Descrição de Ataques XSS em servidores Web

Tamanho: px
Começar a partir da página:

Download "Descrição de Ataques XSS em servidores Web"

Transcrição

1 ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os diversos tipos de ataques, muitas empresas acabam se deparando com situações que possuem suas portas de entradas para a internet violadas. Esse artigo tem por objetivo realizar uma introdução sobre os ataques de Cross Site Script (XSS), como bloquear esses ataques e, com as ferramentas disponíveis na internet, evadir essas proteções. INTRODUÇÃO Por questões de custos, comodidade, segurança e outros fatores que beneficiam e proporcionam facilidades para o consumidor, observa-se um aumento do volume de compra dos brasileiros nos meios digitais, entre eles, nos sites de comércio eletrônico. Segundo dados do WebShoppers[1], um relatório disponibilizado para as empresas que viabilizam este tipo de comércio, apontou um crescimento de 20% no volume financeiro transacionado entre 2011 e 2012, enquanto que de 2012 para 2013, a expectativa de crescimento era de 25%. Os resultados ainda serão apresentados para constatação das estatísticas de A análise desses dados sugerem um braço do comércio em contínua expansão. Inversamente à esse crescimento, o número de fraudes reportadas ao Centro de Atendimento a Incidentes de Segurança (CAIS) [2] vem sofrendo uma queda progressiva desde Observa-se, entretanto, um tipo de ataque que não está presente nas estatísticas dos órgãos de monitoramento da Segurança da Informação do Brasil, devido à complexidade e dificuldade em ser reportado. Trata-se dos ataques à camada de aplicação, onde muitas empresas não são capazes de detectá-los da maneira mais comum adotada, ou seja, por meio do uso de regras de Firewall tradicionais. Essas regras consistem na adoção de um Firewall de perímetro na camada de rede (OSI Layer3). Todavia, a execução dessa ferramenta apresenta desempenho insatisfatório no bloqueio de ataques específicos como o Cross Site Script (XSS) e o SQL Injection. OBJETIVO Este artigo tem por objetivo mostrar a estrutura de um ataque XSS sobre um host vulnerável[3] criado em Java e Java Script e como o mecanismo de defesa tradicional, um Firewall de Aplicação Web pode ser evadido com uma pequena mudança no vetor de ataque. METODOLOGIA

2 Este trabalho será dividido em 2 etapas, a saber: Etapa 1 - Apresentar os conceitos de ataques XSS e demonstrar em um ambiente desprotegido, como é realizado, utilizando uma aplicação desenvolvida sem nenhuma camada de proteção no código fonte [3] em uma máquina virtualizada. Etapa 2 - Mostrar como a camada de proteção do Firewall de Aplicação Web pode ser evadida com pequenas alterações no código malicioso, usando o BurpSuite, uma ferramenta própria para manipulação de dados para sistemas web. CONCEITO XSS De acordo com o relatório das dez maiores vulnerabilidades existentes em programas disponíveis na internet, o Cross Site Scripting (XSS) é um dos tipos de vulnerabilidade mais difundidas nos dias de hoje, ocupando o terceiro lugar de acordo com a classificação da OWASP Top10[4]. Este ataque, permite que o atacante insira um código malicioso (JavaScript) no servidor Web que não tenha um tratamento devido, através de seu navegador das seguintes formas: 1. Dados são gravados no servidor web por meio de uma fonte não confiável, geralmente uma requisição web. 2. Os dados são incluídos em um conteúdo dinâmico que é enviado à um servidor web sem que uma validação seja feita para código malicioso. Os ataques podem ser caracterizados em 2 grupos - XSS Refletido e XSS Armazenado [5]. XSS Refletido Ataques de XSS Refletidos são aqueles onde o script injetado é refletido no servidor web, como uma mensagem de erro, de resultado de pesquisa, ou qualquer resposta que inclua alguma ou toda parte da entrada que é enviada ao servidor como parte da requisição. XSS Armazenado Ataques de XSS Armazenados são aqueles o código injetado é armazenado de forma permanente nos servidores alvo, em banco de dados, mensagens de fóruns, logs de visitas, etc. O Google pode ser uma ferramenta excelente para a exploração de vulnerabilidades XSS. Seus dorks (mecanismos usados no auxílio de pesquisas) podem ajudar na descoberta desta vulnerabilidades[10]. Até o mês de março de 2014, já existem 15 falhas cadastradas de sítios web com vulnerabilidades de XSS[6]. Se exploradas, essas vulnerabilidades podem comprometer desde a apresentação de uma página web normal, até as informações de usuários, como é o caso de um sequestro de sessão. No sítio zone-h.org, há uma lista mundial de sítios que foram atacados com diversas vulnerabilidades exploradas, entre elas o XSS, conforme imagem 1.

