Web Application Firewall

Tamanho: px
Começar a partir da página:

Download "Web Application Firewall"

Transcrição

1 Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil

2 Aplicações Web Cada vez mais objetos de ataques Com aplicações web se tornando a plataforma escolhida pelas corporações, cada vez mais vemos estas tornando-se alvos de ataques, ex.: SQL injection Cross-site scripting (XSS) Cookie tampering Roubos voltados a cartões de crédito Não apenas as aplicações Web são vulneráveis, mas também as plataformas sobre as quais elas operam

3 Estrutura de uma aplicação Web Aplicação Web Sistema Operacional Servidor Web Base de Dados

4 Presença Web Realidade para pequenas e médias empresas Pequenas e médias empresas mais presentes na web Sem capacitação interna para manutenção e administração dos recursos tecnológicos envolvidos Maior Vulnerabilidade em decorrência a essa exposição na web

5 OWASP Top10 Web Apps Security Risks (2010)

6 Vulnerabilidades Mais Importantes Injection: engana a aplicação, incluindo comandos não esperados nos dados enviados, que extrai essas strings e executa tais comandos. Cross Site Scripting (XSS): aplicação toma a informação originada por um usuario e a envia a um navegador Web sem antes validá-la ou codificar o seu conteúdo. Causa perda de sessão, redirecionamento do usuário para páginas de phishing e malware. Broken Authentication and Session Management: HTTP é stateless, requerendo que as credenciais do usuário estejam em nas requisições para tracking da sessão, expondo assim as credenciais do usuário, bem como dados da sessão propriamente dita. Insecure Direct Object References: referências a objetos internos (arquivo, diretório, URL, DBentry) são expostas, permitindo ao hacker manipular e acessar os dados através dessas informações.

7 SQL Injection Network Layer Application Layer HTTP request APPLICATION ATTACK M Firewall Accounts Finance Administration Transactions Communication Knowledge Mgmt Custom Code App Server Web Server Hardened OS E-Commerce HTTP SQL response query > M Bus. Functions Firewall Databases Legacy Systems Web Services Directories Human Resrcs DB Table > Billing "SELECT * FROM Account Summary accounts WHERE SKU: acct= OR 1=1-- " Account: Acct: Acct: Acct: Acct: Application presents a form to the attacker 2. Attacker sends an attack in the form data 3. Application forwards attack to the database in a SQL query 4. Database runs query containing attack and sends encrypted results back to application 5. Application decrypts data as normal and sends results to the user by OWASP

8 Cross Site Scripting 1 Attacker sets the trap update my profile 2 Attacker enters a malicious script into a web page that stores the data on the server Victim views page sees attacker profile Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Custom Code Script runs inside victim s browser with full access to the DOM and cookies 3 Script silently sends attacker Victim s session cookie by OWASP

9 Broken Authentication & Session Management 1 User sends credentials Site uses URL rewriting (i.e., put session in URL) 2 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Custom Code Bus. Functions 3 User clicks on a link to in a forum 5 Hacker uses JSESSIONID and takes over victim s account Hacker checks referer logs on and finds user s JSESSIONID 4 by OWASP

10 Insecure Direct Object References https://www.onlinebank.com/user? acct=6065 Attacker notices his acct parameter is 6065?acct=6065 He modifies it to a nearby number?acct=6066 Attacker views the victim s account information by OWASP

11 Para ser ameaçado, basta estar na web

12 Consequências Constrangimentos Roubo e exposição de informação Roubo de identidade Chantagem Dinheiro (Prejuízos) Interrupções de serviço Black listing e suas consequências Multas, quebras de contrato

13 Como Reduzir Tantas Vulnerabilidades? Melhor desenvolvimento de códigos e proteções múltiplas 1. Mais tempo para segurança 2. Segurança inclusa no projeto inicial 3. Revisão manual e automatizada do código Antes Desenvolvedores da aplicação web. + Tempo Problemas Revisão de Segurança 4. Política de aplicação de correções 7. Equipe e Processos de Segurança 5. WAF 6. Verificações Constantes

