Descrição de Ataques XSS em servidores Web
|
|
- Thomaz Igrejas Barateiro
- 8 Há anos
- Visualizações:
Transcrição
1 ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os diversos tipos de ataques, muitas empresas acabam se deparando com situações que possuem suas portas de entradas para a internet violadas. Esse artigo tem por objetivo realizar uma introdução sobre os ataques de Cross Site Script (XSS), como bloquear esses ataques e, com as ferramentas disponíveis na internet, evadir essas proteções. INTRODUÇÃO Por questões de custos, comodidade, segurança e outros fatores que beneficiam e proporcionam facilidades para o consumidor, observa-se um aumento do volume de compra dos brasileiros nos meios digitais, entre eles, nos sites de comércio eletrônico. Segundo dados do WebShoppers[1], um relatório disponibilizado para as empresas que viabilizam este tipo de comércio, apontou um crescimento de 20% no volume financeiro transacionado entre 2011 e 2012, enquanto que de 2012 para 2013, a expectativa de crescimento era de 25%. Os resultados ainda serão apresentados para constatação das estatísticas de A análise desses dados sugerem um braço do comércio em contínua expansão. Inversamente à esse crescimento, o número de fraudes reportadas ao Centro de Atendimento a Incidentes de Segurança (CAIS) [2] vem sofrendo uma queda progressiva desde Observa-se, entretanto, um tipo de ataque que não está presente nas estatísticas dos órgãos de monitoramento da Segurança da Informação do Brasil, devido à complexidade e dificuldade em ser reportado. Trata-se dos ataques à camada de aplicação, onde muitas empresas não são capazes de detectá-los da maneira mais comum adotada, ou seja, por meio do uso de regras de Firewall tradicionais. Essas regras consistem na adoção de um Firewall de perímetro na camada de rede (OSI Layer3). Todavia, a execução dessa ferramenta apresenta desempenho insatisfatório no bloqueio de ataques específicos como o Cross Site Script (XSS) e o SQL Injection. OBJETIVO Este artigo tem por objetivo mostrar a estrutura de um ataque XSS sobre um host vulnerável[3] criado em Java e Java Script e como o mecanismo de defesa tradicional, um Firewall de Aplicação Web pode ser evadido com uma pequena mudança no vetor de ataque. METODOLOGIA
2 Este trabalho será dividido em 2 etapas, a saber: Etapa 1 - Apresentar os conceitos de ataques XSS e demonstrar em um ambiente desprotegido, como é realizado, utilizando uma aplicação desenvolvida sem nenhuma camada de proteção no código fonte [3] em uma máquina virtualizada. Etapa 2 - Mostrar como a camada de proteção do Firewall de Aplicação Web pode ser evadida com pequenas alterações no código malicioso, usando o BurpSuite, uma ferramenta própria para manipulação de dados para sistemas web. CONCEITO XSS De acordo com o relatório das dez maiores vulnerabilidades existentes em programas disponíveis na internet, o Cross Site Scripting (XSS) é um dos tipos de vulnerabilidade mais difundidas nos dias de hoje, ocupando o terceiro lugar de acordo com a classificação da OWASP Top10[4]. Este ataque, permite que o atacante insira um código malicioso (JavaScript) no servidor Web que não tenha um tratamento devido, através de seu navegador das seguintes formas: 1. Dados são gravados no servidor web por meio de uma fonte não confiável, geralmente uma requisição web. 2. Os dados são incluídos em um conteúdo dinâmico que é enviado à um servidor web sem que uma validação seja feita para código malicioso. Os ataques podem ser caracterizados em 2 grupos - XSS Refletido e XSS Armazenado [5]. XSS Refletido Ataques de XSS Refletidos são aqueles onde o script injetado é refletido no servidor web, como uma mensagem de erro, de resultado de pesquisa, ou qualquer resposta que inclua alguma ou toda parte da entrada que é enviada ao servidor como parte da requisição. XSS Armazenado Ataques de XSS Armazenados são aqueles o código injetado é armazenado de forma permanente nos servidores alvo, em banco de dados, mensagens de fóruns, logs de visitas, etc. O Google pode ser uma ferramenta excelente para a exploração de vulnerabilidades XSS. Seus dorks (mecanismos usados no auxílio de pesquisas) podem ajudar na descoberta desta vulnerabilidades[10]. Até o mês de março de 2014, já existem 15 falhas cadastradas de sítios web com vulnerabilidades de XSS[6]. Se exploradas, essas vulnerabilidades podem comprometer desde a apresentação de uma página web normal, até as informações de usuários, como é o caso de um sequestro de sessão. No sítio zone-h.org, há uma lista mundial de sítios que foram atacados com diversas vulnerabilidades exploradas, entre elas o XSS, conforme imagem 1.