3 Figura 1 - Sítios web atacados entre os dias 23 e 26 de março de 2014 Imagem 1 - Sítios web atacados entre os dias 23 e 26 de março de 2014 EXECUTANDO UM ATAQUE XSS Para demonstrar como é o comportamento de um ataque, será usado o servidor Apache com o aplicativo WebGoat 5.4[3], que é uma aplicação vulnerável, criada especificamente para demonstrar as falhas de desenvolvimento. O servidor web foi instalado em uma estação virtualizada. Ao acessar a aplicação, na parte de mensagens, podemos colocar no corpo da mensagem o seguinte valor: <script>alert("xss Ativado");</script>

4 Figura 2 - Inclusão de um script em um fórum web Podemos ver que o tráfego interceptado mostra o que foi enviado para o servidor Web: Figura 3 - Script XSS enviado

5 Quando outro usuário acessar a página, haverá uma nova mensagem postada e ao clicar nela, aparecerá a tela de mensagem do navegador a seguir. Figura 4 - Execução do script malicioso O ataque demonstrado acima apenas cria uma janela de texto. Ataques mais complexos podem ser executados, como por exemplo, capturar a identificação de uma sessão de navegação através da captura do cookie de navegação com o script: <SCRIPT>alert(document.cookie);</SCRIPT>

6 Figura 5 - SessionID passado atravez do XSS Isso faria com que o atacante assumisse a identificação de um usuário legítimo e realizasse ações baseadas nos direitos de acesso que este possui. CORREÇÃO E EVASÃO A partir de uma perspectiva técnica, a melhor forma de correção de uma vulnerabilidade XSS é o tratamento da entrada e saída dos dados no próprio código fonte da aplicação [7]. Entretanto, alguns cenários podem prejudicar ou até mesmo tornar essa tarefa de correção do código não exequível nas empresas[8]: Disponibilidade de correções Há situações em que a vulnerabilidade é identificada em aplicações comerciais, fazendo com que a empresa não possa corrigir a falha por si mesma e fica na dependência de que o fabricante desenvolva uma atualização da aplicação. Tempo de instalação Mesmo em situações em que uma correção ou um tutorial de como corrigir seja disponibilizado, um processo de aplicação consome tempo, devido aos testes em ambiente de homologação. Código legado Algumas vezes a organização pode estar usando uma aplicação comercial na qual o vendedor

7 já não oferece suporte para a determinada versão, já tenha se retirado do mercado ou que a aplicação foi customizada pela equipe interna da empresa, fazendo com que a aplicação não possa ser corrigida ou até mesmo impossibilitando essa correção. Código terceirizado Em algumas situações, o desenvolvimento de aplicações terceirizadas pode entrar em conflito com clausulas contratuais, que asseguram as correções apenas a defeitos funcionais. Geralmente, cabe à área de infra estrutura ou segurança a correção de vulnerabilidades que antes deviam ser tratadas no código fonte. O bloqueio por filtro é o caso mais comum de proteção[9]. Configurado em Firewalls de Aplicação Web (WAF) ou em navegadores, eles comparam uma lista do que não é permitido e se esses dados forem localizados, serão bloqueados. Uma lista destes valores pode ser encontrado em navegadores como o Internet Explorer, versão 8 ou superior com o comando no prompt: findstr /c:"sc{r}" \windows\system32\mshtml.dll find "{" Figura 6 - Regras anti-xss no IE10

8 Apesar de muito usado e ser efetivo contra ataques padronizados, esta proteção pode ser burlada por codificações. Tomando por exemplo o código utilizado anteriormente e utilizando o aplicativo BurpSuite 1.5, é possível esconder o código para evadir o bloqueio por filtro e acessar a página de alvo. Figura 7 - Codificação de dados no BurpSuite Script <script language="javascript" type="text/javascript">alert("não é o 56");</script> HTML <script lan&#x6 7;uage="javas&# x63;ript" type= "text/javas&#x6 3;ript">alert&# x28;"não é o 56 ");</script&#x3 e; Base64 PHNjcmlwdCBsYW5ndWFnZT0iamF2YXNjcmlwdCIgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij 5hbGVydCgiTuNvIOkgbyA1NiIpOzwvc2NyaXB0Pg== ASCII Hex

