OWASP: Introdução OWASP. The OWASP Foundation

Tamanho: px
Começar a partir da página:

Download "OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org"

Transcrição

1 : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The Foundation

2 O que é o? Open Web Application Security Project Promove o desenvolvimento seguro de software Orientado para o desenvolvimento de serviços baseados na web Focado principalmente em aspectos de desenvolvimento do que em web-design Um fórum aberto para discussão Um recurso gratuito e livre para qualquer equipa de desenvolvimento 2

3 O Que é? Open Web Application Security Project an open community dedicated to enabling organizations to develop, purchase, and maintain applications that can be trusted Promover o desenvolvimento seguro Auxiliar a tomada de decisão quanto ao risco Oferecer recursos gratuitos Promover a contribuição e partilha de informação 3

4 O que é o? Open Web Application Security Project Organização sem fins lucrativos, orientada para esforço voluntário Todos os membros são voluntários Todo o trabalho é doado por patrocinadores Oferecer recursos livres para a comunidade Publicações, Artigos, Normas Software de Testes e de Formação Chapters Locais & Mailing Lists Suportada através de patrocínios Suporte de empresas através de patrocínios financeiros ou de projectos Patrocínios pessoais por parte dos membros 4

5 Organização do Conferences Governance Wiki Tools Lists Books Community Chapter Leaders Project Leaders Foundation (501c3) Board of Directors (Williams, Wichers, Brennan, Cruz, and Deleersnyder) Board of Advisors Operations Director (McNamee) Technical Director (Casey)

6 O que é o? O que oferece? Publicações Top 10 Guide to Building Secure Web Applications Software WebGoat WebScarab olabs Projects.NET Projects Chapters Locais Orientação das comunidades locais 6

7 Ferramentas e Tecnologias Vulnerability Scanners Static Analysis Tools Fuzzing Penetration Testing Tools Code Review Tools ESAPI Automated Security Verification Manual Security Verification AppSec Libraries ESAPI Reference Implementation Guards and Filters Reporting Tools Flawed Apps Learning Environments Live CD SiteGenerator Secure Coding AppSec Management AppSec Education Security Architecture 7

8 Publicações Características Comuns Todas as publicações estão disponíveis para download gratuíto em Todas as publicações são licenciadas em GNU Lesser GNU Public License (LGPL), ou em GNU Free Documentation License (GFDL) Documentação viva Actualizada sempre que necessário Projectos evolutivos As publicações do são o resultado de trabalho cooperativo entre os membros 8

9 Publicações Top 10 Top 10 Web Application Security Vulnerabilities Uma lista dos 10 aspectos de segurança mais críticos Actualizado numa base annual Crescente aceitação pela indústria Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Está a ser adoptado como um standard de segurança para aplicações web 9

10 Publicações - Top 10 Top 10 (versão 2004) A1. Unvalidated Input A2. Broken Access Controls A3. Broken Authentication and Session Management A4. Cross Site Scripting Flaws A5. Buffer Overflows A6. Injection Flaws A7. Improper Error Handling A8. Insecure Storage A9. Denial of Service A10. Insecure Configuration Management 10

11 Publicações - Top 10 Top 10 (versão 2007) A1. Cross Site Scripting (XSS) A2. Injection Flaws A3. Malicious File Execution A4. Insecure Direct Object Reference A5. Cross Site Request Forgery (CSRF) A6. Information Leakage and Improper Error Handling A7. Broken Authentication and Session Management A8. Insecure Cryptographic Storage A9. Insecure Communications A10. Failure to Restrict URL Access 11

12 Publicações - Guide Guia para o Desenvolvimento Seguro de Web Apps Oferece um conjunto de linhas gerais para o desenvolvimento de software seguro Introdução à segurança em geral Introdução à segurança aplicacional Discute áreas-chave de implementação Arquitectura Autenticação Gestão de Sessões Controlo de Acesso e Autorização Registo de Eventos Validação de Dados Em contínuo desenvolvimento 12

13 Publicações Projectos em Curso Projectos em Curso Projecto de Métricas & Medidas Tenta desenvolver um conjunto de métricas de segurança que podem ser usadas para suportar decisões críticas de negócio Projecto de Testes Tenta produzir uma framework de boas práticas Tenta produzir uma framework de testes de baixo nível que permite identificar certos aspectos AppSec Faq FAQ para programadores que se foca em segurança aplicacional Oferece respostas a questões sobre segurança aplicacional 13

