PHP SECURITY INTEGRANTES:
|
|
- Marcelo Duarte Peixoto
- 8 Há anos
- Visualizações:
Transcrição
1 PHP SECURITY INTEGRANTES: BERNARDO GONTIJO CARLOS EDUARDO CRUZ FILIPE GUIMARÃES SCALIONI FLÁVIO AUGUSTO M. SANTIAGO HELIO JÚNIOR LUIZ BRUNO SAMPAIO CHAGAS VINÍCIUS OLIVEIRA CARMO TÚLIO LENER
2 SUHOSIN SUHOSIN O QUE É? Suhosin é um módulo avançado de proteção para servidores de aplicação rodando PHP, e foi desenvolvido para proteger tanto os servidores como os próprios desenvolvedores de vulnerabilidades que podem estar presentes nas aplicações desenvolvidas utilizando a plataforma e no próprio core do PHP. O módulo é compatível com instalações padrão do PHP e com os módulos disponíveis da plataforma, não apresentando problemas com outros módulos comumente utilizados, incluindo Zend Optimizer e Source Guardian. Um dos recursos mais interessantes deste módulo é a encriptação transparente de cookies e dados de sessão, evitando inúmeros ataques de session hijacking muito comuns hoje em dia na internet. O módulo também realiza inúmeros tipos de filtragem de dados em tempo real, evitando ataques DOS, SQL Injection e a execução de scripts maliciosos no servidor. Fonte: Locaweb
3 SUHOSIN SUHOSIN O QUE É? Por que é? O que faz? SuHosin é um projeto de Firewall embutido no PHP, sendo uma lib carregada, que usamos como um sistema de proteção para clientes e por este motivo, este faz o bloqueio na tentativa de algum tipo de ataque ao serviço. 95% das incidências passam despercebidas, pois o próprio SuHosin bloqueia o script e não o site, mantendo o serviço funcional. A pergunta chave, qual a relação do include com o SuHosin? Por exemplo, o SuHosin verificou que está sendo utilizado um include, processo este, que pode se tornar perigoso quando chama informações de outro site que você não tem controle sobre o conteúdo, assim, o SuHosin impede o uso do include, já que existe a possibilidade de que seja executado um script em seu site. Ou seja, em alguns casos, pode ocorrer invasão ao FTP de um domínio através da inserção de scripts maliciosos, gerando ataques ao usuário e até mesmo ao servidor. Fonte:
4 SUHOSIN Exemplos de configurações suhosin.executor.max_depth Define a profundidade máxima da pilha permitida pelo executor antes de parar o script. Sem essa função uma recursão infinita em um script PHP pode travar o executor PHP ou acionar o memory_limit configurado. Um valor de '0 'desabilita essa funcionalidade. suhosin.executor.include.max_traversal Define quantas'../' um nome de arquivo precisa conter para ser considerado como um ataque e parar. Um valor de "2" irá bloquear'../../ etc / passwd ', enquanto um valor de '3' vai permitir isso. A maioria das aplicações PHP deve funcionar perfeitamente com os valores '4 'ou '5'. Um valor de '0 'desabilita essa funcionalidade. suhosin.session.encrypt Flag que decide se a criptografia da sessão transparente é ativada ou não. suhosin.cookie.encrypt Flag que decide se a criptografia transparente cookie é ativada ou não. Fonte:
5 Php_admin_flag Como mudar configurações? Executando PHP como módulo do Apache Quando usar o PHP como módulo do Apache, você pode mudar as configurações usando diretivas nos arquivos de configuração do Apache (ex.: httpd.conf ). Você precisa de privilégios "AllowOverride Options" ou "AllowOverride All" para isso. Usado para configurar diretiva de configuração booleana. Isso não pode ser usado em arquivos.htaccess. Qualquer tipo diretiva configurada com php_admin_flag não pode ser sobrescrita por diretivas.htaccess. Para limpar um valor configurado anteriormente, use o valor none. Fonte: Pós-Graduação php.net LATO SENSU - MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO
6 Php_admin_flag Exemplos de configurações? Abaixo alguns exemplos de configurações que podemos mudar com php_admin_flag display_errors - On/Off Indica de se o servidor web deve mostrar erros ou não. safe_mode - On/Off Indica se o modo de segurança está ativo ou não short_open_tag - On/Off Indica se o webserver interpreta <? como tag de iniciar script php.
7 PHP_ADMIN_FLAG Parâmetro utilizado para desabilitar a execução de scripts remotos no servidor web <IfModule mod_php5.c> php_value include_path ".:/usr/local/lib/php" php_admin_flag safe_mode on </IfModule> <IfModule mod_php4.c> php_value include_path ".:/usr/local/lib/php" php_admin_flag safe_mode on </IfModule> PÓS-GRADUAÇÃO LATO SENSU EM MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO
8 Frameworks MVC (Model-View-Controller)
9 Frameworks MVC (Model-View-Controller) OqueéMVC? Padrão de arquitetura que separa o modelo de dados, as regras de negócio e a interface com ousuário. É uma boa prática de programação, pois promove a modularização e a reutilização de código, além de permitir a troca da interface sem grandes impactos. EoquesãoFrameworksMVC? São os Frameworks que fazem uso de MVC, baseando toda sua concepção no tema.
10 Frameworks MVC (Model-View-Controller)
11 Tipos Arquitetura em Frameworks MVC Push Utilizam ações que requerem processamento e então empurram os dados na camada de visualização. Ex.: Struts, Django, Ruby on Rails, Spring. Pull Também chamada de arquitetura baseada em componentes, as ações são iniciadas na camada de visualização, que puxa os resultados de controles múltiplos, conforme necessário. Neste modelo, diversos controles podem ser envolvidos em uma única view. Ex.: Struts2, Lift, Tapesty, JBoss, Seam. Cake PHP é Push, Yii é Push & Pull
12 Popularidade dos Frameworks PHP Figura 1: Frameworks PHP mais populares em FONTE:
13 Tipos de Segurança aplicadas aos Frameworks MVC em PHP ACL Access Control Lists Trabalha com uma tabela onde se define o tipo de acesso de determinado usuário a um arquivo ou processo Largamente utilizado por aplicações de todos os tipos RBAC Role Based Access Control Evolução de MAC (Mandatory Access Control ) e DAC (Discretionary Access Control) Permite a definição de papéis (roles) que serão aplicados aos indivíduos Um indivíduo pode ter vários papéis, um papel várias permissões ou indivíduos As permissões pode ser aplicadas a vários papéis, assim como as operações PLUGINS Códigos pré-compilados acopláveis ao framework Fornecem funções, rotinas e afins Fácil implementação e utilização
14 Cake PHP Framework O CakePHP é um framework PHP que vem sendo desenvolvido rapidamente, e fornece uma arquitetura extensível para desenvolvimento, manutenção e liberação de aplicações. Utiliza desing patterns comuns como MVC e ORM (Object-Relational Mapping) no paradigma da conveniência sobre a configuração. Excelente para reduzir custos de desenvolvimento pois ajuda os desenvolvedores a escrever menos código. Projeto iniciado em 2005, deu origem a vários subprojetos. Não é uma implementação de Ruby-on-Rails para PHP, mas utiliza diversos de seus conceitos.
15 Yii Framework O Yii (Yes it is!) é um framework PHP baseado em components focado no desenvolvimento de aplicações web de larga escala. Contém uma extensa lista de atributos, incluindo MVC, DAO/ActiveRecord, I18N/L10N, caching, suporte a Ajax via jquery, ACL e RBAC, scaffolding, validação de inputs, widgets, eventos, temas e Web Services. Escrito completamente em LOO, é fácil de usar, extremamente flexível e extensível. Projeto inciado em 2008, com oobjetivodecorrigirerros no PRADO framework. Ganhou vida própria.
16 Comparativo Cake vs Yii
17 Isolamento O que é? Isolamento em programação significa, esconder os dados contidos em algum contexto do código. Para que serve? Serve para garantir que não haja acesso não autorizado direto ao código ou que uma vulnerabilidade encontrada em um contexto do código não seja utiliza para explorar outras partes do código. PÓS-GRADUAÇÃO LATO SENSU EM <NOME_CURSO>
18 Isolamento Solução Como fora de mitigar este risco são utilizados mecanismos de SandBox (caixa de areia) como Chroot jail. Chroot Jail: O comando chroot redefine o significado do diretório raiz. Podemos usar este comando para alterar o diretório raiz do processo atual para qualquer diretório. Por exemplo, se nós fazemos chroot no / tmp em um processo, a raiz ("/") no processo atual se torna / tmp. Se o processo tenta acessar um arquivo chamado / Xyz / etc, será no acesso fato de o arquivo / tmp / xyz / etc. O significado da raiz é hereditária, ou seja, todos os filhos do atual processo terá a mesma raiz que o processo pai. Usando chroot, nós podemos confinar um programa para um diretório específico, para que danos causados em um processo limita-se a esse diretório. Em outras palavras, chroot cria um ambiente no qual as ações de um processo não interfiram em outros. PÓS-GRADUAÇÃO LATO SENSU EM <NOME_CURSO>
19 Controle de Acesso CakePHP Funcionalidade ACL do CakePHP Uma é, basicamente, uma lista de permissões. Perceba que o ACL é a mesma coisa que autenticação. ACL é o que acontece que um usuário está autenticado. Embora os dois são geralmente usados em conjunto, ele é importante para realizar a diferença entre saber quem é (autenticação) e saber o que ele fez (ACL).
20 Controle de Acesso CakePHP ACL é geralmente implementado numa estrutura de árvore. Existe geralmente uma árvore de AROs e uma árvore de ACOs. Para organizar seus objetos em árvores, permissões podem ser tratadas de forma granulada.
21 Controle de Acesso CakePHP
22 Controle de Acesso Yii Access Control Filter O controle de acesso de filtro é um regime de autorização preliminar que verifica se o usuário atual pode executar a ação do controlador solicitado. A autorização é baseada em usuário, endereço IP do cliente o nome e os tipos de solicitação. Ele é fornecido como um filtro denominado "accesscontrol".
23 Controle de Acesso Yii class PostController extends CController { public function accessrules() { return array( array('deny', ), 'actions'=>array('create', 'edit'), 'users'=>array('?'), array('allow', ), 'actions'=>array('delete'), 'roles'=>array('admin'), array('deny', 'actions'=>array('delete'), 'users'=>array('*'),
24 Controle de Acesso Yii As regras de acesso são avaliadas uma a uma, na ordem em que são especificados. A primeira regra que corresponde ao padrão atual (ex. nome de usuário, funções, IP do cliente, endereço), determina o resultado autorização. Se esta regra é uma regra de permissão, a ação pode ser executada, se for uma regra de negação, a ação não pode ser executado, se nenhuma das regras coincide com o contexto, a ação ainda pode ser executado.
25 Controle de Acesso Yii Uma regra de acesso pode combinar os parâmetros de contexto a seguir: Acctions: especifica quais as acções desta regra encontrados. Este deve ser um array de IDs ação. Controllers: especifica que esta regra controladores encontrados. Este deve ser um array de IDs controlador. Users: especifica quais usuários desta regra encontrados. O nome do usuário atual é usado para combinar.
26 Autenticação PHP Autenticação e autorização são necessários para uma página da Web que deve ser limitada a certos usuários. A autenticação é verificar se alguém é quem afirmam ser.
27 Tipos de autenticação Autenticação por Sessão Usuário logar no sistema através de conexão HTTPS. o login e senha do usuário são validados em javascript e php é feita uma consulta no banco de dado. Caso a consulta retorne vazia, ele é redirecionado para a página de logar novamente. De outro modo, é criada uma sessão e o usuário é redirecionado para o Web Site
28 Autenticação PHP Autenticação por Cookies Quando o browser do cliente aceita cookies, é criado um cookie na máquina do cliente, e dentro desse cookie é armazenado o ID da sessão do cliente(é o método padrão do PHP). Autenticação CAPTCHAS Baseia na facilidade que os seres humanos têm em reconhecer padrões - Desse modo são geradas figuras distorcidas de letras e é pedido ao usuário que escreva essas letras. Através dessas verificações é possível impedir o ataque de força bruta, bem como, que programas robots (também conhecidos como bots) se passem por humanos.
29 Autenticação PHP Framework CakePHP e Yii - Componentes de alta perfomance que pode ser combinado com o ACL (Access Control List) para criar componentes mais complexos em níveis de acesso dentro de um site. Prevenção de cross-site scripting (XSS), cross-site request forgery (CSRF) e de adulteração de cookie.
30 Autenticação PHP Problemas e mitigações. Ataque de sessão O ataque de sessão explora uma vulnerabilidade na sessão do browser, que permite a um hacker não autenticado entrar em zonas do site que exigiram usuários cadastrados. Criar um controle de acesso com sessões, ao invés de cookies.
31 Autenticação PHP Problemas e mitigações. Ataques de PHP Injection Utilizada para se introduzir um código externo a um programa de computador. De maneira geral, o programa é inserido através de falhas de validação dos formulários. Evitar fazer um link que tenha uma variável que receba o nome de uma página web. Visto que, um atacante pode modificar o nome dessa página, e redirecionar para uma outra página que se encontra em outro servidor.
32 Autorização CakePHP Autorização é realizada através do componente AuthComponent que tentará verificar se as credenciais de login que você digitou são precisas, comparando-os com o que foi armazenado no seu modelo de usuário. No entanto, há momentos em que você pode querer fazer algum trabalho adicional na determinação credenciais adequadas. <?php $this -> Auth -> authorize = 'controller' ;?> Ao autorizar é definido como 'controller', é necessário adicionar um método chamado isauthorized () para seu controlador. Este método permite-lhe fazer mais algumas verificações de autenticação e, em seguida, retornar verdadeiro ou falso.
33 Autorização CakePHP AuthError Mude a mensagem de erro padrão quando alguém tenta acessar um objeto ou action que ele não tenha acesso. <?php $this->auth->autherror = "Desculpe, você está sem acesso!";?> AutoRedirect AuthComponent automaticamente redireciona você logo que você é autenticado. Algumas vezes você quer fazer alguma validação a mais antes de redirecionar o usuário Authorize AuthComponent tentará verificar se as credenciais de login que você digitou são precisas, comparando-os com as quais estão armazenadas no seu modelo User
34 AutorizaçãoYii A autenticação é sobre como verificar se a pessoa é quem diz ser. Geralmente envolve um username e uma senha, mas pode incluir outros métodos de identidade demonstrando, tal como um cartão inteligente, impressões digitais, etc Autorização é descobrir se a pessoa, uma vez identificado (ou seja autenticado), é permitido manipular recursos específicos. Este é geralmente determinada por descobrir se essa pessoa é de um papel especial que tem acesso aos recursos Yii tem um built-in de autenticação / autorização (auth) quadro que é fácil de usar e pode ser personalizado para as necessidades especiais.. Yii fornece dois tipos de gestores de autorização: CPhpAuthManager e CDbAuthManager.
35 AutorizaçãoYii Usando o componente do usuário, podemos verificar se um usuário está logado ou não através CWebUser: isguest, podemos entrar e sair de um usuário, podemos verificar se o usuário pode executar operações específicas chamando CWebUser: CheckAccess e podemos também obter o identificador único e outras informações de identidade persistente sobre o usuário.
36 AutorizaçãoYii Manipulação de resultados de Autorização Quando a autorização falhar, ou seja, o usuário não tem permissão para executar a ação especificada, um dos seguintes cenários podem acontecer: Se o usuário não está conectado e se a propriedade loginurl do componente de usuário é configurado para ser o URL da página de login, o navegador será redirecionado para a página. Note que por padrão, os pontos loginurl para o site / página de login. Caso contrário, uma exceção HTTP será exibida com o código de erro 403.
37 AutorizaçãoYii Se o browser é redirecionado para a página de login e o login for bem sucedido, podemos redirecionar o navegador voltar à página que causou a falha de autorização. Como sabemos o URL para essa página? Podemos obter essa informação a partir da propriedade ReturnUrl do componente do usuário. Assim, podemos fazer o seguinte para realizar o redirecionamento: Yii:: app () -> request-> redirect (Yii:: app () -> ReturnUrl usuário>);
38 OWASP Open Web Application Security Project OWASP - é um projeto sem fins lucrativos voltado para a melhoria na segurança aplicativos Web. A comunidade OWASP inclui corporações, organizações educacionais e indivíduos de todo o mundo. Essa comunidade trabalha para criar artigos livremente disponíveis, metodologias, documentação, ferramentas e tecnologias. Missão: Disseminar a segurança das aplicações para que as organizações e as pessoas possam tomar decisões baseadas nos verdadeiros riscos de segurança das aplicações. Todos são livres para participar do OWASP e seus materiais estão disponíveis sob a licença de software livre e aberto.
39 OWASP TOP A1 SQL Injection Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Ataques baseados em envio de códigos ao Banco de Dados alterando completamente a lógica da instrução original ou executando comandos arbitrários. Fraqueza da Segurança Predominância Média Detectabilidade Média Falhas de Injeção são muitos comuns, principalmente em códigos antigos, são fáceis de detectar examinando o código, mas difícil através de testes. Scanners e fuzzers são grandes aliados na busca por falhas. Eu estou vulnerável? Sua aplicação valida a entrada do usuário? Utilize ferramentas de testes de penetração, como o SQLMAP; Utilize ferramentas ABIDS, como o Mod Secure do Apache. Como prevenir? A opção preferida é o uso de API de segurança, pois evita o uso de interpretadores e fornece uma interface de parâmetros; Escapar caracteres especiais; Prevenção. Toda entrada é mal intencionada até que se provem o contrário. Permita que o usuário forneça apenas o que ele precisa fornecer.
40 OWASP TOP A2 Cross-Site Scripting (XSS) Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Ataques baseados em scripts enviados ao browser da vítima. Quase toda a fonte de dados pode ser um vetor de ataque, incluindo as internas como dados de um banco de dados. Fraqueza da Segurança Predominância Muito Difundido Detectabilidade Fácil XSS é a falha de segurança mais predominante na WEB, ocorre quando uma aplicação envia ao browser dados sem a devida validação ou escape do conteúdo. Eu estou vulnerável? Sua aplicação valida a entrada do usuário, escapa a entrada do usuário antes de enviar para a saída? Como prevenir? Escapar todo o dado não confiável a ser inserido no contexto HTML; Utilização da função em PHP htmlspecialchars utilizada para substituir os caracteres que são interpretados como HTML para suas representações reais a serem impressas no browser.
41 OWASP TOP A3 Broken Authentication and Session Management Agentes Usuários com a finalidade de roubar a conta de outros usuários, ou querendo ocultar rastros de suas ações. Vetores de Ataque Falhas no gerenciamento de autenticação ou sessão. Fraqueza da Segurança Predominância Comum Detectabilidade Média Desenvolvedores constroem gerenciamento de sessões e autenticações customizadas com falhas que comprometem a segurança do sistema. Eu estou vulnerável? Sua aplicação armazena as credenciais usando hashing ou encriptada? Os Id s estão expostas na URL? As credenciais, ID de sessão são enviadas em ambiente criptografado? Como prevenir? Associe ID s da sessão a variáveis como IP da estação, combinado com uma informação que somente aquele usuário possa validar, como por exemplo uma chave aleatória checada periodicamente.
42 OWASP TOP A4 Insecure Direct Object References Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Um usuário autêntico muda o valor de um parâmetro que se refere diretamente a um objeto para outro objeto o qual ele não tinha autorização para acessá-lo. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil Aplicações usam o atual nome ou a chave de um objeto ao gerar as páginas WEB. Estas aplicações nem sempre verificam se o usuário esta autorizado a acessá-lo. Isto resulta em uma falha de Referência Direta a Objetos Inseguros. Eu estou vulnerável? A aplicação verifica se o usuário tem autorização para acessar o recurso exato que está solicitando? Se a referência for indireta, o mapeamento para a referência direta deve ser limitada aos valores para o usuário atual. A revisão do código da aplicação pode verificar se uma ou outra abordagem foi implementada de forma segura. Como prevenir? Mais uma vez, validar toda a entrada do usuário.
43 OWASP TOP A5 Cross-Site Request Forgery (CSRF) Agentes Considere alguém que engana os seus utilizadores para que os mesmos submetam pedidos para seu website. Vetores de Ataque O atacante cria pedidos HTTP forjados e engana a vítima a submeter estes pedidos tags de imagem, XSS ou várias outras técnicas. Fraqueza da Segurança Predominância difundida Detectabilidade Fácil Esta falha tira proveito de aplicações que permitem que os atacantes possam prever todos os detalhes de uma ação particular. Uma vez que o Browser enviam cookies de sessão automaticamente, o atacante pode criar páginas web maliciosas as quais geram requisições forjadas que não são distinguíveis dos pedidos legítimos. Eu estou vulnerável? A maneira mais fácil de verificar se um aplicativo é vulnerável é verificar se cada link e formulário contém um token aleatório para cada usuário. A ferramenta da OWASP CSRF Tester pode ajudar nos testes para detectar os riscos de falha de CSRF Como prevenir? Prevenir CSRF requer a inclusão de um token aleatório no corpo ou na URL de cada requisição HTML. O CSRF Guard da OWASP pode ser usado para incluir automaticamente este tokens em sua aplicação PHP.
44 OWASP TOP A6 Security Misconfiguration Agentes Usuários, anônimos ou conhecidos, que tentem comprometer os sistema, ou disfarçar suas ações. Vetores de Ataque Acesso a contas default, falhas não corrigidas, arquivos e pastas não protegidos e etc, para ter acesso não autorizado. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil Security misconfiguration pode acontecer em qualquer nível de aplicação, WEB, Framework, servidor de aplicação. Desenvolvedores e administradores de rede têm que trabalhar em conjunto para garantir que a aplicação está configurada de maneira correta e segura. Eu estou vulnerável? Você mantém uma rotina de verificação se seu ambiente esta atualizado com os últimos patches? Você desabilita tudo que não seja necessário em seu sistema/aplicação? Você faz tratamento de erros em sua aplicação, evitando que mensagens de erro com informações excedentes sejam exibidas? Como prevenir? Crie um processo para manter atualizado com as últimas atualizações e patches ; Uma arquitetura de aplicação forte que provém uma boa separação e segurança entre os componentes; Faça auditoria e execute scans periodicamente para ajudar a detectar falta de aplicação de patches e má configuração.
45 OWASP TOP A7 Insecure Cryptographic Storage Agentes Usuários que gostaria de ter acessos a dados protegidos sem autorização. Vetores de Ataque Atacantes não quebram a criptografia, eles captura cópia dos dados em texto puro, pegam chaves ou tentam acessar dados através de canais que os decifrem automaticamente. Fraqueza da Segurança Predominância Comum Detectabilidade Difícil A falha mais comum nesta área é o simples fato de não cifrar os dados que necessitam de ser cifrados. Quando a criptografia é usada, é comum encontrar a geração e armazenamento inseguro das chaves, a não rotatividade das chaves, e a utilização de algoritmos fracos. Eu estou vulnerável? Seus dados mais sensíveis estão criptografados? Somente usuários autorizados poderão acessar as cópias dos dados descriptografado? Utiliza um algoritmo de criptografia forte? Emitido por uma unidade certificadora confiável? Sua chave é protegida de acessos não autorizados? Como prevenir? Utilize algoritmos conhecidos e reconhecidamente eficazes; Utilize a função de salt no processo de codificação, que consiste em concatenar a senha original com uma constante randômica;
46 OWASP TOP A8 Failure to Restrict URL Access Agentes Usuários com acesso à rede podem enviar um pedido para a sua aplicação. Podem usuários anônimos acessar a páginas privadas ou os usuários regulares podem acessar a páginas com privilégios especiais? Vetores de Ataque Um usuário legítimo simplesmente alteram a URL para uma página privilegiada, o acesso é garantido? Usuários anônimos pode acessar páginas restritas que não estão protegidas. Fraqueza da Segurança Predominância Incomum Detectabilidade Média Aplicações nem sempre protegem as páginas convenientemente. Falha de configuração podem permitir acesso a URL indevidamente. Eu estou vulnerável? Você solicita autenticação em todas as páginas? Você checa a autorização de acesso para ter certeza da permissão do usuário? Como prevenir? Garanta que a matriz do controle de acesso é parte do negócio, da arquitetura e do design da aplicação; Garanta que todas URLs e funções de negócio são protegidas por um mecanismo de controle de acesso efetiva; Realize um teste de invasão (penetration test) antes do código entrar em produção;
47 OWASP TOP A9 Insufficient Transport Layer Protection Agentes Qualquer um que possa monitorar o tráfego de rede de seus usuários. Vetores de Ataque Monitorar o tráfego de rede dos usuários pode ser difícil mas as vezes é fácil. A dificuldade principal reside no acompanhamento do tráfego da rede adequada enquanto usuários estão acessando o site vulnerável. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil As aplicações freqüentemente não protegem o tráfego de rede. Podem usar SSL/TLS durante a autenticação somente, expondo dados e ID s de sessão para interceptação. Certificados expirados ou mal configurados pode mtambém ser usados. Eu estou vulnerável? Você utiliza SSL para proteger o tráfego relativo à autenticação? Você utiliza SSL nos acessos aos dados mais críticos? O certificado de servidor foi fornecido por uma certificadora idônea e legítima? Como prevenir? Redirecione requisições Não SSL para páginas sensíveis para uma página protegida por SSL; Configure o flag Secure em todos os cookies sensíveis; Tenha certeza que seu certificado é válido, não esteja vencido ou revogado ; Back end e outras conexões também deverão usar SSL ou outra tecnologia de encriptação.
48 OWASP TOP A10 Unvalidated Redirects and Forwards Agentes Qualquer um que possa enganar seus usuários submetendo uma requisição para seu Website. Vetores de Ataque O Atacante envia um link falso para enganar a vítima. Fraqueza da Segurança Predominância Incomum Detectabilidade Fácil As aplicações freqüentemente redirecionam usuários para outras páginas, ou usam encaminhamentos internos de uma maneira similar. As vezes o destino é especificado or um parâmetro vulnerável permitindo o atacante alterar a página de destino. Eu estou vulnerável? Você utiliza parâmetros para redirecionar URL? Você checa se estes parâmetros são válidos? Como prevenir? Evite os redirecionamentos e os encaminhamentos; Se usá-los, não utilize os parâmetros do usuário para definir o destino; Se os parâmetros de destino não puderem ser evitados, assegure que o valor fornecido é válido e autorizado para o usuário.
49 PECL PHP Extension Community Library PECL é um repositório de extensões PHP, disponibilizando um diretório de todas as extensões conhecidas e facilidades para download e desenvolvimento de Extensões PHP. A PECL contém extensões em C para compilação no PHP. PECL inclui módulos para parsing de XML, acesso a banco de dados adicionais, parsing de , embutindoperl ou Python em scripts PHP e ainda para compilação de scripts PHP. PECL Filter Esta extensão serve para validar e filtrar dados vindos de alguma fonte insegura, como uma entrada do usuário. Funções da Filter filter_has_var- Verifica se a variável é de um especificado tipo existente filter_id- Retorna o ID de um dado nome de filtro filter_input_array- Obtem variáveis externas e opcionalmente as filtra filter_input- Obtem a específica variável externa pelo nome e opcionalmente a filtra filter_list- Retorna a lista de todos filtros suportados filter_var_array- Obtêm múltiplas variáveis e opcionalmente as filtra filter_var- Filtra a variável com um especificado filtro
50 PECL Filter Filtros Existentes
51 Biblioteca OWASP ESAPI O que é a ESAPI? É um framework composto por diversas bibliotecas de códigos aberto que podem ser adotadas para melhorar a segurança de aplicações. Desenvolvido pelo OWASP inicialmente para Java, foi posteriormente portado para outras linguagens como.net e PHP. Premissas Básicas: Segurança não e um evento único: Deve ser aplicado e aprimorado constantemente. Processo de desenvolvimento: Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida de um software. Tratar o problema na raiz Onde o esforço e o custo de correção são menores.
52 Biblioteca OWASP ESAPI
53 Biblioteca OWASP ESAPI
54 Tratando Configuração de Segurança da Aplicação
55 Vantagens do Uso da Biblioteca ESAPI-PHP ESAPI-PHP x OWASP Top Ten OWASP Top Ten OWASP ESAPI-PHP
56 Vantagens do Uso da Biblioteca ESAPI Potencial de redução de custos da organização com a ESAPI
57 Prós/Contras do Uso da Biblioteca ESAPI-PHP Prós Contras Incluem o baixo acoplamento entre ESAPI e suas próprias implementações, auxilia no reuso e integração dos controles de segurança para desenvolver aplicações seguras. Incluem a necessidade de os desenvolvedores entenderem como chamar as funções ESAPI com os parâmetros exigidos pela sua organização e / ou aplicação, existe a necessidade de criar processos que vão alem do código fonte da aplicação, envolvendo: Análise de riscos de segurança de aplicações Web Processo de codificação segura.
58 Bibliografia
Desenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisNomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia maisBoas Práticas de Desenvolvimento Seguro
Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO
Leia maisSegurança em Sistemas Web. Addson A. Costa
Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisAplicação Prática de Lua para Web
Aplicação Prática de Lua para Web Aluno: Diego Malone Orientador: Sérgio Lifschitz Introdução A linguagem Lua vem sendo desenvolvida desde 1993 por pesquisadores do Departamento de Informática da PUC-Rio
Leia maisFirewall. Alunos: Hélio Cândido Andersson Sales
Firewall Alunos: Hélio Cândido Andersson Sales O que é Firewall? Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a
Leia maisFTP Protocolo de Transferência de Arquivos
FTP Protocolo de Transferência de Arquivos IFSC UNIDADE DE SÃO JOSÉ CURSO TÉCNICO SUBSEQUENTE DE TELECOMUNICAÇÕES! Prof. Tomás Grimm FTP - Protocolo O protocolo FTP é o serviço padrão da Internet para
Leia maisDesenvolvimento de aplicação web com framework JavaServer Faces e Hibernate
Desenvolvimento de aplicação web com framework JavaServer Faces e Hibernate Tiago Peres Souza 1, Jaime Willian Dias 1,2 ¹Universidade paranaense (Unipar) Paranavaí PR Brasil tiagop_ti@hotmail.com 2 Universidade
Leia maisFaculdade de Tecnologia SENAC Goiás. Disciplina: Gerenciamento de Rede de Computadores. Goiânia, 16 de novembro de 2014.
Faculdade de Tecnologia SENAC Goiás Disciplina: Gerenciamento de Rede de Computadores : Goiânia, 16 de novembro de 2014. Faculdade de Tecnologia SENAC Goiás Professor: Marissol Martins Alunos: Edy Laus,
Leia maisSERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012
O servidor Apache é o mais bem sucedido servidor web livre. Foi criado em 1995 por Rob McCool, então funcionário do NCSA (National Center for Supercomputing Applications). Em maio de 2010, o Apache serviu
Leia mais(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com
(In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades
Leia maisProgramação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza
Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem
Leia maisMANUAL MIKOGO 1. VISÃO GERAL
1. VISÃO GERAL 1.1 Informações sobre o Mikogo: Mikogo é uma ferramenta de uso e manipulação simples, permite compartilhamento de arquivos, visualização da área de trabalho remota ou compartilhamento de
Leia maisO projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos
O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo
Leia maisDESENVOLVENDO APLICAÇÃO UTILIZANDO JAVA SERVER FACES
DESENVOLVENDO APLICAÇÃO UTILIZANDO JAVA SERVER FACES Alexandre Egleilton Araújo, Jaime Willian Dias Universidade Paranaense (Unipar) Paranavaí PR Brasil araujo.ale01@gmail.com, jaime@unipar.br Resumo.
Leia maisXSS - CROSS-SITE SCRIPTING
Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente
Leia maisSegurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Leia maisManual do PolicyKit-kde. Daniel Nicoletti Tradução: Luiz Fernando Ranghetti
Daniel Nicoletti Tradução: Luiz Fernando Ranghetti 2 Conteúdo 1 Resumo 5 2 Como funciona 6 2.1 Resumo............................................ 6 2.2 O problema.........................................
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Projeto de segurança de Redes Page 2 Etapas: Segurança em camadas
Leia maisFirewalls. Firewalls
Firewalls Firewalls Paredes Corta-Fogo Regula o Fluxo de Tráfego entre as redes Pacote1 INTERNET Pacote2 INTERNET Pacote3 Firewalls Firewalls Barreira de Comunicação entre duas redes Host, roteador, PC
Leia maisProgramação Web Prof. Wladimir
Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação
Leia maisAmbiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro
Desenvolvimento em PHP usando Frameworks Elton Luís Minetto Agenda Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro Ambiente Web É o ambiente
Leia maisSegurança de Redes. Firewall. Filipe Raulino filipe.raulino@ifrn.edu.br
Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br Introdução! O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; Com ele é possível
Leia maisAmbiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração
Desenvolvimento em PHP usando Frameworks Elton Luís Minetto Agenda Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração Ambiente Web É o ambiente formado
Leia maisOmega Tecnologia Manual Omega Hosting
Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8
Leia maisConceitos de relação de confiança www.jpinheiro.net jeferson@jpinheiro.net
Conceitos de relação de confiança www.jpinheiro.net jeferson@jpinheiro.net Procedimento para criar uma árvore O procedimento usado para criar uma árvore com o Assistente para instalação do Active Directory
Leia maisManual Captura S_Line
Sumário 1. Introdução... 2 2. Configuração Inicial... 2 2.1. Requisitos... 2 2.2. Downloads... 2 2.3. Instalação/Abrir... 3 3. Sistema... 4 3.1. Abrir Usuário... 4 3.2. Nova Senha... 4 3.3. Propriedades
Leia maisConceitos de extensões Joomla!
