segurança em aplicações web

Tamanho: px
Começar a partir da página:

Download "segurança em aplicações web"

Transcrição

1 segurança em aplicações web myke hamada mykesh <at> gmail 1

2 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2

3 agenda introdução ontem e hoje input validation security on ruby on rails ferramentas considerações finais conclusão referências sql injection xss csrf 3

4 introdução web application é um alvo fácil sql injection é uma tecnica bem documentada muitos desenvolvedores de software não tem uma real definição do que é sql injection ou xss não é objetivo desta apresentação mostrar técnicas de invasão, mas sim como previnir ataques 4

5 ontem páginas estáticas poucas tecnologias outros alvos 5

6 hoje sites dinâmicos muitas ferramentas novos vetores de ataque informação muito fácil baixo conhecimento 6

7 hoje (cont) owasp top 10 7

8 input validation você valida de que lado? números devem números strings devem ser strings o dado que é recebido é válido? o formato do dado é válido? codificação / decodificação não esqueça de validar os dados de saída!!! 8

9 security on ror convenção sobre configuração rails (novembro/2007) componentes de validação model: sql injection view: xss controller: métodos (insecure object reference) e csrf 9

10 security on ror (cont) evite: strip_tags strip_links sanitize alternativas: white_list html_escape validates_ _veracity_of validates_ _format_of redcloth safe_erb csrf_killer 10

11 sql injection o comando inserido na entrada é interpretado como parte do código o interpretador entende o código de entrada como um comando comando é executado pelo interpretador impacto: criar, ler, atualizar e excluir dados é possível alterar a aplicação/s.o. e fazer o bypass de todos os controles de firewall/ips 11

12 model: sql injection .find_all "owner_id = 123 AND subject = "owner_id = 123 AND subject = '' OR 1 --'' subject .find_all [ "owner_id = 123 AND subject =?", subject ] 12

13 cross site scripting? xss? css? activex / javascript / vbscript / html / flash / pdf web application recebe a informação (link) codifica a parte maliciosa do link o link altera a cara do site forum e guesbooks 13

14 xss (cont) to XSS');</script> account hijacking false advertising user settings cookie 14

15 view: xss %> <script>alert( document.cookie )</script> <%=h post.subject %> <%=h post.text %> 15

16 csrf web browser carrega um site malicioso web browser envia solicitações http para um outro site tag IMG ou FORM / javascript impacto: acesso a conta bancária, envio de comentários, acesso a lista de s, compras online 16

17 csrf site darth vader vítim a 4 site dory 17

18 controller: csrf cuidado com controller/:action use: hide_action <img src="http://rails/order/20/delete" /> solução: use o plugin csrf_killer 18

19 ferramentas web inspect acunetix watchfire appscan n-stalker hacker safe metasploit framework nikto / wikto paros proxy web scarab w3af priamos nessus burp 19

20 considerações finais utilize filtros de validação root/sys/sa/admin/dba. nunca serão! negar acesso a s.p. e a ferramentas de admin chroot neles!!! cuidado com url parameter captcha auditar o código ids/ips hardening head, put, delete, trace 20

21 conclusão desenvolver código seguro é fácil priorize áreas críticas do negócio treinamento least privilege web application firewall sql proxy faça muitos testes, mas defina um escopo coma tecnologia com farofa 21

22 referências manuals.rubyonrails.com/read/chapter/40 jeremiahgrossman.blogspot.com railsify.com/categories/security-production mysqlsecurity.com ha.ckers.org/xss.html svn.techno-weenie.net/projects/plugins ferruh.mavituna.com/makale/sql-injection-cheatsheet 22

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA

Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites

Patrocinadores. Microsoft TechDays 2007 - Lisboa. DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites Rui Quintino rui.quintino@devscope.net Arquitecto Software, DevScope Patrocinadores DEV013 0wn3d: Hacking ainda mais fácil em AJAX Web Sites? Rui

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP Aprenda a criar Websites dinâmicos e interativos com PHP e bancos de dados Juliano Niederauer 19 Capítulo 1 O que é o PHP? O PHP é uma das linguagens mais utilizadas na Web.

