SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança

Tamanho: px
Começar a partir da página:

Download "SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança"

Transcrição

1 SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 23

2 Índice 1 Introdução Objectivo do documento Testes de Segurança Estrutura do documento Ferramentas de Testes de Segurança Dinâmicas Conclusão Estáticas Conclusão Ferramentas Dinâmicas (estudos) Referências Link Consulting,SA Pág. 1 de 23

3 1 Introdução 1.1 Objectivo do documento Este documento apresenta o resultado da pesquisa efectuada sobre ferramentas de segurança no âmbito do projecto SIPTEST. 1.2 Testes de Segurança Testes de Segurança são utilizados para avaliar a eficácia das medidas de segurança implementas e para identificar, validar, e aferir possíveis falhas de segurança que possam ser detectadas. Este tipo de testes deve ser apenas um componente de um conjunto global de componentes de segurança, que também incluí avaliação de riscos, requisitos de sistema, planeamento, políticas de segurança e procedimentos. Penetration testing é uma técnica geralmente utilizada para auditar a segurança de aplicações Web [2, 3, 4]. Penetration testing é uma abordagem que envolve um pessoa ou uma ferramenta para criação de dados de entrada potencialmente mal intencionados e introduzi-los na aplicação, replicando possíveis acções de um hacker. A diferença mais comum entre as estratégias de penetration testing é a quantidade de conhecimento sobre a implementação do sistema em teste. Testes blackbox não assumem qualquer conhecimento prévio da infra-estrutura do sistema. Por outro lado, testes white-box fornecem um conhecimento completo do sistema em testes, muitas vezes incluindo diagramas de rede, código fonte, etc. Os diferentes tipos de penetration testing são [5]: External Attack and Penetration Internal Attack and Penetration Physical Attack and Penetration Wireless Attack and Penetration Client-Side Attack and Penetration A dificuldade em realizar estes testes manualmente, levaram algumas empresas/equipas de investigação a desenvolver técnicas automáticas implementadas em ferramentas, tais como [6, 7, 8, 9, 10, 78, 86]. O principal objectivo da técnica penetration testing é validar uma determinada aplicação para que esta seja capaz de impedir a ocorrência de falhas ou a divulgação de dados sigilosos (no caso de ter ocorrido a falha). 1.3 Estrutura do documento O resto do documento está organizado da seguinte forma. A Secção 2 apresenta várias ferramentas para testes de segurança, subdividas em duas partes Dinâmicas e Estáticas, onde é elaborada uma comparação entre todas as ferramentas. A secção 3 apresenta os dados recolhidos do benchmark realizado às ferramentas dinâmicas e finaliza o documento. Link Consulting,SA Pág. 2 de 23

4 2 Ferramentas de Testes de Segurança Ferramentas automatizadas podem ser utilizadas para ajudar a encontrar uma variedade de vulnerabilidades, como possíveis acessos ou configurações de acesso erradas, passwords fracas, falta de integridade do software, ter o sistema actualizado, etc. Existem dois métodos automatizados: (1) ferramentas dinâmicas, que encontram vulnerabilidades tentando explorá-las, e (2) ferramentas estáticas, que apenas examinam o sistema e inferem sobre a existência ou não de vulnerabilidades no sistema. 2.1 Dinâmicas Tipicamente ferramentas dinâmicas para testes de segurança são também conhecidas como Web Application Security Scanner (WASS). Uma WASS [11] é um programa que comunica com uma aplicação Web através do seu front-end, para identificar potenciais vulnerabilidades ao nível da segurança na aplicação Web e deficiências na sua arquitectura. Uma WASS pode facilitar a revisão automática da aplicações Web com o propósito explícito de descobrir vulnerabilidades de segurança, e obrigar a aplicação Web a cumprir várias regras. WASS pode verificar uma variedade de vulnerabilidades, incluindo: Validação de Input/Output Memory leaks Funções vulneráveis Erros na configuração do servidor Recentemente Shay Chen, um consultor em Segurança Informática, publicou [12] os resultados de um exaustivo estudo a várias WASS. O estudo envolveu 60 ferramentas (open-source e comerciais) e foram resumidos alguns dos recursos mais críticos e capacidades de cada WASS, tais como: Características e capacidades (utilizando a framework WAVSEP v1.0.3) Benchmark de exactidão Cross-site scripting & taxa de falsos positivos SQL Injection & taxa de falsos positivos A tabela abaixo contém a lista das WASS analisadas no benchmark, informação sobre a versão utilizada, o vendedor/autor e algumas características gerais. Link Consulting,SA Pág. 3 de 23

