PHP SECURITY INTEGRANTES:

Tamanho: px
Começar a partir da página:

Download "PHP SECURITY INTEGRANTES:"

Transcrição

1 PHP SECURITY INTEGRANTES: BERNARDO GONTIJO CARLOS EDUARDO CRUZ FILIPE GUIMARÃES SCALIONI FLÁVIO AUGUSTO M. SANTIAGO HELIO JÚNIOR LUIZ BRUNO SAMPAIO CHAGAS VINÍCIUS OLIVEIRA CARMO TÚLIO LENER

2 SUHOSIN SUHOSIN O QUE É? Suhosin é um módulo avançado de proteção para servidores de aplicação rodando PHP, e foi desenvolvido para proteger tanto os servidores como os próprios desenvolvedores de vulnerabilidades que podem estar presentes nas aplicações desenvolvidas utilizando a plataforma e no próprio core do PHP. O módulo é compatível com instalações padrão do PHP e com os módulos disponíveis da plataforma, não apresentando problemas com outros módulos comumente utilizados, incluindo Zend Optimizer e Source Guardian. Um dos recursos mais interessantes deste módulo é a encriptação transparente de cookies e dados de sessão, evitando inúmeros ataques de session hijacking muito comuns hoje em dia na internet. O módulo também realiza inúmeros tipos de filtragem de dados em tempo real, evitando ataques DOS, SQL Injection e a execução de scripts maliciosos no servidor. Fonte: Locaweb

3 SUHOSIN SUHOSIN O QUE É? Por que é? O que faz? SuHosin é um projeto de Firewall embutido no PHP, sendo uma lib carregada, que usamos como um sistema de proteção para clientes e por este motivo, este faz o bloqueio na tentativa de algum tipo de ataque ao serviço. 95% das incidências passam despercebidas, pois o próprio SuHosin bloqueia o script e não o site, mantendo o serviço funcional. A pergunta chave, qual a relação do include com o SuHosin? Por exemplo, o SuHosin verificou que está sendo utilizado um include, processo este, que pode se tornar perigoso quando chama informações de outro site que você não tem controle sobre o conteúdo, assim, o SuHosin impede o uso do include, já que existe a possibilidade de que seja executado um script em seu site. Ou seja, em alguns casos, pode ocorrer invasão ao FTP de um domínio através da inserção de scripts maliciosos, gerando ataques ao usuário e até mesmo ao servidor. Fonte:

4 SUHOSIN Exemplos de configurações suhosin.executor.max_depth Define a profundidade máxima da pilha permitida pelo executor antes de parar o script. Sem essa função uma recursão infinita em um script PHP pode travar o executor PHP ou acionar o memory_limit configurado. Um valor de '0 'desabilita essa funcionalidade. suhosin.executor.include.max_traversal Define quantas'../' um nome de arquivo precisa conter para ser considerado como um ataque e parar. Um valor de "2" irá bloquear'../../ etc / passwd ', enquanto um valor de '3' vai permitir isso. A maioria das aplicações PHP deve funcionar perfeitamente com os valores '4 'ou '5'. Um valor de '0 'desabilita essa funcionalidade. suhosin.session.encrypt Flag que decide se a criptografia da sessão transparente é ativada ou não. suhosin.cookie.encrypt Flag que decide se a criptografia transparente cookie é ativada ou não. Fonte:

5 Php_admin_flag Como mudar configurações? Executando PHP como módulo do Apache Quando usar o PHP como módulo do Apache, você pode mudar as configurações usando diretivas nos arquivos de configuração do Apache (ex.: httpd.conf ). Você precisa de privilégios "AllowOverride Options" ou "AllowOverride All" para isso. Usado para configurar diretiva de configuração booleana. Isso não pode ser usado em arquivos.htaccess. Qualquer tipo diretiva configurada com php_admin_flag não pode ser sobrescrita por diretivas.htaccess. Para limpar um valor configurado anteriormente, use o valor none. Fonte: Pós-Graduação php.net LATO SENSU - MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO

6 Php_admin_flag Exemplos de configurações? Abaixo alguns exemplos de configurações que podemos mudar com php_admin_flag display_errors - On/Off Indica de se o servidor web deve mostrar erros ou não. safe_mode - On/Off Indica se o modo de segurança está ativo ou não short_open_tag - On/Off Indica se o webserver interpreta <? como tag de iniciar script php.

7 PHP_ADMIN_FLAG Parâmetro utilizado para desabilitar a execução de scripts remotos no servidor web <IfModule mod_php5.c> php_value include_path ".:/usr/local/lib/php" php_admin_flag safe_mode on </IfModule> <IfModule mod_php4.c> php_value include_path ".:/usr/local/lib/php" php_admin_flag safe_mode on </IfModule> PÓS-GRADUAÇÃO LATO SENSU EM MBA EM GESTÃO DE SEGURANÇA DA INFORMAÇÃO

8 Frameworks MVC (Model-View-Controller)

9 Frameworks MVC (Model-View-Controller) OqueéMVC? Padrão de arquitetura que separa o modelo de dados, as regras de negócio e a interface com ousuário. É uma boa prática de programação, pois promove a modularização e a reutilização de código, além de permitir a troca da interface sem grandes impactos. EoquesãoFrameworksMVC? São os Frameworks que fazem uso de MVC, baseando toda sua concepção no tema.

