Fonte: - Illustration by Gaich Muramatsu

Tamanho: px
Começar a partir da página:

Download "Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu"

Transcrição

1 Fonte: - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de vulnerabilidade do aplicativo. Ameaças por categoria de vulnerabilidade do aplicativo: Categoria de dados Autenticação Autorização Gerenciamento de Configuração Ameaça Estouro de buffer; XSS (Cross Site Scripting); injeção de código SQL; canonização Espionagem de rede; ataques de força bruta; ataques de dicionário; repetição de cookie; roubo de credencial Elevação de privilégio; divulgação de dados confidenciais; violação de dados; ataques "luring". Acesso não autorizado a interfaces de administração; acesso não autorizado a armazenamentos de configuração; recuperação de dados de configuração em texto não criptografado; falta de responsabilidade individual; contas de processo e serviço muito privilegiadas. 2 1

2 Ameaças por categoria de vulnerabilidade do aplicativo: Categoria Dados Confidenciais Gerenciamento de Sessão Criptografia Manipulação de Parâmetros Ameaça Acessar dados confidenciais em armazenamento; espionagem na rede, violação de dados Seqüestro de sessão; repetição de sessão, interceptação Geração de chave ou gerenciamento de chave de baixa segurança; criptografia de baixa segurança ou personalizada Manipulação de seqüência de caracteres para consulta; manipulação de campo de formulário; manipulação de cookie, manipulação do cabeçalho HTTP. 3 Ameaças por categoria de vulnerabilidade do aplicativo: Categoria Gerenciamento de Exceção Auditoria e Log Ameaça Divulgação de informações; negação de serviço O usuário nega a realização de uma operação, o invasor explora um aplicativo sem rastreamento; o invasor encobre seus rastros 4 2

3 A é uma questão de segurança na qual um invasor descobre que seu aplicativo faz suposições infundadas sobre o tipo, o tamanho, o formato ou o intervalo de dados de entrada. O invasor pode fornecer cuidadosamente uma entrada adulterada afim de comprometer seu aplicativo. As principais vulnerabilidades da categoria são: - Estouros de Buffer - XSS (Cross-Site Scripting) -Injeção de Código SQL - Canonização 5 - Estouros de Buffer (Buffer Overflow) As vulnerabilidades de estouro de buffer podem levar a ataques de negação de serviço ou injeção de código. -Um ataque de negação de serviço causa uma falha no processo; -A injeção de código altera o endereço de execução do programa para executar o código injetado por um invasor. As contramedidas para ajudar a evitar estouros de buffer incluem: Realizar validação completa da entrada. Essa é a primeira linha de defesa contra estouros de buffer. - Restrinja a entrada, validando seu tipo, tamanho, formato e intervalo. - Quando possível impeça que o usuário escreva na entrada. Use ComboBox. 6 3

4 - XSS (Cross Site Scripting) Um ataque XSS pode fazer com que o código arbitrário seja executado no navegador de um usuário enquanto o navegador está conectado a um site da Web confiável, mas vulnerável. O ataque atinge os usuários de seu aplicativo, e não o aplicativo em si. Seu aplicativo é usado como o veículo para o ataque. Ou seja, permite que um script em zona sem privilégio seja executado em área privilegiada. É possível executar códigos em HTML, JavaScript, PHP, etc. 7 - XSS (Cross Site Scripting) Exemplo: Para iniciar um ataque, o invasor deve convencer o usuário a clicar em um hiperlink cuidadosamente adulterado, por exemplo, incorporando um link em um enviado ao usuário ou adicionando um link mal intencionado à postagem de um grupo de notícias. Os pontos de link com uma página vulnerável em seu aplicativo que ecoa a entrada invalidada de volta para o navegador no fluxo de saída HTML. Ex. de forma como o link pode ser mal intencionado Link legítimo: Veja um link mal intencionado: www. seusitelegitimo.com/logon.aspx?username=<script>alert('codigo malicioso')</script> 8 4

5 Canonização Formas diferentes de entrada que resolvem para o mesmo nome padrão (o nome canônico) são conhecidas como canonização. O código é particularmente suscetível a questões de canonização se tomar decisões de segurança com base no nome de um recurso que é passado para o programa como entrada. Arquivos, caminhos e URLs são tipos de recurso que são vulneráveis à canonização porque em cada caso pode haver muitas maneiras diferentes de representar o mesmo nome. Os nomes de arquivo também são problemáticos. Por exemplo, um único arquivo poderia ser representado como: c:\temp\algum-arquivo.exe algum-arquivo.exe c:\temp\subdir\..\algum-arquivo.exe c:\ temp\algum-arquivo.exe..\algum-arquivo.exe 9 -Canonização As contramedidas para tratar questões de canonização incluem: - Evitar nomes de arquivo de entrada onde for possível e utilizar, em vez disso, caminhos de arquivo absolutos que não podem ser alterados pelo usuário final. - Certifique se de que os nomes de arquivo estejam bem formados (se você necessita aceitar nomes de arquivo como entrada) e valide os dentro do contexto de seu aplicativo. Por exemplo, verifique se eles estão dentro da hierarquia de diretórios de seu aplicativo. 10 5

6 -Injeção de código SQL (SQL Injection) Um ataque de injeção de código SQL explora vulnerabilidades na validação da entrada para executar comandos arbitrários no banco de dados. Isso pode ocorrer quando seu aplicativo usa entrada para construir instruções SQL dinâmicas para acessar o banco de dados. Também pode ocorrer se seu código utilizar procedimentos armazenados que são seqüênciaspassadas que contêm entrada do usuário não filtrada. Ao utilizar o ataque de injeção de código SQL, o invasor pode executar comandos arbitrários no banco de dados. Exemplos: 1) no campo User escrever: ; drop table user-- (ação que apaga tabela user) 2) ; having1=1-- (Ação que retorna: errorcolumn usuarios.codigoisinvalid. Esta mensagem informa que a BD possui uma coluna com nome usuários 11 -Injeção de código SQL As contramedidas para evitar a injeção de código SQL incluem: -Realizar validação da entrada completa. Seu aplicativo deve validar sua entrada antes de enviar uma solicitação ao banco de dados. -Utilizar procedimentos de armazenamento parametrizados para acesso ao banco de dados para garantir que as seqüências de entrada não são tratadas como instruções executáveis. Se você não puder utilizar procedimentos armazenados, use parâmetros SQL ao construir comandos SQL. - Utilizar contas menos privilegiadas para se conectar ao banco de dados. 12 6

7 1 Considerando a categoria Validação de entrada, quais são as categorias de ameaças existentes? 2 Explique o funcionamento da ameaça XSS. 3 Em qual aplicação o ataque de canonização é mais comum, escreva um exemplo de ataque. 4 Como podemos evitar o estouro de buffer em um aplicativo? 5 Quais são as contramedidas utilizadas para evitar o ataque de SQL Injection? 13 7

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Ameaças e Contramedidas de Host

Ameaças e Contramedidas de Host Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira quintino@umc.br Fonte: http://www.antispam.br/ Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Tableau Online Segurança na nuvem

Tableau Online Segurança na nuvem Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Cartilha de Desenvolvimento Seguro

Cartilha de Desenvolvimento Seguro Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000

Leia mais

Rede de Laboratórios de Produtividade de Software

Rede de Laboratórios de Produtividade de Software Rede de Laboratórios de Produtividade de Software Testes em aplicações WEB Uma Visão Geral Programa de Capacitação em Testes de Software Desktop system WEB system Ambiente de aplicativo da Web Rede de

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas.

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas. Publicação web Pré requisitos: Lista de questões Formulário multimídia Este tutorial tem como objetivo, demonstrar de maneira ilustrativa, todos os passos e opções que devem ser seguidos para publicar

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

EDITORA FERREIRA MP/RJ_EXERCÍCIOS 01

EDITORA FERREIRA MP/RJ_EXERCÍCIOS 01 EDITORA FERREIRA MP/RJ NCE EXERCÍCIOS 01 GABARITO COMENTADO 01 Ao se arrastar um arquivo da pasta C:\DADOS para a pasta D:\TEXTOS utilizando se o botão esquerdo do mouse no Windows Explorer: (A) o arquivo

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Programação Web Prof. Wladimir

Programação Web Prof. Wladimir Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25

Sumário. Capítulo 1 O que é o PHP?... 19. Capítulo 2 Instalação do PHP... 23. Capítulo 3 Noções básicas de programação... 25 9 Sobre o autor... 8 Introdução... 15 Capítulo 1 O que é o PHP?... 19 Características do PHP...20 Gratuito e com código aberto...20 Embutido no HTML...20 Baseado no servidor...21 Bancos de dados...22 Portabilidade...22

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica:

16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica: ASSISTENTE EM ADMINISTRAÇÃO 7 INFORMÁTICA QUESTÕES DE 16 A 35 16. Assinale a alternativa que NÃO apresenta uma vantagem dos Sistemas Operacionais com interface gráfica: a) Possibilita a ativação de vários

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Laboratório de Redes de Computadores e Sistemas Operacionais

Laboratório de Redes de Computadores e Sistemas Operacionais Laboratório de Redes de Computadores e Sistemas Operacionais Serviços de Servidor TCP/IP Fabricio Breve Internet Information Services (IIS) Conjunto de serviços baseados em TCP/IP executados em um mesmo

Leia mais

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4

20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 20486 - DESENVOLVIMENTO DE APLICAÇÕES DE WEB ASP.NET MVC 4 CONTEÚDO PROGRAMÁTICO Módulo 1: Explorando ASP.NET MVC4 O Objetivo Deste módulo de e delinear AOS Alunos OS Componentes da Pilha de Tecnologias

Leia mais

Auditoria e Segurança em Tecnologia da Informação

Auditoria e Segurança em Tecnologia da Informação Auditoria e Segurança em Tecnologia da Informação @lucianodoll Conceitos de segurança Introdução Segurança Um computador é seguro se atende a 3 requisitos: Confidencialidade: a informação só está disponível

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação 1 Agenda Ameaças 2 1 AMEAÇAS 3 Atacantes (Hackers) O hacker norueguês que ficou famoso por criar programas que quebram as proteções contra cópias de DVDs aparentemente atacou de

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

WebMail --------------------------------------------------------------------------------------------------------------- Manual do cliente

WebMail --------------------------------------------------------------------------------------------------------------- Manual do cliente WebMail --------------------------------------------------------------------------------------------------------------- Manual do cliente www.plugin.com.br 1 ÍNDICE Prefácio...3 Sobre Este Manual... 3

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Laboratório 11.2.3b Listas de acesso estendidas para DMZ simples

Laboratório 11.2.3b Listas de acesso estendidas para DMZ simples Laboratório 11.2.3b Listas de acesso estendidas para DMZ simples Objetivo Situação Neste laboratório, será explorado o uso de listas de acesso estendidas para criação de uma Zona Desmilitarizada (DMZ).

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Script de Configuração dos E-mails @SEE (Webmail /Outlook Express)

Script de Configuração dos E-mails @SEE (Webmail /Outlook Express) Script de Configuração dos E-mails @SEE (Webmail /Outlook Express) A Secretaria de Estado da Educação está disponibilizando uma nova ferramenta para acesso ao e-mail @see. Essa nova ferramenta permitirá

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvolvimento de Sistemas 4ª Série Desenvolvimento de Software Seguro A atividade prática supervisionada (ATPS) é um procedimento metodológico de

Leia mais

Sistema de Gerenciamento Remoto www.pevermelho.art.br

Sistema de Gerenciamento Remoto www.pevermelho.art.br Sistema de Gerenciamento Remoto www.pevermelho.art.br 1 - SOBRE O SGR Este manual irá lhe ajudar a entender o funcionamento do SGR (Sistema de Gerenciamento Remoto) permitindo assim que você possa atualizar

Leia mais

METODOLOGIA HACKING E INVASÃO DA WEB AULA 09 Segurança de Sistemas Gil Eduardo de Andrade

METODOLOGIA HACKING E INVASÃO DA WEB AULA 09 Segurança de Sistemas Gil Eduardo de Andrade METODOLOGIA HACKING E INVASÃO DA WEB AULA 09 Segurança de Sistemas Gil Eduardo de Andrade O conteúdo deste documento é baseado nos livros Hack Notes Segurança na Web Mike Shema e Dossiê Hacker Wilson José

Leia mais

Configurando o IIS no Server 2003

Configurando o IIS no Server 2003 2003 Ser ver Enterprise Objetivo Ao término, você será capaz de: 1. Instalar e configurar um site usando o IIS 6.0 Configurando o IIS no Server 2003 Instalando e configurando o IIS 6.0 O IIS 6 é o aplicativo

Leia mais

Bem- Vindo ao manual de instruções do ECO Editor de COnteúdo.

Bem- Vindo ao manual de instruções do ECO Editor de COnteúdo. Manual de Instruções ECO Editor de Conteúdo Bem- Vindo ao manual de instruções do ECO Editor de COnteúdo. O ECO é um sistema amigável e intui?vo, mas abaixo você pode?rar eventuais dúvidas e aproveitar

Leia mais

Vamos iniciar a nossa exploração do HTTP baixando um arquivo em HTML simples - bastante pequeno, que não contém objetos incluídos.

Vamos iniciar a nossa exploração do HTTP baixando um arquivo em HTML simples - bastante pequeno, que não contém objetos incluídos. Wireshark Lab: HTTP Versão 1.1 2005 KUROSE, J.F & ROSS, K. W. Todos os direitos reservados 2008 BATISTA, O. M. N. Tradução e adaptação para Wireshark. Tendo molhado os nossos pés com o Wireshark no laboratório

Leia mais

3 Ataques e Intrusões

3 Ataques e Intrusões 3 Ataques e Intrusões Para se avaliar a eficácia e precisão de um sistema de detecção de intrusões é necessário testá-lo contra uma ampla amostra de ataques e intrusões reais. Parte integrante do projeto

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

Sumário. Capítulo 1 Revisão de PHP... 19. Capítulo 2 Melhorando o processamento de formulários... 46

Sumário. Capítulo 1 Revisão de PHP... 19. Capítulo 2 Melhorando o processamento de formulários... 46 9 Sumário O Autor... 8 Introdução... 15 Quem deve ler este livro... 15 Como este livro está organizado...16 Download do código-fonte do livro... 18 Capítulo 1 Revisão de PHP... 19 Iniciando em PHP... 19

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Podemos também definir o conteúdo dos menus da página inicial. Clique em Menus, Main Menu.

Podemos também definir o conteúdo dos menus da página inicial. Clique em Menus, Main Menu. Podemos também definir o conteúdo dos menus da página inicial. Clique em Menus, Main Menu. Como padrão será mostrado o Menu Home. Ao clicar em Home, podemos definir como deverão ser mostrados os conteúdos

Leia mais

Criando, inserindo e exibindo PHP+MySql

Criando, inserindo e exibindo PHP+MySql Criando, inserindo e exibindo PHP+MySql De uma forma extremamente fácil e básica você verá como criar banco de dados, tabelas, inserir e exibir usando o phpmyadmin, PHP e MySql. O que é um banco de dados?

Leia mais

E-mail Seguro - Guia do Destinatário

E-mail Seguro - Guia do Destinatário E-mail Seguro - Guia do Destinatário Índice Como abrir sua primeira Mensagem Criptografada... 3 Guia Passo-a-Passo para Abrir Seu Primeiro Envelope... 3 Primeiro Passo:... 3 Segundo Passo:... 3 Terceiro

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Desenvolvendo para WEB

Desenvolvendo para WEB Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura

Leia mais

Manual de Utilização do Sistema GLPI

Manual de Utilização do Sistema GLPI Manual de Utilização do Sistema GLPI Perfil Guest Apresentação Esse manual, baseado no manual GLPI foi elaborado pela Coordenação de Tecnologia de Informação CTI do câmpus e tem como objetivo instruir

Leia mais

Questões Potenciais para a Prova Informática Questões Carlos Vianna

Questões Potenciais para a Prova Informática Questões Carlos Vianna 1. Questões Potenciais para a Prova Informática Questões Carlos Vianna 2012 Copyright. Curso Agora eu Passo - Todos os direitos reservados ao autor. 1.O comando pwd do Linux possibilita ao usuário efetuar

Leia mais

MANUAL DE UTILIZAÇÃO DO SISTEMA GLPI

MANUAL DE UTILIZAÇÃO DO SISTEMA GLPI MANUAL DE UTILIZAÇÃO DO SISTEMA GLPI Setembro de 2013 Objetivo: Esse manual, baseado no manual GLPI feito pela DTI, tem como objetivo principal instruir os usuários quanto à utilização do GLPI, sistema

Leia mais

AFRE. a. ( ) Instalando um programa gerenciador de carregamento, como o LILO ou o GRUB. a. ( ) Data Werehouse ; Internet ; Linux

AFRE. a. ( ) Instalando um programa gerenciador de carregamento, como o LILO ou o GRUB. a. ( ) Data Werehouse ; Internet ; Linux 1. De que forma é possível alterar a ordem dos dispositivos nos quais o computador procura, ao ser ligado, pelo sistema operacional para ser carregado? a. ( ) Instalando um programa gerenciador de carregamento,

Leia mais

Como criar e editar Blogs. Manual Básico do. Mario Roberto Barro Jerino Queiroz Ferreira Profª Drª Salete Linhares Queiroz

Como criar e editar Blogs. Manual Básico do. Mario Roberto Barro Jerino Queiroz Ferreira Profª Drª Salete Linhares Queiroz Como criar e editar Blogs Manual Básico do Mario Roberto Barro Jerino Queiroz Ferreira Profª Drª Salete Linhares Queiroz São Carlos Setembro / 2008 Sumário Introdução...3 Criando um Blog no Edublogs...4

Leia mais

Prova de pré-requisito

Prova de pré-requisito Prova de pré-requisito Curso Python e Django 1. Ao se acessar o site www.google.com qual comando e parâmetros são enviados para o servidor pelo navegador? a. GET / b. GET www.google.com c. PAGE index.html

Leia mais

Manual do usuário. Softcall Java. versão 1.0.5

Manual do usuário. Softcall Java. versão 1.0.5 Manual do usuário Softcall Java versão 1.0.5 Sumário Iniciando SoftCall...3 Tela Principal...3 Configurando o SoftCall...4 Agenda...5 Incluindo um contato...5 Procurando um contato...6 Apagando um contato...6

Leia mais

15/8/2007 Gerencia de Tecnologia da Informação Claudia M.S. Tomaz

15/8/2007 Gerencia de Tecnologia da Informação Claudia M.S. Tomaz 15/8/2007 Gerencia de Tecnologia da Informação Claudia M.S. Tomaz MANUAL DE UTILIZAÇÃO DO WEBMAIL GETEC 01 2/13 Como acessar o Webmail da Secretaria de Educação? Para utilizar o Webmail da Secretaria de

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Wireshark Lab: TCP. Versão 1.1 2005 KUROSE, J.F & ROSS, K. W. Todos os direitos reservados 2011 BATISTA, O. M. N. Tradução e adaptação para Wireshark.

Wireshark Lab: TCP. Versão 1.1 2005 KUROSE, J.F & ROSS, K. W. Todos os direitos reservados 2011 BATISTA, O. M. N. Tradução e adaptação para Wireshark. Wireshark Lab: TCP Versão 1.1 2005 KUROSE, J.F & ROSS, K. W. Todos os direitos reservados 2011 BATISTA, O. M. N. Tradução e adaptação para Wireshark. Neste laboratório, investigaremos o comportamento do

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

REDES DE COMPUTADORES

REDES DE COMPUTADORES REDES DE COMPUTADORES O QUE É PROTOCOLO? Na comunicação de dados e na interligação em rede, protocolo é um padrão que especifica o formato de dados e as regras a serem seguidas. Sem protocolos, uma rede

Leia mais

Tahuti 2.1 A ferramenta de gerenciamento de TI. Manual de Instalação. Belo Horizonte, 06 de novembro de 2015.

Tahuti 2.1 A ferramenta de gerenciamento de TI. Manual de Instalação. Belo Horizonte, 06 de novembro de 2015. Tahuti 2.1 A ferramenta de gerenciamento de TI Manual de Instalação Belo Horizonte, 06 de novembro de 2015. Índice 1. Pré-requisitos 01 2. Instalando e Configurando o Sistema 02 3. Particularidades no

Leia mais

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO:

Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: Exercícios de Segurança de Informação Ameaças lógicas Para cada questão responda se a afirmativa está certa ou errada, JUSTIFICANDO: 1) Vírus de macro infectam arquivos criados por softwares que utilizam

Leia mais

Principais Benefícios. ESET Endpoint Antivírus

Principais Benefícios. ESET Endpoint Antivírus Principais Benefícios ESET Endpoint Antivírus Principais Características: -Bloqueio de Dispositivos... 1 -Bloqueio de URLs... 2 -Agendamento de Tarefas... 3 - ESET LiveGrid... 5 - SysInspector E SysRescue...

Leia mais

Guia Sphinx: instalação, reposição e renovação

Guia Sphinx: instalação, reposição e renovação Sphinx : software para coleta e análise de dados acadêmicos e gerenciais. Tecnologia e informação para a decisão! Copyright Sphinx Todos direitos reservados Guia Sphinx: instalação, reposição e renovação

Leia mais

Portal Contador Parceiro

Portal Contador Parceiro Portal Contador Parceiro Manual do Usuário Produzido por: Informática Educativa 1. Portal Contador Parceiro... 03 2. Acesso ao Portal... 04 3. Profissionais...11 4. Restrito...16 4.1 Perfil... 18 4.2 Artigos...

Leia mais

Tolerância a Falhas em sistemas distribuídos (programação)

Tolerância a Falhas em sistemas distribuídos (programação) Tolerância a Falhas em sistemas distribuídos (programação) Arthur Zavattieri Cano Lopes Curso de Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Maio de 2009. Resumo

Leia mais

CAPÍTULO 8 Conexões de banco de dados para programadores ASP.NET

CAPÍTULO 8 Conexões de banco de dados para programadores ASP.NET CAPÍTULO 8 Conexões de banco de dados para programadores ASP.NET Para utilizar um banco de dados com um aplicativo ASP.NET, é necessário criar uma conexão de banco de dados no Macromedia Dreamweaver MX.

Leia mais

BEM VINDOS AO DHL WEB SHIPPING GUIA DE USO

BEM VINDOS AO DHL WEB SHIPPING GUIA DE USO Envio de Remessas Online BEM VINDOS AO DHL WEB SHIPPING GUIA DE USO webshipping.dhl.com ACESSE O DHL WEB SHIPPING DE QUALQUER LUGAR DO MUNDO. Ideal para qualquer empresa com acesso à internet, o DHL Web

Leia mais

Copyright 2008, 2013 da Novatec Editora Ltda.

Copyright 2008, 2013 da Novatec Editora Ltda. 4a Edição Novatec Copyright 2008, 2013 da Novatec Editora Ltda. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo,

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais