulo e-rede OpenCart v1.0. Manual de. Instalação do Módulo. estamos todos ligados Módulo e-rede OpenCart v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 vqmod 4 4.2 Instalação e ativação

Leia mais

Guia rápido do usuário

Guia rápido do usuário Guia rápido do usuário Cliente de Sincronização ios Sumário O que é o cnccloud?... 3 Habilitando suas credencias... 3 Instalando o Cliente ios... 4 Comprando pela AppleStore... 4 Acessando sua conta no

Leia mais

Segurança com o MySQL

Segurança com o MySQL 1. Introdução Segurança com o MySQL Anderson Pereira Ataides O MySQL sem dúvida nenhuma, é o banco de dados open source mais conhecido do mercado e provavelmente o mais utilizado. Ele é rápido, simples,

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Aplicação Prática de Lua para Web

Aplicação Prática de Lua para Web Aplicação Prática de Lua para Web Aluno: Diego Malone Orientador: Sérgio Lifschitz Introdução A linguagem Lua vem sendo desenvolvida desde 1993 por pesquisadores do Departamento de Informática da PUC-Rio

Leia mais

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) 05/12/2009 Ricardo Kléber M. Galvão rk@cefetrn.br Aplicações Web Modernas (3 Camadas) Cliente Aplicação Web Browser Microsoft IIS

Leia mais

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19 Sumário 1 Introdução 15 1.1 O Rails é ágil.......................................................... 17 1.2 Explorando o conteúdo................................................... 18 1.3 Agradecimentos........................................................

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

KalumaFin. Manual do Usuário

KalumaFin. Manual do Usuário KalumaFin Manual do Usuário Sumário 1. DICIONÁRIO... 4 1.1 ÍCONES... Erro! Indicador não definido. 1.2 DEFINIÇÕES... 5 2. DESCRIÇÃO DO SISTEMA... 7 3. ACESSAR O SISTEMA... 8 4. PRINCIPAL... 9 4.1 MENU

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Troubleshooting Versão 1.0

Troubleshooting Versão 1.0 Troubleshooting Versão 1.0 As informações contidas neste documento estão sujeitas a alteração sem notificação prévia. Os dados utilizados nos exemplos contidos neste manual são fictícios. Nenhuma parte

Leia mais

Plano de Aula - Dreamweaver CS6 - cód.5232 24 Horas/Aula

Plano de Aula - Dreamweaver CS6 - cód.5232 24 Horas/Aula Plano de Aula - Dreamweaver CS6 - cód.5232 24 Horas/Aula Aula 1 Capítulo 1 - Introdução ao Dreamweaver CS6 Aula 2 Continuação do Capítulo 1 - Introdução ao Dreamweaver CS6 Aula 3 Capítulo 2 - Site do Dreamweaver

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

Guia rápido do usuário. Cliente de Web

Guia rápido do usuário. Cliente de Web Guia rápido do usuário Cliente de Web Sumário O que é o cnccloud?... 3 Como obter acesso ao cnccloud?... 3 Acessando sua conta do cnccloud via Web... 4 Funcionalidades do cnccloud... 4 Configurações de

Leia mais