14 Software Características Comuns Todo o software é oferecido e pode ser obtido em O software está licenciado com uma licença GNU Lesser GNU Public License (LGPL) Projectos Activos Actualizados sempre que necessário Projectos em curso Multiplos programadores a contribuirem e a menterem O software pode ser descarregado livremente e pode ser usado por indivíduos e empresas 14

15 Software - WebGoat WebGoat Essencialmente é uma aplicação de treino Oferece Uma ferramenta educacional usada para ensinar e aprender sobre segurança aplicacional Uma ferramenta para testar ferrementas de segurança O que é? Uma aplicação web J2EE disposta em diversas Lições de Segurança Baseado no Tomcat e no JDK 1.5 Orientada para o ension Fácil de usar Ilustra cenários credíveis Ensina ataques realistas e soluções viáveis 15

16 Software - WebGoat WebGoat O que se pode aprender? Um número crescente de ataques e de soluções Cross Site Scripting SQL Injection Attacks Thread Safety Field & Parameter Manipulation Session Hijacking and Management Weak Authentication Mechanisms Mais ataques vão sendo adicionados Obter a ferramenta Descarregar, descomprimir, e executar 16

17 Software - WebScarab WebScarab Uma framework para analizar tráfego HTTP/HTTPS Escrito em Java Múltiplas utilizações Programador: fazer o debug das trocas entre o cliente e servidor Analista de Segurança: analiza o tráfego e identifica vulnerabilidades Ferramenta técnica Focada em programadores de software Arquitectura extensível de plug-ins Open source; de fácil expansão Poderosa Obter a ferramenta 17

18 Summer of Code SoC 2009 Projectos inovadores Alcançar qualidade para publicação 6 ferramentas/ 7 documentação Investimentos: Autumm of Code projetos / US$20K Spring of Code projetos / US$117K Summer of Code projetos / US$126K 18

19 Chapters locais da Desenvolvimento de comunidades Os Chapters locais proporcionam oportunidades para os membros poderem partilhar ideias e aprender mais sobre segurança da informação Aberto a *TODOS* Oferecer um fórum para discussão de assuntos em contextos locais/regionais Oferecer o local para convidados poderem apresentar novas ideias e projectos 19

20 Chapters locais da 20

21 em Números page views por mês 230 GB de download por mês utilizadores do wiki 200 actualizações por dia 124 capítulos (chapters) membros nas mailings lists 48 projectos de ferramentas e documentos 100 membros individuais 48 membros corporativos/educacionais 2 empregados 21

22 Chapters Locais da O que oferecem? Reuniões regulares Mailing Lists Apresentações e Grupos Ambientes independentes do vendedor Fóruns de discussão aberta 22

23 Chapters Locais da O que oferecem? Como contribuir? Através das ML, reuniões e dos grupos de discussão Os membros são encorajados a levantarem questões Os membros são encorajados a participar em projectos Contribuir para projectos existentes Propor novos projectos Lançar novas iniciativas O Chapter Local deve trabalhar no sentido de manter a organização como um recurso livre, aberto e orientado tecnicamente para o público em geral e para os membros 23

24 Patrocínios 24

25 Perguntas e Respostas 25

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

OWASP Portugal OWASP. The OWASP Foundation http://www.owasp.org

OWASP Portugal OWASP. The OWASP Foundation http://www.owasp.org Portugal Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or modify

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services Anatomia dos ataques em aplicativos para mobile banking Finance & Risk Services O que torna os dispositivos móveis tão diferentes dos computadores pessoais? Suas informações armazenadas no dispositivo

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org Modelo de processo para desenvolvimento de aplicações seguras Tarcizio Vieira Neto member SERPRO tarcizio.vieira@owasp.org AppSec LATAM 2011 06/10/2011 Copyright The Foundation Permission is granted to

Leia mais

Os Desafios da Segurança no Desenvolvimento com Métodos Ágeis. OWASP Education Project. The OWASP Foundation http://www.owasp.org

Os Desafios da Segurança no Desenvolvimento com Métodos Ágeis. OWASP Education Project. The OWASP Foundation http://www.owasp.org Os Desafios da Segurança no Desenvolvimento com Métodos Ágeis Education Project Rafael Dreher Porto Alegre Chapter - Co-founder Security Consultant @ Dell dreher@owasp.org Copyright 2007 The Foundation

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário CURSO PRÁTICO Application Virtualization 5.0 Nível: Básico / Intermediário Módulo 2 Pré-requisitos Índice Configurações Suportadas... 3 Management Server... 3 Publishing Server... 3 Reporting Server...