3 Figura 1 - Sítios web atacados entre os dias 23 e 26 de março de 2014 Imagem 1 - Sítios web atacados entre os dias 23 e 26 de março de 2014 EXECUTANDO UM ATAQUE XSS Para demonstrar como é o comportamento de um ataque, será usado o servidor Apache com o aplicativo WebGoat 5.4[3], que é uma aplicação vulnerável, criada especificamente para demonstrar as falhas de desenvolvimento. O servidor web foi instalado em uma estação virtualizada. Ao acessar a aplicação, na parte de mensagens, podemos colocar no corpo da mensagem o seguinte valor: <script>alert("xss Ativado");</script>
4 Figura 2 - Inclusão de um script em um fórum web Podemos ver que o tráfego interceptado mostra o que foi enviado para o servidor Web: Figura 3 - Script XSS enviado
5 Quando outro usuário acessar a página, haverá uma nova mensagem postada e ao clicar nela, aparecerá a tela de mensagem do navegador a seguir. Figura 4 - Execução do script malicioso O ataque demonstrado acima apenas cria uma janela de texto. Ataques mais complexos podem ser executados, como por exemplo, capturar a identificação de uma sessão de navegação através da captura do cookie de navegação com o script: <SCRIPT>alert(document.cookie);</SCRIPT>
6 Figura 5 - SessionID passado atravez do XSS Isso faria com que o atacante assumisse a identificação de um usuário legítimo e realizasse ações baseadas nos direitos de acesso que este possui. CORREÇÃO E EVASÃO A partir de uma perspectiva técnica, a melhor forma de correção de uma vulnerabilidade XSS é o tratamento da entrada e saída dos dados no próprio código fonte da aplicação [7]. Entretanto, alguns cenários podem prejudicar ou até mesmo tornar essa tarefa de correção do código não exequível nas empresas[8]: Disponibilidade de correções Há situações em que a vulnerabilidade é identificada em aplicações comerciais, fazendo com que a empresa não possa corrigir a falha por si mesma e fica na dependência de que o fabricante desenvolva uma atualização da aplicação. Tempo de instalação Mesmo em situações em que uma correção ou um tutorial de como corrigir seja disponibilizado, um processo de aplicação consome tempo, devido aos testes em ambiente de homologação. Código legado Algumas vezes a organização pode estar usando uma aplicação comercial na qual o vendedor
7 já não oferece suporte para a determinada versão, já tenha se retirado do mercado ou que a aplicação foi customizada pela equipe interna da empresa, fazendo com que a aplicação não possa ser corrigida ou até mesmo impossibilitando essa correção. Código terceirizado Em algumas situações, o desenvolvimento de aplicações terceirizadas pode entrar em conflito com clausulas contratuais, que asseguram as correções apenas a defeitos funcionais. Geralmente, cabe à área de infra estrutura ou segurança a correção de vulnerabilidades que antes deviam ser tratadas no código fonte. O bloqueio por filtro é o caso mais comum de proteção[9]. Configurado em Firewalls de Aplicação Web (WAF) ou em navegadores, eles comparam uma lista do que não é permitido e se esses dados forem localizados, serão bloqueados. Uma lista destes valores pode ser encontrado em navegadores como o Internet Explorer, versão 8 ou superior com o comando no prompt: findstr /c:"sc{r}" \windows\system32\mshtml.dll find "{" Figura 6 - Regras anti-xss no IE10