5 Link Consulting,SA Pág. 4 de 23

6 O primeiro critério de avaliação utilizado no benchmark foi o número de funcionalidades auditadas que cada ferramenta suporta. Isto porque, uma determinada ferramenta automatizada não conseguirá detectar uma falha que não reconhece. E portanto, o número de funcionalidades presentes afectará o número de falhas que cada ferramenta conseguirá detectar. A Figura abaixo ilustra o número de funcionalidades utilizadas na auditoria. Figura 1 - Número de funcionalidades Auditadas Relativamente à qualidade de cada ferramenta, o segundo critério foi a exactidão na detecção de SQL Injection, uma das mais famosas exposições a falhas e geralmente a mais analisada pelas WASS. Uma WASS que não seja exacta o suficiente, vai ignorar muitas exposições à falha SQL Injection e classificar os pontos vulneráveis como não vulneráveis. Link Consulting,SA Pág. 5 de 23

7 Por isso, este teste destina-se a avaliar o quão óptima cada ferramenta é, na detecção de SQL Injection. A figura abaixo ilustra a detecção de SQL Injection por cada ferramenta, onde a barra azul representa a exactidão na detecção da vulnerabilidade, enquanto a barra vermelha representa a percentagem de falsos positivos detectados. Figura 2 - Exactidão na detecção de SQL Injection O terceiro critério utilizado no benchmark, foi a detecção de Reflected Cross Site Scripting, uma exposição comum que é, geralmente, a segunda característica mais implementada nas WASS. A figura abaixo representa os resultados obtidos no terceiro critério de avaliação das WASS. A barra azul representa a exactidão na detecção da vulnerabilidade, enquanto que a barra vermelha representa a percentagem de falsos positivos detectados pela ferramenta. Link Consulting,SA Pág. 6 de 23

8 Figura 3 - Exactidão na detecção de Reflected Cross Site Scripting (XSS) Conclusão De acordo com o estudo [12] a ferramenta AppScan Standard Edition [6] lidera o grupo na maioria dos aspectos. O desenvolvimento da AppScan Standard iniciou-se em 1999 e actualmente é já um produto bastante desenvolvido. É capaz de analisar qualquer tipo de aplicações e pode ser costumizável para funcionar com todos os ambientes (URLs nãostandards, aplicações RESTful, JSON, JavaScript frameworks e AJAX, Adobe Flash/Flex, serviços Web SOAP, etc). Em termos de exactidão na detecção de Cross-site Scripting (XSS), a AppScan obteve a 1ª posição do ranking. No mesmo teste obteve uma taxa de 100% na detecção de todos os casos de teste XSS, e 0% de falsos positivos. Nos Link Consulting,SA Pág. 7 de 23

9 testes de SQL Injection, o desempenho foi também bastante satisfatório, mas não o suficiente para obter novamente o primeiro lugar do ranking. A AppScan apenas conseguiu detectar 127 problemas em 136 (taxa de sucesso de 93.38%), com 3 falsos positivos em 10 casos de teste. 2.2 Estáticas. Análise estática de código fonte, é uma metodologia para detecção de erros em software. É baseada na rápida e eficiente revisão pelo programador, onde fragmentos de código são marcados por uma analisador estático nos sítios onde os erros são passíveis de acontecer. Por outras palavras, um analisar estático detecta fragmentos no texto do programa que contenham erros, ou que sejam propícios a ter erros. Estes fragmentos são reportados ao programador para que o examine e decida se o fragmento em particular deve ser modificado. A principal vantagem do uso de analisadores estáticos é a redução do custo de eliminação de erros no programa. Segundo [68] corrigir um determinado erro na fase de testes é 10 vezes mais dispendioso que na fase de codificação do software. Contudo as limitações de analisadores estáticos também devem ser consideradas. Este tipo de ferramentas não são capazes de detectar falhas ao nível da arquitectura do software, porque são baseadas apenas no código fonte. Este tipo de ferramentas também não consegue encontrar erros na integração entre vários componentes da aplicação. E porque trabalham directamente com o código fonte, as ferramentas de análise estática podem ser utilizadas a qualquer altura do ciclo de desenvolvimento. É portanto recomendável, que se inicie o processo de análise de segurança assim que o código fonte esteja disponível, por exemplo, integrando uma ferramenta no ambiente de desenvolvimento (IDE). A tabela abaixo resume algumas das características principais de uma lista de ferramentas de análise estática [69, 70] para testes de segurança. Link Consulting,SA Pág. 8 de 23

10 Link Consulting,SA Pág. 9 de 23

11 2.2.1 Conclusão Ao contrário das ferramentas dinâmicas, Secção 2.1, em relação às ferramentas estáticas não podemos concluir nada acerca do seu desempenho. No entanto, podemos evidenciar as ferramentas Coverity Prevent [78] e Fortify Source Code Analysis Suite [86]. Estas duas ferramentas realçam-se pelo seu elevado suporte a múltiplas linguagens Link Consulting,SA Pág. 10 de 23

12 de programação e sistemas operativos, potencial para escalar para programas de grandes dimensões e um nível médio de conhecimentos necessários para o uso das ferramentas. Link Consulting,SA Pág. 11 de 23