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Gestão de Segurança num Contexto de Contenção de Despesas

Gestão de Segurança num Contexto de Contenção de Despesas Gestão de Segurança num Contexto de Contenção de Despesas IDC 2011 Security is not a product it is a Process Bruce Schneier http://www.schneier.com Agenda: 1. Contexto 2. Certificados Digitais 3. Segurança

Leia mais

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web 2007 IBM Corporation Verdades Alarmantes Approximately 100 million Americans have been informed that they

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades Roteiro Heróis da Segurança OWASP DESENVOLVIMENTO SEGURO KleitorFranklint LíderOWASP CapítuloManaus Kleitor.franklint@owasp.org kleitor@prodam.am.gov.br A necessidade de Aplicações Seguras OWASP TOP 10

Leia mais

A segurança de informação é um tema cada vez mais atual nas organizações.

A segurança de informação é um tema cada vez mais atual nas organizações. Pós Graduação em Information Security Gestão - Pós-Graduações Com certificação Nível: Duração: 180h Sobre o curso A segurança de informação é um tema cada vez mais atual nas organizações. A competitividade

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

A plataforma. Sistemas de Gestão de Aprendizagem. Carlos Nunes csmnunes@gmail.com

A plataforma. Sistemas de Gestão de Aprendizagem. Carlos Nunes csmnunes@gmail.com A plataforma Sistemas de Gestão de Aprendizagem Carlos Nunes csmnunes@gmail.com O que é o Moodle? É um Sistema de Gestão de Aprendizagem (LMS) e de trabalho colaborativo, acessível através da Internet

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Informação Útil Já disponível o SP1 do Exchange Server 2003

Informação Útil Já disponível o SP1 do Exchange Server 2003 Novidades 4 Conheça as principais novidades do Internet Security & Acceleration Server 2004 Membro do Microsoft Windows Server System, o ISA Server 2004 é uma solução segura, fácil de utilizar e eficiente

Leia mais

Rede de Laboratórios de Produtividade de Software

Rede de Laboratórios de Produtividade de Software Rede de Laboratórios de Produtividade de Software Testes em aplicações WEB Uma Visão Geral Programa de Capacitação em Testes de Software Desktop system WEB system Ambiente de aplicativo da Web Rede de

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6

Cartão de Cidadão. Autenticação com o Cartão de Cidadão AMA. 20 de Novembro de 2007. Versão 1.6 Cartão de Cidadão Autenticação com o Cartão de Cidadão 20 de Novembro de 2007 Versão 1.6 AMA ÍNDICE 1. I TRODUÇÃO... 3 Modelo base de Autenticação... 3 Modelo de Autenticação Federado... 4 2. AUTE TICAÇÃO

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Guia de Preparação. EXIN Secure Programming Fundamentos

Guia de Preparação. EXIN Secure Programming Fundamentos Guia de Preparação EXIN Secure Programming Fundamentos Edição Abril 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicada, reproduzida, copiada ou armazenada

Leia mais

JSF - Controle de Acesso FERNANDO FREITAS COSTA

JSF - Controle de Acesso FERNANDO FREITAS COSTA JSF - Controle de Acesso FERNANDO FREITAS COSTA ESPECIALISTA EM GESTÃO E DOCÊNCIA UNIVERSITÁRIA JSF Controle de Acesso Antes de iniciarmos este assunto, é importante conhecermos a definição de autenticação

Leia mais

Visual Studio Team System 2008 Test Edition com MSDN Premium. Visual Studio Team System 2008 Architecture Edition com MSDN Premium

