OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation Joaquim Marques 2 Abril, 2009

Tamanho: px
Começar a partir da página:

Download "OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009"

Transcrição

1 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP 2 Abril, 2009 Copyright The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

2 OWASP

3 Automated Security Verification Vulnerability Scanners Static Analysis Tools Fuzzing Manual Security Verification Penetration Testing Tools Code Review Tools Security Architecture ESAPI Secure Coding AppSec Libraries ESAPI Reference Implementation Guards and Filters AppSec Management Reporting Tools AppSec Education Flawed Apps Learning Environments Live CD SiteGenerator OWASP 3

4 Automated Security Verification OWASP Panter Web Assessment Studio Project: usa uma versão melhorada de SpikeProxy como motor de análise de aplicações web. O objectivo principal de Panter é combinar capacidades de teste automáticas com as manuais a fim de obter os melhores resultados. SWFIntruder: (Swiff Intruder) ferramenta semi automática de teste e análise de aplicações Flash. Sprajax: black box security scanner uusado para avaliar a segurança de aplicações AJAX. Ao detectar o framework em utilização, o Sprajax formula melhor os pedidos de testes e identifica potenciais vulnerabilidades. Manual Security Verification WebScarab : conjunto de módulos para análise de aplicações que comunicam com os protocolos HTTP e HTTPS; é uma suite de análise e avaliação de vulnerabilidades incluindo ferramentas de proxy. CAL9000 : collecção de ferramentas de testes para browsers (Inclui XSS Attack Library, Character Encoder/Decoder, HTTP Request Generator and Response Evaluator, Testing Checklist, Automated Attack Editor etc) SQLiX scanner de de injecção SQL capaz de detectar e identificar este tipo de vulnerabilidade.etc OWASP 4

5 Ferramenta idealizada para todos os que lidam com aplicações baseadas no protocolo HTTP (aplicações web) Funcionalidades Chave Visibilidade total no protocolo Capacidade de modificar pedidos HTTP em qualquer sentido Suporta HTTPS (incl cliente certs) Audit trail persistente (facilita a revisão) Utilização Principal Análise de segurança, debugging de Applicações Web OWASP 5

6 extrai scripts e comentários HTML de páginas HTML tal como são vistas pelo proxy ou outros plugins., observa o tráfego HTTP(S) entre o browser e o servidor web, negociando uma conexão SSL entre o browser e o servidor Webscarab em vez de ligar simplesmente o browser ao servidor, permitindo que streams encriptadas passem através dele, permite que o utilizador modificar pedidos e respostas HTTP(S) em tempo real, antes destes chegarem ao browser ou ao servidor, permite a execução de operações arbitrárias complexas (normalmente em Java) sobre os pedidos e respostas, permite a alteração dos campos escondidos encontrados em páginas, identifica novas URLs no site alvo actuando em linha de comandos, permite a edição e replay de pedidos anteriores ou a criação de novos pedidos, colecciona e analisa um número de cookies para determinar o grau de aleatoriedade e imprevisibilidade, executa a substituição automática de valores de parâmetros capazes expor uma validação incompleta que podem originar vulnerabilidades como XSS e SQLi, permite que o utilizador manuseie expressões BeanShell de modo a identificar conversas, automatiza a verificação de ficheiros que por engano/descuido na webroot (ex:.bak, ~, etc por exemplo. /app/login.jsp verifica /app/login.jsp.bak, /app/login.jsp~, /app.zip, /app.tar.gz, etc), plugin passivo que procura dados enviados pelo utilizador nos cabeçalhos e corpo das respostas HTTP com vista a identificar potenciais vulnerabilidades CRLF e XSS,.., OWASP 6

7 OWASP 7

8 Security Architecture ESAPI - OWASP Enterprise Security API (ESAPI) Project colecção livre e aberta de métodos de segurança necessários para o desenvolvimento de aplicações web seguras (alinhamento com OWASP Top Ten; XSS, SQLi, XSRF,.). Arquitectura ESAPI é muito simples; conjunto de colecções de classes que encapsulam as operações chave de segurança que a maioria das aplicações precisa. Os Toolkits ESAPI são desenhados para solucionar automaticamente um conjunto variado de questões de segurança tornando essas mesmas questões imperceptíveis para os programadores. ESAPI está desenhado para facilitar a implementação de segurança não só nas aplicações existentes mas também noutras em desenvolvimento. ESAPI Toolkits : Java EE - available..net - under development. PHP - under development. OWASP 8

9 Security Architecture OWASP Top Ten A1. Cross Site Scripting (XSS) A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Leakage and Improper Error Handling A7. Broken Authentication and Sessions A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access OWASP ESAPI Validator, Encoder Encoder HTTPUtilities (Safe Upload) AccessReferenceMap, AccessController User (CSRF Token) EnterpriseSecurityException, HTTPUtils Authenticator, User, HTTPUtils Encryptor HTTPUtilities (Secure Cookie, Channel) AccessController OWASP 9

10 Security Architecture Dream ter todos os controlos de segurança que o programador necessita Standard Centralizados Organizados Integrados Alta Qualidade Intuitivos Testados OWASP 10

11 Secure Coding Validation Filters (Stinger for J2EE, filters for PHP) filtros genéricos que os utilizadores podem usar nas suas aplicações. OWASP AntiSamy Java Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP AntiSamy.NET Project API para validação de input HTML/CSS para evitar a exposição a ataques XSS e de phishing. OWASP 11

12 OWASP Ferramentas e Tecnologias AppSec Education (aplicação deliberadamente insegura) aplicação J2EE da OWASP orientada para o ensino de segurança aplicacional. Ferrramenta interactiva de treino e benchmarking onde os utilizadores podem aprender acerca da segurança aplicacional num ambiente seguro e legal. Estruturada em lições os utilizadores podem aplicar os seus conhecimentos sobre uma questão de segurança explorando uma vulnerabilidade real (ex: simulação o utilizador poderá utilizar a técnica do SQL injection para roubar informação confidencial). A aplicação simula um ambiente de ensino realista dando aos utilizadores dicas e código que assiste/explica a lição. Cerca de 30 lições, : Cross-site Scripting (XSS) Access Control Thread Safety Hidden Form Field Manipulation Parameter Manipulation Weak Session Cookies Blind SQL Injection Numeric SQL Injection String SQL Injection Web Services Fail Open Authentication Dangers of HTML Comments... etc! OWASP 12

13 OWASP 13

14 O projecto tem vários objectivos em vista: Actuar como uma espécie de montra para as ferramentas e documentação OWASP, Fornecer as melhores ferramentas abertas de segurança aplicacional num pacote, Assegurar que as ferramentas fornecidas são simples de utilizar, Continuar a adicionar documentação e ferramentas ao OWASP Live CD, Continuar a documentar a forma de utilização destas ferramentas e como foram criadas. OWASP 14

15 Ethical Hacking OWASP 15

16 Perguntas e Respostas OWASP 16

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades Roteiro Heróis da Segurança OWASP DESENVOLVIMENTO SEGURO KleitorFranklint LíderOWASP CapítuloManaus Kleitor.franklint@owasp.org kleitor@prodam.am.gov.br A necessidade de Aplicações Seguras OWASP TOP 10

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services Anatomia dos ataques em aplicativos para mobile banking Finance & Risk Services O que torna os dispositivos móveis tão diferentes dos computadores pessoais? Suas informações armazenadas no dispositivo

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

OWASP Top 10 Java EE

OWASP Top 10 Java EE OWASP Top 10 Java EE Os 10 riscos mais críticos para aplicações web baseadas em Java EE 2002-2011 OWASP Foundation Este documento é licenciado através da Creative Commons Attibuition-ShareAlike 3.0 Sumário

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

PHP SECURITY INTEGRANTES:

PHP SECURITY INTEGRANTES: PHP SECURITY INTEGRANTES: BERNARDO GONTIJO CARLOS EDUARDO CRUZ FILIPE GUIMARÃES SCALIONI FLÁVIO AUGUSTO M. SANTIAGO HELIO JÚNIOR LUIZ BRUNO SAMPAIO CHAGAS VINÍCIUS OLIVEIRA CARMO TÚLIO LENER SUHOSIN SUHOSIN

Leia mais

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web 2007 IBM Corporation Verdades Alarmantes Approximately 100 million Americans have been informed that they

Leia mais

Internet e protocolos web. A Internet é uma rede descentralizada de recursos computacionais. Topologia tem de fornecer caminhos alternativos

Internet e protocolos web. A Internet é uma rede descentralizada de recursos computacionais. Topologia tem de fornecer caminhos alternativos Internet e protocolos web A Internet é uma rede descentralizada de recursos computacionais Tolerante a falhas (no single point of failure) Topologia tem de fornecer caminhos alternativos entre 2 computadores

Leia mais

Guia de Preparação. EXIN Secure Programming Fundamentos

Guia de Preparação. EXIN Secure Programming Fundamentos Guia de Preparação EXIN Secure Programming Fundamentos Edição Abril 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicada, reproduzida, copiada ou armazenada

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2014 2 MARCOS FLÁVIO ARAÚJO

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) 05/12/2009 Ricardo Kléber M. Galvão rk@cefetrn.br Aplicações Web Modernas (3 Camadas) Cliente Aplicação Web Browser Microsoft IIS

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

Web Technologies. Tópicos da apresentação

Web Technologies. Tópicos da apresentação Web Technologies Tecnologias de Middleware 2004/2005 Hugo Simões hsimoes@di.fc.ul.pt 1 A Web Tópicos da apresentação Tecnologias Web para suporte a clientes remotos (Applets,CGI,Servlets) Servidores Aplicacionais

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Gestão de Segurança num Contexto de Contenção de Despesas

Gestão de Segurança num Contexto de Contenção de Despesas Gestão de Segurança num Contexto de Contenção de Despesas IDC 2011 Security is not a product it is a Process Bruce Schneier http://www.schneier.com Agenda: 1. Contexto 2. Certificados Digitais 3. Segurança

Leia mais

Vulnerabilidades em Sistemas de Informação:

Vulnerabilidades em Sistemas de Informação: Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

Uniscan. Web Vulnerability Scanner

Uniscan. Web Vulnerability Scanner Uniscan Web Vulnerability Scanner Quem sou Nome: Douglas Poerschke Rocha Idade: 27 anos Formação: Graduando em ciência da computação O que é o Uniscan Scanner de vulnerabilidades para aplicações Web. Open

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web

Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web OWASP AppSec The OWASP Foundation Brazil 2010, Campinas, SP http://www.owasp.org Utilizando a API de segurança OWASP ESAPI (Enterprise Security API) para prover segurança em aplicações Web Tarcizio Vieira

Leia mais

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações TARCIZIO VIEIRA NETO Incorporando as APIs de segurança da

Leia mais

DESENVOLVIMENTO WEB WORKFLOW. Cláudio Gamboa SAPO 2015-06-05

DESENVOLVIMENTO WEB WORKFLOW. Cláudio Gamboa SAPO 2015-06-05 DESENVOLVIMENTO WEB WORKFLOW Cláudio Gamboa SAPO 2015-06-05 http://www.sapo.pt/ SAPO 300 colaboradores 30 designers 150 técnicos > 300M PV/mês (HP 160 M) > 60M UV/mês (HP 36 M) SAPO EQUIPAS Serviços (Mail,

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Entender o uso da criptografia para garantir a confidencialidade, integridade, autenticação e não repúdio das informações

Entender o uso da criptografia para garantir a confidencialidade, integridade, autenticação e não repúdio das informações 3.1 Criptografia Objetivos Entender o uso da criptografia para garantir a confidencialidade, integridade, autenticação e não repúdio das informações Identificar e diferenciar tecnologias de encriptação

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Aulas Práticas. Implementação de um Proxy HTTP. O que é um proxy?

Aulas Práticas. Implementação de um Proxy HTTP. O que é um proxy? Redes de Computadores Aulas Práticas Implementação de um Proxy HTTP Material de suporte às aulas de Redes de Computadores Copyright DI FCT/UNL / 1 O que é um proxy? Genericamente é um processo que actua

Leia mais

OWASP TOP 10 + Java EE. OWASP Paraíba. The OWASP Foundation. Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org. http://www.owasp.

OWASP TOP 10 + Java EE. OWASP Paraíba. The OWASP Foundation. Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org. http://www.owasp. TOP 10 + Java EE Magno (Logan) Rodrigues Paraíba Leader magno.logan@owasp.org Paraíba Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the

Leia mais

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP

Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP SSL - Secure Socket Layer Protocolos criptográfico que provê comunicação segura na Internet para serviços como: Telnet, FTP, SMTP, HTTP etc. Provê a privacidade

Leia mais

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário CURSO PRÁTICO Application Virtualization 5.0 Nível: Básico / Intermediário Módulo 2 Pré-requisitos Índice Configurações Suportadas... 3 Management Server... 3 Publishing Server... 3 Reporting Server...

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope Patrocinadores DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui

Leia mais

Cartilha de Desenvolvimento Seguro

Cartilha de Desenvolvimento Seguro Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000

Leia mais

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25 Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15 Burp Suite Módulo 25 01 O que é? O que é o Burp Suite? Burp Suite é uma plataforma integrada para a realização de testes de segurança de aplicações web. As

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

Oracle WebLogic Server 11g: Conceitos Básicos de Administração

Oracle WebLogic Server 11g: Conceitos Básicos de Administração Oracle University Entre em contato: 0800 891 6502 Oracle WebLogic Server 11g: Conceitos Básicos de Administração Duração: 5 Dias Objetivos do Curso Este curso treina administradores Web nas técnicas para

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional Workshop de Segurança Aplicacional OWASP Top 10 (v.2010) ISCTE- IUL/DCTI Instituto Superior de Ciências do Trabalho e da Empresa Instituto Universitário de Lisboa Departamento de Ciências e Tecnologias

Leia mais

A segurança de informação é um tema cada vez mais atual nas organizações.

A segurança de informação é um tema cada vez mais atual nas organizações. Pós Graduação em Information Security Gestão - Pós-Graduações Com certificação Nível: Duração: 180h Sobre o curso A segurança de informação é um tema cada vez mais atual nas organizações. A competitividade

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO CURITIBA 2011 JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB:

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Segurança na Internet

Segurança na Internet Segurança na Internet Muito do sucesso e popularidade da Internet é por ela ser uma rede global aberta Por outro lado, isto faz da Internet um meio não muito seguro É difícil identificar com segurança

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Ficha prática nº 7. SGBD Microsoft Access e SQL Server

Ficha prática nº 7. SGBD Microsoft Access e SQL Server Instituto Superior Politécnico de Viseu Escola Superior de Tecnologia Departamento de Informática Ficha prática nº 7 SGBD Microsoft Access e SQL Server Objectivo: Criação de uma aplicação em arquitectura

Leia mais

Visual Studio Team System 2008 Test Edition com MSDN Premium. Visual Studio Team System 2008 Architecture Edition com MSDN Premium

Visual Studio Team System 2008 Test Edition com MSDN Premium. Visual Studio Team System 2008 Architecture Edition com MSDN Premium PROFISSIONAIS System subscrição System com System Architecture com System Test com System com Projectos de base de dados com integração sistema de versões de todos os objectos e suporte para representação

Leia mais

O espaço de nomes DNS Registros de recursos de domínio Servidores de nome

O espaço de nomes DNS Registros de recursos de domínio Servidores de nome DNS Sistema de Nomes de Domínio O espaço de nomes DNS Registros de recursos de domínio Servidores de nome Camada de Aplicação DNS Telnet e SSH SNMP SMTP, POP e IMAP WWW FTP O espaço de nomes DNS Parte

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-32 REQUISITOS TÉCNICOS PARA AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS SEGUROS DE TECNOLOGIA DA INFORMAÇÃO DO DECEA 2014 MINISTÉRIO

Leia mais

MÓDULO Programação para Web 2

MÓDULO Programação para Web 2 MÓDULO Programação para Web 2 Sistemas Web na JEE OBJETIVO DO MÓDULO Arquitetura Web em aplicações JEE Conceitos iniciais Desenvolvimento Web Aplicações web tornam-se mais e mais importantes Mais e mais

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Fundamentos de Ethical Hacking EXIN

Fundamentos de Ethical Hacking EXIN Exame Simulado Fundamentos de Ethical Hacking EXIN Edição Augusto 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

jshield: Uma Solução Open Source para Segurança de Aplicações Web

jshield: Uma Solução Open Source para Segurança de Aplicações Web jshield: Uma Solução Open Source para Segurança de Aplicações Web Márcio A. Macêdo², Ricardo G. Queiroz¹, Julio C. Damasceno² ¹Centro de Ensino Unificado de Teresina (CEUT) Av. dos Expedicionários, 790

Leia mais