capítulo 1 Conceitos de extensões Joomla! Entendendo o que é extensão Extensão pode ser entendida como uma pequena aplicação desenvolvida com regras de construção estabelecidas pelo ambiente Joomla!. É
Leia maisCookies. Krishna Tateneni Jost Schenck Tradução: Lisiane Sztoltz
Krishna Tateneni Jost Schenck Tradução: Lisiane Sztoltz 2 Conteúdo 1 Cookies 4 1.1 Política............................................ 4 1.2 Gerenciamento....................................... 5 3 1
Leia maisVisão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013
Visão geral híbrida de Serviços Corporativos de Conectividade do SharePoint 2013 Christopher J Fox Microsoft Corporation Novembro de 2012 Aplica-se a: SharePoint 2013, SharePoint Online Resumo: Um ambiente
Leia maisUNIVERSIDADE FEDERAL DE PELOTAS
Usando um firewall para ajudar a proteger o computador A conexão à Internet pode representar um perigo para o usuário de computador desatento. Um firewall ajuda a proteger o computador impedindo que usuários
Leia maisCapítulo 5 Métodos de Defesa
Capítulo 5 Métodos de Defesa Ricardo Antunes Vieira 29/05/2012 Neste trabalho serão apresentadas técnicas que podem proporcionar uma maior segurança em redes Wi-Fi. O concentrador se trata de um ponto
Leia maisComponentes de um sistema de firewall - I
Componentes de um sistema de firewall - I O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um único elemento de software instalado num
Leia maisFIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza
FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um
Leia maisForms Authentication em ASP.NET
Forms Authentication em ASP.NET Em muitos sites web é necessário restringir selectivamente o acesso a determinadas áreas, ou páginas, enquanto para outras páginas pode permitir-se acesso livre. ASP.NET
Leia maisCERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário
Certificação Digital CERTIFICADO DIGITAL ARMAZENADO NO COMPUTADOR (A1) Manual do Usuário Guia CD-17 Público Índice 1. Pré-requisitos para a geração do certificado digital A1... 3 2. Glossário... 4 3. Configurando
Leia maisO atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.
Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)
Leia maishttp://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho
vi http://aurelio.net/vim/vim-basico.txt Entrar neste site/arquivo e estudar esse aplicativo Administração de Redes de Computadores Resumo de Serviços em Rede Linux Controlador de Domínio Servidor DNS
Leia maisCONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS
MINISTÉRIO DO DESENVOLVIMENTO AGRÁRIO SUBSECRETARIA DE PLANEJAMENTO, ORÇAMENTO E ADMINISTRAÇÃO COORDENAÇÃO-GERAL DE MODERNIZAÇÃO E INFORMÁTICA CONTRA CONTROLE DE ACESSOS E MODULARIZADOR DE SISTEMAS MANUAL
Leia maisJSF - Controle de Acesso FERNANDO FREITAS COSTA
JSF - Controle de Acesso FERNANDO FREITAS COSTA ESPECIALISTA EM GESTÃO E DOCÊNCIA UNIVERSITÁRIA JSF Controle de Acesso Antes de iniciarmos este assunto, é importante conhecermos a definição de autenticação
Leia maisCompartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por
$XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU
Leia maisABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE
ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com
Leia maisAtualizado em 9 de outubro de 2007
2 Nettion R Copyright 2007 by Nettion Information Security. Este material pode ser livremente reproduzido, desde que mantidas as notas de copyright e o seu conteúdo original. Envie críticas e sugestões
Leia maisPrivacidade. <Nome> <Instituição> <e-mail>
Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua
Leia maisEntendendo como funciona o NAT
Entendendo como funciona o NAT Vamos inicialmente entender exatamente qual a função do NAT e em que situações ele é indicado. O NAT surgiu como uma alternativa real para o problema de falta de endereços
Leia maisManual do Usuário. E-DOC Peticionamento Eletrônico TST
E-DOC Peticionamento APRESENTAÇÃO O sistema E-DOC substituirá o atual sistema existente. Este sistema permitirá o controle de petições que utiliza certificado digital para autenticação de carga de documentos.
Leia maisAula 03 - Projeto Java Web
Aula 03 - Projeto Java Web Para criação de um projeto java web, vá em File/New. Escolha o projeto: Em seguida, na caixa Categorias selecione Java Web. Feito isso, na caixa à direita selecione Aplicação
Leia maisLista de Erros Discador Dial-Up
Lista de Erros Discador Dial-Up Erro Código Descrição Ok 1 Usuário autenticado com sucesso e conexão encerrada pelo usuário OK 11 Usuário autenticado com sucesso e discador terminado pelo usuário OK 21
Leia maisSIMEC Sistema Integrado de Planejamento, Orçamento e Finanças
SIMEC Sistema Integrado de Planejamento, Orçamento e Finanças Versão 1.0 Sumário Introdução... 3 1. Estrutura da aplicação... 4 1.1 Diretórios e arquivos... 4 2. Configuração do ambiente...
Leia mais1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2.
1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2. Editando um Artigo 4.3. Excluindo um Artigo 4.4. Publicar
Leia maisADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais
ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.
Leia maisGLADIADOR INTERNET CONTROLADA v.1.2.3.9
GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos
Leia maiswww.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00
www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 Controle de Revisões Micropagamento F2b Web Services/Web 18/04/2006 Revisão Data Descrição 00 17/04/2006 Emissão inicial. www.f2b.com.br
Leia maisKaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos
Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Sumário Visão geral de novos recursos 2 Instalação, ativação, licenciamento 2 Internet Security 3 Proteção Avançada 4
Leia maisHackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.
Firewalls Hackers Gostam de alvos fáceis. Podem não estar interessados nas suas informações. Podem invadir seu computador apenas por diversão. Para treinar um ataque a uma máquina relativamente segura.
Leia maisTecnologias WEB Web 2.0
Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:
Leia maisConteúdo. Disciplina: INF 02810 Engenharia de Software. Monalessa Perini Barcellos. Centro Tecnológico. Universidade Federal do Espírito Santo
Universidade Federal do Espírito Santo Centro Tecnológico Departamento de Informática Disciplina: INF 02810 Prof.: (monalessa@inf.ufes.br) Conteúdo 1. Introdução 2. Processo de Software 3. Gerência de
Leia maisHardware (Nível 0) Organização. Interface de Máquina (IM) Interface Interna de Microprogramação (IIMP)
Hardware (Nível 0) Organização O AS/400 isola os usuários das características do hardware através de uma arquitetura de camadas. Vários modelos da família AS/400 de computadores de médio porte estão disponíveis,
Leia maisSatélite. Manual de instalação e configuração. CENPECT Informática www.cenpect.com.br cenpect@cenpect.com.br
Satélite Manual de instalação e configuração CENPECT Informática www.cenpect.com.br cenpect@cenpect.com.br Índice Índice 1.Informações gerais 1.1.Sobre este manual 1.2.Visão geral do sistema 1.3.História
Leia maisO sistema está pedindo que eu faça meu login novamente e diz que minha sessão expirou. O que isso significa?