Visual Studio Team System 2008 Test Edition com MSDN Premium. Visual Studio Team System 2008 Architecture Edition com MSDN Premium PROFISSIONAIS System subscrição System com System Architecture com System Test com System com Projectos de base de dados com integração sistema de versões de todos os objectos e suporte para representação

Leia mais

Provedor e-mail. Políticas Convivência. Anti-SPAM. Políticas em e-mails. Caso Snowden. Prof. Enzo Seraphim. Decreto 8135/2013

Provedor e-mail. Políticas Convivência. Anti-SPAM. Políticas em e-mails. Caso Snowden. Prof. Enzo Seraphim. Decreto 8135/2013 Provedor e-mail Políticas Convivência Anti-SPAM Caso Snowden Decreto 8135/2013 Políticas em e-mails Prof. Enzo Seraphim Tipos de Provedores Provedor e-mail Políticas Convivência Anti-SPAM Caso Snowden

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

1. Configurando uma VPN IPSec Openswan no SUSE Linux 9.3

1. Configurando uma VPN IPSec Openswan no SUSE Linux 9.3 1. Configurando uma VPN IPSec Openswan no SUSE Linux 9.3 1.1. Termos de Uso Nota de Copyright Copyright (c) 2007 Linux2Business. Permission is granted to copy, distribute and/or modify this document under

Leia mais

SQL Injection Amplifying Data Leakage OWASP. The OWASP Foundation http://www.owasp.org. Ulisses Castro Security Researcher uss.castro@gmail.

SQL Injection Amplifying Data Leakage OWASP. The OWASP Foundation http://www.owasp.org. Ulisses Castro Security Researcher uss.castro@gmail. SQL Injection Amplifying Data Leakage Ulisses Castro Security Researcher uss.castro@gmail.com Copyright 2007 The Foundation Permission is granted to copy, distribute and/or modify this document under the

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

3 Serviços na Web (Web services)

3 Serviços na Web (Web services) 3 Serviços na Web (Web services) 3.1. Visão Geral Com base na definição do Word Wide Web Consortium (W3C), web services são aplicações autocontidas, que possuem interface baseadas em XML e que descrevem

Leia mais

J. M. Silveira Neto. Sun Campus Ambassador. silveiraneto@gmail.com jose.neto@sun.com http://silveiraneto.net

J. M. Silveira Neto. Sun Campus Ambassador. silveiraneto@gmail.com jose.neto@sun.com http://silveiraneto.net Uma olhada no Netbeans 6 J. M. Silveira Neto Sun Campus Ambassador silveiraneto@gmail.com jose.neto@sun.com http://silveiraneto.net Agenda O que é o Netbeans? Adquira o Netbeans Editor de Código Mais Funcionalidades

Leia mais

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS UNIVERSIDADE FEDERAL DE PERNAMBUCO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CENTRO DE INFORMÁTICA VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS PARA APOIO AO PROCESSO DE DESENVOLVIMENTO DE SOFTWARE

Leia mais

OpenACS e as Comunidades Virtuais

OpenACS e as Comunidades Virtuais OpenACS e as Comunidades Virtuais Eduardo Santos eduardo.edusantos@gmail.com eduardosantos@previdencia.gov.br www.softwarepublico.gov.br www.eduardosan.com O que é o OpenACS Uma comunidade de desenvolvedores

Leia mais

IDE_CIMAC O OSGeo na disponibilização de IG aos municípios do Alentejo Central. Teresa Batista, Cristina Carriço e Duarte Carreira CIMAC

IDE_CIMAC O OSGeo na disponibilização de IG aos municípios do Alentejo Central. Teresa Batista, Cristina Carriço e Duarte Carreira CIMAC IDE_CIMAC O OSGeo na disponibilização de IG aos municípios do Alentejo Central Teresa Batista, Cristina Carriço e Duarte Carreira CIMAC O projecto IDE CIMAC Enquadramento e objectivos Componentes da solução

Leia mais

Librix AD: um Software Livre para Administração de Diretórios LDAP Distribuídos

Librix AD: um Software Livre para Administração de Diretórios LDAP Distribuídos Librix AD: um Software Livre para Administração de Diretórios LDAP Distribuídos Cláudio Siqueira de Carvalho e Celmar Guimarães da Silva Laboratório de Administração e Segurança de Sistemas (LAS) Instituto

