Josh Pauli Revisão técnica Scott White. Novatec

Tamanho: px
Começar a partir da página:

Download "Josh Pauli Revisão técnica Scott White. Novatec"

Transcrição

1 Josh Pauli Revisão técnica Scott White Novatec

2 Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or any information storage and retrieval system, without permission in writing from the publisher. Details on how to seek permission, further information about the Publisher s permissions policies and our arrangement with organizations such as the Copyright Clearance Center and the Copyright Licensing Agency, can be found at our website: permissions. This book and the individual contributions contained in it are protected under copyright by the Publisher (other than as may be noted herein). This edition of The Basics of Web Hacking: Tools and Techniques to attack the Web by Josh Pauli is published by arrangement with ELSEVIER INC., a Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY 10010, USA. Nenhuma parte desta publicação pode ser reproduzida ou transmitida de qualquer forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou qualquer armazenamento de informação e sistema de recuperação, sem permissão por escrito da editora. Detalhes sobre como pedir permissão, mais informações sobre as permissões de políticas da editora e o acordo com organizações como o Copyright Clearance Center e da Copyright Licensing Agency, podem ser encontradas no site: Este livro e as contribuições individuais contidas nele são protegidos pelo Copyright da Editora (além de outros que poderão ser aqui encontrados). Esta edição do livro The Basics of Web Hacking: Tools and Techniques to attack the Web de Josh Pauli é publicada por acordo com a Elsevier Inc., uma corporação de Delaware estabelecida no endereço 360 Park Avenue South, New York, NY 10010, EUA. Copyright 2014 Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia autorização, por escrito, do autor e da Editora. Editor: Rubens Prates Tradução: Lúcia Ayako Kinoshita Revisão gramatical: Marta Almeida de Sá Editoração eletrônica: Carolina Kuwabata ISBN: Histórico de impressões: Janeiro/2014 Primeira edição Novatec Editora Ltda. Rua Luís Antônio dos Santos São Paulo, SP Brasil Tel.: Fax: Site: Twitter: twitter.com/novateceditora Facebook: facebook.com/novatec LinkedIn: linkedin.com/in/novatec OG

3 capítulo 1 Introdução ao web hacking Resumo do capítulo: O que você deve saber sobre servidores web e o protocolo HTTP Introdução ao web hacking: nossa abordagem Vulnerabilidades comuns na web: ainda somos suas vítimas Criação de um ambiente de testes seguro para que você não vá para a cadeia Introdução Há um longo caminho a ser percorrido antes de começar a dar uma olhada em ferramentas específicas e ver como configurá-las e executá-las do modo mais adequado a fim de explorar as aplicações web. Este capítulo descreve todas as áreas necessárias com as quais você deve se sentir confortável antes de começarmos a falar dessas ferramentas e das técnicas de web hacking. Para ter uma base sólida necessária para os próximos anos de hacking bem- -sucedido, há fundamentos essenciais que devem ser totalmente entendidos e absorvidos. Esses incluem materiais relacionados às vulnerabilidades mais comuns que continuam assolando a web, embora algumas pareçam estar presentes desde sempre. Algumas das vulnerabilidades mais prejudiciais de aplicações web à solta continuam disseminadas e igualmente prejudiciais, apesar de terem sido identificadas há dez anos. Também é importante compreender a hora e o lugar apropriados e o uso ético das ferramentas e das técnicas a serem aprendidas nos capítulos que se seguem. Como um de meus amigos e colegas gosta de dizer sobre 24

4 Capítulo 1 Introdução ao web hacking 25 o uso de ferramentas de hacking, é tudo um jogo e uma diversão até o FBI aparecer! Este capítulo inclui orientações passo a passo sobre a preparação de um ambiente isolado (sandbox) próprio com a finalidade de proporcionar um local seguro para seus experimentos com web hacking. À medida que a segurança se deslocou para a linha de frente no gerenciamento de tecnologia, a segurança geral de nossos servidores, das redes e dos serviços melhorou incrivelmente. Isso se deve em grande parte a produtos melhores como os firewalls e os sistemas de detecção de invasão que garantem a segurança da camada de rede. No entanto esses dispositivos fazem muito pouco para proteger a aplicação web e os dados utilizados por ela. Como resultado, os hackers passaram a atacar as aplicações web que interagem diretamente com todos os sistemas internos, como os servidores de bancos de dados, que atualmente são protegidos por firewalls e outros dispositivos de rede. Nos últimos anos, houve mais ênfase no desenvolvimento de softwares seguros e, como consequência, as aplicações web atuais são muitos mais seguras do que as versões anteriores. Houve uma forte pressão no sentido de incluir a segurança nos estágios iniciais do ciclo de vida do desenvolvimento de software e de formalizar a especificação dos requisitos de segurança de forma padronizada. Também houve um aumento enorme na organização de diversas comunidades dedicadas à segurança de aplicações, como o Open Web Application Security Project (Projeto aberto para a segurança de aplicações web). Ainda há aplicações web claramente vulneráveis por aí, principalmente porque os programadores se preocupam mais com funcionalidades do que com a segurança, porém os dias em que todas as aplicações web pareciam ser facilmente exploradas acabaram. Desse modo, como a segurança das aplicações web, assim como das redes, melhorou, a superfície de ataque também sofreu novo deslocamento, dessa vez em direção aos usuários web. Os administradores de rede e os programadores web podem fazer muito pouco para proteger os usuários web contra esses ataques de usuário para usuário, que atualmente são tão predominantes. Imagine a alegria de um hacker agora que ele pode se voltar para um usuário inocente, atraído pela tecnologia, sem ter de se preocupar com sistemas de detecção de invasões ou logging de aplicações

5 26 Introdução ao Web Hacking web e firewalls. Os invasores agora estão focando diretamente nos usuários web, passando eficientemente por todo e qualquer dispositivo de segurança desenvolvido nos últimos dez anos para redes e aplicações web. Entretanto continua havendo uma abundância de ataques viáveis direcionados a servidores web e aplicações web, além dos ataques que visam aos usuários web. Este livro descreve como todos esses ataques exploram o servidor web, a aplicação web e o usuário web que se tornarem um alvo. Você compreenderá totalmente como esses ataques são conduzidos e saberá que ferramentas são necessárias para realizar a tarefa. Ao trabalho! O que é uma aplicação web? O termo aplicação web possui significados diferentes para pessoas diferentes. De acordo com quem conversarmos e do contexto, pessoas diferentes farão uso de termos como aplicação web, web site, sistema baseado em web, software baseado em web ou simplesmente web, e tudo isso poderá ter o mesmo significado. A adoção generalizada de aplicações web dificulta diferenciá-las claramente da geração anterior de web sites que não faziam nada além de servir páginas HTML estáticas e não interativas. O termo aplicação web será utilizado ao longo deste livro para referir-se a qualquer software baseado em web que realize ações (funcionalidades) de acordo com uma entrada de usuário e que normalmente interaja com sistemas de backend. Quando um usuário interage com um web site para realizar alguma ação, por exemplo, fazer login, fazer compras ou acessar o banco, temos uma aplicação web. Contar com aplicações web virtualmente para tudo o que fazemos resulta em uma superfície de ataque (pontos potenciais de entrada) imensa para os hackers web. Some-se a isso o fato de que as aplicações web são códigos personalizados criados por um programador humano, aumentando assim a probabilidade de erros, apesar de haver as melhores intenções possíveis. As pessoas ficam entediadas, com fome, cansadas, de ressaca ou distraídas de outras maneiras, e isso pode resultar na introdução de bugs na aplicação web em desenvolvimento. Explorar essas aplicações web com