13 3 Ferramentas Dinâmicas (estudos) Figura 4 - Funcionalidades Auditadas Link Consulting,SA Pág. 12 de 23

14 Figura 5 - Exactidão na detecção de SQL-Injection Link Consulting,SA Pág. 13 de 23

15 Figura 6 - Exactidão na detecção de Reflected Cross Site Scripting (XSS). Link Consulting,SA Pág. 14 de 23

16 Figura 7 - Tipo de inputs suportados pelas ferramentas Link Consulting,SA Pág. 15 de 23

17 Figura 8 - Cobertura de funcionalidades. Link Consulting,SA Pág. 16 de 23

18 4 Referências [1] I. Sommerville. Software engineering. International computer science series. Addison-Wesley, [2] T.J. Klevinsky, S. Laliberte, e A. Gupta. Hack I.T.: Security Through Penetration Testing. Addison-Wesley, [3] J. Long e E. Skoudis. Google Hacking For Penetration Testers. Syngress, [4] A.W. Bayles e C. Hurley. Penetration Tester s Open Source Toolkit. Número v. 2 em IT Pro. Syngress Publishing, [5] David Kennedy. Penetration testing - let me probe your ports..., [6] IBM Security Systems Division. Ibm rational appscan. com/software/awdtools/appscan/, [7] Tenable Network Security. Nessus. nessus, [8] Anastasios Laskos. arachni. https://github.com/zapotek/arachni, [9] Romain Gaucher. Grabber [10] netxeyes. Web injection scanner (wis) [11] Wikipedia. Web application security scanner. Web_Application_Security_Scanner, [12] Shay Chen. The scanning legion: Web application scanners accuracy assessment & feature comparison commercial & open source scanners. commercial-web-application-scanner.html, [13] Acunetix. Acunetix wvs (commercial edition). vulnerability-scanner/, [14] Acunetix. Acunetix wvs (free edition). cross-site-scripting/scanner.htm, [15] Federico Stange. aidsql [16] Axel Neumann e Roger Blum. Andiparos. andiparos/, [17] PortSwigger. Burp suite professional Link Consulting,SA Pág. 17 de 23

19 [18] Cenzic. Cenzic hailstorm professional. desktop/index.html, [19] Yu. crawlfish [20] Miroslav Stampar. Damn small sqli scanner (dsss). https://github.com/ stamparm/dsss, [21] Sanghun Jeon. Gamja [22] David Byrne. Grendel scan [23] Simone Margaritelli. iscan [24] NoSec. Jsky (commercial edition). jsky/, [25] NoSec. Jsky (free edition) [26] Ashaman Boyd. Loverboy [27] SCRT Information Security. Mini mysqlat0r. downloads/mini-mysqlat0r, [28] Mavituna Security. Netsparker (commercial edition). mavitunasecurity.com/netsparker/, [29] Mavituna Security. Netsparker (community edition). mavitunasecurity.com/communityedition/, [30] N-Stalker. N-stalker 2009 (free edition). editions/free/, [31] N-Stalker. N-stalker 2012 (free edition). editions/free/, [32] NT OBJECTives. Ntospider. security-software/ntospider-application-security-scanner, [33] Jordan Del Grande. Oedipus. Security-Systems/Oedipus-Web-App-Vulnerability-Scanner html, [34] John Martinelli. openacunetix /openAcunetix-Web-Application-Scanner.html, [35] Chinotec Technologies. Paros proxy [36] Chinotec Technologies. Parospro. Link Consulting,SA Pág. 18 de 23

20 option=com_content&view=article&id=98&itemid=175, [37] Marcin Kozlowski. Powerfuzzer [38] Yigit Aktan. Priamos [39] Carlos del Ojo Elias. Proxystrike. proxystrike.php, [40] Safe3 Network Center. safe3wvs. htm, [41] Syhunt. Sandcat (free edition). Sandcat, [42] Syhunt. Sandcat pro [43] Syhunt. Sandcatcs [44] HP Application Security Center. Scrawlr. com/t5/scrawlr/bd-p/sws-198?jumpid=reg_r1002_usen, https: //h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57c4k/index. php?mcc=dnxa&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_ redirect/mcc_dnxa, [45] David devitry. Screamingcss [46] Stefan Kals. Secubat [47] Michal Zalewski. Skipfish [48] Metaeye Security Group. Sql injection digger (sqid). projects/sqid/, [49] Open Web Application Security Project. Sqlix. https://www.owasp.org/ index.php/category:owasp_sqlix_project, [50] Bernardo Damele A. G. e Miroslav Stampar. sqlmap. sourceforge.net/, [51] Levent Kayan & Illuminatus. Uber web security scanner. packetstormsecurity.org/files/82347/uber-web-security-scanner html, [52] Subgraph. Vega [53] Brad Cable. Vulndetector [54] Andrés Riancho. W3af Link Consulting,SA Pág. 19 de 23