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19

Sumário. Parte I Introdução 21. 1 Introdução 15 1.1 O Rails é ágil... 17 1.2 Explorando o conteúdo... 18 1.3 Agradecimentos... 19 Sumário 1 Introdução 15 1.1 O Rails é ágil.......................................................... 17 1.2 Explorando o conteúdo................................................... 18 1.3 Agradecimentos........................................................

Leia mais

V1.1 SITE EM UM SITE 11/2015 MINUTOS APRENDA A PROGRAMAR IMAGINE FAZER O SEU PRIMEIRO PROGRAMA EM 180 SEGUNDOS WWW.DESAFIO3MINUTOS.COM.

V1.1 SITE EM UM SITE 11/2015 MINUTOS APRENDA A PROGRAMAR IMAGINE FAZER O SEU PRIMEIRO PROGRAMA EM 180 SEGUNDOS WWW.DESAFIO3MINUTOS.COM. 11/2015 UM SITE SITE EM EM UM 3 APRENDA A PROGRAMAR IMAGINE FAZER O SEU PRIMEIRO PROGRAMA EM 180 SEGUNDOS MINUTOS V1.1 WWW.DESAFIO3MINUTOS.COM.BR ELIELBARONE RUBY ON RAILS O que é? Ruby on Rails é um framework,

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Associação Carioca de Ensino Superior Centro Universitário Carioca

Associação Carioca de Ensino Superior Centro Universitário Carioca Desenvolvimento de Aplicações Web Lista de Exercícios Métodos HTTP 1. No tocante ao protocolo de transferência de hipertexto (HTTP), esse protocolo da categoria "solicitação e resposta" possui três métodos

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Segredos do Hacker Ético

Segredos do Hacker Ético Marcos Flávio Araújo Assunção Segredos do Hacker Ético 2 a Edição Visual Books Sumário Prefácio... 21 Introdução... 23 1 Entendendo o Assunto... 25 1.1 Bem-vindo ao Obscuro Mundo da Segurança Digital...25

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Conceitos de Ajax Exemplos de uso do Ajax no braço, muitos exemplos, muito código (HTML, CSS, JavaScript, PHP, XML, JSON)

Conceitos de Ajax Exemplos de uso do Ajax no braço, muitos exemplos, muito código (HTML, CSS, JavaScript, PHP, XML, JSON) Márcio Koch 1 Currículo Formado na FURB em Ciência da Computação Pós graduado em Tecnologias para o desenvolvimento de aplicações web Mestrando em Computação Gráfica na UDESC Arquiteto de software na Senior

Leia mais

Desenvolvendo Websites com PHP

Desenvolvendo Websites com PHP Desenvolvendo Websites com PHP 2ª Edição Juliano Niederauer Novatec Copyright 2009, 2011 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução

Leia mais

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 14 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Atualizado em 9 de outubro de 2007

Atualizado em 9 de outubro de 2007 2 Nettion R Copyright 2007 by Nettion Information Security. Este material pode ser livremente reproduzido, desde que mantidas as notas de copyright e o seu conteúdo original. Envie críticas e sugestões

Leia mais

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) 05/12/2009 Ricardo Kléber M. Galvão rk@cefetrn.br Aplicações Web Modernas (3 Camadas) Cliente Aplicação Web Browser Microsoft IIS

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br IntroduçãoàTecnologiaWeb TiposdeSites ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br TiposdeSites Índice 1 Sites... 2 2 Tipos de Sites... 2 a) Site

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Use a Cabeça! FREEMAN, Eric e Elisabeth. HTML com CSS e XHTML BASHMAN, Brian / SIERRA Kathy / BATES, Bert. Servlets & JSP

Use a Cabeça! FREEMAN, Eric e Elisabeth. HTML com CSS e XHTML BASHMAN, Brian / SIERRA Kathy / BATES, Bert. Servlets & JSP Use a Cabeça! FREEMAN, Eric e Elisabeth. HTML com CSS e XHTML BASHMAN, Brian / SIERRA Kathy / BATES, Bert. Servlets & JSP Software cliente: browser e outros Protocolo HTTP Infraestrutura de transporte

Leia mais

Sistemas Distribuídos. Professora: Ana Paula Couto DCC 064

Sistemas Distribuídos. Professora: Ana Paula Couto DCC 064 Sistemas Distribuídos Professora: Ana Paula Couto DCC 064 Sistemas Distribuídos Basedos na Web Capítulo 12 Agenda Arquitetura Processos Comunicação Nomeação Sincronização Consistência e Replicação Introdução

Leia mais

Introdução. Nesta guia você aprenderá:

Introdução. Nesta guia você aprenderá: 1 Introdução A criação de uma lista é a primeira coisa que devemos saber no emailmanager. Portanto, esta guia tem por objetivo disponibilizar as principais informações sobre o gerenciamento de contatos.