8 Apesar de muito usado e ser efetivo contra ataques padronizados, esta proteção pode ser burlada por codificações. Tomando por exemplo o código utilizado anteriormente e utilizando o aplicativo BurpSuite 1.5, é possível esconder o código para evadir o bloqueio por filtro e acessar a página de alvo. Figura 7 - Codificação de dados no BurpSuite Script <script language="javascript" type="text/javascript">alert("não é o 56");</script> HTML <script lan 7;uage="javas&# x63;ript" type= "text/javas 3;ript">alert&# x28;"não é o 56 ");</script e; Base64 PHNjcmlwdCBsYW5ndWFnZT0iamF2YXNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij 5hbGVydCgiTuNvIOkgbyA1NiIpOzwvc2NyaXB0Pg== ASCII Hex
9 <script lan 7;uage="javas&# x63;ript" type= "text/javas 3;ript">alert&# x28;"não é o 56 ");</script e Um ataque reflexivo poderia ser expresso com qualquer parâmetro codificado acima que não dispararia nenhuma regra do WAF ou do navegador iamf2yxnjcmlwdcigdhlwzt0idgv4dc9qyxzhc2nyaxb0ij5hbgvydcgitunviokgbya1n iipozwvc2nyaxb0pg== CONCLUSÃO E ESTUDOS FUTUROS A aplicação de uma camada de proteção para a aplicação Web acaba bloqueando os ataques mais comuns de XSS, onde o código de script é passado para a aplicação sem nenhuma modificação. Entretanto, os ataques mais elaborados não utilizam expressões padronizadas e passam por essa camada sem levantar suspeitas, seja ela uma camada de WAF ou uma lista de bloqueio do navegador web. O responsável pela segurança em ambientes corporativos deve sempre procurar maneiras de analisar o conteúdo normalizado do não normalizado, à procura de alguma carga maliciosa escondida no pacote. Entretanto, há uma série de verificações extras que podem ser realizadas, que não cabem neste artigo. O uso de outros sistemas operacionais, tanto fechados (Apple IOS, Solaris, Blackberry OS, etc) como abertos (Android, Linux, Chrome OS, etc), versões antigas de navegadores web (que não possuem uma lista de bloqueio para XSS), a verificação de regras em outros aplicativos de WAF, a inserção de códigos maliciosos em outros atributos (href, Object, image, form, etc) e a utilização de CharSet diferentes, como o UTF-32, por exemplo. REFERÊNCIA BIBLIOGRÁFICA [1] E-commerce Brasileiro, a velocidade do crescimento - [2] Incidentes reportados ao CAIS: por ano - [3] Category:OWASPWebGoat Projecthttps://
10 [4] OWASP Top Ten Projecthttps:// [5] R. Pelizzi and R. Sekar, Protection, usability and improvements in reflected XSS filters, Proc. 7th ACM Symp.Information, Comput.Commun.Secur. - ASIACCS 12, p. 5, [6] Exploit Database - Google Hacking Tools - ( author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve= ) [7] Top A3-Cross-Site Scripting (XSS), - ( [8] J. Garcia-Alfaro and G. Navarro-Arribas, Prevention of cross-site scripting attacks on current web applications, Move to Meaningful Internet, [9] P. Wurzinger, C. Platzer, C. Ludl, E. Kirda, and C. Kruegel, SWAP: Mitigating XSS attacks using a reverse proxy, 2009 ICSE Work. Softw.Eng. Secur. Syst., pp , May [10] R. Pelizzi, T. Tran, and A. Saberi, Large-Scale, Automatic XSS Detection using Google Dorks, 2011.
Boas Práticas de Desenvolvimento Seguro
Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO
Leia maisO atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.
Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)
Leia maisDesenvolvendo para WEB
Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisDesenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisNovidades do AVG 2013
Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento
Leia maisFirewall. Qual a utilidade em instalar um firewall pessoal?