21 [55] Open Web Application Security Project. Wapiti. web/wapiti, [56] Andreas Schmidt. Watobo. watobo/index.php, [57] Janus Security. Webcruiser (enterprise edition) [58] Janus Security. Webcruiser (free edition) [59] HP Application Security Center. Webinspect. https://www.fortify.com/ products/web_inspect.html, [60] Open Web Application Security Project. Webscarab. https://www.owasp.org/ index.php/category:owasp_webscarab_project, [61] GNU Citizen. Websecurify [62] Kim Young-il. Wstool [63] Taras Ivashchenko. Xcobra. title=xcobra, [64] Lord Epsylon. Xsser [65] SCRT Information Security. Xssploit. downloads/xssploit, [66] Sven Neuhaus. Xsss [67] Open Web Application Security Project. Zap. zaproxy/, [68] S. McConnell. Code complete. DV-Professional. Microsoft Press, [69] National Institute of Standards e Technology (NIST). Source code security analyzers. Analyzers.html, [70] Booz Allen Hamilton. Software security assessment tools review. https://buildsecurityin.us-cert.gov/swa/downloads/ NAVSEA-Tools-Paper pdf, [71] Centre National de la Recherche Scientifique. Astrée. fr/, [72] David Wagner. Boon [73] C code analyzer (cca), [74] Inc. Integrated Computer Solutions. Centerline systems codecenter. ics.com/products/centerline/codecenter/, Link Consulting,SA Pág. 20 de 23

22 [75] Optimyth. checking [76] CodeScan Labs. Codescan labs codescan, [77] Compuware. Compuware devpartner securitychecker. com/, [78] Coverity. Coverity prevent [79] Cppcheck. php, [80] Jeff Foster & Rob Johnson. Cqual. cqual/, [81] French The Laboratoire Spécification et Vérification. Csur. ens-cachan.fr/software/csur/, [82] Brian Chess. Eau claire [83] Bill Pugh & Andrey Loskutov. Findbugs. net/, [84] David A. Wheeler. Flawfinder [85] Carnegie Mellon University & Air Force Institute of Technology & University of Wisconsin Milwaukee. Fluid [86] HP Company. Fortify source code analysis suite 5.2. https://www.fortify. com/, [87] Grammatech. Grammatech codesonar. products/codesonar/overview.html, [88] Green Hills Software. Doublecheck. doublecheck.html, [89] Hammurapi Group. Hammurapi. hammurapi-biz/ef/xmenu/hammurapi-group/index.html, [90] Cigital. Its4, [91] Konstantin Knizhnik. Jlint [92] Klocwork. Klocwork k [93] Ben Livshits. Lapse: Web application security scanner for java. stanford.edu/~livshits/work/lapse/, [94] Ldra software technology - tbsecure plugin, [95] Microsoft. Microsoft fxcop. Link Consulting,SA Pág. 21 de 23

23 bb429476(vs.80).aspx, [96] Nachiappan Nagappan e Thomas Ball. Static analysis tools as early indicators of pre-release defect density. Em Proceedings of the 27th international conference on Software engineering, ICSE 05, páginas , New York, NY, USA, ACM. [97] MSquared Technologies. Msquared technologies resource standard metrics (rsm) [98] Ounce 4.0, [99] Parasoft. Parasoft c++test. cpptest.jsp?itemid=47, [100] Parasoft. Parasoft jtest. jsp?itemid=14, [101] Parasoft. Parasoft.test. jsp?itemid=135, [102] PMD Committers. Pmd [103] Altran Praxis. Praxis spark tool set. aspx, [104] Programming research qa, [105] HP Company. Rats (rough auditing tool for security). https://www.fortify. com/resources/tools.html, [106] JetBrains. Resharper [107] Smatch [108] SofCheck. Softcheck inspector, [109] David Evans. Splint [110] CodeSWAT. Swat4j [111] Uno [112] OOO Program Verification Systems. Viva [113] Michael V. Scovetta. Yasca (yet another source code analyzer). scovetta.com/yasca.html, Link Consulting,SA Pág. 22 de 23

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste.

SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste. SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste. SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 7 Índice 1 Introdução... 2 1.1 Objectivo do documento...

