Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http)

Tamanho: px
Começar a partir da página:

Download "13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com"

Transcrição

1 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http)

2 Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro (http) Foram detetadas e confirmadas varias falhas no sistema baco usado para gerir o vosso site. Este relatório esta apenas focado nas falhas que apresentam riscos de segurança elevada.

3 Ponto 1. Envio de dados de login por canais não seguros O campo password esta a ser reencaminhado por http. Esta vulnerabilidade pode resultar na divulgação de passwords a pessoal não autorizado através de uma rede local. Impacto Qualquer membro numa rede local pode ler a password de outra pessoa na mesma rede apenas lendo os pacotes de dados em movimento Solução Alterar paginas que envolvam autentificação de forma a usar HTTPS. Recursos Afectados /authenticate.do POST /authenticate.do [dispatch=login username=test password=test-pass ] /proxy/layoutionline/ionline/ GET /proxy/layoutionline/ionline/ /StartAuthentication.do GET /StartAuthentication.do /user/

4 GET /user/ /user/courseunitcontrollerfromhome.do 567 ] POST/user/courseUnitControllerFromHome.do[dispatch=updatecourseUnitView.id=3 /user/crossdomain.xml GET /user/crossdomain.xml

5 Ponto 2. XSS Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança browser, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros utilizadores. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a política de mesma origem. Através de um XSS, o Cracker injeta códigos JavaScript num campo texto de uma página já existente e este JavaScript é apresentado para outros utilizadores, porque persiste na página. Imaginem que o cracker insira num fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Quando o texto do fórum for apresentado a outros utilizadores, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros utilizadores, provocando a brecha de ataque. Impacto O impacto depende da aplicação Injeção de código malicioso que pode causar desde roubos de identidade a perdas totais de dados Redireccionamento dos utilizados para páginas com código malicioso Ex: dyelwell/files/2012/05/hacked_skull_image.jpg%22%20style=%22position:absolute;top:110;left:16 0;display:block%22/%3E Solução Aplicar filtros que validem os dados inseridos Aplicação de regras básicas recomendadas. Ou da biblioteca anti XSS disponibilizada pela Microsoft

6 Recursos Afetados Recurso Parametro Metodo /courses.do type GET GET /courses.do?type=m%20src=-->">'>'" Recurso /dir/futurestudent Parametro menu GET /dir/futurestudent?role=futurestudent&menu=menu.futurosalunos'%20-->">'>'" Recurso /dir/student Parametro menu GET /dir/student?role=student&menu='%20-->">'>'" Recurso /dir/teacher Parametro menu GET /dir/teacher?role=teacher&menu="%20-->">'>'" Recurso /noresults.do Parametro query

7 GET /noresults.do?query='%20-->">'>'" Recurso /search.do Parametro query Metodo POST POST /search.do [dispatch=search query=1-->">'>'" searchtype=search.type.all ] Recurso /search.do Parametro searchtype Metodo POST POST /search.do [dispatch=search query=1 searchtype=search.type.all" src=-->">'>'" ] Recurso /startloadcourseseparators.do Parametro content GET /startloadcourseseparators.do?content=home'%20-->">'>'" Recurso /startloadcoursestudiesplan.do Parametro content GET /startloadcoursestudiesplan.do?content=studiesplan'%20-->">'>'"

8 Recurso /startloadmenucourse.do Parametro content GET /startloadmenucourse.do?type=m&courseview.id=52&content=parceiros%20src=- ->">'>'" Recurso /student.do Parametro menu

9

10 GET /student.do?role=student&menu=menu.alunos"%20src=-->">'>'"

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Manual do Usuário. E-DOC Peticionamento Eletrônico TST

Manual do Usuário. E-DOC Peticionamento Eletrônico TST E-DOC Peticionamento APRESENTAÇÃO O sistema E-DOC substituirá o atual sistema existente. Este sistema permitirá o controle de petições que utiliza certificado digital para autenticação de carga de documentos.

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Rede de Laboratórios de Produtividade de Software

Rede de Laboratórios de Produtividade de Software Rede de Laboratórios de Produtividade de Software Testes em aplicações WEB Uma Visão Geral Programa de Capacitação em Testes de Software Desktop system WEB system Ambiente de aplicativo da Web Rede de

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Segurança Informática

Segurança Informática Cadeira de Tecnologias de Informação Ano lectivo 2009/10 Segurança Informática TI2009/2010_SI_1 Tópicos 1. O que é segurança? 2. Problemas relacionados com segurança 3. Criptografia 4. Assinatura digital

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular. Manual do sistema (Médico)

Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular. Manual do sistema (Médico) Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular Manual do sistema (Médico) ÍNDICE 1. O sistema... 1 2. Necessidades técnicas para acesso ao sistema... 1 3. Acessando o sistema...

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

Sistema de Informação Integrado da Universidade de Évora

Sistema de Informação Integrado da Universidade de Évora Sistema de Informação Integrado da Universidade de Évora Todos os Perfis MANUAL DE UTILIZAÇÃO Módulo: Autenticação O Módulo de Autenticação do SIIUE foi implementado tendo como linha condutora o desenvolvimento

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Sumário. 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras

Sumário. 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras Sumário 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras O que é o Programa Embarque Já É um Programa da TAM Viagens que oferece descontos em passagens aéreas TAM nacionais

Leia mais

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br IntroduçãoàTecnologiaWeb TiposdeSites ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br TiposdeSites Índice 1 Sites... 2 2 Tipos de Sites... 2 a) Site

Leia mais

MANUAL OPERACIONAL E CONCEITUAL - Orientações sobre cadastro de atividades no SIGA Extensão

MANUAL OPERACIONAL E CONCEITUAL - Orientações sobre cadastro de atividades no SIGA Extensão MANUAL OPERACIONAL E CONCEITUAL - Orientações sobre cadastro de atividades no SIGA Extensão ÍNDICE ACESSO AO SIGA EXTENSÃO... 03 CADASTRO DOCENTE... 08 CADASTRO DE ATIVIDADE... 12 COMO VINCULAR ATIVIDADES...

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Sistema Qualicell na Internet

Sistema Qualicell na Internet Sistema Qualicell na Internet Área do Lojista (Estabelecimento) I) Acesso Acessar o Site www.qualicell.com.br e clicar em Área do Lojista 1 Para acessar o Sistema Qualicell, é necessário informar o Login

Leia mais

10 dicas para proteger o seu modem/router de ataques online

10 dicas para proteger o seu modem/router de ataques online 10 dicas para proteger o seu modem/router de ataques online Date : 9 de Outubro de 2015 Os ataques online e a cibersegurança são dos temas mais abordados, actualmente, quando se fala de Internet. Os perigos

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Licenciatura em Eng.ª Informática Redes de Computadores - 2º Ano - 2º Semestre. Trabalho Nº 1 - Ethereal

Licenciatura em Eng.ª Informática Redes de Computadores - 2º Ano - 2º Semestre. Trabalho Nº 1 - Ethereal 1. Objectivos do Trabalho Trabalho Nº 1 - Ethereal Tomar conhecimento com um analisador de pacotes o Ethereal Realizar capturas de pacotes e analisá-los o TCP / UDP o IP o Ethernet o HTTP / DNS 2. Ambiente

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

EAmb V.1 ESPOSENDE AMBIENTE. GestProcessos Online. Manual do Utilizador

EAmb V.1 ESPOSENDE AMBIENTE. GestProcessos Online. Manual do Utilizador EAmb V.1 ESPOSENDE AMBIENTE GestProcessos Online Manual do Utilizador GestProcessos Online GABINETE DE SISTEMAS DE INFORMAÇÃO E COMUNICAÇÃO EAmb Esposende Ambiente, EEM Rua da Ribeira 4740-245 - Esposende

Leia mais

Guia de conexão na rede wireless

Guia de conexão na rede wireless 1 Guia de conexão na rede wireless Este documento tem por objetivo orientar novos usuários, não ambientados aos procedimentos necessários, a realizar uma conexão na rede wireless UFBA. A seguir, será descrito

Leia mais

Tarefa Orientada 6 Edição de Dados

Tarefa Orientada 6 Edição de Dados Tarefa Orientada 6 Edição de Dados Objectivos: Inserção de dados. Alteração de dados. Eliminação de dados. Definição de Listas de Pesquisa (Lookup Lists) O Sistema de Gestão de Bases de Dados MS Access

Leia mais

MANUAL DO PRESTADOR WEB

MANUAL DO PRESTADOR WEB MANUAL DO PRESTADOR WEB Sumário 1. Guia de Consulta... 3 2. Guia de Procedimentos Ambulatoriais... 6 3. Guia de Solicitação de Internação... 8 4. Prorrogação de internação... 8 5. Confirmação de pedido

Leia mais

Guia De Criptografia

Guia De Criptografia Guia De Criptografia Perguntas e repostas sobre a criptografia da informação pessoal Guia para aprender a criptografar sua informação. 2 O que estamos protegendo? Através da criptografia protegemos fotos,

Leia mais

REQUERIMENTO DE CARTEIRA DE IDENTIDADE PROFISSIONAL

REQUERIMENTO DE CARTEIRA DE IDENTIDADE PROFISSIONAL REQUERIMENTO DE CARTEIRA DE IDENTIDADE PROFISSIONAL PEDIDOS WEB MANUAL DO USUÁRIO CONTEÚDO Sobre o site... 2 Segurança -Trocar Senha... 3 Pedidos -Solicitar Cartão... 4 Pedidos - Instrução de preenchimento

Leia mais

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.

Nesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4. Diego M. Rodrigues (diego@drsolutions.com.br) O NTOP é um programa muito simples de ser instalado e não requer quase nenhuma configuração. Ele é capaz de gerar excelentes gráficos de monitoramento das

Leia mais

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA Negócio Electrónico, 2006/2007 TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

Leia mais

Empresa Brasileira de Correios e Telégrafos DESIG/GPGEM

Empresa Brasileira de Correios e Telégrafos DESIG/GPGEM Manual do Usuário SFC SISTEMA DE FATURAMENTO CORPORATIVO ECT EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS DESIG - DEPARTAMENTO DE SISTEMAS DE GESTÃO Elaborado por Claudimiro José dos Santos Neto Analista

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

Relatório SQUID e SAMBA. Instalação e Configuração de Servidores de Rede

Relatório SQUID e SAMBA. Instalação e Configuração de Servidores de Rede Relatório SQUID e SAMBA INSTITUTO POLITÉCNICO DE BEJA ESCOLA SUPERIOR DE TECNOLOGIA E GESTÃO Instalação e Configuração de Servidores de Rede Trabalho realizado por: Tiago Conceição Nº 11903 Tiago Maques

Leia mais

Plataforma. Manual de Utilização Acesso ao Procedimento Fornecedor. Electrónica BizGov

Plataforma. Manual de Utilização Acesso ao Procedimento Fornecedor. Electrónica BizGov Plataforma Manual de Utilização Acesso ao Procedimento Fornecedor Electrónica BizGov 2010 Índice 1 Solicitar acesso ao procedimento 2 Anexar comprovativo de Pagamento de Peças Procedimentais 3 Aceitar

Leia mais

Semana da Internet Segura Correio Eletrónico

Semana da Internet Segura Correio Eletrónico Enviar correio eletrónico não solicitado em massa (SPAM) a outros utilizadores. Há inúmeras participações de spammers utilizando sistemas comprometidos para enviar e-mails em massa. Estes sistemas comprometidos

Leia mais

Certificação de software para a emissão de Documentos de Transporte:

Certificação de software para a emissão de Documentos de Transporte: Certificação de software para a emissão de Documentos de Transporte: A 1 de Julho de 2013 entraram em vigor as novas regras para os Documentos de Transporte. Passa a ser obrigatório a comunicação, de todos

Leia mais

www.andrix.com.br professor@andrix.com.br Conceitos Básicos

www.andrix.com.br professor@andrix.com.br Conceitos Básicos Desenvolvimento Andrique web Amorim II www.andrix.com.br professor@andrix.com.br Conceitos Básicos Sites e Aplicações Web Normalmente, as pessoas utilizam o termo SITE quando se referem a blogs, sites

Leia mais

COOKIES: UMA AMEAÇA À PRIVACIDADE

COOKIES: UMA AMEAÇA À PRIVACIDADE Mestrado em Ciência da Informação Segurança da Informação COOKIES: UMA AMEAÇA À PRIVACIDADE Marisa Aldeias 05 de dezembro de 2011 Sumário O que são; Tipos de cookies; Aplicação danosa? Interesse e utilidade;

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Software Adobe DreamWeaver. Requisitos para criar aplicações Web

Software Adobe DreamWeaver. Requisitos para criar aplicações Web Software Adobe DreamWeaver O Dreamweaver é uma ferramenta de desenvolvimento de sites que suporta diversas linguagens de scritpting para construir sites dinâmicos. Suporta várias linguagens como por exemplo:

Leia mais

Universidade Católica Portuguesa

Universidade Católica Portuguesa Universidade Católica Portuguesa Direcção de Sistemas de Informação Serviços disponíveis aos Docentes 2012/2013 Índice Direcção de Sistemas de Informação Pré requisitos e modo de acesso aos sistemas Pré

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem Num espaço partilhado Uma politica de segurança procura garantir

Leia mais

Introdução à Tecnologia Web 2010 HTML HyperText Markup Language XHTML extensible HyperText Markup Language Elementos da Seção do Cabeçalho

Introdução à Tecnologia Web 2010 HTML HyperText Markup Language XHTML extensible HyperText Markup Language Elementos da Seção do Cabeçalho IntroduçãoàTecnologiaWeb2010 HTML HyperTextMarkupLanguage XHTML extensiblehypertextmarkuplanguage ElementosdaSeçãodoCabeçalho ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger

Leia mais

Manual do aplicativo GESTÃO DE FICHEIROS 2003

Manual do aplicativo GESTÃO DE FICHEIROS 2003 Manual do aplicativo GESTÃO DE FICHEIROS 2003 ÍNDICE Pág. I. Instalação do Software 2 II. Selecção de Empresas / Manutenção de Empresas 5 III. Criação da Base de Dados (Clientes, Fornecedores e Pessoal)

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com>

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

PHP (Seções, Cookies e Banco de Dados)

PHP (Seções, Cookies e Banco de Dados) PHP (Seções, Cookies e Banco de Dados) André Tavares da Silva andre.silva@udesc.br Seções Basicamente, as seções são métodos que preservam determinados dados ativos enquanto o navegador do cliente estiver

Leia mais

Segurança e Auditoria de Sistemas. Conceitos básicos

Segurança e Auditoria de Sistemas. Conceitos básicos Segurança e Auditoria de Sistemas Conceitos básicos Conceitos básicos Propriedades e princípios de segurança; Ameaças; Vulnerabilidades; Ataques; Tipos de malware; Infraestrutura de segurança. Propriedades

Leia mais

Plataforma de correio electrónico Microsoft Office 365

Plataforma de correio electrónico Microsoft Office 365 1 Plataforma de correio electrónico Microsoft Office 365 Tendo por objetivo a melhoria constante dos serviços disponibilizados a toda a comunidade académica ao nível das tecnologias de informação, surgiu

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

PEDIDOS WEB MANUAL DO USUÁRIO CONTEÚDO

PEDIDOS WEB MANUAL DO USUÁRIO CONTEÚDO PEDIDOS WEB MANUAL DO USUÁRIO CONTEÚDO Sobre o site... 2 Segurança -Trocar Senha... 3 Pedidos -Solicitar Cartão... 4 Pedidos - Instrução de preenchimento de formulários... 5 Pedidos -Reimprimir Formulário...

Leia mais

Versão 1.15. Portal StarTISS. Portal de Digitação e Envio do Faturamento. Manual de Utilização. Versão 1.15 (Agosto/2014)

Versão 1.15. Portal StarTISS. Portal de Digitação e Envio do Faturamento. Manual de Utilização. Versão 1.15 (Agosto/2014) Versão 1.15 Portal StarTISS Portal de Digitação e Envio do Faturamento Manual de Utilização Versão 1.15 (Agosto/2014) Conteúdo 1. CONTATOS... 1 2. REQUISITOS NECESSÁRIOS... 1 3. ACESSANDO O PORTAL STARTISS...

Leia mais

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Encontrando falhas em aplicações web baseadas em flash Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Tópicos Um pouco sobre flash Vulnerabilidades Como fazer direito Conclusões

Leia mais

Como gerar arquivos para Sphinx Operador

Como gerar arquivos para Sphinx Operador Como gerar arquivos para Sphinx Operador Pré-requisitos: Lista das questões Formulário multimídia Visões O Sphinx Operador é um sistema específico para digitação de respostas e visualização de resultados

Leia mais

CONFIGURAÇÃO DO ACESSO REMOTO PARA HS-DHXX93 E HS-DHXX96

CONFIGURAÇÃO DO ACESSO REMOTO PARA HS-DHXX93 E HS-DHXX96 CONFIGURAÇÃO DO ACESSO REMOTO PARA HS-DHXX93 E HS-DHXX96 1 CONFIGURAR PARÂMETROS DE REDE DO DVR Para maior fiabilidade do acesso remoto é recomendado que o DVR esteja configurado com IP fixo (também pode

Leia mais

GUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE

GUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE GUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE INTRODUÇÃO O portal do Afrafep Saúde é um sistema WEB integrado ao sistema HEALTH*Tools. O site consiste em uma área onde os Usuários e a Rede Credenciada,

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Monitoramento & Auditoria no

Monitoramento & Auditoria no Monitoramento & Auditoria no Ambiente de Mainframe Solução de auditoria e monitoração agressiva e abrangente, direcionada ao negócio. A segurança do ambiente corporativo exige a captura e o armazenamento

Leia mais

Sua mais nova e completa ferramenta

Sua mais nova e completa ferramenta TUTORIAL PORTAL CLIENTE LUCIOS Sua mais nova e completa ferramenta SOLICITE SEU ACESSO PRÉ-REQUISITO NAVEGADOR IE MICROSOFT O Navegador IE - Internet Explore, vem instalado como padrão em qualquer distribuição

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem Num espaço partilhado Uma politica de segurança procura garantir

Leia mais

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web AÇÕES IMPORTANTES Ao tentar acessar o Cadastro Web por meio da certificação digital, é fundamental realizar

Leia mais

Manual de utilização do STA Web

Manual de utilização do STA Web Sistema de Transferência de Arquivos Manual de utilização do STA Web Versão 1.1.7 Sumário 1 Introdução... 3 2 Segurança... 3 2.1 Autorização de uso... 3 2.2 Acesso em homologação... 3 2.3 Tráfego seguro...

Leia mais

Tutorial para envio de frequência de estagiários pelo SEI

Tutorial para envio de frequência de estagiários pelo SEI Tutorial para envio de frequência de estagiários pelo SEI Tutorial para envio de frequência de estagiários pelo SEI: Acessar o SEI - O estagiário deverá acessar o SEI pelo endereço eletrônico: http://sei.enap.gov.br

Leia mais

SOLICITAÇÃO DE CERTIFICADO SERVIDOR WEB MICROSOFT IIS 5.x

SOLICITAÇÃO DE CERTIFICADO SERVIDOR WEB MICROSOFT IIS 5.x SOLICITAÇÃO DE CERTIFICADO SERVIDOR WEB MICROSOFT IIS 5.x Para confecção desse manual, foi usado o Sistema Operacional Windows XP Professional com SP2 e Servidor Web Microsoft IIS 5.1. Algumas divergências

Leia mais

Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema de Gestão de Bases de Dados

Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema de Gestão de Bases de Dados Curso Profissional de Técnico de Multimédia 12ºAno Disciplina: Sistemas de Informação Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema

Leia mais

Programação Web Prof. Wladimir

Programação Web Prof. Wladimir Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação

Leia mais

KalumaFin. Manual do Usuário

KalumaFin. Manual do Usuário KalumaFin Manual do Usuário Sumário 1. DICIONÁRIO... 4 1.1 ÍCONES... Erro! Indicador não definido. 1.2 DEFINIÇÕES... 5 2. DESCRIÇÃO DO SISTEMA... 7 3. ACESSAR O SISTEMA... 8 4. PRINCIPAL... 9 4.1 MENU

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

MANUAL OPERACIONAL DE SISTEMAS

MANUAL OPERACIONAL DE SISTEMAS MANUAL OPERACIONAL DE SISTEMAS NETPAN CDC VEÍCULOS LOJISTA ÍNDICE 1. ACESSO AO SISTEMA... 3 1.1. ABERTURA DO INTERNET EXPLORER...3 1.2. ACESSO AO NETPAN...3 1.2.1. Tela Inicial...4 1.2.2. Digitando o Nome

Leia mais

Apresentação de REDES DE COMUNICAÇÃO

Apresentação de REDES DE COMUNICAÇÃO Apresentação de REDES DE COMUNICAÇÃO Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos MÓDULO VII Acesso a Bases de Dados via Web Duração: 50 tempos Conteúdos (1) Conceitos

Leia mais

Plataforma de correio eletrónico Microsoft Office 365

Plataforma de correio eletrónico Microsoft Office 365 1 Plataforma de correio eletrónico Microsoft Office 365 A plataforma Microsoft Office 365 disponibiliza a toda a comunidade académica um conjunto de recursos que permite suportar o trabalho colaborativo

Leia mais

MANUAL DO USUÁRIO. Software de Imagem via Celular (isic) baseado no sistema operacional Symbian

MANUAL DO USUÁRIO. Software de Imagem via Celular (isic) baseado no sistema operacional Symbian MANUAL DO USUÁRIO Software de Imagem via Celular (isic) baseado no sistema operacional Symbian Software de Imagem via Celular (isic) baseado no sistema operacional Symbian Esse software possui tecnologia

Leia mais

CADASTRO DE USUÁRIO PORTAL WEB

CADASTRO DE USUÁRIO PORTAL WEB CADASTRO DE USUÁRIO PORTAL WEB SUMÁRIO 1. ACESSANDO PELA PÁGINA DEFAULT... 3 2. ACESSANDO PELA PÁGINA DE LOGIN... 3 3. ACESSANDO PELO MENU PRINCIPAL... 4 3.1. EFETUAR CADASTRO... 5 3.2. ALTERAR CADASTRO...

Leia mais

IPBRICK v5.3 Update de Segurança 02

IPBRICK v5.3 Update de Segurança 02 IPBRICK v5.3 Update de Segurança 02 IPBRICK International 21 de Maio de 2013 CONTEÚDO 2 Conteúdo 1 Introdução 3 1.1 Ameaças Básicas à Segurança..................... 3 2 Visão Geral do Update 3 3 Requisitos

Leia mais

DVR - CONFIGURAÇÃO DE ACESSO VIA REDE LOCAL

DVR - CONFIGURAÇÃO DE ACESSO VIA REDE LOCAL DVR - CONFIGURAÇÃO DE ACESSO VIA REDE LOCAL São José, 25 de maio, 2012. Este tipo de acesso permite que o DVR seja acessado através de qualquer computador que esteja conectado na mesma rede que ele. 1

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Manual de Utilizador. //Internet Banking. BNI Online. www.bni.ao

Manual de Utilizador. //Internet Banking. BNI Online. www.bni.ao ÍNDICE Introdução Informações Gerais Acesso ao Serviço Fazer Login Documentos Electrónicos Posição Integrada Agenda Vencimentos Contas à Ordem Transferências Personalizar Financiamentos Moeda Estrangeira

Leia mais

Acessos Convergentes. Manual de Configuração e Utilização

Acessos Convergentes. Manual de Configuração e Utilização Índice 1 Introdução... 4 1.1 Âmbito do Documento... 4 1.2 Acesso... 5 1.3 Autenticação... 5 2 Cliente... 6 2.1 Reencaminhamentos ou redireccionamentos... 6 2.1.1 Novo Plano de Redireccionamento... Error!

Leia mais

Script de Configuração dos E-mails @SEE (Webmail /Outlook Express)

Script de Configuração dos E-mails @SEE (Webmail /Outlook Express) Script de Configuração dos E-mails @SEE (Webmail /Outlook Express) A Secretaria de Estado da Educação está disponibilizando uma nova ferramenta para acesso ao e-mail @see. Essa nova ferramenta permitirá

Leia mais

Manual utilização. Dezembro 2011. Instituto Politécnico de Viseu

Manual utilização. Dezembro 2011. Instituto Politécnico de Viseu Manual utilização Dezembro 2011 Instituto Politécnico de Viseu 1 Índice Zona pública... 3 Envio da ideia de negócio... 3 Inscrição nas Oficinas E... 4 Zona privada... 5 Administração... 5 Gestão de utilizadores...

Leia mais

Política de Uso do JEMS para a CAFe

Política de Uso do JEMS para a CAFe Política de Uso do JEMS para a CAFe Julho de 2013 Conteúdo 1. Apresentação... 3 2. Definições... 3 3. Público Alvo... 3 4. Credenciamento... 3 5. Requisitos... 4 6. Termo de Uso... 4 7. Considerações Finais...

Leia mais

Guia de Referência 0800net

Guia de Referência 0800net Guia de Referência 0800net 1. Apresentação: Com o intuito de melhorar cada vez mais os serviços de atendimento, o Grupo GCI, disponibiliza a Central de Atendimento, através do endereço http://0800net.gci.com.br/.

Leia mais

Manual de Utilização. Sistema CotaOnline

Manual de Utilização. Sistema CotaOnline Manual de Utilização Sistema CotaOnline Versão usuário final Sistema desenvolvido pela equipe de desenvolvimento ANA/SGH/GPLAN/Telemetria. Versão 2 Agência Nacional de Águas ANA Superintendência da Gestão

Leia mais