Leia mais

SIBS PROCESSOS cria solução de factura electrónica com tecnologias Microsoft

SIBS PROCESSOS cria solução de factura electrónica com tecnologias Microsoft SIBS PROCESSOS cria solução de factura electrónica com tecnologias Microsoft A solução MB DOX oferece uma vantagem competitiva às empresas, com a redução do custo de operação, e dá um impulso à factura

Leia mais

ANEXO I TERMO DE REFERÊNCIA

ANEXO I TERMO DE REFERÊNCIA ANEXO I TERMO DE REFERÊNCIA OBJETO CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA Contratação de

Leia mais

BPM Business Process Management. Associação Portuguesa dos Profissionais de

BPM Business Process Management. Associação Portuguesa dos Profissionais de Associação Portuguesa dos Profissionais de Gestão de Processos de Negócio 28 de Junho 2011 Há um novo profissional no mundo actual dos negócios, o profissional de processos de negócio. O trabalho que realizam

Leia mais

O papel da Economia Digital na Dinamização do Interior. Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com

O papel da Economia Digital na Dinamização do Interior. Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com O papel da Economia Digital na Dinamização do Interior Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com Índice Economia Digital Economia Digital Impactos Economia Open Source - Impactos

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

Com esta tecnologia Microsoft, a PHC desenvolveu toda a parte de regras de negócio, acesso a dados e manutenção do sistema.

Com esta tecnologia Microsoft, a PHC desenvolveu toda a parte de regras de negócio, acesso a dados e manutenção do sistema. Caso de Sucesso Microsoft Canal de Compras Online da PHC sustenta Aumento de 40% de Utilizadores Registados na Área de Retalho Sumário País: Portugal Industria: Software Perfil do Cliente A PHC Software

Leia mais

Adotando OpenEdge Architect. Luciano Oliveira Sr. Instructor, Consultant Global Field Services

Adotando OpenEdge Architect. Luciano Oliveira Sr. Instructor, Consultant Global Field Services Adotando OpenEdge Architect Luciano Oliveira Sr. Instructor, Consultant Global Field Services Agenda Antes do OpenEdge Architect Por quê OpenEdge Architect? Adotando o OpenEdge Architect Integrar às Customizações

Leia mais

Software livre em ambiente corporativo

Software livre em ambiente corporativo Software livre em ambiente corporativo Cleuton Sampaio Cleuton Sampaio Número: 1/45 $ whoami Cleuton Sampaio, M.Sc., PMP, SCEA Cleuton.sampaio@gmail.com Número: 2/45 $ whoami Participante e desenvolvedor

Leia mais

Microsoft TechDays 2007 - Lisboa

Microsoft TechDays 2007 - Lisboa DEV016 Desenvolvimento de Web Sites Só com Ferramentas Gratuitas Hugo Silva hugos@evidensys.com Partner - EVIDENSYS Patrocinadores Agenda Open source vs. Grátis Camadas de Aplicações (LAMP vs. WISA) As

Leia mais

Vulnerabilidades de Software e Formas de Minimizar suas Explorações. Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2

Vulnerabilidades de Software e Formas de Minimizar suas Explorações. Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2 Vulnerabilidades de Software e Formas de Minimizar suas Explorações Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2 1 LAC - Laboratório Associado de Computação e Matemática Aplicada INPE

Leia mais

Certificado de Profissional em Gerenciamento de Serviços: Liberação & Controle (baseado em ITIL )

Certificado de Profissional em Gerenciamento de Serviços: Liberação & Controle (baseado em ITIL ) Requisitos do Exame Certificado de Profissional em Gerenciamento de Serviços: Liberação & Controle (baseado em ITIL ) Data da Publicação 21-8-2007 Data de Início 1-12-2004 Grupo Alvo O Exame para o Profissional

Leia mais

Você encontra a ultima versão estável do Blender disponível para download na página Get Blender no site oficial.