Leia mais

SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais

SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 8 Índice 1 Introdução... 2 2 SLAs a aplicar

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems Testes de segurança Conferência Código Seguro 25 Nov 2004 Dependable Technologies for Critical Systems Copyright Critical Software S.A. 1998-2004 All Rights Reserved. Agenda O que é segurança Tipo de segurança

Leia mais

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Thiago Canozzo Lahr Security & Privacy Consultant IBM Security Services tclahr@br.ibm.com Luis Fernando M. Callado Senior

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Auditando e criando relatório de análise de vulnerabilidades com Nessus

Auditando e criando relatório de análise de vulnerabilidades com Nessus Auditando e criando relatório de análise de vulnerabilidades com Nessus Ciência Hacker 8 de novembro de 2015 Deixe um comentário Nessus é uma das ferramentas mais recomendadas para fazer análise de vulnerabilidade,

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

MARACATU. A component search tool. Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes

MARACATU. A component search tool. Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes MARACATU A component search tool Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes Vinicius Cardoso Garcia July 29, 2005 Agenda Introdução Especificação

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

8 DE NOVEMBRO DE 2015

8 DE NOVEMBRO DE 2015 Auditando e criando relatório de análise de vulnerabilidades com Nessus 8 DE NOVEMBRO DE 2015 Nessus é uma das ferramentas mais recomendadas para fazer análise de vulnerabilidade, devido apresentar uma

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum

Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum Audrey B. Vasconcelos, Iuri Santos Souza, Ivonei F. da Silva, Keldjan Alves Centro de Informática Universidade

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos IBM Software Segurança Junho de 2012 IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos Identificar, priorizar, rastrear e reparar vulnerabilidades críticas de segurança 2 IBM Security

Leia mais

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades Roteiro Heróis da Segurança OWASP DESENVOLVIMENTO SEGURO KleitorFranklint LíderOWASP CapítuloManaus Kleitor.franklint@owasp.org kleitor@prodam.am.gov.br A necessidade de Aplicações Seguras OWASP TOP 10

Leia mais

Nessus Vulnerability Scanner

Nessus Vulnerability Scanner Faculdade de Tecnologia SENAC-RS Disciplina de Segurança em Redes Ferramentas de Segurança Nessus Vulnerability Scanner Nome: Rafael Victória Chevarria Novembro de 2013. 1. Introdução Nessus é um scanner

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2014 2 MARCOS FLÁVIO ARAÚJO

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Josué Andrade Gomes. Atuar no desenvolvimento (análise, especificação e programação) de aplicações e na coordenação de equipes de desenvolvimento.

Josué Andrade Gomes. Atuar no desenvolvimento (análise, especificação e programação) de aplicações e na coordenação de equipes de desenvolvimento. Email: josuegomes@gmail.com Telefone: (41) 8760-0330 Website: http://www.josuegomes.com/ Linkedin: http://br.linkedin.com/in/josuegomes Objetivo Atuar no desenvolvimento (análise, especificação e programação)

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

Vulnerabilidades de Software e Formas de Minimizar suas Explorações. Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2

Vulnerabilidades de Software e Formas de Minimizar suas Explorações. Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2 Vulnerabilidades de Software e Formas de Minimizar suas Explorações Luiz Otávio Duarte 1 Luiz Gustavo C. Barbato 1 Antonio Montes 1 2 1 LAC - Laboratório Associado de Computação e Matemática Aplicada INPE

Leia mais

ACTOS PROFISSIONAIS GIPE. Gabinete de Inovação Pedagógica

ACTOS PROFISSIONAIS GIPE. Gabinete de Inovação Pedagógica ACTOS PROFISSIONAIS GIPE Gabinete de Inovação Pedagógica Cooptécnica Gustave Eiffel, CRL Venda Nova, Amadora 214 996 440 910 532 379 Março, 2010 GESTÃO E PROGRAMAÇÃO DE SISTEMAS INFORMÁTICOS 1 GIPE - Gabinete

Leia mais

Sumário. Objectivos Técnicas Casos Notáveis Exemplo Conclusões. Testes de Software 2

Sumário. Objectivos Técnicas Casos Notáveis Exemplo Conclusões. Testes de Software 2 Testes de Software Sumário Objectivos Técnicas Casos Notáveis Exemplo Conclusões Testes de Software 2 Objectivos Verificação o programa está de acordo com a especificação (construímos bem o produto?) Validação

Leia mais

Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura

Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Slide Show nº 4 Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Autor: Eduardo Lanna rev. 05/jan/11 Desafios da GSI em Aplicações Web Certificação da Segurança no

Leia mais

SIPTEST System Intelligent Process Testing.

SIPTEST System Intelligent Process Testing. SIPTEST System Intelligent Process Testing. Sistema de incentivos à investigação e desenvolvimento tecnológico (SI I&DT) Relatório técnico-científico final do projeto nº 22952 (Janeiro de 2012 Dezembro

Leia mais

João Arthur Brunet Monteiro. Março de 2008

João Arthur Brunet Monteiro. Março de 2008 Revisão Bibliográfica em Automação de Testes João Arthur Brunet Monteiro Universidade Federal de Campina Grande Março de 2008 João Arthur Brunet Monteiro (UFCG) Revisão Bibliográfica em Automação de Testes

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI

SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 10 Índice 1 Introdução...

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

Europass Curriculum Vitae

Europass Curriculum Vitae Europass Curriculum Vitae Personal information Surname(s) / First name(s) Address(es) Custódio, Jorge Filipe Telephone(s) +351 919687707 Email(s) Personal website(s) Nationality(-ies) Rua Francisco Pereira

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

System Quality Assurance

System Quality Assurance System Quality Assurance Visão Reduzir os custos inerentes à existência de defeitos em produção, em sistemas de alta complexidade funcional e de elevada heterogeneidade tecnológica, através de um conjunto

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

Disciplina de Segurança e Auditoria de Sistemas Ataques

Disciplina de Segurança e Auditoria de Sistemas Ataques Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas,

Leia mais

Serviço de Perímetro Nessus Guia do usuário. 24 de outubro de 2012 (Revisão 4)

Serviço de Perímetro Nessus Guia do usuário. 24 de outubro de 2012 (Revisão 4) Serviço de Perímetro Nessus Guia do usuário 24 de outubro de 2012 (Revisão 4) Índice Introdução... 3 Serviço de Perímetro Nessus... 3 Assinatura e ativação... 3 Interface de varredura do cliente... 4 Políticas

Leia mais

Frameworks para criação de Web Apps para o Ensino Mobile

Frameworks para criação de Web Apps para o Ensino Mobile 393 Frameworks para criação de Web Apps para o Ensino Mobile Lucas Zamim 1 Roberto Franciscatto 1 Evandro Preuss 1 1 Colégio Agrícola de Frederico Westphalen (CAFW) Universidade Federal de Santa Maria

Leia mais

Aula 2. Programa. Arquitectura da camada de interface.! Programação Web - 1! Engenharia de Aplicações Sistemas Interactivos 2010/11!

Aula 2. Programa. Arquitectura da camada de interface.! Programação Web - 1! Engenharia de Aplicações Sistemas Interactivos 2010/11! Aula 2 Arquitectura da camada de interface.! Programação Web - 1! Mestrado em Engenharia Informática Universidade do Minho! 44! Programa Métodos! &! Tecnologias!! Conceitos de IHC!! Programação web client

Leia mais

Aplicações Seguras. U m N o v o D e s a f i o

Aplicações Seguras. U m N o v o D e s a f i o Aplicações Seguras U m N o v o D e s a f i o Problemática Antecedentes A era dos hackers já começou Fonte: CBS NEWS 8-06-2011 Anonymous dedica-se a recrutar participantes e a informar sobre os seus planos,

Leia mais

Monitoramento de Métricas de Segurança da Informação

Monitoramento de Métricas de Segurança da Informação Monitoramento de Métricas de Segurança da Informação Rafael Seidi Shigueoka¹, Bruno Bogaz Zarpelão¹ 1 Departamento de Computação Universidade Estadual de Londrina (UEL) Caixa Postal 10.011 CEP 86057-970

Leia mais

Universidade do Estado de Santa Catarina/Centro de Ciências Tecnológicas UDESC/CCT

Universidade do Estado de Santa Catarina/Centro de Ciências Tecnológicas UDESC/CCT Universidade do Estado de Santa Catarina/Centro de Ciências Tecnológicas UDESC/CCT DCC - Departamento de Ciência da Computação Curso: BCC Bacharelado em Ciência da Computação Disciplina: OSRC001 Segurança

Leia mais

SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Automação

SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Automação SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Automação SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 14 Índice 1 Introdução... 2 1.1 Objectivo do documento... 2

Leia mais

Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica

Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica Cleber Luiz C. Godoy¹, Auri Marcelo R. Vincenzi¹ 1Instituto de Informática Universidade Federal

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

Proposta Comercial Curso: Ethical Hacking

Proposta Comercial Curso: Ethical Hacking Proposta Comercial Curso: Ethical Hacking Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com âmbito acadêmico

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Ferramentas para Análise Estática de Códigos Java

Ferramentas para Análise Estática de Códigos Java Ferramentas para Análise Estática de Códigos Java Ricardo Terra Instituto de Informática PUC Minas Anel Rodoviário Km 23,5 31.980110 Belo Horizonte, Brazil rterrabh@gmail.com Roberto S. Bigonha Departamento

Leia mais

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Encontrando falhas em aplicações web baseadas em flash Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Tópicos Um pouco sobre flash Vulnerabilidades Como fazer direito Conclusões

Leia mais

Quality Assurance & Test Center. Experiência, Metodologia e Ferramentas

Quality Assurance & Test Center. Experiência, Metodologia e Ferramentas Experiência, Metodologia e Ferramentas Março de 2008 Índice 1. Enquadramento 3 2. Experiência e referências 3 2.1 Evolução e principais projectos 3 2.2 Certificações 4 3. Metodologia de testes Link 4 3.1

Leia mais

Orientador Informal. Co-orientador(es) Informal(is)

Orientador Informal. Co-orientador(es) Informal(is) RELATÓRIO FINAL DE TRABALHO DE CONCLUSÃO DE CURSO Discente: Luís Gustavo Spern Barreto Curso: Análise e Desenvolvimento de Sistemas E-mail: gustavosbarreto@gmail.com Endereço: Rua Três, 490 - Pestano -

Leia mais

Estudo e Análise de Vulnerabilidades Web

Estudo e Análise de Vulnerabilidades Web Estudo e Análise de Vulnerabilidades Web Wagner Aparecido Monteverde, Rodrigo Campiolo 1 Departamento Acadêmico de Computação Universidade Tecnológica Federal do Paraná (UTFPR) Campo Mourão - PR wagnermonteverde@outlook.com,

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE.

SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE. UNIVERSIDADE REGIONAL DE BLUMENAU CURSO DE SISTEMAS DE INFORMAÇÃO SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE. Alan Filipe Mattiollo Prof. Cláudio Ratke, Orientador Introdução Objetivos

Leia mais

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda Especificações técnicas HP Fortify on Demand Teste de segurança de software na nuvem Segurança de software contratada como um serviço sob demanda O HP Fortify on Demand é uma solução de segurança como

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

Going Spatial - criando e expandindo o alcance do seu Sistema de Informação Geográfica

Going Spatial - criando e expandindo o alcance do seu Sistema de Informação Geográfica Rua Julieta Ferrão, 10-10.ºA 1600-131 Lisboa Tel.: 21 781 66 40 Fax: 21 793 15 33 info@esri-portugal.pt www.esri-portugal.pt Going Spatial - criando e expandindo o alcance do seu Sistema de Informação

Leia mais

Interface Homem Máquina para Domótica baseado em tecnologias Web

Interface Homem Máquina para Domótica baseado em tecnologias Web Interface Homem Máquina para Domótica baseado em tecnologias Web João Alexandre Oliveira Ferreira Dissertação realizada sob a orientação do Professor Doutor Mário de Sousa do Departamento de Engenharia

Leia mais

SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas.

SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas. SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas. SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 8 Índice 1 Introdução...

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho

SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 9 Índice 1 Introdução...

Leia mais

IVY on the Web, IVY Properties editor

IVY on the Web, IVY Properties editor IVY on the Web, IVY Properties editor Nuno Miguel Milhases da Silva Departamento de Informática Universidade do Minho - Braga pg13879@alunos.uminho.pt Sumário Palavras-chave 1. Introdução Os modelos de

Leia mais

TECNOLOGIAS E FRAMEWORKS UTILIZADAS NO DESENVOLVIMENTO DE SISTEMAS GERENCIAIS

TECNOLOGIAS E FRAMEWORKS UTILIZADAS NO DESENVOLVIMENTO DE SISTEMAS GERENCIAIS TECNOLOGIAS E FRAMEWORKS UTILIZADAS NO DESENVOLVIMENTO DE SISTEMAS GERENCIAIS Janderson Fernandes Barros ¹, Igor dos Passos Granado¹, Jaime William Dias ¹, ² ¹ Universidade Paranaense (UNIPAR) Paranavaí

Leia mais

Google Web Toolkit* Clério Damasceno Soares, Daniel da Silva Filgueiras e Fábio Figueiredo da Silva

Google Web Toolkit* Clério Damasceno Soares, Daniel da Silva Filgueiras e Fábio Figueiredo da Silva Google Web Toolkit* Clério Damasceno Soares, Daniel da Silva Filgueiras e Fábio Figueiredo da Silva Universidade Federal de Juiz de Fora UFJF-MG Campo Universitário Bairro Marmelos Juiz de Fora MG Brasil

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software

AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software Marcelo Fantinato CPqD Telecom & IT Solutions UNICAMP Instituto de Computação Campinas SP Agenda Motivação Objetivo Automação

Leia mais

Spider-PM: Uma Ferramenta de Apoio à Modelagem de Processos de Software

Spider-PM: Uma Ferramenta de Apoio à Modelagem de Processos de Software Spider-PM: Uma Ferramenta de Apoio à Modelagem de Processos de Software Renan Sales Barros 1, Sandro Ronaldo Bezerra Oliveira 1 1 Faculdade de Computação Instituto de Ciências Exatas e Naturais (ICEN)

Leia mais

Table 1. Dados do trabalho

Table 1. Dados do trabalho Título: Desenvolvimento de geradores de aplicação configuráveis por linguagens de padrões Aluno: Edison Kicho Shimabukuro Junior Orientador: Prof. Dr. Paulo Cesar Masiero Co-Orientadora: Prof a. Dr. Rosana

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

SIPTEST System Intelligent Process Testing. Frameworks de Gestão de Serviços de Testes

SIPTEST System Intelligent Process Testing. Frameworks de Gestão de Serviços de Testes SIPTEST System Intelligent Process Testing. Frameworks de Gestão de Serviços de Testes SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 9 Índice 1 Introdução... 2 1.1 Objetivo do documento...

Leia mais

O ITIL e o Plano de Contingência. Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt

O ITIL e o Plano de Contingência. Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt A Equipa de IT do CHTS,E.P.E. Equipa composta por 12 Elementos Framework ITIL using RT ( linha Servicedesk (1ª e 2ª Reorganização da Equipa

Leia mais

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes

Ricardo Campos [ h t t p : / / w w w. c c c. i p t. p t / ~ r i c a r d o ] Segurança em Redes. Segurança em Redes Autoria Esta apresentação foi desenvolvida por Ricardo Campos, docente do Instituto Politécnico de Tomar. Encontra-se disponível na página web do autor no link Publications ao abrigo da seguinte licença:

Leia mais

AS NOVAS TECNOLOGIAS HACK E HHVM DO FACEBOOK E O WORDPRESS. Por Amon Caldas

AS NOVAS TECNOLOGIAS HACK E HHVM DO FACEBOOK E O WORDPRESS. Por Amon Caldas AS NOVAS TECNOLOGIAS HACK E HHVM DO FACEBOOK E O WORDPRESS Por Amon Caldas APRESENTAÇÃO Mestrando em Computação e Sistemas Pós graduado em Engenharia de Software Graduado em Sistemas para Internet Trabalha

Leia mais

Gestão Documental com Alfresco

Gestão Documental com Alfresco Gestão Documental com Alfresco Gestão Documental com Alfresco Setembro 2011 1 Situação actual Principais fontes de informação nas Organizações: Estruturadas: Bases de dados Não estruturadas: Arquivos de

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvolvimento de Sistemas 4ª Série Desenvolvimento de Software Seguro A atividade prática supervisionada (ATPS) é um procedimento metodológico de

Leia mais

O papel da Economia Digital na Dinamização do Interior. Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com

O papel da Economia Digital na Dinamização do Interior. Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com O papel da Economia Digital na Dinamização do Interior Carlos J. Costa carlos.costa@iscte.pt http://carlosjcosta.wordpress.com Índice Economia Digital Economia Digital Impactos Economia Open Source - Impactos

Leia mais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com

Leia mais

Renan Pupin. Resumo. Experiência. Full Stack Web Developer CEO at Orbitus Web renan_athas@hotmail.com

Renan Pupin. Resumo. Experiência. Full Stack Web Developer CEO at Orbitus Web renan_athas@hotmail.com Renan Pupin Full Stack Web Developer CEO at Orbitus Web renan_athas@hotmail.com Resumo Hi, my name is Renan Pupin and I currently work as a Full Stack Web Developer Freelancer and CEO at Orbitus Web. I

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Master Data Management. Resumo

Master Data Management. Resumo Master Data Management Luis Torres 1, Helena Galhardas 2, João Damásio 3. 1) Instituto Superior Técnico, Lisboa, Portugal luis.torres@tagus.ist.utl.pt 2) Instituto Superior Técnico, Lisboa, Portugal helena.galhardas@tagus.ist.utl.pt

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Carga e Desempenho

SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Carga e Desempenho SIPTEST System Intelligent Process Testing. Estudo Ferramentas de Carga e Desempenho SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 10 Índice 1 Introdução... 2 1.1 Objectivo do documento...

Leia mais

Habilitações Literárias. Identificação. Conhecimentos de Línguas Estrangeiras

Habilitações Literárias. Identificação. Conhecimentos de Línguas Estrangeiras Identificação Nome: João Filipe dos Santos Daniel Filiação: João Francisco dos Santos Daniel Anabela Carvalho dos Santos Daniel Naturalidade: Costa da Caparica Nacionalidade: Portuguesa Data de Nascimento:

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

As Ferramentas de SCM e o Suporte do CMM

As Ferramentas de SCM e o Suporte do CMM As Ferramentas de SCM e o Suporte do CMM Como é que as ferramentas de SCM (Software Configuration Management) podem ajudar na melhoria de processos de acordo com o modelo CMM (Capability Maturity Model)?

Leia mais

Projecto Integrador. Introdução ao REST. Material de suporte às aulas de Proj. Integrador (Nuno Preguiça) Copyright DI FCT/ UNL / 1

Projecto Integrador. Introdução ao REST. Material de suporte às aulas de Proj. Integrador (Nuno Preguiça) Copyright DI FCT/ UNL / 1 Projecto Integrador Introdução ao REST Material de suporte às aulas de Proj. Integrador (Nuno Preguiça) Copyright DI FCT/ UNL / 1 Notas Imagens do livro: G. Alonso et. Al. Web Services: Concepts, Architectures

Leia mais

Web Designer (m/f) Lisboa

Web Designer (m/f) Lisboa Web Designer (m/f) Integre uma prestigiada instituição assumindo a função de Web Designer. Este profissional será responsável pelo desenvolvimento de conteúdos gráficos adequados aos meios de comunicação,

Leia mais

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS UNIVERSIDADE FEDERAL DE PERNAMBUCO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CENTRO DE INFORMÁTICA VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS PARA APOIO AO PROCESSO DE DESENVOLVIMENTO DE SOFTWARE

Leia mais