10 Frameworks MVC (Model-View-Controller)

11 Tipos Arquitetura em Frameworks MVC Push Utilizam ações que requerem processamento e então empurram os dados na camada de visualização. Ex.: Struts, Django, Ruby on Rails, Spring. Pull Também chamada de arquitetura baseada em componentes, as ações são iniciadas na camada de visualização, que puxa os resultados de controles múltiplos, conforme necessário. Neste modelo, diversos controles podem ser envolvidos em uma única view. Ex.: Struts2, Lift, Tapesty, JBoss, Seam. Cake PHP é Push, Yii é Push & Pull

12 Popularidade dos Frameworks PHP Figura 1: Frameworks PHP mais populares em FONTE:

13 Tipos de Segurança aplicadas aos Frameworks MVC em PHP ACL Access Control Lists Trabalha com uma tabela onde se define o tipo de acesso de determinado usuário a um arquivo ou processo Largamente utilizado por aplicações de todos os tipos RBAC Role Based Access Control Evolução de MAC (Mandatory Access Control ) e DAC (Discretionary Access Control) Permite a definição de papéis (roles) que serão aplicados aos indivíduos Um indivíduo pode ter vários papéis, um papel várias permissões ou indivíduos As permissões pode ser aplicadas a vários papéis, assim como as operações PLUGINS Códigos pré-compilados acopláveis ao framework Fornecem funções, rotinas e afins Fácil implementação e utilização

14 Cake PHP Framework O CakePHP é um framework PHP que vem sendo desenvolvido rapidamente, e fornece uma arquitetura extensível para desenvolvimento, manutenção e liberação de aplicações. Utiliza desing patterns comuns como MVC e ORM (Object-Relational Mapping) no paradigma da conveniência sobre a configuração. Excelente para reduzir custos de desenvolvimento pois ajuda os desenvolvedores a escrever menos código. Projeto iniciado em 2005, deu origem a vários subprojetos. Não é uma implementação de Ruby-on-Rails para PHP, mas utiliza diversos de seus conceitos.

15 Yii Framework O Yii (Yes it is!) é um framework PHP baseado em components focado no desenvolvimento de aplicações web de larga escala. Contém uma extensa lista de atributos, incluindo MVC, DAO/ActiveRecord, I18N/L10N, caching, suporte a Ajax via jquery, ACL e RBAC, scaffolding, validação de inputs, widgets, eventos, temas e Web Services. Escrito completamente em LOO, é fácil de usar, extremamente flexível e extensível. Projeto inciado em 2008, com oobjetivodecorrigirerros no PRADO framework. Ganhou vida própria.

16 Comparativo Cake vs Yii

17 Isolamento O que é? Isolamento em programação significa, esconder os dados contidos em algum contexto do código. Para que serve? Serve para garantir que não haja acesso não autorizado direto ao código ou que uma vulnerabilidade encontrada em um contexto do código não seja utiliza para explorar outras partes do código. PÓS-GRADUAÇÃO LATO SENSU EM <NOME_CURSO>

18 Isolamento Solução Como fora de mitigar este risco são utilizados mecanismos de SandBox (caixa de areia) como Chroot jail. Chroot Jail: O comando chroot redefine o significado do diretório raiz. Podemos usar este comando para alterar o diretório raiz do processo atual para qualquer diretório. Por exemplo, se nós fazemos chroot no / tmp em um processo, a raiz ("/") no processo atual se torna / tmp. Se o processo tenta acessar um arquivo chamado / Xyz / etc, será no acesso fato de o arquivo / tmp / xyz / etc. O significado da raiz é hereditária, ou seja, todos os filhos do atual processo terá a mesma raiz que o processo pai. Usando chroot, nós podemos confinar um programa para um diretório específico, para que danos causados em um processo limita-se a esse diretório. Em outras palavras, chroot cria um ambiente no qual as ações de um processo não interfiram em outros. PÓS-GRADUAÇÃO LATO SENSU EM <NOME_CURSO>

19 Controle de Acesso CakePHP Funcionalidade ACL do CakePHP Uma é, basicamente, uma lista de permissões. Perceba que o ACL é a mesma coisa que autenticação. ACL é o que acontece que um usuário está autenticado. Embora os dois são geralmente usados em conjunto, ele é importante para realizar a diferença entre saber quem é (autenticação) e saber o que ele fez (ACL).

20 Controle de Acesso CakePHP ACL é geralmente implementado numa estrutura de árvore. Existe geralmente uma árvore de AROs e uma árvore de ACOs. Para organizar seus objetos em árvores, permissões podem ser tratadas de forma granulada.

21 Controle de Acesso CakePHP

22 Controle de Acesso Yii Access Control Filter O controle de acesso de filtro é um regime de autorização preliminar que verifica se o usuário atual pode executar a ação do controlador solicitado. A autorização é baseada em usuário, endereço IP do cliente o nome e os tipos de solicitação. Ele é fornecido como um filtro denominado "accesscontrol".

23 Controle de Acesso Yii class PostController extends CController { public function accessrules() { return array( array('deny', ), 'actions'=>array('create', 'edit'), 'users'=>array('?'), array('allow', ), 'actions'=>array('delete'), 'roles'=>array('admin'), array('deny', 'actions'=>array('delete'), 'users'=>array('*'),

24 Controle de Acesso Yii As regras de acesso são avaliadas uma a uma, na ordem em que são especificados. A primeira regra que corresponde ao padrão atual (ex. nome de usuário, funções, IP do cliente, endereço), determina o resultado autorização. Se esta regra é uma regra de permissão, a ação pode ser executada, se for uma regra de negação, a ação não pode ser executado, se nenhuma das regras coincide com o contexto, a ação ainda pode ser executado.