Você encontra a ultima versão estável do Blender disponível para download na página Get Blender no site oficial. O que é Blender? O Blender é uma ferramenta que permite a criação de vastos conteúdos de 3D. Oferece funcionalidades completas para modelagem, renderização, animação, pós-produção, criação e visualização

Leia mais

Modelo de Alianças & Parcerias. Esri Portugal 2012

Modelo de Alianças & Parcerias. Esri Portugal 2012 Modelo de Alianças & Parcerias Esri Portugal 2012 EPN programa global de parceiros para empresas que desenvolvem e fornecem soluções e serviços SIG baseados em software Esri Um modelo baseado em experiências,

Leia mais

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems Testes de segurança Conferência Código Seguro 25 Nov 2004 Dependable Technologies for Critical Systems Copyright Critical Software S.A. 1998-2004 All Rights Reserved. Agenda O que é segurança Tipo de segurança

Leia mais

Engenharia de Software

Engenharia de Software Engenharia de Software Capítulo 3 Processos de Software Slides do Livro do Sommerville, 2000 Disponíveis em inglês em www.software-engin.com Traduzidos por Jacinta Pereira Graduando do Curso de Letras

Leia mais

jshield: Uma Solução Open Source para Segurança de Aplicações Web

jshield: Uma Solução Open Source para Segurança de Aplicações Web jshield: Uma Solução Open Source para Segurança de Aplicações Web Márcio A. Macêdo², Ricardo G. Queiroz¹, Julio C. Damasceno² ¹Centro de Ensino Unificado de Teresina (CEUT) Av. dos Expedicionários, 790

Leia mais

Microsoft Services Provider License Program

Microsoft Services Provider License Program Microsoft Services Provider License Program Agenda Programa SPLA Service Provider License Agreement O que é um Fornecedor de Serviços? O que são Serviços de Software? O que é o SPLA? O SPLA é a oferta

Leia mais

Programador Mobile (m/f) Lisboa. Prestigiada Instituição Financeira pretende reforçar a sua equipa de sistemas de informação.

Programador Mobile (m/f) Lisboa. Prestigiada Instituição Financeira pretende reforçar a sua equipa de sistemas de informação. Programador Mobile (m/f) Prestigiada Instituição Financeira pretende reforçar a sua equipa de sistemas de informação. Inserido na equipa de desenvolvimento aplicacional e em estreita colaboração com o

Leia mais

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações

Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações Instituto de Ciências Exatas Departamento de Ciência da Computação Curso de Especialização em Gestão da Segurança da Informação e Comunicações MARCOS PONTES DA SILVA Java EE e a Segurança Cibernética atuando

Leia mais

20000 Lead Implementer

20000 Lead Implementer ANSI Accredited Program BEHAVIOUR ISO Lead PARA IMPLEMENTAR E GERIR SISTEMAS DE GESTÃO DE SERVIÇOS (SGS) BASEADOS NA NORMA ISO Sobre o curso Este curso intensivo com duração de cinco dias, permite aos

Leia mais

Relatório Preliminar de. Projecto em Contexto Empresarial I. VoIP Desenvolvimento de Aplicações em Plataformas Open Source

Relatório Preliminar de. Projecto em Contexto Empresarial I. VoIP Desenvolvimento de Aplicações em Plataformas Open Source Relatório Preliminar de Projecto em Contexto Empresarial I VoIP Desenvolvimento de Aplicações em Plataformas Open Source Cândido Silva Av. dos Descobrimentos, 333 4400-103 Santa Marinha - Vila Nova de

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

João Matias. Managing Director Oracle Portugal

João Matias. Managing Director Oracle Portugal João Matias Managing Director Oracle Portugal Pontos de Partida. Para onde Vamos? Evolução. Estratégia. Desafios. A vida começa aos quarenta... Evolução O passado recente dos ambientes de IT Best of Breed

Leia mais

Sem o recurso às tecnologias disponibilizadas pela Microsoft, a solução criada seria difícil de obter num tão curto espaço de tempo.

Sem o recurso às tecnologias disponibilizadas pela Microsoft, a solução criada seria difícil de obter num tão curto espaço de tempo. Caso de Sucesso Microsoft Finsolutia cria solução completa de suporte ao negócio com.net Framework 3.5 Sumário País: Portugal Indústria: Banking&Finance Perfil do Cliente A Finsolutia é uma joint venture

Leia mais

IBM Rational Quality Manager. Felipe Freire IBM Rational pfreire@br.ibm.com

IBM Rational Quality Manager. Felipe Freire IBM Rational pfreire@br.ibm.com Gerenciamento de Qualidade IBM Rational Quality Manager Felipe Freire IBM Rational pfreire@br.ibm.com Introdução Jazz Rational Quality Manager Demonstração Agenda 2 Teste de software?!? O que é? Para que

Leia mais

Apresentação do MOODLE. Educação do século XXI

Apresentação do MOODLE. Educação do século XXI Apresentação do MOODLE Educação do século XXI Software social e e-learning Talvez seja o momento de fazer algo nas suas disciplinas! O que pretende do seu sistema de aprendizagem on-line? Fácil criação

Leia mais

Windows Server 2012 Perguntas frequentes sobre o licenciamento e os preços

Windows Server 2012 Perguntas frequentes sobre o licenciamento e os preços Windows Server 2012 Perguntas frequentes sobre o licenciamento e os preços Sumário WINDOWS SERVER 2012 PERGUNTAS FREQUENTES SOBRE O LICENCIAMENTO E OS PREÇOS... 1 WINDOWS SERVER 2012 DATACENTER E STANDARD...

Leia mais

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK A Norma ISO/IEC 20000:2011 Information technology Service management Part 1: Service management system requirements é uma Norma de Qualidade que

Leia mais

IT SEGURANÇA. Luanda 26, 27 e 28 de Setembro de 2011 PROGRAMA

IT SEGURANÇA. Luanda 26, 27 e 28 de Setembro de 2011 PROGRAMA 1ª Edição Como Desenhar e Implementar uma estratégia IT SEGURANÇA Evite riscos e garanta a continuidade do negócio REQUISITOS LEGAIS /ANÁLISE DE RISCO / GESTÃO DE RISCO DISASTER RECOVERY PLAN / AUDITORIA

Leia mais

Ficha prática nº 7. SGBD Microsoft Access e SQL Server

Ficha prática nº 7. SGBD Microsoft Access e SQL Server Instituto Superior Politécnico de Viseu Escola Superior de Tecnologia Departamento de Informática Ficha prática nº 7 SGBD Microsoft Access e SQL Server Objectivo: Criação de uma aplicação em arquitectura

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007. Brasil ca.com/education 0800-121502

CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007. Brasil ca.com/education 0800-121502 CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007 Brasil ca.com/education 0800-121502 Venha Para a Fonte Preferida de Treinamento Para Software de Gerenciamento de TI e Melhores Práticas

Leia mais

Segurança de Sistemas

Segurança de Sistemas Faculdade de Tecnologia Senac Pelotas Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas Segurança de Sistemas Prof. Edécio Fernando Iepsen Segurança de Sistemas Verificar e definir

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

S o f t w a r e L i v r e e S u m m e r o f C o d e. Adriano Monteiro Marques

S o f t w a r e L i v r e e S u m m e r o f C o d e. Adriano Monteiro Marques <py.adriano@gmail.com> S o f t w a r e L i v r e e S u m m e r o f C o d e Adriano Monteiro Marques A g e n d a Software Livre Vantagens Mitos e Verdades Como fazer dinheiro com Software Livre Summer of

Leia mais

Informação legal... 4 Frequently Asked Questions (FAQ)... 6 Quickstart Tutorial... 9

Informação legal... 4 Frequently Asked Questions (FAQ)... 6 Quickstart Tutorial... 9 Índice Introdução ao ELMS e ao MSDNAA... 3 Informação legal... 4 Frequently Asked Questions (FAQ)... 6 Quickstart Tutorial... 9 O presente documento destina se a auxiliar todos os alunos que sejam beneficiários

Leia mais

OpenACS e as Comunidades Virtuais

OpenACS e as Comunidades Virtuais OpenACS e as Comunidades Virtuais Eduardo Santos eduardo.edusantos@gmail.com eduardosantos@previdencia.gov.br www.softwarepublico.gov.br eduardosan.wordpress.com O que é o OpenACS Uma comunidade de desenvolvedores

Leia mais

Software Engineer (m/f) Lisboa

Software Engineer (m/f) Lisboa Software Engineer (m/f) Software house em forte expansão no mercado nacional e internacional procura profissional para a posição de Software Engineer. Alocado a projectos na área financeira o profissional

Leia mais