14 Como o WAF pode ajudar nessa batalha? Inspeção de tráfego com renovação automática de assinaturas Controle de acesso, autenticação e autorização Monitoramento e auditoria E mais

15 O que é um Web Application Firewall (WAF)? Assinaturas de IPS Hacker Usuarios Web Application Firewall Servidor WEB Relatorios

16 Dell SonicWALL Web Application Firewall Arquitetura

17 Erros e Considerações Comuns Tenho SSL, portanto já estou seguro Tenho firewall, portanto já estou protegido Meus dados estão encriptados, não corro risco Verifico minhas aplicações Web anualmente, tudo está OK Nunca me aconteceu nada

18 Firewall + IPS vs. WAF Firewall Proteção camadas 2/3 -- DoS IDS/IPS UTM (= Firewall + IPS) Busca Anti-Virus online Assinaturas pouco específicas para web. Terminação SSL, nem sempre. Complexidade WAF Proteção camada 7 Monitora HTTP/HTTPs Terminação SSL Relatórios específicos WAF Otimização Web: Aceleração, Caching, etc.

19 Requerimentos de Mercado PCI Compliant: a indústria de pagamentos por cartão é diretamente afetada pelos riscos existentes (PCI DSS 6.6 requer WAF à frente do servidor de aplicações web públicas) https://www.pcisecuritystandards.org Proteção e sigilo de informações pessoais: toda atividade que requer manipulação de dados pessoais exige proteção adequada para que o sigilo seja mantido (ex.: Saúde, Banking)

20 Como o WAF atende a essas necesidades? "OWASP Top 10 Vulnerability Protection" totalmente coberto "Cross-site request forgery protection" como complemento do XSS "Automatic signature updates" atua contra ameaças emergentes "Strong authentication and authorization", com políticas granulares de acesso "Information disclosure protection" bloqueia acesso baseado em palavraschave definidas pelo administrador "Robust dashboard" para monitoração de status de servidores e estatísticas de ameaças contidas "Flexible policy settings "Comprehensive audit log "Cookie tampering protection" minimiza possibilidades de vulnerabilidades

21 Como o WAF atende a essas necesidades? "Session management" permite configurações globais de timeout para inatividade de usuários "Anti-evasion measures" normaliza requests pré-analise "HTTPS inspection" pode bloquear ataques contidos em pacotes encriptados SSL "Acceleration features": cache, compressão e multiplexação de conexões, incrementando performance de web sites protegidos "Web site cloaking" previne que hackers descubram dados sobre a implementação do web server e explorem suas vulnerabilidades "Custom rule chains" permite a criação de assinaturas customizadas "Application profiling" automaticamente sugere regras customizadas

22 Solução Integrada com NGFW

23 Obrigado

Dell SonicWALL NETWORK 1 Day. Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com

Dell SonicWALL NETWORK 1 Day. Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com Dell SonicWALL NETWORK 1 Day Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com SonicWALL uma nova FORÇA SonicWALL Enables Dell End-to-end Advanced Threat Protection

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Como estar preparado para a próxima ameaça a segurança?

Como estar preparado para a próxima ameaça a segurança? Dell Security :: Dell SonicWALL Como estar preparado para a próxima ameaça a segurança? Vladimir Alem Product Marketing Manager Dell Security, LATAM biggest distributed denial-of-service (DDoS) attack

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional

OWASP @ ISCTE-IUL Workshop de Segurança Aplicacional Workshop de Segurança Aplicacional OWASP Top 10 (v.2010) ISCTE- IUL/DCTI Instituto Superior de Ciências do Trabalho e da Empresa Instituto Universitário de Lisboa Departamento de Ciências e Tecnologias

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

OWASP TOP 10 + Java EE. OWASP Paraíba. The OWASP Foundation. Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org. http://www.owasp.