6 Capítulo 1 Introdução ao web hacking 27 as quais contamos tão intensamente representa uma oportunidade perfeita de ataque para os hackers. Pode-se supor que uma vulnerabilidade em uma aplicação web seja simplesmente um erro humano que pode ser rapidamente corrigido por um programador. Nada poderia estar tão longe da verdade: a maior parte das vulnerabilidades não é facilmente corrigida porque muitas das falhas em aplicações web são inseridas nos estágios iniciais do ciclo de vida de desenvolvimento de software. Em um esforço para poupar você dos terríveis detalhes acerca das metodologias de engenharia de software, basta estar ciente de que é muito mais fácil lidar com a segurança (e muito mais eficaz em relação ao custo) se ela for considerada inicialmente, nas fases de planejamento e de requisitos do desenvolvimento de software. A segurança deve permanecer como uma força direcionadora do projeto durante todas as fases de design, construção, implementação e testes. Infelizmente, porém, a segurança, com muita frequência, é tratada como algo do qual nos lembramos depois; esse tipo de desenvolvimento deixa as aplicações web recém-criadas com vulnerabilidades prontas a serem identificadas e exploradas conforme as razões nefastas de um hacker. O que você deve saber sobre servidores web Um servidor web nada mais é do que uma porção de software executada no sistema operacional de um servidor e que permite conexões para acessar uma aplicação web. Os servidores web mais comuns são o Internet Information Services (IIS) em um servidor Windows e o servidor HTTP (Hypertext Transfer Protocol, ou Protocolo de Transferência de Hipertexto) Apache em um servidor Linux. Esses servidores possuem estruturas normais de diretório como qualquer outro computador e são esses diretórios que hospedam a aplicação web. Se a abordagem next, next, next, finish do Windows for utilizada para instalar um servidor web IIS, você terá a estrutura de diretório padrão C:\Inetpub\wwwroot como resultado; cada aplicação terá seus próprios diretórios em wwwroot e todos os recursos vitais para as aplicações web estarão contidos nesse local.

7 28 Introdução ao Web Hacking O Linux é mais variado quanto à estrutura de arquivos, porém a maioria das aplicações web está hospedada no diretório /var/www/. Há vários outros diretórios em um servidor web Linux que são especialmente relevantes para o web hacking: /etc/shadow: é nesse local que estão armazenadas as hashes de senha para todos os usuários do sistema. É a chave do reino! /usr/lib: esse diretório inclui arquivos objetos e binários internos que não devem ser executados por usuários ou por shell scripts. Todos os dados de dependência usados por uma aplicação também são armazenados nesse diretório. Apesar de não haver nada executável nesse local, podemos realmente arruinar o dia de alguém se todos os arquivos de dependência de uma aplicação forem apagados. /var/*: esse diretório inclui os arquivos para bancos de dados, logs de sistema e o código-fonte da própria aplicação web! /bin: esse diretório contém programas de que o sistema necessita para operar, como shells, ls, grep e outros binários essenciais e importantes. bin é a abreviação de binário. A maioria dos comandos padrões do sistema operacional está localizada aqui na forma de arquivos separados correspondentes a binários executáveis. O próprio servidor web é um alvo para ataques porque oferece portas abertas e acesso a versões de software potencialmente vulneráveis do servidor web instalado, versões vulneráveis de outros softwares instalados e configurações incorretas do sistema operacional em que estiver executando. O que você deve saber sobre o HTTP O HTTP corresponde ao processo acordado para interagir e se comunicar com uma aplicação web. É um protocolo totalmente baseado em texto, portanto não há nenhuma suposição em relação à segurança ou à privacidade quando o HTTP é utilizado. O HTTP é um protocolo stateless (sem estados), de modo que toda solicitação de cliente e a resposta da

8 Capítulo 1 Introdução ao web hacking 29 aplicação web corresponde a um evento totalmente novo e independente, que não tem conhecimento de solicitações anteriores. No entanto é muito importante que a aplicação web mantenha um controle das solicitações do cliente para que transações constituídas por vários passos possam ser completadas; por exemplo, numa compra online em que itens são adicionados ao carrinho de compras, o método de entrega é selecionado e as informações sobre pagamento são inseridas. Se os cookies não fossem utilizados, o HTTP teria de solicitar um novo login a cada um desses passos. Isso simplesmente não seria prático, de modo que o conceito de sessão foi criado, em que a aplicação mantém um controle de suas solicitações após o login. Embora as sessões sejam uma ótima maneira de melhorar o caráter amigável de uma aplicação web, elas também proporcionam outro vetor de ataque para as aplicações web. O HTTP originalmente não foi concebido para lidar com os tipos de transação web que exijam um alto nível de segurança e de privacidade. Podemos inspecionar todos os detalhes intrincados do funcionamento do HTTP com ferramentas como o Wireshark ou com qualquer outro proxy HTTP local. O uso de HTTPS (HTTP seguro) faz muito pouco para impedir os tipos de ataque que serão discutidos neste livro. Alcança-se o HTTPS quando o HTTP é processado em cima do protocolo SSL/TLS (Secure Socket Layer/ Transport Layer Security), o que adiciona o TLS do SSL/TLS às solicitações e respostas normais do HTTP. O HTTPS é mais adequado para garantir que ataques do tipo man-in-the-middle e outros de escuta não sejam bem-sucedidos; ele garante uma ligação privada entre seu navegador e a aplicação web, em oposição a ter uma conversa em uma sala cheia de pessoas, em que qualquer uma poderia ouvir seus segredos. Em nosso caso, porém, o HTTPS somente significa que iremos nos comunicar com a aplicação web por meio de um canal de comunicação criptografado que torna a conversação privada. A criptografia bidirecional do HTTPS não impedirá que nossos ataques sejam processados pela aplicação web à espera.

9 30 Introdução ao Web Hacking Ciclos HTTP Uma das operações fundamentais mais importantes de toda aplicação web corresponde ao ciclo de solicitações feitas pelos navegadores dos clientes e as respostas retornadas pelo servidor web. É uma premissa bem simples, que ocorre várias vezes ao dia. Um navegador envia uma solicitação contendo parâmetros (variáveis) que armazenam entradas de usuário e o servidor web envia uma resposta determinada pela solicitação submetida. A aplicação web pode atuar de acordo com os valores dos parâmetros, portanto eles são alvos principais de ataque dos hackers, que usam valores maliciosos de parâmetros a fim de explorar a aplicação web e o servidor web. Cabeçalhos HTTP a serem observados Todo ciclo HTTP também inclui cabeçalhos, tanto na solicitação do cliente quanto na resposta do servidor, os quais transmitem detalhes sobre a solicitação ou a resposta. Há vários desses cabeçalhos, porém nos preocuparemos somente com alguns que se aplicam mais à abordagem adotada neste livro. Os cabeçalhos com os quais nos preocuparemos, que são configurados pelo servidor web e enviados ao navegador do cliente como parte do ciclo de resposta, são: Set-Cookie: esse cabeçalho normalmente disponibiliza o identificador de sessão (cookie) ao cliente para garantir que a sessão do usuário permaneça atual. Se um hacker conseguir roubar uma sessão de cliente (ao tirar vantagem de ataques que serão descritos em capítulos posteriores), ele poderá assumir a identidade do usuário sendo explorado na aplicação. Content-Length: O valor desse cabeçalho corresponde ao tamanho do corpo da resposta em bytes. Esse cabeçalho é útil aos hackers porque é possível procurar por variações na quantidade de bytes da resposta para ajudar a decifrar a resposta da aplicação a uma entrada. Em especial, é aplicável quando se conduz um ataque de força bruta (suposições repetitivas).

10 Capítulo 1 Introdução ao web hacking 31 Location: esse cabeçalho é utilizado quando uma aplicação redireciona um usuário para uma nova página. É útil a um hacker porque pode ser usado para ajudar a identificar páginas que são permitidas somente após uma autenticação bem-sucedida na aplicação, por exemplo. Os cabeçalhos sobre os quais você deve saber mais a respeito, enviados pelo navegador do cliente como parte da solicitação web, são: Cookie: esse cabeçalho envia o cookie (ou vários cookies) de volta ao servidor para preservar a sessão do usuário. O valor desse cabeçalho de cookie sempre deve corresponder ao valor do cabeçalho set-cookie enviado pelo servidor. Esse cabeçalho é útil aos hackers porque pode proporcionar uma sessão válida junto à aplicação, a qual pode ser usada em ataques contra outros usuários da aplicação. Outros cookies não são tão atraentes, por exemplo, um cookie que configura o idioma desejado para o inglês. Referrer: Esse cabeçalho contém a página web na qual o usuário estava anteriormente quando a próxima solicitação web for feita. Pense nele como o cabeçalho que armazena a última página visitada. É útil aos hackers, pois esse valor pode ser facilmente alterado. Desse modo, se a aplicação estiver contando com esse cabeçalho para qualquer aspecto relativo à segurança, um valor falso pode ser facilmente usado em seu lugar. Códigos de status HTTP a serem observados As respostas do servidor web recebidas pelo seu navegador incluem um código de status para indicar o tipo de resposta. Há mais de 50 códigos de resposta HTTP numéricos, agrupados em cinco famílias, que disponibilizam tipos semelhantes de códigos de status. Saber o que cada família de respostas representa permite compreender como sua entrada foi processada pela aplicação. 100s: essas respostas do servidor web são puramente informativas e normalmente significam que ele enviará respostas adicionais

11 32 Introdução ao Web Hacking posteriormente. São raramente vistas em respostas de servidores web modernos e geralmente são seguidas de perto por outro tipo de resposta apresentado a seguir. 200s: essas respostas indicam que a solicitação do cliente foi aceita e processada com sucesso pelo servidor web e que a resposta foi enviada de volta ao seu navegador. O código de status HTTP mais comum é o 200 OK. 300s: essas respostas são utilizadas para indicar redirecionamento, quando respostas adicionais são enviadas ao cliente. A implementação mais comum para esse caso ocorre quando o navegador de um usuário é redirecionado para uma página segura depois que uma autenticação bem-sucedida foi realizada junto à aplicação web. Nesse caso, será um 302 Redirect (Redirecionar) para enviar outra resposta a ser entregue com um 200 OK. 400s: essas respostas são usadas para indicar um erro na solicitação do cliente. Isso significa que o usuário enviou uma solicitação que não pode ser processada pela aplicação web e, desse modo, um destes códigos de status comuns será retornado: 401 Unauthorized (Não autorizado), 403 Forbidden (Proibido) e 404 Not Found (Não encontrado). 500s: essas respostas são utilizadas para indicar um erro do lado do servidor. Os códigos de status mais comuns dessa família são: 500 Internal Server Error (Erro interno do servidor) e 503 Service Unavailable (Serviço indisponível). Detalhes completos sobre todos os códigos de status HTTP podem ser vistos de forma mais minuciosa em rfc2616-sec10.html. Introdução ao web hacking: nossa abordagem Nossa abordagem é constituída de quatro fases que incluem todas as tarefas necessárias durante um ataque:

12 Capítulo 1 Introdução ao web hacking Reconhecimento 2. Scanning 3. Exploração de falhas (exploitation) 4. Correção É apropriado apresentar e discutir o modo como essas vulnerabilidades e esses ataques podem ser atenuados, portanto há uma fase de correção em nossa abordagem. Como um profissional que executa testes de invasão ou um hacker ético, você terá muitas perguntas, posteriormente, sobre como as vulnerabilidades descobertas poderão ser corrigidas. Considere a inclusão da fase de correção como um recurso que ajudará a responder a essas perguntas. Nossos alvos Nossa abordagem tem como alvo três vetores de ataque separados, porém relacionados: o servidor web, a aplicação web e o usuário web. Para o propósito visado neste livro, definiremos cada um desses vetores de ataque da seguinte maneira: 1. Servidor web: a aplicação em execução em um sistema operacional que hospeda a aplicação web. NÃO estamos falando de hardware tradicional de computador nesse caso, mas de serviços que estão sendo executados em portas acessíveis que permitem que uma aplicação web seja acessada pelos navegadores de internet dos usuários. O servidor web pode estar vulnerável a tentativas de hacking de rede visando a esses serviços para obtenção de acesso não autorizado à estrutura e ao sistema de arquivos do servidor web. 2. Aplicação web: o código-fonte em execução no servidor web, que provê as funcionalidades com as quais os usuários web interagem, é o alvo mais popular dos hackers web. A aplicação web pode estar suscetível a um vasto conjunto de ataques que procuram executar ações não autorizadas na aplicação web.

13 34 Introdução ao Web Hacking 3. Usuário web: os usuários internos que administram a aplicação web (administradores e programadores) e os usuários externos (clientes humanos ou consumidores) das aplicações web são alvos importantes de ataques. É aqui que as vulnerabilidades XSS (Cross-site Scripting) e CSRF (Cross-site Request Forgery) na aplicação web mostram suas faces horríveis. Ataques de engenharia social técnica, que têm usuários web como alvo e não dependem de vulnerabilidades existentes em aplicações web, também se aplicam a esse caso. As vulnerabilidades, os exploits e os payloads são únicos para cada um desses alvos, portanto ferramentas e técnicas exclusivas são necessárias para atacar cada um deles de modo eficaz. Nossas ferramentas Para cada ferramenta usada neste livro, provavelmente deve haver outras cinco que podem realizar a mesma tarefa. (O mesmo vale também para os métodos.) Daremos relevância às ferramentas que são mais aplicáveis aos hackers web iniciantes. Recomendamos essas ferramentas não por serem mais fáceis de usar pelos iniciantes, mas por serem ferramentas básicas que virtualmente todo profissional que realize testes de invasão utiliza normalmente. É muito importante aprender a usá-las desde o primeiro dia. Algumas das ferramentas que usaremos incluem: O Burp Suite, que inclui um conjunto de ferramentas de primeira para web hacking, é obrigatório para qualquer hacker web e é amplamente reconhecido como o conjunto de ferramentas mais importante para web hacking. O Zed Attack Proxy (ZAP) é similar ao Burp Suite, mas inclui também um scanner gratuito de vulnerabilidades que pode ser usado em aplicações web. Ferramentas de hacking de rede como o Nmap para scanning de portas, o Nessus e o Nikto para scanning de vulnerabilidades e o Metasploit para exploração de falhas (exploitation) do servidor web.

14 Capítulo 1 Introdução ao web hacking 35 Outras ferramentas que exercerão um papel específico como o sqlmap para injeção de SQL, o John the Ripper (JtR) para quebra de senhas offline e o Social Engineering Toolkit (SET) para ataques de engenharia social técnica contra usuários web! As aplicações web interagem com tudo Outro aspecto estimulante para os hackers web está no fato de as aplicações web interagirem virtualmente com todos os sistemas centrais da infraestrutura de uma empresa. É comum achar que a aplicação web é somente um código executando em um servidor web, instalada seguramente em uma DMZ (DeMilitarized Zone, ou Zona desmilitarizada) 1 externa, incapaz de causar danos internos sérios a uma empresa. Há várias áreas adicionais em uma infraestrutura tradicional de TI que devem ser consideradas para atacar completamente um sistema, pois o alcance de uma aplicação web é muito maior do que o do código criado por um programador. Os componentes a seguir também devem ser considerados como possíveis vetores de ataque: Servidor de banco de dados e o banco de dados: o sistema que hospeda o banco de dados utilizado pela aplicação web pode estar vulnerável a ataques que permitam criar, ler, atualizar ou apagar (operações CRUD, ou seja, Create, Read, Update, Delete) dados confidenciais. Servidor de arquivos: o sistema, geralmente um drive mapeado em um servidor web, que permite funcionalidades de upload e/ou de download, pode estar vulnerável a ataques que permitam que os recursos do servidor sejam acessados por um invasor não autorizado. Componentes de terceiros ou de prateleira : módulos de código, como os CMSs (Content Management Systems, ou Sistemas de Gerenciamento de Conteúdo), definitivamente representam um alvo em virtude da adoção disseminada e da documentação disponível para esses sistemas. 1 N.T.: DMZ é uma rede situada entre uma rede confiável e uma não confiável, geralmente entre rede local e a Internet (Fonte:

15 36 Introdução ao Web Hacking Metodologias existentes Várias metodologias de ataque oferecem os processos, os passos, as ferramentas e as técnicas consideradas como as melhores práticas. Se você for um hacker white hat 2, essas atividades são chamadas de testes de invasão (pen test para ser conciso do inglês penetration testing ou PT para ser mais conciso ainda), mas todos sabemos que essas atividades são as mesmas realizadas pelo hacking black hat 3. As duas metodologias mais amplamente aceitas de pen test atualmente são o Open-Source Security Testing Methodology Manual (OSSTM) e o Penetration Testing Execution Standard (PTES). Open-Source Security Testing Methodology Manual (OSSTM) O OSSTM foi criado em um processo de peer review (revisão por pares) em que foram criados casos para testar cinco seções: 1. Controles de informações e de dados. 2. Níveis de conscientização pessoal acerca de segurança. 3. Níveis de fraude e de engenharia social. 4. Redes de computadores e de telecomunicações, dispositivos sem fio e dispositivos móveis. 5. Controles físicos para acessos seguros, processos de segurança e localizações físicas. O OSSTM dimensiona os detalhes técnicos de cada uma dessas áreas e oferece diretrizes sobre o que fazer antes, durante e depois de uma avaliação de segurança. Mais informações sobre o OSSTM podem ser encontradas na página do projeto em 2 N.T.: O hacker white hat (literalmente, chapéu branco) é um hacker que estuda sistemas de computação à procura de falhas na sua segurança, mas respeitando princípios da ética hacker (Fonte: pt.wikipedia.org/wiki/hacker). 3 N.T.: O hacker black hat (literalmente, chapéu preto) é um hacker que não respeita a ética hacker e usa seu conhecimento para fins criminosos ou maliciosos; ou seja, um cracker (Fonte: org/wiki/hacker).

16 Capítulo 1 Introdução ao web hacking 37 Penetration Testing Execution Standard (PTES) O novo astro no cenário definitivamente é o PTES, um novo padrão que tem como objetivo proporcionar uma linguagem comum a ser usada por todos os profissionais que realizem testes de invasão e avaliações de segurança. O PTES fornece uma base de referência sobre o próprio posicionamento dos clientes em relação à segurança para que eles estejam em uma posição melhor para compreender as descobertas feitas pelos testes de invasão. O PTES foi concebido como um mínimo a ser completado como parte de um teste abrangente de invasão. O padrão contém vários níveis diferentes de serviços que devem fazer parte dos testes de invasão mais sofisticados. Informações adicionais podem ser encontradas na página do PTES em Compreendendo as metodologias existentes Em virtude dos processos detalhados, esses padrões são bem desanimadores para um hacker iniciante digerir. Ambos os padrões cobrem basicamente todos os aspectos possíveis relacionados a testes de segurança e fazem um ótimo trabalho. Inúmeras pessoas inteligentes e talentosas dedicaram uma quantidade incontável de horas para criar padrões a serem seguidos pelos que fazem testes de invasão e pelos hackers. Seus esforços certamente são louváveis, porém, para os hackers iniciantes, representa uma sobrecarga de informações. Como iremos considerar o hacking de uma rede sem fio se, para começar, não entendemos sequer o hacking básico de rede? Como invadir um dispositivo móvel que acessa uma versão móvel de uma aplicação web se você não se sentir confortável com o modo pelo qual as aplicações web dinâmicas extraem e usam dados de um banco de dados? É necessário sintetizar todas as principais informações de padrões como o OSSTM e o PTES em uma metodologia mais administrável para que os hackers iniciantes não se sintam sobrecarregados. Este é exatamente o objetivo deste livro, ou seja, oferecer as orientações necessárias para introduzir a teoria, as ferramentas e as técnicas associadas ao web hacking!

17 38 Introdução ao Web Hacking Vulnerabilidades mais comuns na web Todos os nossos alvos serão explorados por meio de ataques a vulnerabilidades bem compreendidas. Embora haja várias outras vulnerabilidades relacionadas à web, as que estão a seguir são aquelas nas quais nos concentraremos à medida que avançarmos pelos capítulos do livro. Injeção Falhas de injeção (injection) ocorrem quando dados não confiáveis de usuários são enviados à aplicação web como parte de um comando ou de uma consulta. Os dados hostis do invasor podem enganar a aplicação web, fazendo-a executar comandos não esperados ou acessando dados não autorizados. A injeção ocorre quando um hacker insere dados de entrada maliciosos sobre os quais a aplicação web atua (processa) de forma não segura. É um dos tipos de ataque mais antigos contra aplicações web, porém continua sendo o rei das vulnerabilidades, pois permanece amplamente disseminado e é bastante prejudicial. As vulnerabilidades associadas à injeção podem surgir em todo tipo de lugar na aplicação web em que se permita que o usuário forneça dados de entrada maliciosos. Alguns dos ataques mais comuns de injeção têm como alvo as funcionalidades a seguir: consultas SQL (Structured Query Language, ou Linguagem de Consulta Estruturada); consultas LDAP (Lightweight Directory Access Protocol, ou Protocolo Leve de Acesso a Diretórios); consultas XPATH (XML path language); comandos do sistema operacional (SO). Sempre que a entrada do usuário for aceita pela aplicação web e processada sem a sanitização adequada, a injeção pode ocorrer. Isso significa que o hacker pode influenciar o modo como as consultas e os comandos da aplicação web são compostos e os dados a serem incluídos nos resultados. É um exploit bastante eficaz!

18 Capítulo 1 Introdução ao web hacking 39 Cross-site Scripting (XSS) O XSS (Cross-site Scripting) ocorre quando uma entrada de usuário é aceita pela aplicação como parte de uma solicitação e, em seguida, é usada na apresentação da resposta, sem que haja uma codificação adequada da saída para validação e sanitização. O XSS permite que os invasores executem scripts no navegador da vítima, o que pode provocar o sequestro de sessões de usuários, ativar um key logger 4, redirecionar o usuário para sites maliciosos ou executar qualquer outra ação com a qual um hacker possa sonhar! Um hacker pode injetar um script malicioso (com frequência, um JavaScript, mas também pode ser um VBScript) que é então executado no navegador da vítima. Como esse script faz parte da resposta da aplicação, o navegador da vítima confia nele a permite sua execução. O XSS possui duas versões principais: refletido (reflected) e armazenado (stored). O XSS refletido está muito mais disseminado entre as aplicações web e é considerado menos prejudicial. O motivo para o XSS refletido ser considerado menos nocivo não se deve ao que ele pode fazer, mas ao fato de ser um ataque realizado uma só vez, em que o payload enviado é válido somente para essa solicitação. Pense no XSS refletido como em algo do tipo quem clicar leva. Qualquer usuário que clicar no link contendo o script malicioso será a única pessoa diretamente afetada por esse ataque. Normalmente, é um ataque que apresenta uma taxa de 1:1 entre hacker e vítima. O hacker pode enviar a mesma URL maliciosa a milhões de vítimas em potencial, porém somente aquelas que clicarem em seu link serão afetadas, e não há nenhuma conexão entre os usuários comprometidos. O XSS armazenado é mais difícil de encontrar em aplicações web, porém é muito mais prejudicial porque persiste ao longo de várias solicitações e vários usuários podem ser explorados em um só ataque. Ele ocorre quando um hacker consegue injetar o script malicioso na aplicação e o torna disponível a todos os usuários que a acessarem. Ele pode ser inserido em um banco de dados usado para preencher uma página web ou em um fórum de usuários que apresente mensagens ou em qualquer outro sistema que 4 N.T.: Um key logger é um programa de computador do tipo spyware cuja finalidade é registrar tudo o que é digitado, quase sempre a fim de capturar senhas, números de cartão de crédito e afins (Fonte:

19 40 Introdução ao Web Hacking armazene dados de entrada. À medida que usuários legítimos solicitarem a página, o exploit XSS será executado em cada um de seus navegadores. É um ataque que apresenta uma taxa de 1:vários entre hacker e vítimas. Ambas as versões do XSS contêm os mesmos payloads; eles somente são entregues de maneira diferente. Autenticação com falha e gerenciamento de sessão As sessões correspondem a identificadores únicos atribuídos aos usuários após a autenticação, e há muitas vulnerabilidades ou ataques associados ao modo como esses identificadores são utilizados pela aplicação web. As sessões também representam um componente fundamental do hacking de usuários web. As funções de aplicação relacionadas à autenticação e ao gerenciamento de sessão, com frequência, não são implementadas corretamente, permitindo que invasores comprometam senhas, chaves, tokens de sessão ou que explorem outras falhas de implementação a fim de assumir as identidades de outros usuários. As funcionalidades da aplicação web que estão sob o escopo da autenticação incluem também reset de senhas, alteração de senhas e recuperação de conta, somente para citar alguns exemplos. Uma aplicação web utiliza o gerenciamento de sessão para manter o controle das solicitações do usuário. Sem o gerenciamento de sessão, seria necessário efetuar login após toda solicitação efetuada. Imagine ter de fazer login após ter procurado um produto, fazer novamente quando quiser adicioná-lo ao carrinho de compras, novamente ao fazer checkout e mais uma vez quando quiser fornecer as informações para o pagamento. Desse modo, o gerenciamento de sessão foi criado para permitir que os usuários possam fazer login somente uma vez a cada visita e a aplicação web possa se lembrar de qual usuário adicionou que produtos ao carrinho de compras. A má notícia é que a autenticação e o gerenciamento de sessão foram pensados depois em relação à internet original. Não havia necessidade de autenticação ou de gerenciamento de sessão quando não havia compras ou pagamento de contas. Portanto a internet como atualmente a conhecemos teve de sofrer ajustes e contorções para poder usar a autenticação e o gerenciamento de sessão.

20 Capítulo 1 Introdução ao web hacking 41 Cross-site Request Forgery O CSRF ocorre quando um hacker é capaz de enviar uma solicitação adequadamente composta, embora seja maliciosa, a um usuário autenticado, a qual inclui os parâmetros (variáveis) necessários para completar uma solicitação válida para a aplicação, sem que a vítima (o usuário) sequer perceba. É semelhante ao XSS refletido no sentido em que o hacker deve forçar a vítima a executar alguma ação na aplicação web. Um script malicioso pode continuar a executar no navegador da vítima, porém o CSRF também pode fazer uma solicitação válida à aplicação web. Alguns resultados do CSRF são alteração de senha, criação de um novo usuário ou criação de conteúdo da aplicação web por meio de um CMS. Desde que o hacker saiba exatamente quais parâmetros são necessários para completar a solicitação e a vítima esteja autenticada junto à aplicação, a solicitação será executada como se o usuário a tivesse criado conscientemente. Erros de configuração de segurança Essa classe de vulnerabilidade lida especificamente com a segurança (ou a falta dela) de toda a pilha da aplicação. Para aqueles que não estão familiarizados com o termo pilha da aplicação, ele se refere ao sistema operacional, ao servidor web e aos sistemas de gerenciamento de banco de dados executados e acessados pelo código da aplicação web. O risco torna-se mais alto ainda quando práticas de segurança mais estritas não são seguidas para proteger melhor o servidor web de acessos não autorizados. Exemplos de vulnerabilidades que podem assolar o servidor web incluem: softwares desatualizados ou desnecessários; serviços desnecessários habilitados; políticas não seguras para contas; mensagens de erro extensas. Uma segurança eficiente exige uma configuração segura definida e implantada na aplicação, nos frameworks, no servidor da aplicação, no servidor web, no servidor de banco de dados e no sistema operacional.

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP 2ª Edição Juliano Niederauer Novatec Copyright 2009, 2011 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Instalando o IIS 7 no Windows Server 2008

Instalando o IIS 7 no Windows Server 2008 Goiânia, 16/09/2013 Aluno: Rafael Vitor Prof. Kelly Instalando o IIS 7 no Windows Server 2008 Objetivo Esse tutorial tem como objetivo demonstrar como instalar e configurar o IIS 7.0 no Windows Server

Leia mais

Instalando o IIS 7 no Windows Server 2008

Instalando o IIS 7 no Windows Server 2008 Goiânia, 16/09/2013 Aluno: Rafael Vitor Prof. Kelly Instalando o IIS 7 no Windows Server 2008 Objetivo Esse tutorial tem como objetivo demonstrar como instalar e configurar o IIS 7.0 no Windows Server

Leia mais

Aula 12 Lista de verificação de segurança para o Windows 7

Aula 12 Lista de verificação de segurança para o Windows 7 Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu

Leia mais

Manual de instalação Priority HIPATH 1100 versão 7.0

Manual de instalação Priority HIPATH 1100 versão 7.0 Manual de instalação Priority HIPATH 1100 versão 7.0 2014 Innova Soluções Tecnológicas Este documento contém 28 páginas. Elaborado por: Innova Tecnologia de Soluções. Liberado em Novembro de 2014. Impresso

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Manual de Utilização do Sistema GRServer Cam on-line (Gerenciamento de Câmeras On-line)

Manual de Utilização do Sistema GRServer Cam on-line (Gerenciamento de Câmeras On-line) Manual de Utilização do Sistema GRServer Cam on-line (Gerenciamento de Câmeras On-line) Criamos, desenvolvemos e aperfeiçoamos ferramentas que tragam a nossos parceiros e clientes grandes oportunidades

Leia mais

Atualização deixa Java mais seguro, mas ainda é melhor desativar

Atualização deixa Java mais seguro, mas ainda é melhor desativar Atualização deixa Java mais seguro, mas ainda é melhor desativar seg, 21/01/13 por Altieres Rohr Segurança Digital Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime,

Leia mais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.

Leia mais

1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO

1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO 1 ÍNDICE 1 REQUISITOS BÁSICOS PARA INSTALAR O SMS PC REMOTO... 3 1.1 REQUISITOS BASICOS DE SOFTWARE... 3 1.2 REQUISITOS BASICOS DE HARDWARE... 3 2 EXECUTANDO O INSTALADOR... 3 2.1 PASSO 01... 3 2.2 PASSO

Leia mais

Manual de Instalação. SafeNet Authentication Client 8.2 SP1. (Para MAC OS 10.7)

Manual de Instalação. SafeNet Authentication Client 8.2 SP1. (Para MAC OS 10.7) SafeNet Authentication Client 8.2 SP1 (Para MAC OS 10.7) 2/28 Sumário 1 Introdução... 3 2 Pré-Requisitos Para Instalação... 3 3 Ambientes Homologados... 4 4 Tokens Homologados... 4 5 Instruções de Instalação...

Leia mais

Instalando o Lazarus e outros sistemas de suporte. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011

Instalando o Lazarus e outros sistemas de suporte. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Instalando o Lazarus e outros sistemas de suporte Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Edição 1 Levante e ande - Instalando o Lazarus e outros sistemas de suporte. Ano: 02/2011 Nesta Edição

Leia mais

Pramod J. Sadalage Martin Fowler

Pramod J. Sadalage Martin Fowler Pramod J. Sadalage Martin Fowler Novatec Authorized translation from the English language edition, entitled NOSQL DISTILLED: A BRIEF GUIDE TO THE EMERGING WORLD OF POLYGLOT PERSISTENCE, 1st Edition, 0321826620

Leia mais

Na tela dele, clique no sinal de + ao lado do nome do seu computador, para expandi-lo. A seguir, expanda também o item "Sites da web".

Na tela dele, clique no sinal de + ao lado do nome do seu computador, para expandi-lo. A seguir, expanda também o item Sites da web. Servidor WEB Desenvolvedores de sites que querem aprender ou testar ASP, ou mesmo profissionais que precisam desenvolver páginas ASP ou ASP.Net, não precisam necessariamente ter um servidor na web com

Leia mais

Daniel Moreno. Novatec

Daniel Moreno. Novatec Daniel Moreno Novatec Novatec Editora Ltda. 2015. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

Certificado Digital A1

Certificado Digital A1 Certificado Digital A1 Geração Todos os direitos reservados. Imprensa Oficial do Estado S.A. - 2012 Página 1 de 41 Pré-requisitos para a geração Dispositivos de Certificação Digital Para que o processo

Leia mais

Certificado Digital A1

Certificado Digital A1 Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos

Leia mais

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4. Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,

Leia mais

Serviços Remotos Xerox Um passo na direção certa

Serviços Remotos Xerox Um passo na direção certa Serviços Remotos Xerox Um passo na direção certa Diagnóstico de problemas Avaliação dos dados da máquina Pesquisa de defeitos Segurança garantida do cliente 701P41699 Visão geral dos Serviços Remotos Sobre

Leia mais

Inicialização Rápida do Novell Vibe Mobile

Inicialização Rápida do Novell Vibe Mobile Inicialização Rápida do Novell Vibe Mobile Março de 2015 Introdução O acesso móvel ao site do Novell Vibe pode ser desativado por seu administrador do Vibe. Se não conseguir acessar a interface móvel do

Leia mais

Instalando o WordPress em localhost

Instalando o WordPress em localhost Instalando o WordPress em localhost WordPress sem Mistério LEE ARAUJO htto://wordpresssemmisterio.com.br Sumário Instalando o WordPress em Localhost... 2 O Servidor web... 3 Iniciando o servidor... 6 Criação

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

James Broad Andrew Bindner

James Broad Andrew Bindner James Broad Andrew Bindner Novatec Copyright 2013, 2011 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical,

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Manual Software CMS. Introdução:

Manual Software CMS. Introdução: Introdução: O CMS é uma central de gerenciamento de DVRs, é responsável por integrar imagens de DVRs distintos, com ele é possível realizar comunicação bidirecional, vídeo conferência, função mapa eletrônico

Leia mais

Polycom RealPresence Content Sharing Suite Guia rápido do usuário

Polycom RealPresence Content Sharing Suite Guia rápido do usuário Polycom RealPresence Content Sharing Suite Guia rápido do usuário Versão 1.2 3725-69877-001 Rev.A Novembro de 2013 Neste guia, você aprenderá a compartilhar e visualizar conteúdos durante uma conferência

Leia mais

Procedimento de Acesso VPN

Procedimento de Acesso VPN Procedimento de Acesso Departamento de Tecnologia e Infraestrutura Este procedimento tem por objetivo definir as configurações básicas para acessar a rede corporativa do Esporte Clube Pinheiros via. Esporte

Leia mais

INSTALAÇÃO PRINTERTUX Tutorial

INSTALAÇÃO PRINTERTUX Tutorial INSTALAÇÃO PRINTERTUX Tutorial 2 1. O Sistema PrinterTux O Printertux é um sistema para gerenciamento e controle de impressões. O Produto consiste em uma interface web onde o administrador efetua o cadastro

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Requisitos dos postos de usuário para utilizar os aplicativos da Adquira

Requisitos dos postos de usuário para utilizar os aplicativos da Adquira Requisitos dos postos de usuário para utilizar os aplicativos da Adquira 30/08/2007 Autor: Carlos Torrijos Martín Versão 1.10 1.- Introdução 3 2.- Requisitos Hardware dos equipamentos 4 3.- Requisitos

Leia mais

SPARK - Comunicador Instantâneo MANUAL DO USUÁRIO

SPARK - Comunicador Instantâneo MANUAL DO USUÁRIO SPARK - Comunicador Instantâneo MANUAL DO USUÁRIO BOA VISTA/RR NOVEMBRO DE 2011 Este manual tem por finalidade esclarecer o funcionamento do SPARK ao servidor interessado em usar este comunicador instantâneo.

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP Aprenda a criar Websites dinâmicos e interativos com PHP e bancos de dados Juliano Niederauer 19 Capítulo 1 O que é o PHP? O PHP é uma das linguagens mais utilizadas na Web.

Leia mais

FERRAMENTAS DE COLABORAÇÃO CORPORATIVA

FERRAMENTAS DE COLABORAÇÃO CORPORATIVA FERRAMENTAS DE COLABORAÇÃO CORPORATIVA Manual de Utilização Google Grupos Sumário (Clique sobre a opção desejada para ir direto à página correspondente) Utilização do Google Grupos Introdução... 3 Página

Leia mais

Polycom RealPresence Content Sharing Suite Guia rápido do usuário

Polycom RealPresence Content Sharing Suite Guia rápido do usuário Polycom RealPresence Content Sharing Suite Guia rápido do usuário Versão 1.4 3725-03261-003 Rev.A Dezembro de 2014 Neste guia, você aprenderá a compartilhar e visualizar conteúdo durante uma conferência

Leia mais

Manual Do Usuário ClinicaBR

Manual Do Usuário ClinicaBR Manual Do Usuário ClinicaBR SUMÁRIO 1 Introdução... 01 2 ClinicaBR... 01 3 Como se cadastrar... 01 4 Versão experimental... 02 5 Requisitos mínimos p/ utilização... 03 6 Perfis de acesso... 03 6.1 Usuário

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Guia de Inicialização para o Windows

Guia de Inicialização para o Windows Intralinks VIA Versão 2.0 Guia de Inicialização para o Windows Suporte 24/7/365 da Intralinks EUA: +1 212 543 7800 Reino Unido: +44 (0) 20 7623 8500 Consulte a página de logon da Intralinks para obter

Leia mais

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac Abril de 2015 Inicialização rápida O Novell Filr permite que você acesse facilmente todos os seus arquivos e pastas do desktop, browser

Leia mais

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br

Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Data: 22 de junho de 2004. E-mail: ana@lzt.com.br Manual do Suporte LZT LZT Soluções em Informática Sumário VPN...3 O que é VPN...3 Configurando a VPN...3 Conectando a VPN... 14 Possíveis erros...16 Desconectando

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Versão 1.0 09/10. Xerox ColorQube 9301/9302/9303 Serviços de Internet

Versão 1.0 09/10. Xerox ColorQube 9301/9302/9303 Serviços de Internet Versão 1.0 09/10 Xerox 2010 Xerox Corporation. Todos os direitos reservados. Direitos reservados de não publicação sob as leis de direitos autorais dos Estados Unidos. O conteúdo desta publicação não pode

Leia mais

OneDrive: saiba como usar a nuvem da Microsoft

OneDrive: saiba como usar a nuvem da Microsoft OneDrive: saiba como usar a nuvem da Microsoft O OneDrive é um serviço de armazenamento na nuvem da Microsoft que oferece a opção de guardar até 7 GB de arquivos grátis na rede. Ou seja, o usuário pode

Leia mais

Digitalização. Copiadora e Impressora WorkCentre C2424

Digitalização. Copiadora e Impressora WorkCentre C2424 Digitalização Este capítulo inclui: Digitalização básica na página 4-2 Instalando o driver de digitalização na página 4-4 Ajustando as opções de digitalização na página 4-5 Recuperando imagens na página

Leia mais

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL Documento: Tutorial Autor: Iuri Sonego Cardoso Data: 27/05/2005 E-mail: iuri@scripthome.cjb.net Home Page: http://www.scripthome.cjb.net ALTERNATIVA PARA CONEXÃO VIA INTERNET DE IP MASCARADO A IP REAL

Leia mais

SCPIWeb. SCPIWebDespRec Aplicação Web para Consulta de Despesas e Receitas ( Lei Complementar nº 131 de 27 Maio de 2009 )

SCPIWeb. SCPIWebDespRec Aplicação Web para Consulta de Despesas e Receitas ( Lei Complementar nº 131 de 27 Maio de 2009 ) 2010 SCPIWebDespRec Aplicação Web para Consulta de Despesas e Receitas ( Lei Complementar nº 131 de 27 Maio de 2009 ) SCPIWebCotacao Aplicação Web para Cotação de Preços via Internet Resumo de Instruções

Leia mais

Guia de instalação para ambiente de Desenvolvimento LINUX

Guia de instalação para ambiente de Desenvolvimento LINUX Guia de instalação para ambiente de Desenvolvimento LINUX Conteúdo deste manual Introdução O guia de instalação... 3 Capítulo 1 Instalando o servidor Web Apache... 4 Teste de instalação do Apache... 9

Leia mais

Guia de administração para a integração do Portrait Dialogue 6.0. Versão 7.0A

Guia de administração para a integração do Portrait Dialogue 6.0. Versão 7.0A Guia de administração para a integração do Portrait Dialogue 6.0 Versão 7.0A 2013 Pitney Bowes Software Inc. Todos os direitos reservados. Esse documento pode conter informações confidenciais ou protegidas

Leia mais

Instalando e Atualizando a Solução... 3. Arquivos de Instalação... 4. Instalação do Servidor de Aplicação... 7. Instalação JDK...

Instalando e Atualizando a Solução... 3. Arquivos de Instalação... 4. Instalação do Servidor de Aplicação... 7. Instalação JDK... Instalando e Atualizando a Solução... 3 Arquivos de Instalação... 4 Instalação do Servidor de Aplicação... 7 Instalação JDK... 7 Instalação Apache Tomcat... 8 Configurando Tomcat... 9 Configurando Banco

Leia mais

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Abril de 2015 Inicialização rápida O Novell Filr permite que você acesse facilmente todos os seus arquivos e pastas do desktop,

Leia mais

INTRODUÇÃO. A Claireconference agradece pela escolha!

INTRODUÇÃO. A Claireconference agradece pela escolha! 1 ÍNDICE 1. IMPLEMENTAÇÃO 4 1.1 PAINEL DE CONTROLE 4 1.1.1 SENHA 4 1.1.2 CRIAÇÃO DE USUÁRIOS DO LYNC 5 1.1.3 REDEFINIR SENHA 7 1.1.4 COMPRAR COMPLEMENTOS 9 1.1.5 UPGRADE E DOWNGRADE 10 1.1.5.1 UPGRADE

Leia mais

TUTORIAL: MANTENDO O BANCO DE DADOS DE SEU SITE DENTRO DO DOMÍNIO DA USP USANDO O SSH!

TUTORIAL: MANTENDO O BANCO DE DADOS DE SEU SITE DENTRO DO DOMÍNIO DA USP USANDO O SSH! UNIVERSIDADE DE SÃO PAULO (USP) ESCOLA DE ARTES, CIÊNCIAS E HUMANIDADES (EACH) TUTORIAL: MANTENDO O BANCO DE DADOS DE SEU SITE DENTRO DO DOMÍNIO DA USP USANDO O SSH! Autoria e revisão por: PET Sistemas

Leia mais

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida

ESET NOD32 Antivirus 4 para Linux Desktop. Guia de Inicialização Rápida ESET NOD32 Antivirus 4 para Linux Desktop Guia de Inicialização Rápida O ESET NOD32 Antivirus 4 fornece proteção de última geração para o seu computador contra código malicioso. Com base no mecanismo de

Leia mais

Serviço Seguro de Mensagens Instantâneas

Serviço Seguro de Mensagens Instantâneas COORDENADORIA DA RECEITA ESTADUAL GERÊNCIA DE CONTROLE E INFORMAÇÕES Serviço Seguro de Mensagens Instantâneas Jabber & Exodus Jabber é um protocolo aberto, baseado em XML para troca de mensagens instantâneas.

Leia mais

Jonathan Stark Brian Jepson

Jonathan Stark Brian Jepson Construindo Aplicativos Android com HTML, CSS e JavaScript Jonathan Stark Brian Jepson Novatec Authorized Portuguese translation of the English edition of titled Building Android Apps with HTML, CSS, and

Leia mais

Como atualizar o arquivo de licença do HSC ISS Free

Como atualizar o arquivo de licença do HSC ISS Free Como atualizar o arquivo de licença do HSC ISS Free Introdução Após instalar a versão gratuita do HSC Internet Secure Suite (HSC ISS Free), o cliente adquiriu uma licença de uso Standard ou Enterprise

Leia mais

HCN/HCS SERIES CÂMERAS E CONVERSORES IP

HCN/HCS SERIES CÂMERAS E CONVERSORES IP HCN/HCS SERIES CÂMERAS E CONVERSORES IP Obrigado por utilizar os produtos Dimy s. Antes de operar o equipamento, leia atentamente as instruções deste manual para obter um desempenho adequado. Por favor,

Leia mais

Segurança de Aplicativos. Android. Jeff Six. Novatec

Segurança de Aplicativos. Android. Jeff Six. Novatec Segurança de Aplicativos Android Jeff Six Novatec Authorized Portuguese translation of the English edition of titled Application Security for the Android Plataform, First Edition ISBN 9781449315078 2012

Leia mais

SMART Sync 2010 Guia prático

SMART Sync 2010 Guia prático SMART Sync 2010 Guia prático Simplificando o extraordinário Registro do produto Se você registrar o seu produto SMART, receberá notificações sobre novos recursos e atualizações de software. Registre-se

Leia mais

Para montar sua própria rede sem fio você precisará dos seguintes itens:

Para montar sua própria rede sem fio você precisará dos seguintes itens: Introdução: Muita gente não sabe que com o Windows XP ou o Windows Vista é possível montar uma rede sem fio em casa ou no escritório sem usar um roteador de banda larga ou um ponto de acesso (access point),

Leia mais

Guia do Usuário do Servidor do Avigilon Control Center

Guia do Usuário do Servidor do Avigilon Control Center Guia do Usuário do Servidor do Avigilon Control Center Versão 5.0.2 PDF-SERVER5-A-Rev2_PT Copyright 2013 Avigilon. Todos os direitos reservados. A informação apresentada está sujeita a alteração sem aviso

Leia mais

Manual do Usuário. Sistema/Ferramenta: Spider-ACQ. Versão do Sistema/Ferramenta: 1.0. www.spider.ufpa.br

Manual do Usuário. Sistema/Ferramenta: Spider-ACQ. Versão do Sistema/Ferramenta: 1.0. www.spider.ufpa.br Manual do Usuário Sistema/Ferramenta: Spider-ACQ Versão do Sistema/Ferramenta: 1.0 www.spider.ufpa.br Histórico de Revisões Data Versão Descrição Autor 27/05/2011 1.0 Criação da seção de instalação/configuração

Leia mais

Manual Instalação Pedido Eletrônico

Manual Instalação Pedido Eletrônico Manual Instalação Pedido Eletrônico 1 Cliente que não utiliza o Boomerang, mas possui um sistema compatível. 1.1 Instalação do Boomerang Inserir o CD no drive do computador, clicar no botão INICIAR e em

Leia mais

Usar Atalhos para a Rede. Logar na Rede

Usar Atalhos para a Rede. Logar na Rede GUIA DO USUÁRIO: NOVELL CLIENT PARA WINDOWS* 95* E WINDOWS NT* Usar Atalhos para a Rede USAR O ÍCONE DA NOVELL NA BANDEJA DE SISTEMA Você pode acessar vários recursos do software Novell Client clicando

Leia mais

1.1. Gerenciamento de usuários e permissões. Suporta vários níveis de gerenciamento, gerenciamento de usuários e configuração de permissões.

1.1. Gerenciamento de usuários e permissões. Suporta vários níveis de gerenciamento, gerenciamento de usuários e configuração de permissões. CAMERA IP SERIE AV O CMS é uma central de gerenciamento de DVRs, é responsável por integrar imagens de DVRs distintos, com ele é possível realizar comunicação bidirecional, vídeo conferência, função mapa

Leia mais

Como montar uma rede Wireless

Como montar uma rede Wireless Como montar uma rede Wireless Autor: Cristiane S. Carlos 1 2 Como Montar uma Rede Sem Fio sem Usar um Roteador de Banda Larga Introdução Muita gente não sabe que com o Windows XP ou o Windows Vista é possível

Leia mais

Instalando o Internet Information Services no Windows XP

Instalando o Internet Information Services no Windows XP Internet Information Services - IIS Se você migrou recentemente do Windows 95 ou 98 para o novo sitema operacional da Microsoft Windows XP, e utilizava antes o Personal Web Server, deve ter notado que

Leia mais

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu

Leia mais

Trabalho de Sistema de Informações. Instalação e configuração aplicativo Ocomon

Trabalho de Sistema de Informações. Instalação e configuração aplicativo Ocomon Trabalho de Sistema de Informações Aluno: Paulo Roberto Carvalho da Silva Instalação e configuração aplicativo Ocomon O trabalho tem como objetivo o estudo de caso,a instalação, configuração e funcionamento

Leia mais

MANUAL DO ADMINISTRADOR

MANUAL DO ADMINISTRADOR WinShare Proxy admin MANUAL DO ADMINISTRADOR Instalação do WinShare Índice 1. Instalação 2. Licenciamento 3. Atribuindo uma senha de acesso ao sistema. 4. Configurações de rede 5. Configurações do SMTP

Leia mais

SCIM 1.0. Guia Rápido. Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal. Introdução

SCIM 1.0. Guia Rápido. Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal. Introdução SCIM 1.0 Guia Rápido Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal Introdução Nesta Edição O sistema de Controle Interno administra o questionário que será usado no chek-list

Leia mais

Instruções de instalação e remoção para os drivers de impressora PostScript e PCL do Windows Versão 8

Instruções de instalação e remoção para os drivers de impressora PostScript e PCL do Windows Versão 8 Instruções de instalação e remoção para os drivers de impressora PostScript e PCL do Windows Versão 8 Este arquivo ReadMe contém as instruções para a instalação dos drivers de impressora PostScript e PCL

Leia mais

ENDEREÇOS DE REDE PRIVADOS. 10.0.0.0 até 10.255.255.255 172.16.0.0 até 172.31.255.255 192.168.0.0 até 192.168.255.255. Kernel

ENDEREÇOS DE REDE PRIVADOS. 10.0.0.0 até 10.255.255.255 172.16.0.0 até 172.31.255.255 192.168.0.0 até 192.168.255.255. Kernel ENDEREÇOS DE REDE PRIVADOS Foram reservados intervalos de endereços IP para serem utilizados exclusivamente em redes privadas, como é o caso das redes locais e Intranets. Esses endereços não devem ser

Leia mais

SERVIDOR WEB + LOG DE ACESSO LABORATÓRIO DE REDES DE COMPUTADORES Responsável: Ana Luíza Cruvinel

SERVIDOR WEB + LOG DE ACESSO LABORATÓRIO DE REDES DE COMPUTADORES Responsável: Ana Luíza Cruvinel Versão 2.0 1. INTRODUÇÃO SERVIDOR WEB + LOG DE ACESSO LABORATÓRIO DE REDES DE COMPUTADORES Responsável: Ana Luíza Cruvinel Data: 02/12/2014 Logs são muito importantes para a administração segura de sistemas,

Leia mais

MANUAL DE FTP. Instalando, Configurando e Utilizando FTP

MANUAL DE FTP. Instalando, Configurando e Utilizando FTP MANUAL DE FTP Instalando, Configurando e Utilizando FTP Este manual destina-se auxiliar os clientes e fornecedores da Log&Print na instalação, configuração e utilização de FTP O que é FTP? E o que é um

Leia mais

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2 Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2 Primeiramente vamos falar um pouco sobre a Auditoria do Windows 2008 e o que temos de novidades com relação aos Logs. Como parte de sua

Leia mais

Geração e instalação de Certificado APNS

Geração e instalação de Certificado APNS Geração e instalação de Certificado APNS Manual Rápido para geração e instalação de um Certificado APNS Apple Versão: x.x Manual rápido MobiDM para Certificado APNS Página 1 Índice 1. CERTIFICADO APNS

Leia mais

CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário

CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário Certificação Digital CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário Guia CD-17 Público Índice 1. Pré-requisitos para a geração do certificado digital A1... 3 2. Glossário... 4 3. Configurando

Leia mais

Instalando, configurando e utilizando a Área de trabalho remota via Web

Instalando, configurando e utilizando a Área de trabalho remota via Web Página 1 de 14 Mapa do Site Brasil Home Worldwide Procurar no Microsoft.com por: Ir Home TechNet USA MS Brasil Desenvolvedores Sharepedia TopIT Fale Conosco Meu TechNet Pesquisa rápida TechNet Boletins

Leia mais

Justin Seitz. Novatec

Justin Seitz. Novatec Justin Seitz Novatec Copyright 2015 by Justin Seitz. Title of English-language original: Black Hat Python, ISBN 978-1- 59327-590-7, published by No Starch Press. Portuguese-language edition copyright 2015

Leia mais

Administração pela Web Para MDaemon 6.0

Administração pela Web Para MDaemon 6.0 Administração pela Web Para MDaemon 6.0 Alt-N Technologies, Ltd 1179 Corporate Drive West, #103 Arlington, TX 76006 Tel: (817) 652-0204 2002 Alt-N Technologies. Todos os Direitos Reservados. Os nomes de

Leia mais

Seu manual do usuário XEROX 6279 http://pt.yourpdfguides.com/dref/5579951

Seu manual do usuário XEROX 6279 http://pt.yourpdfguides.com/dref/5579951 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para XEROX 6279. Você vai encontrar as respostas a todas suas perguntas sobre a XEROX 6279 no manual

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

Visão geral do printeract, Serviços Remotos Xerox

Visão geral do printeract, Serviços Remotos Xerox Visão geral do printeract, Serviços Remotos Xerox 701P28680 Visão geral do printeract, Serviços Remotos Xerox Um passo na direção certa Diagnósticos de problemas Avaliação dos dados da máquina Pesquisa

Leia mais

Ademir C. Gabardo. Novatec

Ademir C. Gabardo. Novatec Ademir C. Gabardo Novatec Novatec Editora Ltda. 2015. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem

Leia mais

IMPORTANTE: O sistema Off-line Dr.Micro é compatível com os navegadores Mozilla Firefox e Internet Explorer.

IMPORTANTE: O sistema Off-line Dr.Micro é compatível com os navegadores Mozilla Firefox e Internet Explorer. CONFIGURANDO O SISTEMA OFFLINE DR.MICRO IMPORTANTE: O sistema Off-line Dr.Micro é compatível com os navegadores Mozilla Firefox e Internet Explorer. 1- Ao acessar a plataforma online a opção Minha Escola

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS

Leia mais

Servidor IIS. Sorayachristiane.blogspot.com

Servidor IIS. Sorayachristiane.blogspot.com Servidor IIS Servidor IIS IIS Serviço de informação de Internet; É um servidor que permite hospedar um ou vários sites web no mesmo computador e cria uma distribuição de arquivos utilizando o protocolo

Leia mais

MANUAL DE USO NA INTERNET PESSOA FÍSICA

MANUAL DE USO NA INTERNET PESSOA FÍSICA MANUAL DE USO NA INTERNET PESSOA FÍSICA APRESENTAÇÃO 1.Bem-vindo ao SICREDI Total Internet! Agora você encontra o SICREDI em casa, no trabalho ou onde você estiver. É o SICREDI Total Internet, cooperando

Leia mais

G UIA DE I NSTALAÇÃO. Módulo ipagare para Magento - versão 3.3

G UIA DE I NSTALAÇÃO. Módulo ipagare para Magento - versão 3.3 G UIA DE I NSTALAÇÃO Módulo ipagare para Magento - versão 3.3 De 27/10/2011 ÍNDICE 1. PREFÁCIO... 3 Este documento... 3 Confidencialidade... 3 Histórico de atualizações... 3 2. APRESENTAÇÃO... 4 Novidades...

Leia mais

O melhor do PHP. Por que PHP? CAPÍTULO 1. Uma Pequena História do PHP

O melhor do PHP. Por que PHP? CAPÍTULO 1. Uma Pequena História do PHP CAPÍTULO 1 O melhor do PHP Este livro levou bastante tempo para ser feito. Venho usando agora o PHP por muitos anos e o meu amor por ele aumenta cada vez mais por sua abordagem simplista, sua flexibilidade

Leia mais