25 Controle de Acesso Yii Uma regra de acesso pode combinar os parâmetros de contexto a seguir: Acctions: especifica quais as acções desta regra encontrados. Este deve ser um array de IDs ação. Controllers: especifica que esta regra controladores encontrados. Este deve ser um array de IDs controlador. Users: especifica quais usuários desta regra encontrados. O nome do usuário atual é usado para combinar.

26 Autenticação PHP Autenticação e autorização são necessários para uma página da Web que deve ser limitada a certos usuários. A autenticação é verificar se alguém é quem afirmam ser.

27 Tipos de autenticação Autenticação por Sessão Usuário logar no sistema através de conexão HTTPS. o login e senha do usuário são validados em javascript e php é feita uma consulta no banco de dado. Caso a consulta retorne vazia, ele é redirecionado para a página de logar novamente. De outro modo, é criada uma sessão e o usuário é redirecionado para o Web Site

28 Autenticação PHP Autenticação por Cookies Quando o browser do cliente aceita cookies, é criado um cookie na máquina do cliente, e dentro desse cookie é armazenado o ID da sessão do cliente(é o método padrão do PHP). Autenticação CAPTCHAS Baseia na facilidade que os seres humanos têm em reconhecer padrões - Desse modo são geradas figuras distorcidas de letras e é pedido ao usuário que escreva essas letras. Através dessas verificações é possível impedir o ataque de força bruta, bem como, que programas robots (também conhecidos como bots) se passem por humanos.

29 Autenticação PHP Framework CakePHP e Yii - Componentes de alta perfomance que pode ser combinado com o ACL (Access Control List) para criar componentes mais complexos em níveis de acesso dentro de um site. Prevenção de cross-site scripting (XSS), cross-site request forgery (CSRF) e de adulteração de cookie.

30 Autenticação PHP Problemas e mitigações. Ataque de sessão O ataque de sessão explora uma vulnerabilidade na sessão do browser, que permite a um hacker não autenticado entrar em zonas do site que exigiram usuários cadastrados. Criar um controle de acesso com sessões, ao invés de cookies.

31 Autenticação PHP Problemas e mitigações. Ataques de PHP Injection Utilizada para se introduzir um código externo a um programa de computador. De maneira geral, o programa é inserido através de falhas de validação dos formulários. Evitar fazer um link que tenha uma variável que receba o nome de uma página web. Visto que, um atacante pode modificar o nome dessa página, e redirecionar para uma outra página que se encontra em outro servidor.

32 Autorização CakePHP Autorização é realizada através do componente AuthComponent que tentará verificar se as credenciais de login que você digitou são precisas, comparando-os com o que foi armazenado no seu modelo de usuário. No entanto, há momentos em que você pode querer fazer algum trabalho adicional na determinação credenciais adequadas. <?php $this -> Auth -> authorize = 'controller' ;?> Ao autorizar é definido como 'controller', é necessário adicionar um método chamado isauthorized () para seu controlador. Este método permite-lhe fazer mais algumas verificações de autenticação e, em seguida, retornar verdadeiro ou falso.

33 Autorização CakePHP AuthError Mude a mensagem de erro padrão quando alguém tenta acessar um objeto ou action que ele não tenha acesso. <?php $this->auth->autherror = "Desculpe, você está sem acesso!";?> AutoRedirect AuthComponent automaticamente redireciona você logo que você é autenticado. Algumas vezes você quer fazer alguma validação a mais antes de redirecionar o usuário Authorize AuthComponent tentará verificar se as credenciais de login que você digitou são precisas, comparando-os com as quais estão armazenadas no seu modelo User

34 AutorizaçãoYii A autenticação é sobre como verificar se a pessoa é quem diz ser. Geralmente envolve um username e uma senha, mas pode incluir outros métodos de identidade demonstrando, tal como um cartão inteligente, impressões digitais, etc Autorização é descobrir se a pessoa, uma vez identificado (ou seja autenticado), é permitido manipular recursos específicos. Este é geralmente determinada por descobrir se essa pessoa é de um papel especial que tem acesso aos recursos Yii tem um built-in de autenticação / autorização (auth) quadro que é fácil de usar e pode ser personalizado para as necessidades especiais.. Yii fornece dois tipos de gestores de autorização: CPhpAuthManager e CDbAuthManager.

35 AutorizaçãoYii Usando o componente do usuário, podemos verificar se um usuário está logado ou não através CWebUser: isguest, podemos entrar e sair de um usuário, podemos verificar se o usuário pode executar operações específicas chamando CWebUser: CheckAccess e podemos também obter o identificador único e outras informações de identidade persistente sobre o usuário.

36 AutorizaçãoYii Manipulação de resultados de Autorização Quando a autorização falhar, ou seja, o usuário não tem permissão para executar a ação especificada, um dos seguintes cenários podem acontecer: Se o usuário não está conectado e se a propriedade loginurl do componente de usuário é configurado para ser o URL da página de login, o navegador será redirecionado para a página. Note que por padrão, os pontos loginurl para o site / página de login. Caso contrário, uma exceção HTTP será exibida com o código de erro 403.