OWASP TOP 10 + Java EE. OWASP Paraíba. The OWASP Foundation. Magno (Logan) Rodrigues OWASP Paraíba Leader magno.logan@owasp.org. http://www.owasp. TOP 10 + Java EE Magno (Logan) Rodrigues Paraíba Leader magno.logan@owasp.org Paraíba Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the

Leia mais

Proteja Sua Empresa com a Nova Geração de Segurança de Aplicação

Proteja Sua Empresa com a Nova Geração de Segurança de Aplicação Especificações Técnicas O que contém: 1 Principais Benefícios 2 Construtor de Políticas de Tráfego em Tempo Real 2 Proteção Pronta para Uso 2 Aplicação Avançada de Políticas 2 Armazenagem Conforme os Padrões

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte

Leia mais

SOLUÇÕES F-SECURE PARA O MERCADO CORPORATIVO. Vitor Vianna, Sales Engineer Latin America Thales Buso, Inside Sales Latin America

SOLUÇÕES F-SECURE PARA O MERCADO CORPORATIVO. Vitor Vianna, Sales Engineer Latin America Thales Buso, Inside Sales Latin America SOLUÇÕES F-SECURE PARA O MERCADO CORPORATIVO Vitor Vianna, Sales Engineer Latin America Thales Buso, Inside Sales Latin America SOMOS F-SECURE O QUE FAZ A F-SECURE INCOMPARÁVEL? EMPRESA CONFIÁVEL DE UM

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Brilhantemente Simples. Quem é a Sophos Diferenciais Competitivos Soluções Sophos Porque Sophos é a melhor escolha Quem usa o Sophos

Brilhantemente Simples. Quem é a Sophos Diferenciais Competitivos Soluções Sophos Porque Sophos é a melhor escolha Quem usa o Sophos Brilhantemente Simples Quem é a Sophos Diferenciais Competitivos Soluções Sophos Porque Sophos é a melhor escolha Quem usa o Sophos Quem é a Sophos 100 Milhões de Usuários em mais de 150 países Empresa

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Next Generation Firewall UFOP Pregão 119/2014 Válida até: 07/01/2016

Next Generation Firewall UFOP Pregão 119/2014 Válida até: 07/01/2016 Next Generation Firewall UFOP Pregão 119/2014 Válida até: 07/01/2016 Você ainda se protege com firewall comum? Apresentamos a nossa ATA de Registro de Preços, com a melhor solução de de Internet, com todos

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

Dell SonicWALL. Proteção contra Ameaças Avançadas

Dell SonicWALL. Proteção contra Ameaças Avançadas Dell Proteção contra Ameaças Avançadas 1991 Nasce a 1996 Líder no fornecimento de assinaturas de segurança 2005 1 Milhão 2010 Líder em soluções de UTM (unified threat management) De appliances comercializados

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

ATA DE REGISTRO DE PREÇO

ATA DE REGISTRO DE PREÇO ÓRGÃO DETENTOR DA ATA: TRIBUNAL DE CONTAS DO ESTADO DO MATO GROSSO Pregão Presencial N. 13/2015 Ata de Registro de Preço ÓRGÃO: Tribunal de Contas do Estado do Mato Grosso Pregão Presencial N. 13/2015

Leia mais

Check Point Endpoint. Kátia Cruz. Security System Engineer katia.cruz@westcon.com.br

Check Point Endpoint. Kátia Cruz. Security System Engineer katia.cruz@westcon.com.br Check Point Endpoint Kátia Cruz Security System Engineer katia.cruz@westcon.com.br Os desafios PESSOAS COMETEM ERROS DIFÍCIL DEFINIR UMA POLÍTICA DE SEGURANÇA MÚLTIPLAS SOLUÇÕES Pessoas cometem erros Usam

Leia mais

QUEM SOMOS NOSSA VISÃO NOSSA MISSÃO NOSSOS VALORES

QUEM SOMOS NOSSA VISÃO NOSSA MISSÃO NOSSOS VALORES QUEM SOMOS A NTSec, Network Security, atua na área de Tecnologia da Informação (TI), foi criada com o intuito de promover solução em segurança da informação. Oferece aos seus clientes o que existe de mais

Leia mais

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)

Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) 05/12/2009 Ricardo Kléber M. Galvão rk@cefetrn.br Aplicações Web Modernas (3 Camadas) Cliente Aplicação Web Browser Microsoft IIS

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Enterprise Security. Palestrante: Rafael Santos da Rosa

Enterprise Security. Palestrante: Rafael Santos da Rosa Enterprise Security Palestrante: Rafael Santos da Rosa Sobre a Netsul Inovação na segurança é necessária? Segurança de Aplicações na Internet Segurança dos seus usuários Segurança dos seus Bancos de Dados

Leia mais

COOKIES: UMA AMEAÇA À PRIVACIDADE

COOKIES: UMA AMEAÇA À PRIVACIDADE Mestrado em Ciência da Informação Segurança da Informação COOKIES: UMA AMEAÇA À PRIVACIDADE Marisa Aldeias 05 de dezembro de 2011 Sumário O que são; Tipos de cookies; Aplicação danosa? Interesse e utilidade;

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web

Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web 2007 IBM Corporation Verdades Alarmantes Approximately 100 million Americans have been informed that they

Leia mais

Transferindo a carga da autenticação remota dos servidores

Transferindo a carga da autenticação remota dos servidores Transferindo a carga da autenticação remota dos servidores Visão Geral Há três etapas usadas pela maioria dos computadores para proteger o acesso a operações, aplicativos e dados sensíveis: A identificação

Leia mais

Proteger ou Revelar a Privacidade

Proteger ou Revelar a Privacidade www.cyberoam.com Proteger ou Revelar a Privacidade Apresentação: André Carneiro Gerente de Pré-vendas Cyberoam - A Sophos Company Our Products Network Security Appliances - UTM, NGFW (Hardware & Virtual)

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

Daniel Romio, CISSP. Check Point Virtual Gateway Edition. Channel Manager - Brasil

Daniel Romio, CISSP. Check Point Virtual Gateway Edition. Channel Manager - Brasil Check Point Virtual Gateway Edition Daniel Romio, CISSP Channel Manager - Brasil Agenda 1 Desafios dos clientes 2 Visão Geral da Solução 3 Casos de Uso 4 Pacotes e preços 5 Sumário 2 Tendências de Mercado

Leia mais

Versão: 30/09/2014. Versão: 08/08/2013 AKER WEB DEFENDER

Versão: 30/09/2014. Versão: 08/08/2013 AKER WEB DEFENDER Versão: 30/09/2014 Versão: 08/08/2013 AKER WEB DEFENDER ÍNDICE... 2... 4 1. INTRODUÇÃO... 7 1.1. COMO ESTÁ DISPOSTO ESTE MANUAL... 7 1.2. O QUE É UM WAF?... 7 2. AKER WEB DEFENDER... 14 2.1. EXEMPLO DE

Leia mais

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade

GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade GTS.15 Grupo Técnico em Segurança de Redes Marco Antônio Abade sobre o Autor Bacharel em Análise de Sistemas pela Universidade de Ribeirão Preto e Pós-graduado em Segurança da Informação pelo ITA Instituto

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Cisco ASA com FirePOWER. 2014 Cisco and/or its affiliates. All rights reserved. 1 2014 Cisco and/or its affiliates. All rights reserved.

Cisco ASA com FirePOWER. 2014 Cisco and/or its affiliates. All rights reserved. 1 2014 Cisco and/or its affiliates. All rights reserved. Cisco ASA com FirePOWER 2014 Cisco and/or its affiliates. All rights reserved. 1 2014 Cisco and/or its affiliates. All rights reserved. 1 Apresentamos o Cisco ASA com FirePOWER Primeiro Firewall da Indústria

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

QUICKGUIDE v.7.5.4 contato: brasil@sonicwall.com Solução de Segurança - "Small Business" Linha TZ para até 150 usuários

QUICKGUIDE v.7.5.4 contato: brasil@sonicwall.com Solução de Segurança - Small Business Linha TZ para até 150 usuários Solução de Segurança - "Small Business" Linha TZ para até usuários TZ 105 / TZ 105W TZ 205 / TZ 205W TZ 215 / TZ215 W número poderá variar com cada ambiente. 160 200 200 AD/LDAP. Neste cálculo foi utilizado