Firewall Significado: Firewall em português é o mesmo que parede cortafogo, um tipo de parede, utilizada principalmente em prédios, que contém o fogo em casos de incêndio. O firewall da informática faz
Leia maisUNIVERSIDADE FEDERAL DE PELOTAS
Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários
Leia maisMODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI
MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte
Leia maisMANUAL DE INSTALAÇÃO
MANUAL DE INSTALAÇÃO Criado e revisado por: Régis Fialho Equipe Cyber Squ@re Manager E-mail: regis@awdsistemas.com.br Site: www.cybersquare.com.br Telefone: Porto Alegre: (051) 3207-8521 disponível em
Leia maisNomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma
Leia maisManual do Painel Administrativo
Manual do Painel Administrativo versão 1.0 Autores César A Miggiolaro Marcos J Lazarin Índice Índice... 2 Figuras... 3 Inicio... 5 Funcionalidades... 7 Analytics... 9 Cidades... 9 Conteúdo... 10 Referência...
Leia maisPara funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:
Instalação do Netz Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles: Instalação do Java SE 6, que pode ser instalado através da JDK.
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia mais(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com
(In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades
Leia maishttp://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho
vi http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Administração de Redes de Computadores Resumo de Serviços em Rede Linux Controlador de Domínio Servidor DNS
Leia maisProgramação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza
Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem
Leia maisDesenvolvendo Websites com PHP
Desenvolvendo Websites com PHP Aprenda a criar Websites dinâmicos e interativos com PHP e bancos de dados Juliano Niederauer 19 Capítulo 1 O que é o PHP? O PHP é uma das linguagens mais utilizadas na Web.
Leia maisSistema de Chamados Protega
SUMÁRIO 1. INTRODUÇÃO... 3 2. REALIZANDO ACESSO AO SISTEMA DE CHAMADOS... 4 2.1 DETALHES DA PÁGINA INICIAL... 5 3. ABERTURA DE CHAMADO... 6 3.1 DESTACANDO CAMPOS DO FORMULÁRIO... 6 3.2 CAMPOS OBRIGATÓRIOS:...
Leia maisNesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.
Diego M. Rodrigues (diego@drsolutions.com.br) O NTOP é um programa muito simples de ser instalado e não requer quase nenhuma configuração. Ele é capaz de gerar excelentes gráficos de monitoramento das
Leia maisRevisão 7 Junho de 2007
Revisão 7 Junho de 2007 1/5 CONTEÚDO 1. Introdução 2. Configuração do Computador 3. Reativar a Conexão com a Internet 4. Configuração da Conta de Correio Eletrônico 5. Política Anti-Spam 6. Segurança do
Leia maisPrivacidade. <Nome> <Instituição> <e-mail>
Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua
Leia maisDOCUMENTAÇÃO DO FRAMEWORK - versão 2.0
DOCUMENTAÇÃO DO FRAMEWORK - versão 2.0 Índice 1 - Objetivo 2 - Descrição do ambiente 2.1. Tecnologias utilizadas 2.2. Estrutura de pastas 2.3. Bibliotecas já incluídas 3 - Características gerais 4 - Criando
Leia maisRenovação Online de Certificados Digitais A3 (Com Boleto Bancário)
Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 47 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...
Leia maisCONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;
CONCEITOS INICIAIS Agenda A diferença entre páginas Web, Home Page e apresentação Web; O que é necessário para se criar páginas para a Web; Navegadores; O que é site, Host, Provedor e Servidor Web; Protocolos.
Leia maisComo configurar e-mails nos celulares. Ebook. Como configurar e-mails no seu celular. W3alpha - Desenvolvimento e hospedagem na internet
Ebook Como configurar e-mails no seu celular Este e-book irá mostrar como configurar e-mails, no seu celular. Sistemas operacionais: Android, Apple, BlackBerry, Nokia e Windows Phone Há muitos modelos
Leia maisDicas de uso para Cloud Computing
Dicas de uso para Cloud Computing Este material tem o objetivo de auxiliar você, usuário do acesso cloud, antes porém vamos apenas reforçar o que é o Cloud Computing, este também chamado de computação
Leia maisManual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web
Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web AÇÕES IMPORTANTES Ao tentar acessar o Cadastro Web por meio da certificação digital, é fundamental realizar
Leia maisSistemas para Internet 06 Ataques na Internet
Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:
Leia maisManual do Utilizador. Portal dos Jurisdicionados Cadastro
Manual do Utilizador Portal dos Jurisdicionados Cadastro TCM/PA 2015 1. CONDIÇÕES DE ACESSO O acesso ao Portal dos Jurisidicionados Cadastro é feito, exclusivamente, com o uso de certificação digital,
Leia maisNFe Nota Fiscal Eletronica
1 NFe Nota Fiscal Eletronica Introdução O NFe Tron, apesar de ser um sistema complexo, possui um método simples de instalação, configurando todos os elementos necessários para o funcionamento básico do
Leia maisA solução INFOTRÂNSITO abrange sistemas web multiplataformas, podendo ser instalados em ambientes Linux, Windows e Apple.
INFOTRÂNSITO A plataforma INFOTRÂNSITO emprega tecnologias inovadoras para garantir ao poder público um gerenciamento eficaz da operação do trânsito nos grandes centros urbanos. A partir da coleta, em
Leia maisCampus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /
Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 15 Tema:
Leia maisSoluções em Documentação
Desafios das empresas no que se refere à documentação de infraestrutura de TI Realizar e manter atualizado o inventário de recursos de Hardware e software da empresa, bem como a topologia de rede Possuir
Leia maisCONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS
MINISTÉRIO DO DESENVOLVIMENTO AGRÁRIO SUBSECRETARIA DE PLANEJAMENTO, ORÇAMENTO E ADMINISTRAÇÃO COORDENAÇÃO-GERAL DE MODERNIZAÇÃO E INFORMÁTICA CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS MANUAL
Leia maisSuperioridade do Linux sobre Windows no quesito segurança
OFICINA DE LÍNGUA PORTUGUESA LEITURA E PRODUÇÃO DE TEXTOS (UNI 003) UFMG ICEX CIÊNCIA DA COMPUTAÇÃO 2º SEMESTRE 2010 Superioridade do Linux sobre Windows no quesito segurança Thiago de Freitas Faria Lucas
Leia maisPerguntas e Respostas. Relatórios
Perguntas e Respostas 1. Por que o @ Work mudou? R: Pensando na satisfação dos nossos clientes para com os serviços via Web, foi realizado uma reformulação de toda estrutura do site otimizando a disponibilidade
Leia maisSegurança na Rede Local Redes de Computadores
Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3
Leia maisProgramação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza
Sessions e Cookies progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Cookies e Sessions Geralmente, um bom projeto
Leia maisVersão 2.0. Data de criação 13/05/2015
Apostila de Treinamento Agendamento Versão 2.0 Data de criação 13/05/2015 Data de efetivação Este documento entra em vigor na sua publicação. Versão do Sistema 2.0.0.0 Índice 1. INTRODUÇÃO... 3 1.1 Objetivo
Leia maisMONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR
MONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR Fevereiro/2012 Índice APRESENTAÇÃO... 3 O QUE É ESSE SERVIÇO?... 3 POR QUE MONITORAR?... 3 QUAL A ABRANGÊNCIA?... 4 MÉTRICAS... 4 PERÍODO DO MONITORAMENTO...
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisTermos e Política de Privacidade
Termos e Política de Privacidade Sua privacidade é fundamental para nós. Por isso, queremos explicar-lhe os detalhes de política e práticas adotadas para proteger sua privacidade para que se sinta confortável
Leia maisProcessos Técnicos - Aulas 4 e 5
Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)
Leia maisCódigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br
Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente
Leia maisPROCEDIMENTOS PARA UTILIZAÇÃO DE NOVA VERSÃO DO JAVA
1 PROCEDIMENTOS PARA UTILIZAÇÃO DE NOVA VERSÃO DO JAVA A partir da atualização da versão do programa JAVA ( 7 Update 51) que ocorreu nas máquinas dos usuários em Janeiro/2014, algumas alterações de segurança
Leia maisGoogle Drive: Acesse e organize seus arquivos
Google Drive: Acesse e organize seus arquivos Use o Google Drive para armazenar e acessar arquivos, pastas e documentos do Google Docs onde quer que você esteja. Quando você altera um arquivo na web, no
Leia maisManual SAGe Versão 1.2 (a partir da versão 12.08.01)
Manual SAGe Versão 1.2 (a partir da versão 12.08.01) Submissão de Relatórios Científicos Sumário Introdução... 2 Elaboração do Relatório Científico... 3 Submissão do Relatório Científico... 14 Operação
Leia maisPolíticas de Segurança de Sistemas
Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes
Leia maisSegurança e privacidade na era da mobilidade: riscos e desafios. Aldo Albuquerque aldo@tempest.com.br
Segurança e privacidade na era da mobilidade: riscos e desafios Aldo Albuquerque aldo@tempest.com.br Aldo Albuquerque 20 anos de experiência na área de TI, 15 deles relacionados à segurança da informação
Leia maisSegurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Leia maisSISTEMAS DISTRIBUÍDOS
SISTEMAS DISTRIBUÍDOS Cluster, Grid e computação em nuvem Slide 8 Nielsen C. Damasceno Introdução Inicialmente, os ambientes distribuídos eram formados através de um cluster. Com o avanço das tecnologias
Leia maisLICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER
LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER V14 de BricsCAD vem com um novo sistema de licenciamento, com base na tecnologia de licenciamento de Reprise Software. Este novo sistema oferece um ambiente
Leia maisSISTEMA PATRIMÔNIO WEB
UNIVERSIDADE DE SÃO PAULO Subcomissão de Patrimônio - GEFIM REITORIA DA UNIVERSIDADE DE SÃO PAULO COMPATRIM/GEFIM SISTEMA PATRIMÔNIO WEB Manual do usuário v.1.1 Sumário Introdução... 4 Fluxo das Principais
Leia maisCONSTRUÇÃO DE BLOG COM O BLOGGER
CONSTRUÇÃO DE BLOG COM O BLOGGER Blog é uma abreviação de weblog, qualquer registro frequênte de informações pode ser considerado um blog (últimas notícias de um jornal online por exemplo). A maioria das
Leia maisManual Xerox capture EMBRATEL
Manual Xerox capture EMBRATEL Versão 2 Junho/2011 Tópicos 1) Instalação do Xerox Capture 2) Utilização do Xerox Capture 2.1) Capturar pacotes de imagens pelo scanner 2.2) Importar pacote de imagens a partir
Leia mais3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio
32 3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio Este capítulo apresenta o framework orientado a aspectos para monitoramento e análise de processos de negócio
Leia maisIndústria de Cartão de Pagamento (PCI)
Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança
Leia maisManual de Utilização do Zimbra
Manual de Utilização do Zimbra Compatível com os principais navegadores web (Firefox, Chrome e Internet Explorer) o Zimbra Webmail é uma suíte completa de ferramentas para gerir e-mails, calendário, tarefas
Leia maisBRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert:
BRAlarmExpert Software para Gerenciamento de Alarmes A TriSolutions conta com um produto diferenciado para gerenciamento de alarmes que é totalmente flexível e amigável. O software BRAlarmExpert é uma
Leia maisRESPOSTA QUESTIONAMENTOS
RESPOSTA QUESTIONAMENTOS REF.: PREGÃO ELETRÔNICO Nº. 02-2015 CONSULT JPC GERENCIAMENTO E TREINAMENTO LTDA ME, já devidamente qualificada nos autos do pregão acima, vem com o devido acatamento apresentar
Leia maisBAIXA E INSTALAÇÃO DE CERTIFICADO A1. Versão 1.0r0 de 29 de Janeiro 2015. Classificação: Ostensivo
Versão 1.0r0 de 29 de Janeiro 2015 Classificação: Versão 1.0r0 de 29/10/2014 Página 2 de 15 Catalogação do Documento Título GESTÃO DE RISCOS DE SEGURANÇA Classificação Versão 1.0r1-29 de Janeiro de 2015
Leia maisManual do Usuário Plataforma Online
correção online psico.vetoreditora.com.br Manual do Usuário Plataforma Online Utilização da Plataforma Online de correção de testes APRESENTAÇÃO GERAL INTRODUÇÃO A Plataforma Online de testes da Vetor
Leia maisManual do Ambiente Moodle para Professores
UNIVERSIDADE FEDERAL DA FRONTEIRA SUL Manual do Ambiente Moodle para Professores Tarefas Versão 1.0b Setembro/2011 Direitos Autorais: Essa apostila está licenciada sob uma Licença Creative Commons 3.0
Leia maisCurso de Aprendizado Industrial Desenvolvedor WEB
Curso de Aprendizado Industrial Desenvolvedor WEB Disciplina: Programação Orientada a Objetos II Professor: Cheli dos S. Mendes da Costa Modelo Cliente- Servidor Modelo de Aplicação Cliente-servidor Os
Leia maisMÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos
MÓDULO 7 Modelo OSI A maioria das redes são organizadas como pilhas ou níveis de camadas, umas sobre as outras, sendo feito com o intuito de reduzir a complexidade do projeto da rede. O objetivo de cada
Leia mais13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com
13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro
Leia maisTRANSMISSOR ECF. Sistema de transmissão de arquivos Nota Fiscal Paulista. Manual de Utilização
TRANSMISSOR ECF Sistema de transmissão de arquivos Nota Fiscal Paulista Manual de Utilização 1. Histórico de alterações Data Versão Alteração 04/12/2012 1 Criação do documento 28/02/2013 2 Revisão 2. Proposta
Leia maisOrientações sobre o Novo Produto SACR Sistema de Acolhimento com Classificação de Risco. Versão 1.0, 30/11/2009
Orientações sobre o Novo Produto SACR Sistema de Acolhimento com Classificação de Risco Versão 1.0, 30/11/2009 Sumário Objetivo Introdução Características do SACR Organização Questões Funcionais Infraestrutura
Leia maisVincular Equipamento SAT
P á g i n a 1 Bem vindo ao Passo a Passo do Sistema de Gestão e Retaguarda do SAT-CF-e de SP para Vincular Equipamento SAT Atualizado em: 27/11/2014 Sistema Autenticador e Transmissor de Cupons Fiscais
Leia maisManual Comunica S_Line
1 Introdução O permite a comunicação de Arquivos padrão texto entre diferentes pontos, com segurança (dados criptografados e com autenticação) e rastreabilidade, isto é, um CLIENTE pode receber e enviar
Leia maisMelhorias e Correções Patch's
Melhorias e Correções Patch's Relação de Correções ID Descrição 3399 Erro em data de início de atividade No projeto ID: 655, em algumas atividades não estão sendo respeitadas as datas de início. 3468 Incidente
Leia maisGuia de Atualização Release FoccoERP 2014
Guia de Atualização Release FoccoERP 2014 02/06/2014 Índice ÍNDICE... 2 APRESENTAÇÃO... 3 INTRODUÇÃO... 4 PROCESSO DE INSTALAÇÃO... 4 ATUALIZANDO UM SEGUNDO AMBIENTE... 21 Página 2 de 22 Apresentação Este
Leia maisIntrodução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br
IntroduçãoàTecnologiaWeb TiposdeSites ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br TiposdeSites Índice 1 Sites... 2 2 Tipos de Sites... 2 a) Site
Leia maisTutorial Básico de Google Analytics
Tutorial Básico de Google Analytics O que é o Google Analytics? O Google Analytics é uma API gratuita disponibilizada pelo Google e que é usada pelos desenvolvedores de sites e profissionais de SEO para
Leia maisPlano de Gerenciamento do Projeto
Projeto para Soluções Contábeis 2015 Plano de Gerenciamento do Projeto Baseado na 5ª edição do Guia PMBOK Brendon Genssinger o e Elcimar Silva Higor Muniz Juliermes Henrique 23/11/2015 1 Histórico de alterações
Leia maishttp://cartilha.cert.br/
http://cartilha.cert.br/ Códigos maliciosos são usados como intermediários e possibilitam a prática de golpes, a realização de ataques e o envio de spam Códigos maliciosos, também conhecidos como pragas
Leia maisSISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS
- MDA - SPOA - CGMI SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS MANUAL DO USUÁRIO Pesquisa no Sistema BRASÍLIA, AGOSTO DE 2007 Versão 1.0 SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS MANUAL
Leia maisManual UNICURITIBA VIRTUAL para Professores
Manual UNICURITIBA VIRTUAL para Professores 1 2 2015 Sumário 1 Texto introdutório... 3 2 Como Acessar o UNICURITIBA VIRTUAL... 3 3 Tela inicial após login... 3 3.1) Foto do perfil... 4 3.2) Campo de busca...
Leia maisPasso 1: Abra seu navegador e digite http://www.no-ip.com. Passo 2: Na tela que surgir, clique em Get Started.
1 - Como obter seu DNS Dinâmico no No-IP O No-IP, é um sistema de DNS (Domain Name Server), que converte o seu endereço IP em um nome. O que o No-IP faz, é converter o nome do tipo minhacameraip.no-ip.org
Leia maisMANUAL DE INSTALAÇÃO E CONFIGURAÇÃO. Motor Periférico Versão 8.0
MANUAL DE INSTALAÇÃO E CONFIGURAÇÃO Motor Periférico Versão 8.0 1. Apresentação... 3 2. Instalação do Java... 3 2.1 Download e Instalação... 3 2.2 Verificar Instalação... 3 3. Download do Motor Periférico...
Leia maisCapítulo 5 Métodos de Defesa
Capítulo 5 Métodos de Defesa Ricardo Antunes Vieira 29/05/2012 Neste trabalho serão apresentadas técnicas que podem proporcionar uma maior segurança em redes Wi-Fi. O concentrador se trata de um ponto
Leia maisInformática - Prof. Frank Mattos
Informática - Prof. Frank Mattos Q298262 1. Por padrão, a lixeira do Windows 7 ocupa uma área correspondente a 10% do espaço em disco rígido do computador. Impressionante como essa informação está muito
Leia maisMANUAL EXPORTAÇÃO IMPORTAÇÃO
MANUAL EXPORTAÇÃO IMPORTAÇÃO Diretoria de Vigilância Epidemiológica/SES/SC 2006 1 Módulo 04 - Exportação e Importação de Dados Manual do SINASC Módulo Exportador Importador Introdução O Sistema SINASC
Leia mais1 Instalação de Pacotes RPM no Metasys...2. 2 Contato...10
Sumário 1 Instalação de Pacotes RPM no Metasys...2 1.1 Compatibilidade...2 1.2 Instalação...2 1.2.1 Verificando a localização do arquivo...2 1.2.2 Movendo o arquivo...3 1.2.3 Instalando o pacote...4 1.3
Leia maisProcedimentos para Instalação da DES 3.0.
Procedimentos para Instalação da DES 3.0. 1. Acessar o portal BHISSDigital e acessar o menu Sistemas->DES->Instalação >Instalação conforme indicação abaixo: 2. Clicar no link assinalado abaixo: 3. Prosseguir
Leia maisManual de Operação do Sistema de Tickets Support Suite
Manual de Operação do Sistema de Tickets Support Suite Sumário Acessando a página do HelpDesk helpdesk.virtuem.com.br... 3 Criando um Ticket... 6 Visualizando Tickets Existentes... 9 Respondendo um Ticket...
Leia mais