37 AutorizaçãoYii Se o browser é redirecionado para a página de login e o login for bem sucedido, podemos redirecionar o navegador voltar à página que causou a falha de autorização. Como sabemos o URL para essa página? Podemos obter essa informação a partir da propriedade ReturnUrl do componente do usuário. Assim, podemos fazer o seguinte para realizar o redirecionamento: Yii:: app () -> request-> redirect (Yii:: app () -> ReturnUrl usuário>);

38 OWASP Open Web Application Security Project OWASP - é um projeto sem fins lucrativos voltado para a melhoria na segurança aplicativos Web. A comunidade OWASP inclui corporações, organizações educacionais e indivíduos de todo o mundo. Essa comunidade trabalha para criar artigos livremente disponíveis, metodologias, documentação, ferramentas e tecnologias. Missão: Disseminar a segurança das aplicações para que as organizações e as pessoas possam tomar decisões baseadas nos verdadeiros riscos de segurança das aplicações. Todos são livres para participar do OWASP e seus materiais estão disponíveis sob a licença de software livre e aberto.

39 OWASP TOP A1 SQL Injection Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Ataques baseados em envio de códigos ao Banco de Dados alterando completamente a lógica da instrução original ou executando comandos arbitrários. Fraqueza da Segurança Predominância Média Detectabilidade Média Falhas de Injeção são muitos comuns, principalmente em códigos antigos, são fáceis de detectar examinando o código, mas difícil através de testes. Scanners e fuzzers são grandes aliados na busca por falhas. Eu estou vulnerável? Sua aplicação valida a entrada do usuário? Utilize ferramentas de testes de penetração, como o SQLMAP; Utilize ferramentas ABIDS, como o Mod Secure do Apache. Como prevenir? A opção preferida é o uso de API de segurança, pois evita o uso de interpretadores e fornece uma interface de parâmetros; Escapar caracteres especiais; Prevenção. Toda entrada é mal intencionada até que se provem o contrário. Permita que o usuário forneça apenas o que ele precisa fornecer.

40 OWASP TOP A2 Cross-Site Scripting (XSS) Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Ataques baseados em scripts enviados ao browser da vítima. Quase toda a fonte de dados pode ser um vetor de ataque, incluindo as internas como dados de um banco de dados. Fraqueza da Segurança Predominância Muito Difundido Detectabilidade Fácil XSS é a falha de segurança mais predominante na WEB, ocorre quando uma aplicação envia ao browser dados sem a devida validação ou escape do conteúdo. Eu estou vulnerável? Sua aplicação valida a entrada do usuário, escapa a entrada do usuário antes de enviar para a saída? Como prevenir? Escapar todo o dado não confiável a ser inserido no contexto HTML; Utilização da função em PHP htmlspecialchars utilizada para substituir os caracteres que são interpretados como HTML para suas representações reais a serem impressas no browser.

41 OWASP TOP A3 Broken Authentication and Session Management Agentes Usuários com a finalidade de roubar a conta de outros usuários, ou querendo ocultar rastros de suas ações. Vetores de Ataque Falhas no gerenciamento de autenticação ou sessão. Fraqueza da Segurança Predominância Comum Detectabilidade Média Desenvolvedores constroem gerenciamento de sessões e autenticações customizadas com falhas que comprometem a segurança do sistema. Eu estou vulnerável? Sua aplicação armazena as credenciais usando hashing ou encriptada? Os Id s estão expostas na URL? As credenciais, ID de sessão são enviadas em ambiente criptografado? Como prevenir? Associe ID s da sessão a variáveis como IP da estação, combinado com uma informação que somente aquele usuário possa validar, como por exemplo uma chave aleatória checada periodicamente.

42 OWASP TOP A4 Insecure Direct Object References Agentes Qualquer um que possa inserir no sistema dados não confiáveis, incluindo usuários internos, externos e administradores. Vetores de Ataque Um usuário autêntico muda o valor de um parâmetro que se refere diretamente a um objeto para outro objeto o qual ele não tinha autorização para acessá-lo. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil Aplicações usam o atual nome ou a chave de um objeto ao gerar as páginas WEB. Estas aplicações nem sempre verificam se o usuário esta autorizado a acessá-lo. Isto resulta em uma falha de Referência Direta a Objetos Inseguros. Eu estou vulnerável? A aplicação verifica se o usuário tem autorização para acessar o recurso exato que está solicitando? Se a referência for indireta, o mapeamento para a referência direta deve ser limitada aos valores para o usuário atual. A revisão do código da aplicação pode verificar se uma ou outra abordagem foi implementada de forma segura. Como prevenir? Mais uma vez, validar toda a entrada do usuário.

43 OWASP TOP A5 Cross-Site Request Forgery (CSRF) Agentes Considere alguém que engana os seus utilizadores para que os mesmos submetam pedidos para seu website. Vetores de Ataque O atacante cria pedidos HTTP forjados e engana a vítima a submeter estes pedidos tags de imagem, XSS ou várias outras técnicas. Fraqueza da Segurança Predominância difundida Detectabilidade Fácil Esta falha tira proveito de aplicações que permitem que os atacantes possam prever todos os detalhes de uma ação particular. Uma vez que o Browser enviam cookies de sessão automaticamente, o atacante pode criar páginas web maliciosas as quais geram requisições forjadas que não são distinguíveis dos pedidos legítimos. Eu estou vulnerável? A maneira mais fácil de verificar se um aplicativo é vulnerável é verificar se cada link e formulário contém um token aleatório para cada usuário. A ferramenta da OWASP CSRF Tester pode ajudar nos testes para detectar os riscos de falha de CSRF Como prevenir? Prevenir CSRF requer a inclusão de um token aleatório no corpo ou na URL de cada requisição HTML. O CSRF Guard da OWASP pode ser usado para incluir automaticamente este tokens em sua aplicação PHP.

44 OWASP TOP A6 Security Misconfiguration Agentes Usuários, anônimos ou conhecidos, que tentem comprometer os sistema, ou disfarçar suas ações. Vetores de Ataque Acesso a contas default, falhas não corrigidas, arquivos e pastas não protegidos e etc, para ter acesso não autorizado. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil Security misconfiguration pode acontecer em qualquer nível de aplicação, WEB, Framework, servidor de aplicação. Desenvolvedores e administradores de rede têm que trabalhar em conjunto para garantir que a aplicação está configurada de maneira correta e segura. Eu estou vulnerável? Você mantém uma rotina de verificação se seu ambiente esta atualizado com os últimos patches? Você desabilita tudo que não seja necessário em seu sistema/aplicação? Você faz tratamento de erros em sua aplicação, evitando que mensagens de erro com informações excedentes sejam exibidas? Como prevenir? Crie um processo para manter atualizado com as últimas atualizações e patches ; Uma arquitetura de aplicação forte que provém uma boa separação e segurança entre os componentes; Faça auditoria e execute scans periodicamente para ajudar a detectar falta de aplicação de patches e má configuração.

45 OWASP TOP A7 Insecure Cryptographic Storage Agentes Usuários que gostaria de ter acessos a dados protegidos sem autorização. Vetores de Ataque Atacantes não quebram a criptografia, eles captura cópia dos dados em texto puro, pegam chaves ou tentam acessar dados através de canais que os decifrem automaticamente. Fraqueza da Segurança Predominância Comum Detectabilidade Difícil A falha mais comum nesta área é o simples fato de não cifrar os dados que necessitam de ser cifrados. Quando a criptografia é usada, é comum encontrar a geração e armazenamento inseguro das chaves, a não rotatividade das chaves, e a utilização de algoritmos fracos. Eu estou vulnerável? Seus dados mais sensíveis estão criptografados? Somente usuários autorizados poderão acessar as cópias dos dados descriptografado? Utiliza um algoritmo de criptografia forte? Emitido por uma unidade certificadora confiável? Sua chave é protegida de acessos não autorizados? Como prevenir? Utilize algoritmos conhecidos e reconhecidamente eficazes; Utilize a função de salt no processo de codificação, que consiste em concatenar a senha original com uma constante randômica;

46 OWASP TOP A8 Failure to Restrict URL Access Agentes Usuários com acesso à rede podem enviar um pedido para a sua aplicação. Podem usuários anônimos acessar a páginas privadas ou os usuários regulares podem acessar a páginas com privilégios especiais? Vetores de Ataque Um usuário legítimo simplesmente alteram a URL para uma página privilegiada, o acesso é garantido? Usuários anônimos pode acessar páginas restritas que não estão protegidas. Fraqueza da Segurança Predominância Incomum Detectabilidade Média Aplicações nem sempre protegem as páginas convenientemente. Falha de configuração podem permitir acesso a URL indevidamente. Eu estou vulnerável? Você solicita autenticação em todas as páginas? Você checa a autorização de acesso para ter certeza da permissão do usuário? Como prevenir? Garanta que a matriz do controle de acesso é parte do negócio, da arquitetura e do design da aplicação; Garanta que todas URLs e funções de negócio são protegidas por um mecanismo de controle de acesso efetiva; Realize um teste de invasão (penetration test) antes do código entrar em produção;

47 OWASP TOP A9 Insufficient Transport Layer Protection Agentes Qualquer um que possa monitorar o tráfego de rede de seus usuários. Vetores de Ataque Monitorar o tráfego de rede dos usuários pode ser difícil mas as vezes é fácil. A dificuldade principal reside no acompanhamento do tráfego da rede adequada enquanto usuários estão acessando o site vulnerável. Fraqueza da Segurança Predominância Comum Detectabilidade Fácil As aplicações freqüentemente não protegem o tráfego de rede. Podem usar SSL/TLS durante a autenticação somente, expondo dados e ID s de sessão para interceptação. Certificados expirados ou mal configurados pode mtambém ser usados. Eu estou vulnerável? Você utiliza SSL para proteger o tráfego relativo à autenticação? Você utiliza SSL nos acessos aos dados mais críticos? O certificado de servidor foi fornecido por uma certificadora idônea e legítima? Como prevenir? Redirecione requisições Não SSL para páginas sensíveis para uma página protegida por SSL; Configure o flag Secure em todos os cookies sensíveis; Tenha certeza que seu certificado é válido, não esteja vencido ou revogado ; Back end e outras conexões também deverão usar SSL ou outra tecnologia de encriptação.

48 OWASP TOP A10 Unvalidated Redirects and Forwards Agentes Qualquer um que possa enganar seus usuários submetendo uma requisição para seu Website. Vetores de Ataque O Atacante envia um link falso para enganar a vítima. Fraqueza da Segurança Predominância Incomum Detectabilidade Fácil As aplicações freqüentemente redirecionam usuários para outras páginas, ou usam encaminhamentos internos de uma maneira similar. As vezes o destino é especificado or um parâmetro vulnerável permitindo o atacante alterar a página de destino. Eu estou vulnerável? Você utiliza parâmetros para redirecionar URL? Você checa se estes parâmetros são válidos? Como prevenir? Evite os redirecionamentos e os encaminhamentos; Se usá-los, não utilize os parâmetros do usuário para definir o destino; Se os parâmetros de destino não puderem ser evitados, assegure que o valor fornecido é válido e autorizado para o usuário.

49 PECL PHP Extension Community Library PECL é um repositório de extensões PHP, disponibilizando um diretório de todas as extensões conhecidas e facilidades para download e desenvolvimento de Extensões PHP. A PECL contém extensões em C para compilação no PHP. PECL inclui módulos para parsing de XML, acesso a banco de dados adicionais, parsing de , embutindoperl ou Python em scripts PHP e ainda para compilação de scripts PHP. PECL Filter Esta extensão serve para validar e filtrar dados vindos de alguma fonte insegura, como uma entrada do usuário. Funções da Filter filter_has_var- Verifica se a variável é de um especificado tipo existente filter_id- Retorna o ID de um dado nome de filtro filter_input_array- Obtem variáveis externas e opcionalmente as filtra filter_input- Obtem a específica variável externa pelo nome e opcionalmente a filtra filter_list- Retorna a lista de todos filtros suportados filter_var_array- Obtêm múltiplas variáveis e opcionalmente as filtra filter_var- Filtra a variável com um especificado filtro

50 PECL Filter Filtros Existentes

51 Biblioteca OWASP ESAPI O que é a ESAPI? É um framework composto por diversas bibliotecas de códigos aberto que podem ser adotadas para melhorar a segurança de aplicações. Desenvolvido pelo OWASP inicialmente para Java, foi posteriormente portado para outras linguagens como.net e PHP. Premissas Básicas: Segurança não e um evento único: Deve ser aplicado e aprimorado constantemente. Processo de desenvolvimento: Uma iniciativa de codificação segura deve abordar todos os estágios do ciclo de vida de um software. Tratar o problema na raiz Onde o esforço e o custo de correção são menores.

52 Biblioteca OWASP ESAPI

53 Biblioteca OWASP ESAPI

54 Tratando Configuração de Segurança da Aplicação

55 Vantagens do Uso da Biblioteca ESAPI-PHP ESAPI-PHP x OWASP Top Ten OWASP Top Ten OWASP ESAPI-PHP

56 Vantagens do Uso da Biblioteca ESAPI Potencial de redução de custos da organização com a ESAPI

57 Prós/Contras do Uso da Biblioteca ESAPI-PHP Prós Contras Incluem o baixo acoplamento entre ESAPI e suas próprias implementações, auxilia no reuso e integração dos controles de segurança para desenvolver aplicações seguras. Incluem a necessidade de os desenvolvedores entenderem como chamar as funções ESAPI com os parâmetros exigidos pela sua organização e / ou aplicação, existe a necessidade de criar processos que vão alem do código fonte da aplicação, envolvendo: Análise de riscos de segurança de aplicações Web Processo de codificação segura.

58 Bibliografia

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível

Versão 1.0 Janeiro de 2011. Xerox Phaser 3635MFP Plataforma de interface extensível Versão 1.0 Janeiro de 2011 Xerox Phaser 3635MFP 2011 Xerox Corporation. XEROX e XEROX e Design são marcas da Xerox Corporation nos Estados Unidos e/ou em outros países. São feitas alterações periodicamente

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Manual de Boas Práticas

Manual de Boas Práticas MINISTÉRIO DA EDUCAÇÃO E CIÊNCIA Serviços de Informática da Universidade Aberta Manual de Boas Práticas Temas: Cuidados a ter com os anexos do correio eletrónico (email) Navegar na internet de forma segura:

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Conceitos de extensões Joomla!

Conceitos de extensões Joomla! capítulo 1 Conceitos de extensões Joomla! Entendendo o que é extensão Extensão pode ser entendida como uma pequena aplicação desenvolvida com regras de construção estabelecidas pelo ambiente Joomla!. É

Leia mais

Curso de Iniciação ao Framework PHP Yii

Curso de Iniciação ao Framework PHP Yii Curso de Iniciação ao Framework PHP Yii Igor Rafael igor at dcc.ufmg.br 12 de agosto de 2011 Conteúdo Visão Geral Configuração Fundamentos Estudo de caso Visão Geral O que é um framework? Coleção de bibliotecas

Leia mais

Cartilha de Desenvolvimento Seguro

Cartilha de Desenvolvimento Seguro Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro

Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro Desenvolvimento em PHP usando Frameworks Elton Luís Minetto Agenda Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração O livro Ambiente Web É o ambiente

Leia mais

Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração

Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração Desenvolvimento em PHP usando Frameworks Elton Luís Minetto Agenda Ambiente Web PHP Problemas Frameworks CakePHP Symfony Zend Framework Prado CodeIgniter Demonstração Ambiente Web É o ambiente formado

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012

SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012 O servidor Apache é o mais bem sucedido servidor web livre. Foi criado em 1995 por Rob McCool, então funcionário do NCSA (National Center for Supercomputing Applications). Em maio de 2010, o Apache serviu

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

1 Introdução. O sistema permite:

1 Introdução. O sistema permite: A intenção deste documento é demonstrar as possibilidades de aplicação da solução INCA Insite Controle de Acesso - para controle de conexões dia-up ou banda larga à Internet e redes corporativas de forma

Leia mais

Associação Carioca de Ensino Superior Centro Universitário Carioca

Associação Carioca de Ensino Superior Centro Universitário Carioca Desenvolvimento de Aplicações Web Lista de Exercícios Métodos HTTP 1. No tocante ao protocolo de transferência de hipertexto (HTTP), esse protocolo da categoria "solicitação e resposta" possui três métodos

Leia mais

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] )

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] ) Disciplina: Tópicos Especiais em TI PHP Este material foi produzido com base nos livros e documentos citados abaixo, que possuem direitos autorais sobre o conteúdo. Favor adquiri-los para dar continuidade

Leia mais

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em

Utilizaremos a última versão estável do Joomla (Versão 2.5.4), lançada em 5 O Joomla: O Joomla (pronuncia-se djumla ) é um Sistema de gestão de conteúdos (Content Management System - CMS) desenvolvido a partir do CMS Mambo. É desenvolvido em PHP e pode ser executado no servidor

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

JSF - Controle de Acesso FERNANDO FREITAS COSTA

JSF - Controle de Acesso FERNANDO FREITAS COSTA JSF - Controle de Acesso FERNANDO FREITAS COSTA ESPECIALISTA EM GESTÃO E DOCÊNCIA UNIVERSITÁRIA JSF Controle de Acesso Antes de iniciarmos este assunto, é importante conhecermos a definição de autenticação

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

Lista de Exercício: PARTE 1

Lista de Exercício: PARTE 1 Lista de Exercício: PARTE 1 1. Questão (Cód.:10750) (sem.:2a) de 0,50 O protocolo da camada de aplicação, responsável pelo recebimento de mensagens eletrônicas é: ( ) IP ( ) TCP ( ) POP Cadastrada por:

Leia mais

Integração entre o IBM HTTP SERVER, APACHE WEB Server e IBM Websphere Application Server

Integração entre o IBM HTTP SERVER, APACHE WEB Server e IBM Websphere Application Server Integração entre o IBM HTTP SERVER, APACHE WEB Server e IBM Websphere Application Server Índice Resumo sobre este documento... 3 Integrando o IBM HTTP Server com o IBM WebSphere Application Server... 3

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Cap. 3: Visão Geral das Tecnologias de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Projeto de segurança de Redes Page 2 Etapas: Segurança em camadas

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

GLADIADOR INTERNET CONTROLADA v.1.2.3.9

GLADIADOR INTERNET CONTROLADA v.1.2.3.9 GLADIADOR INTERNET CONTROLADA v.1.2.3.9 Pela grande necessidade de controlar a internet de diversos clientes, a NSC Soluções em Informática desenvolveu um novo produto capaz de gerenciar todos os recursos

Leia mais

UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS

UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS UM ESTUDO SOBRE ARQUITETURA PARA DESENVOLVIMENTO DE SOFTWARE WEB UTILIZANDO NOVAS TECNOLOGIAS Edi Carlos Siniciato ¹, William Magalhães¹ ¹ Universidade Paranaense (Unipar) Paranavaí PR Brasil edysiniciato@gmail.com,

Leia mais

SELinux. Security Enhanced Linux

SELinux. Security Enhanced Linux SELinux Security Enhanced Linux Segurança da Informação A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de segurança Objetivando a proteção das

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Aula 4 WEB 2.0. 1. Conceito

Aula 4 WEB 2.0. 1. Conceito Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 4 WEB 2.0 Web 2.0 é um

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos

O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos O projeto Metasploit é um framework que foi criado em 2003 por HD Moore e é uma plataforma que permite a verificação do estado da segurança dos computadores existentes numa determinada rede, permitindo

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

World Wide Web e Aplicações

World Wide Web e Aplicações World Wide Web e Aplicações Módulo H O que é a WWW Permite a criação, manipulação e recuperação de informações Padrão de fato para navegação, publicação de informações e execução de transações na Internet

Leia mais

Desenvolva rapidamente utilizando o frame work CakePHP. Elton Luí s Minetto

Desenvolva rapidamente utilizando o frame work CakePHP. Elton Luí s Minetto Desenvolva rapidamente utilizando o frame work CakePHP Elton Luí s Minetto Agenda Ambiente Web PHP Problemas Frameworks CakePHP Demonstração Ambiente Web É o ambiente formado por algumas tecnologias: Servidor

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI Exercícios da Parte II: Segurança da Informação Walter Cunha PSI 1. (CESGRANRIO/Analista BNDES 2008) NÃO é uma boa prática de uma política de segurança: (a). difundir o cuidado com a segurança. (b). definir

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Forms Authentication em ASP.NET

Forms Authentication em ASP.NET Forms Authentication em ASP.NET Em muitos sites web é necessário restringir selectivamente o acesso a determinadas áreas, ou páginas, enquanto para outras páginas pode permitir-se acesso livre. ASP.NET

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Ferramenta web para administração do servidor proxy Squid

Ferramenta web para administração do servidor proxy Squid Ferramenta web para administração do servidor proxy Squid Autor: Vanderson C. Siewert Orientador: Francisco Adell Péricas, Mestre 1 Roteiro de apresentação Introdução Objetivos Fundamentação teórica Gerência

Leia mais

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios

Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas. Criação de uma Serviço de Geração de Relatórios Universidade Federal de Goiás Centro de Recursos Computacionais - CERCOMP Divisão de Sistemas Criação de uma Serviço de Geração de Relatórios Goiânia 12/2011 Versionamento 12/12/2011 Hugo Marciano... 1.0

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Programação WEB. Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida. Aula III Introdução PHP

Programação WEB. Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida. Aula III Introdução PHP Programação WEB Prof. André Gustavo Duarte de Almeida andre.almeida@ifrn.edu.br docente.ifrn.edu.br/andrealmeida Aula III Introdução PHP Introdução PHP PHP=Hypertext Pre-Processor Linguagem de script open

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

5 O Joomla: Web Apache Banco de Dados MySQL http://www.joomla.org/ - 55 -

5 O Joomla: Web Apache Banco de Dados MySQL http://www.joomla.org/ - 55 - 5 O Joomla: O Joomla (pronuncia-se djumla ) é um Sistema de Gestão de Conteúdos (Content Management System - CMS) desenvolvido a partir do CMS Mambo. É desenvolvido em PHP e pode ser executado no servidor

Leia mais

Fundamentos de Ethical Hacking EXIN

Fundamentos de Ethical Hacking EXIN Exame Simulado Fundamentos de Ethical Hacking EXIN Edição Augusto 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9

Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9 Integrated User Verification Guia de Implementação do Cliente 2015-05-04 Confidencial Versão 2.9 SUMÁRIO Introdução... 2 Finalidade e público-alvo... 2 Sobre este documento... 2 Termos mais utilizados...

Leia mais

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br

João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br. José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br João Bosco Beraldo - 014 9726-4389 jberaldo@bcinfo.com.br José F. F. de Camargo - 14 8112-1001 jffcamargo@bcinfo.com.br BCInfo Consultoria e Informática 14 3882-8276 WWW.BCINFO.COM.BR Princípios básicos

Leia mais

Readme do NetIQ imanager 2.7.7. 1 O que há de novo. 1.1 Aperfeiçoamentos. Setembro de 2013

Readme do NetIQ imanager 2.7.7. 1 O que há de novo. 1.1 Aperfeiçoamentos. Setembro de 2013 Readme do NetIQ imanager 2.7.7 Setembro de 2013 O NetIQ imanager 2.7.7 possui novos recursos e soluciona diversos problemas de versões anteriores. É possível fazer o upgrade para o imanager 2.7.7 a partir

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Injeção de SQL - Detecção de evasão

Injeção de SQL - Detecção de evasão Injeção de SQL - Detecção de evasão Resumo A detecção dos ataques de injeção de SQL era feita inicialmente com o uso de técnicas de reconhecimento de padrões, verificados contra assinaturas e palavraschave

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação WEB II. Sessions e Cookies. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza Sessions e Cookies progweb2@thiagomiranda.net Conteúdos Os materiais de aula, apostilas e outras informações estarão disponíveis em: www.thiagomiranda.net Cookies e Sessions Geralmente, um bom projeto

Leia mais

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

Guia do Usuário Administrativo Bomgar 10.2 Enterprise Guia do Usuário Administrativo Bomgar 10.2 Enterprise Índice Introdução 2 Interface administrativa 2 Status 2 Minha conta 3 Opções 3 Equipes de suporte 4 Jumpoint 5 Jump Clients 6 Bomgar Button 6 Mensagens

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas.

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas. Publicação web Pré requisitos: Lista de questões Formulário multimídia Este tutorial tem como objetivo, demonstrar de maneira ilustrativa, todos os passos e opções que devem ser seguidos para publicar

Leia mais

Faculdade de Tecnologia SENAC Goiás. Disciplina: Gerenciamento de Rede de Computadores. Goiânia, 16 de novembro de 2014.

Faculdade de Tecnologia SENAC Goiás. Disciplina: Gerenciamento de Rede de Computadores. Goiânia, 16 de novembro de 2014. Faculdade de Tecnologia SENAC Goiás Disciplina: Gerenciamento de Rede de Computadores : Goiânia, 16 de novembro de 2014. Faculdade de Tecnologia SENAC Goiás Professor: Marissol Martins Alunos: Edy Laus,

Leia mais

Aplicativo web para definição do modelo lógico no projeto de banco de dados relacional

Aplicativo web para definição do modelo lógico no projeto de banco de dados relacional Aplicativo web para definição do modelo lógico no projeto de banco de dados relacional Juarez Bachmann Orientador: Alexander Roberto Valdameri Roteiro Introdução Objetivos Fundamentação teórica Desenvolvimento

Leia mais

www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00

www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 Controle de Revisões Micropagamento F2b Web Services/Web 18/04/2006 Revisão Data Descrição 00 17/04/2006 Emissão inicial. www.f2b.com.br

Leia mais

PSQT Prêmio SESI Qualidade no Trabalho

PSQT Prêmio SESI Qualidade no Trabalho ANEXO II PSQT Prêmio SESI Qualidade no Trabalho Manutenção Evolutiva Modelo: 4.0 Sistema Indústria, 2008 Página 1 de 18 Histórico da Revisão Data Descrição Autor 06/12/2007 Necessidades para atualização

Leia mais