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

ATA 2 ADC - Application Delivery Controller Estado de Minas Gerais

ATA 2 ADC - Application Delivery Controller Estado de Minas Gerais ATA 2 ADC - Application Delivery Controller Estado de Minas Gerais Estado de Minas Gerais Pregão 069/2014 Válida até: 28/10/2015 As principais soluções da F5 em um único pacote: Hardware + Softwares +

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

ATA 6 Firewall IFMG Campus - Governador Valadares

ATA 6 Firewall IFMG Campus - Governador Valadares ATA 6 Firewall IFMG Campus - Governador Valadares IFMG Campus Gov. Valadares Pregão 25/2014 Válida até: 29/05/2015 Item 01: Network security Appliance for (NSA) 3600 (PN: 01-SSC-3850).....04 unidades Preço

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

PCI Data Security Standard

PCI Data Security Standard PCI Data Security Standard Luiz Gustavo C. Barbato gbarbato@trustwave.com GTS 11 01/06/2008 O que é um Comprometimento de Cartão de Crédito? Conseguir acesso não autorizado através de alguma vulnerabilidade

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

PROAPPS Security Data Sheet Professional Appliance / Apresentação

PROAPPS Security Data Sheet Professional Appliance / Apresentação O ProApps Security O ProApps Security é um componente da suíte de Professional Appliance focada na segurança de sua empresa ou rede. A solução pode atuar como gateway e como solução IDS/IPS no ambiente.

Leia mais

ISP Redundancy e IPS Utilizando Check Point Security Gateway. Resumo

ISP Redundancy e IPS Utilizando Check Point Security Gateway. Resumo ISP Redundancy e IPS Utilizando Check Point Security Gateway Radamés Bett Curso de Especialização em Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, outubro de 2010 Resumo

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Novidades Oracle 11g. Rio Grande Energia - RGE

Novidades Oracle 11g. Rio Grande Energia - RGE Novidades Oracle 11g Daniel Güths Rio Grande Energia - RGE 1 Agenda Oracle Database 11g new features SQL e PL/SQL new features Performance e gerenciamento de recursos Gerenciamento de mudanças Gerenciamento

Leia mais

Nas Nuvens com Segurança

Nas Nuvens com Segurança Nas Nuvens com Segurança Pedro Paixão VP International Sales pedro@fortinet.com 1 August 8, 2012 História da Segurança na Nuvem Primeira App que recebemos da nuvem 2 Lembram-se do Código Morse?.-..- -

Leia mais

jshield: Uma Solução Open Source para Segurança de Aplicações Web

jshield: Uma Solução Open Source para Segurança de Aplicações Web jshield: Uma Solução Open Source para Segurança de Aplicações Web Márcio A. Macêdo², Ricardo G. Queiroz¹, Julio C. Damasceno² ¹Centro de Ensino Unificado de Teresina (CEUT) Av. dos Expedicionários, 790

Leia mais

Protegendo o seu negócio com servidores DNS que se protegem

Protegendo o seu negócio com servidores DNS que se protegem Resumo do produto: A Solução de DNS seguro da Infoblox reduz os ataques aos servidores DNS através do reconhecimento inteligente de vários tipos de ataque e atuando no tráfego de ataque enquanto continua

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Vulnerabilidades em Sistemas de Informação:

Vulnerabilidades em Sistemas de Informação: Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos

Leia mais

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital.

Fortaleza Digital. Aker FIREWALL UTM. Sua empresa mais forte com uma solução completa de segurança digital. Aker FIREWALL UTM Fortaleza Digital Sua empresa mais forte com uma solução completa de segurança digital. Ideal para o ambiente corporativo, com o Aker Firewall UTM você tem o controle total das informações

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada

Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Um White Paper da Websense Web Security Gateway: A Web 2.0 Protegida e Simplificada Visão Geral do Mercado Embora o uso dos produtos da Web 2.0 esteja crescendo rapidamente, seu impacto integral sobre

Leia mais

Ameaças, riscos e vulnerabilidades Cont. Objetivos

Ameaças, riscos e vulnerabilidades Cont. Objetivos Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia

Leia mais