Leia mais

Manual de Boas Maneiras no E-mail Marketing

Manual de Boas Maneiras no E-mail Marketing Manual de Boas Maneiras no E-mail Marketing Conheça alguns cuidados que você precisa ter quando elaborar suas campanhas de e- mail marketing. A MailSender elaborou para você um breve manual com as melhores

Leia mais

Desenvolvedor Web Docente André Luiz Silva de Moraes

Desenvolvedor Web Docente André Luiz Silva de Moraes Roteiro 2: Introdução a Linguagem HTML Neste roteiro é explorada a linguagem HTML. A linguagem HTML (Hypertext Markup Language) é amplamente utilizada na construção de páginas de internet e é responsável

Leia mais

World Wide Web e Aplicações

World Wide Web e Aplicações World Wide Web e Aplicações Módulo H O que é a WWW Permite a criação, manipulação e recuperação de informações Padrão de fato para navegação, publicação de informações e execução de transações na Internet

Leia mais

Sistemas para internet e software livre

Sistemas para internet e software livre Sistemas para internet e software livre Metodologia de modelagem de aplicações WEB Image: FreeDigitalPhotos.net Domínio: Elementos de aplicação WEB Páginas Web Scripts Formulários Applets e ActiveX Motivação

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Site Estático Site Dinâmico Objetivos de Websites (tipos por finalidade)

Site Estático Site Dinâmico Objetivos de Websites (tipos por finalidade) A2 Site Estático Site Dinâmico Objetivos de Websites Ferramentas Plano de Vôo Aulas 1 ministrada pela prof. Tatiana Site Estático Site Dinâmico Objetivos de Websites (tipos por finalidade) (AWStats, Webalizer,

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Segurança em Informática

Segurança em Informática Especialização em Gestão das Tecnologias na Educação Básica Disciplina: Informática Aplicada a Educação Prof. Walteno Martins Parreira Júnior Segurança em Informática Inicialmente, responda o questionário

Leia mais

Desenvolvimento de Sites com PHP e Mysql Docente André Luiz Silva de Moraes

Desenvolvimento de Sites com PHP e Mysql Docente André Luiz Silva de Moraes Roteiro 2: Introdução a Linguagem HTML Desenvolvimento de Sites com PHP e Mysql Neste roteiro é explorada a linguagem HTML. A linguagem HTML (Hypertext Markup Language) é amplamente utilizada na construção

Leia mais

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 CONTEÚDO PROGRAMÁTICO Módulo 1: Explorando ASP.NET MVC4 O Objetivo Deste módulo de e delinear AOS Alunos OS Componentes da Pilha de Tecnologias

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 13 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

O que é o JavaScript?

O que é o JavaScript? JavaScript Introdução O JavaScript é utilizado por milhões de páginas na web para melhorar o design, validar forms, e muito mais O JavaScript foi inicialmente desenvolvido pela Netscape e é a linguagem

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Desenvolvimento de Aplicações para Internet Aula 11

Desenvolvimento de Aplicações para Internet Aula 11 Desenvolvimento de Aplicações para Internet Aula 11 Celso Olivete Júnior olivete@fct.unesp.br www.fct.unesp.br/docentes/dmec/olivete jquery Na aula passada: Selecionando atributos Manipulando CSS Inserindo

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

WEBDESIGN. Professor: Paulo Trentin paulo@paulotrentin.com.br http://www.paulotrentin.com.br Escola CDI de Videira

WEBDESIGN. Professor: Paulo Trentin paulo@paulotrentin.com.br http://www.paulotrentin.com.br Escola CDI de Videira WEBDESIGN Professor: Paulo Trentin paulo@paulotrentin.com.br http://www.paulotrentin.com.br Escola CDI de Videira 1 CDI - Curso de Webdesign - Prof. Paulo Trentin Objetivos para esta aula Debater sobre

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Manual do Nscontrol Principal Senha Admin Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização Aqui, você poderá selecionar quais programas você quer que