Que tipo de navegadores são suportados? Preciso permitir 'cookies' O que são 'cookies' da sessão? O sistema está pedindo que eu faça meu login novamente e diz que minha sessão expirou. O que isso significa?
Leia maisManual de Utilização do PLONE (Gerenciador de página pessoal)
Manual de Utilização do PLONE (Gerenciador de página pessoal) Acessando o Sistema Para acessar a interface de colaboração de conteúdo, entre no endereço http://paginapessoal.utfpr.edu.br. No formulário
Leia maisTUTORIAL SPRING SECURITY PROGRAMAÇÃO COM FRAMEWORKS Responsáveis: Ana Luíza Cruvinel, Maikon Franczak e Wendel Borges
Versão 1.0 TUTORIAL SPRING SECURITY PROGRAMAÇÃO COM FRAMEWORKS Responsáveis: Ana Luíza Cruvinel, Maikon Franczak e Wendel Borges Data: 01/12/2014 SUMÁRIO 1. INTRODUÇÃO... 2 2. O QUE É SPRING SECURITY?...
Leia maisWHITE PAPER CERTIFICADOS SSL
WHITE PAPER CERTIFICADOS SSL Importância da Autoridade Certificadora, instalação e gerenciamento automatizados Certificados SSL são vitais para proteger comunicações. Desde que foi desenvolvida, essa tecnologia
Leia maisTCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP
TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer
Leia maisNesse artigo abordaremos os principais aspectos de instalação e uso do NTOP no Fedora Core 4.
Diego M. Rodrigues (diego@drsolutions.com.br) O NTOP é um programa muito simples de ser instalado e não requer quase nenhuma configuração. Ele é capaz de gerar excelentes gráficos de monitoramento das
Leia maisSegurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org
Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com
Leia mais3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio
32 3 Um Framework Orientado a Aspectos para Monitoramento e Análise de Processos de Negócio Este capítulo apresenta o framework orientado a aspectos para monitoramento e análise de processos de negócio
Leia mais4 O Workflow e a Máquina de Regras
4 O Workflow e a Máquina de Regras O objetivo do workflow e da máquina de regras é definir um conjunto de passos e regras configuráveis. Ao longo de sua execução, um usuário consegue simplificar o seu
Leia maisProjeto de Redes de Computadores. Desenvolvimento de Estratégias de Segurança e Gerência
Desenvolvimento de Estratégias de Segurança e Gerência Segurança e Gerência são aspectos importantes do projeto lógico de uma rede São freqüentemente esquecidos por projetistas por serem consideradas questões
Leia maisINTRODUÇÃO: 1 - Conectando na sua conta
INTRODUÇÃO: Com certeza a reação da maioria dos que lerem esse mini manual e utilizarem o servidor vão pensar: "mas porque eu tenho que usar um console se em casa eu tenho uma interface gráfica bonito
Leia maisConviso Security Training Ementa dos Treinamentos
Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este
Leia maisDocumento de Análise e Projeto VideoSystem
Documento de Análise e Projeto VideoSystem Versão Data Versão Descrição Autor 20/10/2009 1.0 21/10/2009 1.0 05/11/2009 1.1 Definição inicial do documento de análise e projeto Revisão do documento
Leia maisPolíticas de Segurança de Sistemas
Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes
Leia maisVersão 1.0 09/10. Xerox ColorQube 9301/9302/9303 Serviços de Internet
Versão 1.0 09/10 Xerox 2010 Xerox Corporation. Todos os direitos reservados. Direitos reservados de não publicação sob as leis de direitos autorais dos Estados Unidos. O conteúdo desta publicação não pode
Leia maisProtocolos de Aplicação SSL, TLS, HTTPS, SHTTP
Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP SSL - Secure Socket Layer Protocolos criptográfico que provê comunicação segura na Internet para serviços como: Telnet, FTP, SMTP, HTTP etc. Provê a privacidade
Leia maisDOCUMENTAÇÃO DO FRAMEWORK - versão 2.0
DOCUMENTAÇÃO DO FRAMEWORK - versão 2.0 Índice 1 - Objetivo 2 - Descrição do ambiente 2.1. Tecnologias utilizadas 2.2. Estrutura de pastas 2.3. Bibliotecas já incluídas 3 - Características gerais 4 - Criando
Leia maishttp://cartilha.cert.br/
http://cartilha.cert.br/ Usar apenas senhas pode não ser suficiente para proteger suas contas na Internet Senhas são simples e bastante usadas para autenticação em sites na Internet. Infelizmente elas
Leia maisSegurança na Rede Local Redes de Computadores
Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3
Leia maisPiwik Uma alternativa livre ao Google Analytics
Piwik Uma alternativa livre ao Google Analytics Éverton Didoné Foscarini 1, Alexandre Albino Marchi 1 1 Centro de Processamento de Dados Universidade Federal do Rio Grande do Sul (UFRGS) Rua Ramiro Barcelos,
Leia maisGuia de usuário do portal de acesso SSH
Guia de usuário do portal de acesso SSH 18 de novembro de 2010 O acesso ao MASTER via SSH foi reformulado para garantir a segurança e reduzir os pontos falhos no sistema. Para o usuário comum a única modificação
Leia maisFirewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática
Firewall Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes Campus Cachoeiro Curso Técnico em Informática Firewall (definições) Por que do nome firewall? Antigamente, quando as casas
Leia maisSIM, é possivel. Brasília, 24 de Março de 2015
À CGU - Controladoria Geral da União CGRL Coordenação Geral de Recursos Logísticos Comissão de Licitação A/C Sr. Márcio David e Souza Nesta Brasília, 24 de Março de 2015 REF.: RESPOSTA DILIGÊNCIA PREGÃO
Leia mais