9 <script lan&#x6 7;uage="javas&# x63;ript" type= "text/javas&#x6 3;ript">alert&# x28;"não é o 56 ");</script&#x3 e Um ataque reflexivo poderia ser expresso com qualquer parâmetro codificado acima que não dispararia nenhuma regra do WAF ou do navegador iamf2yxnjcmlwdcigdhlwzt0idgv4dc9qyxzhc2nyaxb0ij5hbgvydcgitunviokgbya1n iipozwvc2nyaxb0pg== CONCLUSÃO E ESTUDOS FUTUROS A aplicação de uma camada de proteção para a aplicação Web acaba bloqueando os ataques mais comuns de XSS, onde o código de script é passado para a aplicação sem nenhuma modificação. Entretanto, os ataques mais elaborados não utilizam expressões padronizadas e passam por essa camada sem levantar suspeitas, seja ela uma camada de WAF ou uma lista de bloqueio do navegador web. O responsável pela segurança em ambientes corporativos deve sempre procurar maneiras de analisar o conteúdo normalizado do não normalizado, à procura de alguma carga maliciosa escondida no pacote. Entretanto, há uma série de verificações extras que podem ser realizadas, que não cabem neste artigo. O uso de outros sistemas operacionais, tanto fechados (Apple IOS, Solaris, Blackberry OS, etc) como abertos (Android, Linux, Chrome OS, etc), versões antigas de navegadores web (que não possuem uma lista de bloqueio para XSS), a verificação de regras em outros aplicativos de WAF, a inserção de códigos maliciosos em outros atributos (href, Object, image, form, etc) e a utilização de CharSet diferentes, como o UTF-32, por exemplo. REFERÊNCIA BIBLIOGRÁFICA [1] E-commerce Brasileiro, a velocidade do crescimento - [2] Incidentes reportados ao CAIS: por ano - [3] Category:OWASPWebGoat Projecthttps://

10 [4] OWASP Top Ten Projecthttps:// [5] R. Pelizzi and R. Sekar, Protection, usability and improvements in reflected XSS filters, Proc. 7th ACM Symp.Information, Comput.Commun.Secur. - ASIACCS 12, p. 5, [6] Exploit Database - Google Hacking Tools - ( author=&filter_platform=0&filter_type=0&filter_lang_id=0&filter_port=&filter_osvdb=&filter_cve= ) [7] Top A3-Cross-Site Scripting (XSS), - ( [8] J. Garcia-Alfaro and G. Navarro-Arribas, Prevention of cross-site scripting attacks on current web applications, Move to Meaningful Internet, [9] P. Wurzinger, C. Platzer, C. Ludl, E. Kirda, and C. Kruegel, SWAP: Mitigating XSS attacks using a reverse proxy, 2009 ICSE Work. Softw.Eng. Secur. Syst., pp , May [10] R. Pelizzi, T. Tran, and A. Saberi, Large-Scale, Automatic XSS Detection using Google Dorks, 2011.

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Desenvolvendo para WEB

Desenvolvendo para WEB Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Novidades do AVG 2013

Novidades do AVG 2013 Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento

Leia mais

Firewall. Qual a utilidade em instalar um firewall pessoal?

Firewall. Qual a utilidade em instalar um firewall pessoal? Firewall Significado: Firewall em português é o mesmo que parede cortafogo, um tipo de parede, utilizada principalmente em prédios, que contém o fogo em casos de incêndio. O firewall da informática faz

Leia mais

UNIVERSIDADE FEDERAL DE PELOTAS

UNIVERSIDADE FEDERAL DE PELOTAS Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários

Leia mais

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte

Leia mais

MANUAL DE INSTALAÇÃO

MANUAL DE INSTALAÇÃO MANUAL DE INSTALAÇÃO Criado e revisado por: Régis Fialho Equipe Cyber Squ@re Manager E-mail: regis@awdsistemas.com.br Site: www.cybersquare.com.br Telefone: Porto Alegre: (051) 3207-8521 disponível em

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Manual do Painel Administrativo

Manual do Painel Administrativo Manual do Painel Administrativo versão 1.0 Autores César A Miggiolaro Marcos J Lazarin Índice Índice... 2 Figuras... 3 Inicio... 5 Funcionalidades... 7 Analytics... 9 Cidades... 9 Conteúdo... 10 Referência...

Leia mais

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles:

Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles: Instalação do Netz Para funcionamento do Netz, alguns programas devem ser instalados e alguns procedimentos devem ser seguidos. São eles: Instalação do Java SE 6, que pode ser instalado através da JDK.

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho vi http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Administração de Redes de Computadores Resumo de Serviços em Rede Linux Controlador de Domínio Servidor DNS

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP Aprenda a criar Websites dinâmicos e interativos com PHP e bancos de dados Juliano Niederauer 19 Capítulo 1 O que é o PHP? O PHP é uma das linguagens mais utilizadas na Web.

Leia mais

Sistema de Chamados Protega

Sistema de Chamados Protega SUMÁRIO 1. INTRODUÇÃO... 3 2. REALIZANDO ACESSO AO SISTEMA DE CHAMADOS... 4 2.1 DETALHES DA PÁGINA INICIAL... 5 3. ABERTURA DE CHAMADO... 6 3.1 DESTACANDO CAMPOS DO FORMULÁRIO... 6 3.2 CAMPOS OBRIGATÓRIOS:...

Leia mais

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4. Diego M. Rodrigues (diego@drsolutions.com.br) O NTOP é um programa muito simples de ser instalado e não requer quase nenhuma configuração. Ele é capaz de gerar excelentes gráficos de monitoramento das

Leia mais

Revisão 7 Junho de 2007

Revisão 7 Junho de 2007 Revisão 7 Junho de 2007 1/5 CONTEÚDO 1. Introdução 2. Configuração do Computador 3. Reativar a Conexão com a Internet 4. Configuração da Conta de Correio Eletrônico 5. Política Anti-Spam 6. Segurança do

Leia mais

Privacidade. <Nome> <Instituição> <e-mail>

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

DOCUMENTAÇÃO DO FRAMEWORK - versão 2.0

DOCUMENTAÇÃO DO FRAMEWORK - versão 2.0 DOCUMENTAÇÃO DO FRAMEWORK - versão 2.0 Índice 1 - Objetivo 2 - Descrição do ambiente 2.1. Tecnologias utilizadas 2.2. Estrutura de pastas 2.3. Bibliotecas já incluídas 3 - Características gerais 4 - Criando

Leia mais

Renovação Online de Certificados Digitais A3 (Com Boleto Bancário)

Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Renovação Online de Certificados Digitais A3 (Com Boleto Bancário) Guia de Orientação Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2013 Página 1 de 47 Índice PRÉ-REQUISITOS PARA INSTALAÇÃO...

Leia mais

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web;

CONCEITOS INICIAIS. Agenda A diferença entre páginas Web, Home Page e apresentação Web; CONCEITOS INICIAIS Agenda A diferença entre páginas Web, Home Page e apresentação Web; O que é necessário para se criar páginas para a Web; Navegadores; O que é site, Host, Provedor e Servidor Web; Protocolos.

Leia mais

Como configurar e-mails nos celulares. Ebook. Como configurar e-mails no seu celular. W3alpha - Desenvolvimento e hospedagem na internet

Como configurar e-mails nos celulares. Ebook. Como configurar e-mails no seu celular. W3alpha - Desenvolvimento e hospedagem na internet Ebook Como configurar e-mails no seu celular Este e-book irá mostrar como configurar e-mails, no seu celular. Sistemas operacionais: Android, Apple, BlackBerry, Nokia e Windows Phone Há muitos modelos

Leia mais

Dicas de uso para Cloud Computing

Dicas de uso para Cloud Computing Dicas de uso para Cloud Computing Este material tem o objetivo de auxiliar você, usuário do acesso cloud, antes porém vamos apenas reforçar o que é o Cloud Computing, este também chamado de computação

Leia mais

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web AÇÕES IMPORTANTES Ao tentar acessar o Cadastro Web por meio da certificação digital, é fundamental realizar

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

Manual do Utilizador. Portal dos Jurisdicionados Cadastro

Manual do Utilizador. Portal dos Jurisdicionados Cadastro Manual do Utilizador Portal dos Jurisdicionados Cadastro TCM/PA 2015 1. CONDIÇÕES DE ACESSO O acesso ao Portal dos Jurisidicionados Cadastro é feito, exclusivamente, com o uso de certificação digital,

Leia mais

NFe Nota Fiscal Eletronica

NFe Nota Fiscal Eletronica 1 NFe Nota Fiscal Eletronica Introdução O NFe Tron, apesar de ser um sistema complexo, possui um método simples de instalação, configurando todos os elementos necessários para o funcionamento básico do

Leia mais

A solução INFOTRÂNSITO abrange sistemas web multiplataformas, podendo ser instalados em ambientes Linux, Windows e Apple.

A solução INFOTRÂNSITO abrange sistemas web multiplataformas, podendo ser instalados em ambientes Linux, Windows e Apple. INFOTRÂNSITO A plataforma INFOTRÂNSITO emprega tecnologias inovadoras para garantir ao poder público um gerenciamento eficaz da operação do trânsito nos grandes centros urbanos. A partir da coleta, em

Leia mais

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com /

Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / Campus Capivari Análise e Desenvolvimento de Sistemas (ADS) Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DA INFORMAÇÃO Aula N : 15 Tema:

Leia mais

Soluções em Documentação

Soluções em Documentação Desafios das empresas no que se refere à documentação de infraestrutura de TI Realizar e manter atualizado o inventário de recursos de Hardware e software da empresa, bem como a topologia de rede Possuir

Leia mais

CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS

CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS MINISTÉRIO DO DESENVOLVIMENTO AGRÁRIO SUBSECRETARIA DE PLANEJAMENTO, ORÇAMENTO E ADMINISTRAÇÃO COORDENAÇÃO-GERAL DE MODERNIZAÇÃO E INFORMÁTICA CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS MANUAL

Leia mais

Superioridade do Linux sobre Windows no quesito segurança

Superioridade do Linux sobre Windows no quesito segurança OFICINA DE LÍNGUA PORTUGUESA LEITURA E PRODUÇÃO DE TEXTOS (UNI 003) UFMG ICEX CIÊNCIA DA COMPUTAÇÃO 2º SEMESTRE 2010 Superioridade do Linux sobre Windows no quesito segurança Thiago de Freitas Faria Lucas

Leia mais

Perguntas e Respostas. Relatórios

Perguntas e Respostas. Relatórios Perguntas e Respostas 1. Por que o @ Work mudou? R: Pensando na satisfação dos nossos clientes para com os serviços via Web, foi realizado uma reformulação de toda estrutura do site otimizando a disponibilidade

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza Sessions e Cookies progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Cookies e Sessions Geralmente, um bom projeto

Leia mais

Versão 2.0. Data de criação 13/05/2015

Versão 2.0. Data de criação 13/05/2015 Apostila de Treinamento Agendamento Versão 2.0 Data de criação 13/05/2015 Data de efetivação Este documento entra em vigor na sua publicação. Versão do Sistema 2.0.0.0 Índice 1. INTRODUÇÃO... 3 1.1 Objetivo

Leia mais

MONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR

MONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR MONITORAMENTO DO AMBIENTE TECNOLÓGICO FoccoMONITOR Fevereiro/2012 Índice APRESENTAÇÃO... 3 O QUE É ESSE SERVIÇO?... 3 POR QUE MONITORAR?... 3 QUAL A ABRANGÊNCIA?... 4 MÉTRICAS... 4 PERÍODO DO MONITORAMENTO...

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Termos e Política de Privacidade

Termos e Política de Privacidade Termos e Política de Privacidade Sua privacidade é fundamental para nós. Por isso, queremos explicar-lhe os detalhes de política e práticas adotadas para proteger sua privacidade para que se sinta confortável

Leia mais

Processos Técnicos - Aulas 4 e 5

Processos Técnicos - Aulas 4 e 5 Processos Técnicos - Aulas 4 e 5 Trabalho / PEM Tema: Frameworks Públicos Grupo: equipe do TCC Entrega: versão digital, 1ª semana de Abril (de 31/03 a 04/04), no e-mail do professor (rodrigues.yuri@yahoo.com.br)

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

PROCEDIMENTOS PARA UTILIZAÇÃO DE NOVA VERSÃO DO JAVA

PROCEDIMENTOS PARA UTILIZAÇÃO DE NOVA VERSÃO DO JAVA 1 PROCEDIMENTOS PARA UTILIZAÇÃO DE NOVA VERSÃO DO JAVA A partir da atualização da versão do programa JAVA ( 7 Update 51) que ocorreu nas máquinas dos usuários em Janeiro/2014, algumas alterações de segurança

Leia mais

Google Drive: Acesse e organize seus arquivos

Google Drive: Acesse e organize seus arquivos Google Drive: Acesse e organize seus arquivos Use o Google Drive para armazenar e acessar arquivos, pastas e documentos do Google Docs onde quer que você esteja. Quando você altera um arquivo na web, no

Leia mais

Manual SAGe Versão 1.2 (a partir da versão 12.08.01)

Manual SAGe Versão 1.2 (a partir da versão 12.08.01) Manual SAGe Versão 1.2 (a partir da versão 12.08.01) Submissão de Relatórios Científicos Sumário Introdução... 2 Elaboração do Relatório Científico... 3 Submissão do Relatório Científico... 14 Operação

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Segurança e privacidade na era da mobilidade: riscos e desafios. Aldo Albuquerque aldo@tempest.com.br

Segurança e privacidade na era da mobilidade: riscos e desafios. Aldo Albuquerque aldo@tempest.com.br Segurança e privacidade na era da mobilidade: riscos e desafios Aldo Albuquerque aldo@tempest.com.br Aldo Albuquerque 20 anos de experiência na área de TI, 15 deles relacionados à segurança da informação

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

SISTEMAS DISTRIBUÍDOS

SISTEMAS DISTRIBUÍDOS SISTEMAS DISTRIBUÍDOS Cluster, Grid e computação em nuvem Slide 8 Nielsen C. Damasceno Introdução Inicialmente, os ambientes distribuídos eram formados através de um cluster. Com o avanço das tecnologias

Leia mais

LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER

LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER LICENCIAMENTO V14 USANDO REPRISE LICENSE MANAGER V14 de BricsCAD vem com um novo sistema de licenciamento, com base na tecnologia de licenciamento de Reprise Software. Este novo sistema oferece um ambiente

Leia mais

SISTEMA PATRIMÔNIO WEB

SISTEMA PATRIMÔNIO WEB UNIVERSIDADE DE SÃO PAULO Subcomissão de Patrimônio - GEFIM REITORIA DA UNIVERSIDADE DE SÃO PAULO COMPATRIM/GEFIM SISTEMA PATRIMÔNIO WEB Manual do usuário v.1.1 Sumário Introdução... 4 Fluxo das Principais

Leia mais

CONSTRUÇÃO DE BLOG COM O BLOGGER

CONSTRUÇÃO DE BLOG COM O BLOGGER CONSTRUÇÃO DE BLOG COM O BLOGGER Blog é uma abreviação de weblog, qualquer registro frequênte de informações pode ser considerado um blog (últimas notícias de um jornal online por exemplo). A maioria das

Leia mais

Manual Xerox capture EMBRATEL

Manual Xerox capture EMBRATEL Manual Xerox capture EMBRATEL Versão 2 Junho/2011 Tópicos 1) Instalação do Xerox Capture 2) Utilização do Xerox Capture 2.1) Capturar pacotes de imagens pelo scanner 2.2) Importar pacote de imagens a partir

Leia mais

3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio

3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio 32 3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio Este capítulo apresenta o framework orientado a aspectos para monitoramento e análise de processos de negócio

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

Manual de Utilização do Zimbra

Manual de Utilização do Zimbra Manual de Utilização do Zimbra Compatível com os principais navegadores web (Firefox, Chrome e Internet Explorer) o Zimbra Webmail é uma suíte completa de ferramentas para gerir e-mails, calendário, tarefas

Leia mais

BRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert:

BRAlarmExpert. Software para Gerenciamento de Alarmes. BENEFÍCIOS obtidos com a utilização do BRAlarmExpert: BRAlarmExpert Software para Gerenciamento de Alarmes A TriSolutions conta com um produto diferenciado para gerenciamento de alarmes que é totalmente flexível e amigável. O software BRAlarmExpert é uma

Leia mais

RESPOSTA QUESTIONAMENTOS

RESPOSTA QUESTIONAMENTOS RESPOSTA QUESTIONAMENTOS REF.: PREGÃO ELETRÔNICO Nº. 02-2015 CONSULT JPC GERENCIAMENTO E TREINAMENTO LTDA ME, já devidamente qualificada nos autos do pregão acima, vem com o devido acatamento apresentar

Leia mais

BAIXA E INSTALAÇÃO DE CERTIFICADO A1. Versão 1.0r0 de 29 de Janeiro 2015. Classificação: Ostensivo

BAIXA E INSTALAÇÃO DE CERTIFICADO A1. Versão 1.0r0 de 29 de Janeiro 2015. Classificação: Ostensivo Versão 1.0r0 de 29 de Janeiro 2015 Classificação: Versão 1.0r0 de 29/10/2014 Página 2 de 15 Catalogação do Documento Título GESTÃO DE RISCOS DE SEGURANÇA Classificação Versão 1.0r1-29 de Janeiro de 2015

Leia mais

Manual do Usuário Plataforma Online

Manual do Usuário Plataforma Online correção online psico.vetoreditora.com.br Manual do Usuário Plataforma Online Utilização da Plataforma Online de correção de testes APRESENTAÇÃO GERAL INTRODUÇÃO A Plataforma Online de testes da Vetor

Leia mais

Manual do Ambiente Moodle para Professores

Manual do Ambiente Moodle para Professores UNIVERSIDADE FEDERAL DA FRONTEIRA SUL Manual do Ambiente Moodle para Professores Tarefas Versão 1.0b Setembro/2011 Direitos Autorais: Essa apostila está licenciada sob uma Licença Creative Commons 3.0

Leia mais

Curso de Aprendizado Industrial Desenvolvedor WEB

Curso de Aprendizado Industrial Desenvolvedor WEB Curso de Aprendizado Industrial Desenvolvedor WEB Disciplina: Programação Orientada a Objetos II Professor: Cheli dos S. Mendes da Costa Modelo Cliente- Servidor Modelo de Aplicação Cliente-servidor Os

Leia mais

MÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos

MÓDULO 7 Modelo OSI. 7.1 Serviços Versus Protocolos MÓDULO 7 Modelo OSI A maioria das redes são organizadas como pilhas ou níveis de camadas, umas sobre as outras, sendo feito com o intuito de reduzir a complexidade do projeto da rede. O objetivo de cada

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

TRANSMISSOR ECF. Sistema de transmissão de arquivos Nota Fiscal Paulista. Manual de Utilização

TRANSMISSOR ECF. Sistema de transmissão de arquivos Nota Fiscal Paulista. Manual de Utilização TRANSMISSOR ECF Sistema de transmissão de arquivos Nota Fiscal Paulista Manual de Utilização 1. Histórico de alterações Data Versão Alteração 04/12/2012 1 Criação do documento 28/02/2013 2 Revisão 2. Proposta

Leia mais

Orientações sobre o Novo Produto SACR Sistema de Acolhimento com Classificação de Risco. Versão 1.0, 30/11/2009

Orientações sobre o Novo Produto SACR Sistema de Acolhimento com Classificação de Risco. Versão 1.0, 30/11/2009 Orientações sobre o Novo Produto SACR Sistema de Acolhimento com Classificação de Risco Versão 1.0, 30/11/2009 Sumário Objetivo Introdução Características do SACR Organização Questões Funcionais Infraestrutura

Leia mais

Vincular Equipamento SAT

Vincular Equipamento SAT P á g i n a 1 Bem vindo ao Passo a Passo do Sistema de Gestão e Retaguarda do SAT-CF-e de SP para Vincular Equipamento SAT Atualizado em: 27/11/2014 Sistema Autenticador e Transmissor de Cupons Fiscais

Leia mais

Manual Comunica S_Line

Manual Comunica S_Line 1 Introdução O permite a comunicação de Arquivos padrão texto entre diferentes pontos, com segurança (dados criptografados e com autenticação) e rastreabilidade, isto é, um CLIENTE pode receber e enviar

Leia mais

Melhorias e Correções Patch's

Melhorias e Correções Patch's Melhorias e Correções Patch's Relação de Correções ID Descrição 3399 Erro em data de início de atividade No projeto ID: 655, em algumas atividades não estão sendo respeitadas as datas de início. 3468 Incidente

Leia mais

Guia de Atualização Release FoccoERP 2014

Guia de Atualização Release FoccoERP 2014 Guia de Atualização Release FoccoERP 2014 02/06/2014 Índice ÍNDICE... 2 APRESENTAÇÃO... 3 INTRODUÇÃO... 4 PROCESSO DE INSTALAÇÃO... 4 ATUALIZANDO UM SEGUNDO AMBIENTE... 21 Página 2 de 22 Apresentação Este

Leia mais

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br IntroduçãoàTecnologiaWeb TiposdeSites ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br TiposdeSites Índice 1 Sites... 2 2 Tipos de Sites... 2 a) Site

Leia mais

Tutorial Básico de Google Analytics

Tutorial Básico de Google Analytics Tutorial Básico de Google Analytics O que é o Google Analytics? O Google Analytics é uma API gratuita disponibilizada pelo Google e que é usada pelos desenvolvedores de sites e profissionais de SEO para

Leia mais

Plano de Gerenciamento do Projeto

Plano de Gerenciamento do Projeto Projeto para Soluções Contábeis 2015 Plano de Gerenciamento do Projeto Baseado na 5ª edição do Guia PMBOK Brendon Genssinger o e Elcimar Silva Higor Muniz Juliermes Henrique 23/11/2015 1 Histórico de alterações

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Códigos maliciosos são usados como intermediários e possibilitam a prática de golpes, a realização de ataques e o envio de spam Códigos maliciosos, também conhecidos como pragas

Leia mais

SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS

SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS - MDA - SPOA - CGMI SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS MANUAL DO USUÁRIO Pesquisa no Sistema BRASÍLIA, AGOSTO DE 2007 Versão 1.0 SISDEX SISTEMA DE CONTROLE DE DOCUMENTOS EXPEDIDOS MANUAL

Leia mais

Manual UNICURITIBA VIRTUAL para Professores

Manual UNICURITIBA VIRTUAL para Professores Manual UNICURITIBA VIRTUAL para Professores 1 2 2015 Sumário 1 Texto introdutório... 3 2 Como Acessar o UNICURITIBA VIRTUAL... 3 3 Tela inicial após login... 3 3.1) Foto do perfil... 4 3.2) Campo de busca...

Leia mais

Passo 1: Abra seu navegador e digite http://www.no-ip.com. Passo 2: Na tela que surgir, clique em Get Started.

Passo 1: Abra seu navegador e digite http://www.no-ip.com. Passo 2: Na tela que surgir, clique em Get Started. 1 - Como obter seu DNS Dinâmico no No-IP O No-IP, é um sistema de DNS (Domain Name Server), que converte o seu endereço IP em um nome. O que o No-IP faz, é converter o nome do tipo minhacameraip.no-ip.org

Leia mais

MANUAL DE INSTALAÇÃO E CONFIGURAÇÃO. Motor Periférico Versão 8.0

MANUAL DE INSTALAÇÃO E CONFIGURAÇÃO. Motor Periférico Versão 8.0 MANUAL DE INSTALAÇÃO E CONFIGURAÇÃO Motor Periférico Versão 8.0 1. Apresentação... 3 2. Instalação do Java... 3 2.1 Download e Instalação... 3 2.2 Verificar Instalação... 3 3. Download do Motor Periférico...

Leia mais

Capítulo 5 Métodos de Defesa

Capítulo 5 Métodos de Defesa Capítulo 5 Métodos de Defesa Ricardo Antunes Vieira 29/05/2012 Neste trabalho serão apresentadas técnicas que podem proporcionar uma maior segurança em redes Wi-Fi. O concentrador se trata de um ponto

Leia mais

Informática - Prof. Frank Mattos

Informática - Prof. Frank Mattos Informática - Prof. Frank Mattos Q298262 1. Por padrão, a lixeira do Windows 7 ocupa uma área correspondente a 10% do espaço em disco rígido do computador. Impressionante como essa informação está muito

Leia mais

MANUAL EXPORTAÇÃO IMPORTAÇÃO

MANUAL EXPORTAÇÃO IMPORTAÇÃO MANUAL EXPORTAÇÃO IMPORTAÇÃO Diretoria de Vigilância Epidemiológica/SES/SC 2006 1 Módulo 04 - Exportação e Importação de Dados Manual do SINASC Módulo Exportador Importador Introdução O Sistema SINASC

Leia mais

1 Instalação de Pacotes RPM no Metasys...2. 2 Contato...10

1 Instalação de Pacotes RPM no Metasys...2. 2 Contato...10 Sumário 1 Instalação de Pacotes RPM no Metasys...2 1.1 Compatibilidade...2 1.2 Instalação...2 1.2.1 Verificando a localização do arquivo...2 1.2.2 Movendo o arquivo...3 1.2.3 Instalando o pacote...4 1.3

Leia mais

Procedimentos para Instalação da DES 3.0.

Procedimentos para Instalação da DES 3.0. Procedimentos para Instalação da DES 3.0. 1. Acessar o portal BHISSDigital e acessar o menu Sistemas->DES->Instalação >Instalação conforme indicação abaixo: 2. Clicar no link assinalado abaixo: 3. Prosseguir

Leia mais

Manual de Operação do Sistema de Tickets Support Suite

Manual de Operação do Sistema de Tickets Support Suite Manual de Operação do Sistema de Tickets Support Suite Sumário Acessando a página do HelpDesk helpdesk.virtuem.com.br... 3 Criando um Ticket... 6 Visualizando Tickets Existentes... 9 Respondendo um Ticket...

Leia mais