Leia mais

Práticas de Desenvolvimento de Software

Práticas de Desenvolvimento de Software Aula 8. 13/04/2015. Práticas de Desenvolvimento de Software Aula 8 - Arquitetura e infraestrutura de aplicações Web. Oferecimento Modelo cliente-servidor (1) Cliente Rede scheme://domain:port/path?query_string#fragment_id

Leia mais

Prof.: MARCIO HOLLWEG mhollweg@terra.com.br

Prof.: MARCIO HOLLWEG mhollweg@terra.com.br INFORMÁTICA Prof.: MARCIO HOLLWEG mhollweg@terra.com.br CONCEITOS DE INTERNET E INTRANET CONCEITOS DE INTERNET E INTRANET INTERNET => CONJUNTO DE REDES LIGANDO COMPUTADORES MUNDO A FORA. INTRANET => REDE

Leia mais

Apresentação de REDES DE COMUNICAÇÃO

Apresentação de REDES DE COMUNICAÇÃO Apresentação de REDES DE COMUNICAÇÃO Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos MÓDULO VII Acesso a Bases de Dados via Web Duração: 50 tempos Conteúdos (1) Conceitos

Leia mais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com

Leia mais

Algumas das características listada nela:

Algumas das características listada nela: Fazendo varredura e levantando vulnerabilidades com Nikto 5 DE NOVEMBRO DE 2015 O Nikto é uma ferramenta em Perl desenvolvida por Chris Solo e David Lodge, a qual foi escrita para validação de vulnerabilidade

Leia mais

JSF e PrimeFaces. Professor: Ricardo Luis dos Santos IFSUL Campus Sapucaia do Sul

JSF e PrimeFaces. Professor: Ricardo Luis dos Santos IFSUL Campus Sapucaia do Sul JSF e PrimeFaces Professor: Ricardo Luis dos Santos IFSUL 2015 Agenda Introdução Desenvolvimento Web Java Server Faces Exercício 2 Introdução Ao longo dos anos diversas linguagens de programação foram

Leia mais

AJAX no GASweb. Mas e afinal, para que usamos o AJAX?

AJAX no GASweb. Mas e afinal, para que usamos o AJAX? Nível - Avançado AJAX no GASweb Por: Pablo Hadler AJAX (Asynchronous Javascript and XML) foi criado com o princípio de ser uma maneira rápida e otimizada de podermos fazer requisições Web, sendo esta totalmente

Leia mais

www.coldfusionbrasil.com.br

www.coldfusionbrasil.com.br www.coldfusionbrasil.com.br 2000 PASSANDO VARIÁVEIS ATRAVÉS DE FORM E URL 3 ALTERA.CFM 3 FORMALTERA.CFM 4 ALTERA.CFM 4 FORMALTERA.CFM 4 CRIANDO E MANIPULANDO VARIÁVEIS COM CFSET 4 VALORES ESTÁTICOS 5 PARÂMETROS

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

INFORMÁTICA PARA CONCURSOS

INFORMÁTICA PARA CONCURSOS INFORMÁTICA PARA CONCURSOS Professor: Alessandro Borges Aluno: Turma: INTERNET PRINCIPAIS CONCEITOS Introdução a Internet Atualmente a Internet é conhecida como rede mundial de comunicação, mas nem sempre

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Fundamentos de Ethical Hacking EXIN

Fundamentos de Ethical Hacking EXIN Exame Simulado Fundamentos de Ethical Hacking EXIN Edição Augusto 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Coleção - Análises de email marketing em clientes de email

Coleção - Análises de email marketing em clientes de email Coleção - Análises de email marketing em clientes de email Introdução Nesta sexta e penúltima edição da Coletânea de Análises de Email Marketing em Clientes de Email, apresentamos os estudos dos clientes

Leia mais

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25 9 Sobre o autor... 8 Introdução... 15 Capítulo 1 O que é o PHP?... 19 Características do PHP...20 Gratuito e com código aberto...20 Embutido no HTML...20 Baseado no servidor...21 Bancos de dados...22 Portabilidade...22

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO Cursos De Extensão - 2010 Aplicativos Google na Educação: Como utilizar recursos do Google na relação Ensino/Aprendizagem 10h A utilização de Novas Tecnologias de Informação e Comunicação (NTICs) como

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais