Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http)

Save this PDF as:
 WORD  PNG  TXT  JPG

Tamanho: px
Começar a partir da página:

Download "13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com"

Transcrição

1 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http)

2 Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro (http) Foram detetadas e confirmadas varias falhas no sistema baco usado para gerir o vosso site. Este relatório esta apenas focado nas falhas que apresentam riscos de segurança elevada.

3 Ponto 1. Envio de dados de login por canais não seguros O campo password esta a ser reencaminhado por http. Esta vulnerabilidade pode resultar na divulgação de passwords a pessoal não autorizado através de uma rede local. Impacto Qualquer membro numa rede local pode ler a password de outra pessoa na mesma rede apenas lendo os pacotes de dados em movimento Solução Alterar paginas que envolvam autentificação de forma a usar HTTPS. Recursos Afectados /authenticate.do POST /authenticate.do [dispatch=login username=test password=test-pass ] /proxy/layoutionline/ionline/ GET /proxy/layoutionline/ionline/ /StartAuthentication.do GET /StartAuthentication.do /user/

4 GET /user/ /user/courseunitcontrollerfromhome.do 567 ] POST/user/courseUnitControllerFromHome.do[dispatch=updatecourseUnitView.id=3 /user/crossdomain.xml GET /user/crossdomain.xml

5 Ponto 2. XSS Cross-site scripting (XSS) é um tipo de vulnerabilidade do sistema de segurança browser, encontrado normalmente em aplicações web que activam ataques maliciosos ao injectarem client-side script dentro das páginas web vistas por outros utilizadores. Um script de exploração de vulnerabilidade cross-site pode ser usado pelos atacantes para escapar aos controlos de acesso que usam a política de mesma origem. Através de um XSS, o Cracker injeta códigos JavaScript num campo texto de uma página já existente e este JavaScript é apresentado para outros utilizadores, porque persiste na página. Imaginem que o cracker insira num fórum de um website alvo de ataque, um texto que contenha um trecho de JavaScript. Este JavaScript poderia, por exemplo, simular a página de login do site, capturar os valores digitados e enviá-los a um site que os armazene. Quando o texto do fórum for apresentado a outros utilizadores, um site atacado pelo XSS exibirá o trecho de JavaScript digitado anteriormente nos browsers de todos os outros utilizadores, provocando a brecha de ataque. Impacto O impacto depende da aplicação Injeção de código malicioso que pode causar desde roubos de identidade a perdas totais de dados Redireccionamento dos utilizados para páginas com código malicioso Ex: dyelwell/files/2012/05/hacked_skull_image.jpg%22%20style=%22position:absolute;top:110;left:16 0;display:block%22/%3E Solução Aplicar filtros que validem os dados inseridos Aplicação de regras básicas recomendadas. Ou da biblioteca anti XSS disponibilizada pela Microsoft

6 Recursos Afetados Recurso Parametro Metodo /courses.do type GET GET /courses.do?type=m%20src=-->">'>'" Recurso /dir/futurestudent Parametro menu GET /dir/futurestudent?role=futurestudent&menu=menu.futurosalunos'%20-->">'>'" Recurso /dir/student Parametro menu GET /dir/student?role=student&menu='%20-->">'>'" Recurso /dir/teacher Parametro menu GET /dir/teacher?role=teacher&menu="%20-->">'>'" Recurso /noresults.do Parametro query

7 GET /noresults.do?query='%20-->">'>'" Recurso /search.do Parametro query Metodo POST POST /search.do [dispatch=search query=1-->">'>'" searchtype=search.type.all ] Recurso /search.do Parametro searchtype Metodo POST POST /search.do [dispatch=search query=1 searchtype=search.type.all" src=-->">'>'" ] Recurso /startloadcourseseparators.do Parametro content GET /startloadcourseseparators.do?content=home'%20-->">'>'" Recurso /startloadcoursestudiesplan.do Parametro content GET /startloadcoursestudiesplan.do?content=studiesplan'%20-->">'>'"

8 Recurso /startloadmenucourse.do Parametro content GET /startloadmenucourse.do?type=m&courseview.id=52&content=parceiros%20src=- ->">'>'" Recurso /student.do Parametro menu

9

10 GET /student.do?role=student&menu=menu.alunos"%20src=-->">'>'"

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Sistema Qualicell na Internet

Sistema Qualicell na Internet Sistema Qualicell na Internet Área do Lojista (Estabelecimento) I) Acesso Acessar o Site www.qualicell.com.br e clicar em Área do Lojista 1 Para acessar o Sistema Qualicell, é necessário informar o Login

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Segurança Informática

Segurança Informática Cadeira de Tecnologias de Informação Ano lectivo 2009/10 Segurança Informática TI2009/2010_SI_1 Tópicos 1. O que é segurança? 2. Problemas relacionados com segurança 3. Criptografia 4. Assinatura digital

Leia mais

Sumário. 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras

Sumário. 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras Sumário 1. Programa Embarque Já 2. Manual de Acesso ao novo site 3. Processos de compras O que é o Programa Embarque Já É um Programa da TAM Viagens que oferece descontos em passagens aéreas TAM nacionais

Leia mais

Manual do Usuário. E-DOC Peticionamento Eletrônico TST

Manual do Usuário. E-DOC Peticionamento Eletrônico TST E-DOC Peticionamento APRESENTAÇÃO O sistema E-DOC substituirá o atual sistema existente. Este sistema permitirá o controle de petições que utiliza certificado digital para autenticação de carga de documentos.

Leia mais

Rede de Laboratórios de Produtividade de Software

Rede de Laboratórios de Produtividade de Software Rede de Laboratórios de Produtividade de Software Testes em aplicações WEB Uma Visão Geral Programa de Capacitação em Testes de Software Desktop system WEB system Ambiente de aplicativo da Web Rede de

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

10 dicas para proteger o seu modem/router de ataques online

10 dicas para proteger o seu modem/router de ataques online 10 dicas para proteger o seu modem/router de ataques online Date : 9 de Outubro de 2015 Os ataques online e a cibersegurança são dos temas mais abordados, actualmente, quando se fala de Internet. Os perigos

Leia mais

Introdução à Tecnologia Web 2010 HTML HyperText Markup Language XHTML extensible HyperText Markup Language Elementos da Seção do Cabeçalho

Introdução à Tecnologia Web 2010 HTML HyperText Markup Language XHTML extensible HyperText Markup Language Elementos da Seção do Cabeçalho IntroduçãoàTecnologiaWeb2010 HTML HyperTextMarkupLanguage XHTML extensiblehypertextmarkuplanguage ElementosdaSeçãodoCabeçalho ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com>

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Segurança Web com PHP 5

Segurança Web com PHP 5 Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Engineer douglas.pasqua@gmail.com Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Relatório SQUID e SAMBA. Instalação e Configuração de Servidores de Rede

Relatório SQUID e SAMBA. Instalação e Configuração de Servidores de Rede Relatório SQUID e SAMBA INSTITUTO POLITÉCNICO DE BEJA ESCOLA SUPERIOR DE TECNOLOGIA E GESTÃO Instalação e Configuração de Servidores de Rede Trabalho realizado por: Tiago Conceição Nº 11903 Tiago Maques

Leia mais

Prof. Jefferson Costa www.jeffersoncosta.com.br

Prof. Jefferson Costa www.jeffersoncosta.com.br Prof. Jefferson Costa www.jeffersoncosta.com.br Preservação da: confidencialidade: Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas. integridade: Salvaguarda da exatidão

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Licenciatura em Eng.ª Informática Redes de Computadores - 2º Ano - 2º Semestre. Trabalho Nº 1 - Ethereal

Licenciatura em Eng.ª Informática Redes de Computadores - 2º Ano - 2º Semestre. Trabalho Nº 1 - Ethereal 1. Objectivos do Trabalho Trabalho Nº 1 - Ethereal Tomar conhecimento com um analisador de pacotes o Ethereal Realizar capturas de pacotes e analisá-los o TCP / UDP o IP o Ethernet o HTTP / DNS 2. Ambiente

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Disciplina de Segurança e Auditoria de Sistemas Ataques

Disciplina de Segurança e Auditoria de Sistemas Ataques Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas,

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC.

Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Tecnologia de Redes - Marissol Descrição da atividade: elaborar um relatório sobre Prova de Conceito de ataque Man in the Middle (MITM) através do transbordamento da tabela MAC. Definições e Conceitos

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Encontrando falhas em aplicações web baseadas em flash Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Tópicos Um pouco sobre flash Vulnerabilidades Como fazer direito Conclusões

Leia mais

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA Negócio Electrónico, 2006/2007 TRABALHO #1 Sistemas de Informação Distribuídos: Reflexão sobre a segurança

Leia mais

Cartilha de Segurança para Internet Parte IV: Fraudes na Internet

Cartilha de Segurança para Internet Parte IV: Fraudes na Internet Cartilha de Segurança para Internet Parte IV: Fraudes na Internet NIC BR Security Office nbso@nic.br Versão 2.0 11 de março de 2003 Resumo Esta parte da cartilha aborda questões relacionadas à fraudes

Leia mais

DOCUMENTO TÉCNICO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO

DOCUMENTO TÉCNICO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO DOCUMENTO TÉCNICO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO PARA ALÉM DA SEGURANÇA DA INFORMAÇÃO Para Além da Segurança da Informação 1 ACTUALMENTE O TRUSTED PLATFORM MODULE (TPM) REPRESENTA A MAIS INOVADORA

Leia mais

EAmb V.1 ESPOSENDE AMBIENTE. GestProcessos Online. Manual do Utilizador

EAmb V.1 ESPOSENDE AMBIENTE. GestProcessos Online. Manual do Utilizador EAmb V.1 ESPOSENDE AMBIENTE GestProcessos Online Manual do Utilizador GestProcessos Online GABINETE DE SISTEMAS DE INFORMAÇÃO E COMUNICAÇÃO EAmb Esposende Ambiente, EEM Rua da Ribeira 4740-245 - Esposende

Leia mais

CONSULGAL, S.A. Config_OUTLOOK2003_ DSI_08.pdf 1

CONSULGAL, S.A. Config_OUTLOOK2003_ DSI_08.pdf 1 Configuração do OUTLOOK 2003 Cliente de E-mail CONSULGAL, S.A. Config_OUTLOOK2003_ DSI_08.pdf 1 Configuração do OUTLOOK 2003 Cliente de E-mail 1. CONFIGURAÇÃO DO MICROSOFT OUTLOOK 2003 DOMINIO consulgal.pt

Leia mais

Guia de conexão na rede wireless

Guia de conexão na rede wireless 1 Guia de conexão na rede wireless Este documento tem por objetivo orientar novos usuários, não ambientados aos procedimentos necessários, a realizar uma conexão na rede wireless UFBA. A seguir, será descrito

Leia mais

Manual de utilização do STA Web

Manual de utilização do STA Web Sistema de Transferência de Arquivos Manual de utilização do STA Web Versão 1.1.7 Sumário 1 Introdução... 3 2 Segurança... 3 2.1 Autorização de uso... 3 2.2 Acesso em homologação... 3 2.3 Tráfego seguro...

Leia mais

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger www.elizabete.com.br IntroduçãoàTecnologiaWeb TiposdeSites ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br ProfªMSc.ElizabeteMunzlinger www.elizabete.com.br TiposdeSites Índice 1 Sites... 2 2 Tipos de Sites... 2 a) Site

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais

Segurança na Internet. Disciplina: Informática Prof. Higor Morais Segurança na Internet Disciplina: Informática Prof. Higor Morais 1 Agenda Segurança de Computadores Senhas Engenharia Social Vulnerabilidade Códigos Maliciosos Negação de Serviço 2 Segurança de Computadores

Leia mais

Fundamentos de Ethical Hacking EXIN

Fundamentos de Ethical Hacking EXIN Exame Simulado Fundamentos de Ethical Hacking EXIN Edição Augusto 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Política de Uso do JEMS para a CAFe

Política de Uso do JEMS para a CAFe Política de Uso do JEMS para a CAFe Julho de 2013 Conteúdo 1. Apresentação... 3 2. Definições... 3 3. Público Alvo... 3 4. Credenciamento... 3 5. Requisitos... 4 6. Termo de Uso... 4 7. Considerações Finais...

Leia mais

Sistema de Informação Integrado da Universidade de Évora

Sistema de Informação Integrado da Universidade de Évora Sistema de Informação Integrado da Universidade de Évora Todos os Perfis MANUAL DE UTILIZAÇÃO Módulo: Autenticação O Módulo de Autenticação do SIIUE foi implementado tendo como linha condutora o desenvolvimento

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais

TUTORIAL DE UTILIZAÇÃO DA BASE SCIFINDER

TUTORIAL DE UTILIZAÇÃO DA BASE SCIFINDER TUTORIAL DE UTILIZAÇÃO DA BASE SCIFINDER Sobre a SciFinder A SciFinder é uma ferramenta de pesquisa do Chemical Abstracts Service (CAS) e um serviço de indexação de periódicos científicos nas áreas de

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Empresa Brasileira de Correios e Telégrafos DESIG/GPGEM

Empresa Brasileira de Correios e Telégrafos DESIG/GPGEM Manual do Usuário SFC SISTEMA DE FATURAMENTO CORPORATIVO ECT EMPRESA BRASILEIRA DE CORREIOS E TELÉGRAFOS DESIG - DEPARTAMENTO DE SISTEMAS DE GESTÃO Elaborado por Claudimiro José dos Santos Neto Analista

Leia mais

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo

Cross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer

Leia mais

Atualização deixa Java mais seguro, mas ainda é melhor desativar

Atualização deixa Java mais seguro, mas ainda é melhor desativar Atualização deixa Java mais seguro, mas ainda é melhor desativar seg, 21/01/13 por Altieres Rohr Segurança Digital Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime,

Leia mais

INSTRUMENTO NORMATIVO 004 IN004

INSTRUMENTO NORMATIVO 004 IN004 1. Objetivo Definir um conjunto de critérios e procedimentos para o uso do Portal Eletrônico de Turismo da Região disponibilizado pela Mauatur na Internet. Aplica-se a todos os associados, empregados,

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

Apresentação de REDES DE COMUNICAÇÃO

Apresentação de REDES DE COMUNICAÇÃO Apresentação de REDES DE COMUNICAÇÃO Curso Profissional de Técnico de Gestão e Programação de Sistemas Informáticos MÓDULO VII Acesso a Bases de Dados via Web Duração: 50 tempos Conteúdos (1) Conceitos

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

www.profpimentel.com.br

www.profpimentel.com.br CENTRAL DE CURSOS PROF. PIMENTEL 12/03/2016 SIMULADO - INFORMÁTICA TURMA - INSS - TÉCNICO DO SEGURO SOCIAL Você recebeu sua folha de respostas e este caderno contendo 30 questões objetivas. Leia cuidadosamente

Leia mais

COOKIES: UMA AMEAÇA À PRIVACIDADE

COOKIES: UMA AMEAÇA À PRIVACIDADE Mestrado em Ciência da Informação Segurança da Informação COOKIES: UMA AMEAÇA À PRIVACIDADE Marisa Aldeias 05 de dezembro de 2011 Sumário O que são; Tipos de cookies; Aplicação danosa? Interesse e utilidade;

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Plataforma de correio electrónico Microsoft Office 365

Plataforma de correio electrónico Microsoft Office 365 1 Plataforma de correio electrónico Microsoft Office 365 Tendo por objetivo a melhoria constante dos serviços disponibilizados a toda a comunidade académica ao nível das tecnologias de informação, surgiu

Leia mais

Como acessar o novo webmail da Educação? Manual do Usuário. 15/9/2009 Gerencia de Suporte, Redes e Novas Tecnologias Claudia M.S.

Como acessar o novo webmail da Educação? Manual do Usuário. 15/9/2009 Gerencia de Suporte, Redes e Novas Tecnologias Claudia M.S. Como acessar o novo webmail da Educação? Manual do Usuário 15/9/2009 Gerencia de Suporte, Redes e Novas Tecnologias Claudia M.S. Tomaz IT.002 02 2/14 Como acessar o Webmail da Secretaria de Educação? Para

Leia mais

MANUAL DO PRESTADOR WEB

MANUAL DO PRESTADOR WEB MANUAL DO PRESTADOR WEB Sumário 1. Guia de Consulta... 3 2. Guia de Procedimentos Ambulatoriais... 6 3. Guia de Solicitação de Internação... 8 4. Prorrogação de internação... 8 5. Confirmação de pedido

Leia mais

Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular. Manual do sistema (Médico)

Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular. Manual do sistema (Médico) Programa de Hematologia e Oncologia Pediátricos Diagnóstico Imunomolecular Manual do sistema (Médico) ÍNDICE 1. O sistema... 1 2. Necessidades técnicas para acesso ao sistema... 1 3. Acessando o sistema...

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

Agradecemos seu contato e interesse pelo sistema Residencial Online.

Agradecemos seu contato e interesse pelo sistema Residencial Online. Agradecemos seu contato e interesse pelo sistema Residencial Online. O objetivo do sistema é ser um canal de comunicação entre os moradores e a administração do condomínio. É como uma rede social porém

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Introdução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção...

Introdução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção... Conteúdo do Ebook Introdução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção... Quais foram as últimas falhas... Conclusão... 03 04 05 06 06 07

Leia mais

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25 Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15 Burp Suite Módulo 25 01 O que é? O que é o Burp Suite? Burp Suite é uma plataforma integrada para a realização de testes de segurança de aplicações web. As

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Programação para web JavaScript

Programação para web JavaScript Programação para web JavaScript Professor: Harlley Lima E-mail: harlley@decom.cefetmg.br Departamento de Computação Centro Federal de Educação Tecnológica de Minas Gerais Belo Horizonte, 4 de maio 2016

Leia mais

Manual do App MobiDM para ios

Manual do App MobiDM para ios Manual do App MobiDM para ios Este Manual Rápido descreve a instalação e utilização do App MobiDM para ios Versão: x.x Manual do App MobiDM para ios Página 1 Índice 1. BEM-VINDO AO MOBIDM... 2 1.1. INTRODUÇÃO

Leia mais

KalumaFin. Manual do Usuário

KalumaFin. Manual do Usuário KalumaFin Manual do Usuário Sumário 1. DICIONÁRIO... 4 1.1 ÍCONES... Erro! Indicador não definido. 1.2 DEFINIÇÕES... 5 2. DESCRIÇÃO DO SISTEMA... 7 3. ACESSAR O SISTEMA... 8 4. PRINCIPAL... 9 4.1 MENU

Leia mais

Guia de Acesso/Apresentação de Pedidos de Apoio Sistema de Informação RURAL

Guia de Acesso/Apresentação de Pedidos de Apoio Sistema de Informação RURAL Guia de Acesso/Apresentação de Pedidos de Apoio Sistema de Informação RURAL Índice 1. Introdução...3 2. Home Page...3 3. Pedido de Senha...4 3.1 Proponente...5 3.2 Técnico Qualificado...5 3.3 Proponente/Técnico

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

Política de uso da Federação CAFe: provedores de serviço. DAGSer Diretoria Adjunta de Gestão de Serviços

Política de uso da Federação CAFe: provedores de serviço. DAGSer Diretoria Adjunta de Gestão de Serviços Política de uso da Federação CAFe: provedores de serviço DAGSer Diretoria Adjunta de Gestão de Serviços Julho de 2011 Sumário 1. Apresentação...3 2. Definições...3 3. Público alvo...4 4. Credenciamento...4

Leia mais

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura?

Qual a importância da Segurança da Informação para nós? Quais são as características básicas de uma informação segura? Qual a importância da Segurança da Informação para nós? No nosso dia-a-dia todos nós estamos vulneráveis a novas ameaças. Em contrapartida, procuramos sempre usar alguns recursos para diminuir essa vulnerabilidade,

Leia mais

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web

Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web Manual de Configuração de Ambiente para Utilização do Login via Certificado Digital no Cadastro Web AÇÕES IMPORTANTES Ao tentar acessar o Cadastro Web por meio da certificação digital, é fundamental realizar

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013

Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 Roubo de dados e de dinheiro ou o bloqueio da infra-estrutura TI: os principais alvos dos ciberataques empresariais em 2013 RELATÓRIO CIBERAMEAÇAS B2B 2O13 Lisboa, 18 de Dezembro de 2013 O uso alargado

Leia mais

Plataforma de correio eletrónico Microsoft Office 365

Plataforma de correio eletrónico Microsoft Office 365 1 Plataforma de correio eletrónico Microsoft Office 365 A plataforma Microsoft Office 365 disponibiliza a toda a comunidade académica um conjunto de recursos que permite suportar o trabalho colaborativo

Leia mais