SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança

Tamanho: px
Começar a partir da página:

Download "SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança"

Transcrição

1 SIPTEST System Intelligent Process Testing. Analise Ferramentas de Segurança SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 23

2 Índice 1 Introdução Objectivo do documento Testes de Segurança Estrutura do documento Ferramentas de Testes de Segurança Dinâmicas Conclusão Estáticas Conclusão Ferramentas Dinâmicas (estudos) Referências Link Consulting,SA Pág. 1 de 23

3 1 Introdução 1.1 Objectivo do documento Este documento apresenta o resultado da pesquisa efectuada sobre ferramentas de segurança no âmbito do projecto SIPTEST. 1.2 Testes de Segurança Testes de Segurança são utilizados para avaliar a eficácia das medidas de segurança implementas e para identificar, validar, e aferir possíveis falhas de segurança que possam ser detectadas. Este tipo de testes deve ser apenas um componente de um conjunto global de componentes de segurança, que também incluí avaliação de riscos, requisitos de sistema, planeamento, políticas de segurança e procedimentos. Penetration testing é uma técnica geralmente utilizada para auditar a segurança de aplicações Web [2, 3, 4]. Penetration testing é uma abordagem que envolve um pessoa ou uma ferramenta para criação de dados de entrada potencialmente mal intencionados e introduzi-los na aplicação, replicando possíveis acções de um hacker. A diferença mais comum entre as estratégias de penetration testing é a quantidade de conhecimento sobre a implementação do sistema em teste. Testes blackbox não assumem qualquer conhecimento prévio da infra-estrutura do sistema. Por outro lado, testes white-box fornecem um conhecimento completo do sistema em testes, muitas vezes incluindo diagramas de rede, código fonte, etc. Os diferentes tipos de penetration testing são [5]: External Attack and Penetration Internal Attack and Penetration Physical Attack and Penetration Wireless Attack and Penetration Client-Side Attack and Penetration A dificuldade em realizar estes testes manualmente, levaram algumas empresas/equipas de investigação a desenvolver técnicas automáticas implementadas em ferramentas, tais como [6, 7, 8, 9, 10, 78, 86]. O principal objectivo da técnica penetration testing é validar uma determinada aplicação para que esta seja capaz de impedir a ocorrência de falhas ou a divulgação de dados sigilosos (no caso de ter ocorrido a falha). 1.3 Estrutura do documento O resto do documento está organizado da seguinte forma. A Secção 2 apresenta várias ferramentas para testes de segurança, subdividas em duas partes Dinâmicas e Estáticas, onde é elaborada uma comparação entre todas as ferramentas. A secção 3 apresenta os dados recolhidos do benchmark realizado às ferramentas dinâmicas e finaliza o documento. Link Consulting,SA Pág. 2 de 23

4 2 Ferramentas de Testes de Segurança Ferramentas automatizadas podem ser utilizadas para ajudar a encontrar uma variedade de vulnerabilidades, como possíveis acessos ou configurações de acesso erradas, passwords fracas, falta de integridade do software, ter o sistema actualizado, etc. Existem dois métodos automatizados: (1) ferramentas dinâmicas, que encontram vulnerabilidades tentando explorá-las, e (2) ferramentas estáticas, que apenas examinam o sistema e inferem sobre a existência ou não de vulnerabilidades no sistema. 2.1 Dinâmicas Tipicamente ferramentas dinâmicas para testes de segurança são também conhecidas como Web Application Security Scanner (WASS). Uma WASS [11] é um programa que comunica com uma aplicação Web através do seu front-end, para identificar potenciais vulnerabilidades ao nível da segurança na aplicação Web e deficiências na sua arquitectura. Uma WASS pode facilitar a revisão automática da aplicações Web com o propósito explícito de descobrir vulnerabilidades de segurança, e obrigar a aplicação Web a cumprir várias regras. WASS pode verificar uma variedade de vulnerabilidades, incluindo: Validação de Input/Output Memory leaks Funções vulneráveis Erros na configuração do servidor Recentemente Shay Chen, um consultor em Segurança Informática, publicou [12] os resultados de um exaustivo estudo a várias WASS. O estudo envolveu 60 ferramentas (open-source e comerciais) e foram resumidos alguns dos recursos mais críticos e capacidades de cada WASS, tais como: Características e capacidades (utilizando a framework WAVSEP v1.0.3) Benchmark de exactidão Cross-site scripting & taxa de falsos positivos SQL Injection & taxa de falsos positivos A tabela abaixo contém a lista das WASS analisadas no benchmark, informação sobre a versão utilizada, o vendedor/autor e algumas características gerais. Link Consulting,SA Pág. 3 de 23

5 Link Consulting,SA Pág. 4 de 23

6 O primeiro critério de avaliação utilizado no benchmark foi o número de funcionalidades auditadas que cada ferramenta suporta. Isto porque, uma determinada ferramenta automatizada não conseguirá detectar uma falha que não reconhece. E portanto, o número de funcionalidades presentes afectará o número de falhas que cada ferramenta conseguirá detectar. A Figura abaixo ilustra o número de funcionalidades utilizadas na auditoria. Figura 1 - Número de funcionalidades Auditadas Relativamente à qualidade de cada ferramenta, o segundo critério foi a exactidão na detecção de SQL Injection, uma das mais famosas exposições a falhas e geralmente a mais analisada pelas WASS. Uma WASS que não seja exacta o suficiente, vai ignorar muitas exposições à falha SQL Injection e classificar os pontos vulneráveis como não vulneráveis. Link Consulting,SA Pág. 5 de 23

7 Por isso, este teste destina-se a avaliar o quão óptima cada ferramenta é, na detecção de SQL Injection. A figura abaixo ilustra a detecção de SQL Injection por cada ferramenta, onde a barra azul representa a exactidão na detecção da vulnerabilidade, enquanto a barra vermelha representa a percentagem de falsos positivos detectados. Figura 2 - Exactidão na detecção de SQL Injection O terceiro critério utilizado no benchmark, foi a detecção de Reflected Cross Site Scripting, uma exposição comum que é, geralmente, a segunda característica mais implementada nas WASS. A figura abaixo representa os resultados obtidos no terceiro critério de avaliação das WASS. A barra azul representa a exactidão na detecção da vulnerabilidade, enquanto que a barra vermelha representa a percentagem de falsos positivos detectados pela ferramenta. Link Consulting,SA Pág. 6 de 23

8 Figura 3 - Exactidão na detecção de Reflected Cross Site Scripting (XSS) Conclusão De acordo com o estudo [12] a ferramenta AppScan Standard Edition [6] lidera o grupo na maioria dos aspectos. O desenvolvimento da AppScan Standard iniciou-se em 1999 e actualmente é já um produto bastante desenvolvido. É capaz de analisar qualquer tipo de aplicações e pode ser costumizável para funcionar com todos os ambientes (URLs nãostandards, aplicações RESTful, JSON, JavaScript frameworks e AJAX, Adobe Flash/Flex, serviços Web SOAP, etc). Em termos de exactidão na detecção de Cross-site Scripting (XSS), a AppScan obteve a 1ª posição do ranking. No mesmo teste obteve uma taxa de 100% na detecção de todos os casos de teste XSS, e 0% de falsos positivos. Nos Link Consulting,SA Pág. 7 de 23

9 testes de SQL Injection, o desempenho foi também bastante satisfatório, mas não o suficiente para obter novamente o primeiro lugar do ranking. A AppScan apenas conseguiu detectar 127 problemas em 136 (taxa de sucesso de 93.38%), com 3 falsos positivos em 10 casos de teste. 2.2 Estáticas. Análise estática de código fonte, é uma metodologia para detecção de erros em software. É baseada na rápida e eficiente revisão pelo programador, onde fragmentos de código são marcados por uma analisador estático nos sítios onde os erros são passíveis de acontecer. Por outras palavras, um analisar estático detecta fragmentos no texto do programa que contenham erros, ou que sejam propícios a ter erros. Estes fragmentos são reportados ao programador para que o examine e decida se o fragmento em particular deve ser modificado. A principal vantagem do uso de analisadores estáticos é a redução do custo de eliminação de erros no programa. Segundo [68] corrigir um determinado erro na fase de testes é 10 vezes mais dispendioso que na fase de codificação do software. Contudo as limitações de analisadores estáticos também devem ser consideradas. Este tipo de ferramentas não são capazes de detectar falhas ao nível da arquitectura do software, porque são baseadas apenas no código fonte. Este tipo de ferramentas também não consegue encontrar erros na integração entre vários componentes da aplicação. E porque trabalham directamente com o código fonte, as ferramentas de análise estática podem ser utilizadas a qualquer altura do ciclo de desenvolvimento. É portanto recomendável, que se inicie o processo de análise de segurança assim que o código fonte esteja disponível, por exemplo, integrando uma ferramenta no ambiente de desenvolvimento (IDE). A tabela abaixo resume algumas das características principais de uma lista de ferramentas de análise estática [69, 70] para testes de segurança. Link Consulting,SA Pág. 8 de 23

10 Link Consulting,SA Pág. 9 de 23

11 2.2.1 Conclusão Ao contrário das ferramentas dinâmicas, Secção 2.1, em relação às ferramentas estáticas não podemos concluir nada acerca do seu desempenho. No entanto, podemos evidenciar as ferramentas Coverity Prevent [78] e Fortify Source Code Analysis Suite [86]. Estas duas ferramentas realçam-se pelo seu elevado suporte a múltiplas linguagens Link Consulting,SA Pág. 10 de 23

12 de programação e sistemas operativos, potencial para escalar para programas de grandes dimensões e um nível médio de conhecimentos necessários para o uso das ferramentas. Link Consulting,SA Pág. 11 de 23

13 3 Ferramentas Dinâmicas (estudos) Figura 4 - Funcionalidades Auditadas Link Consulting,SA Pág. 12 de 23

14 Figura 5 - Exactidão na detecção de SQL-Injection Link Consulting,SA Pág. 13 de 23

15 Figura 6 - Exactidão na detecção de Reflected Cross Site Scripting (XSS). Link Consulting,SA Pág. 14 de 23

16 Figura 7 - Tipo de inputs suportados pelas ferramentas Link Consulting,SA Pág. 15 de 23

17 Figura 8 - Cobertura de funcionalidades. Link Consulting,SA Pág. 16 de 23

18 4 Referências [1] I. Sommerville. Software engineering. International computer science series. Addison-Wesley, [2] T.J. Klevinsky, S. Laliberte, e A. Gupta. Hack I.T.: Security Through Penetration Testing. Addison-Wesley, [3] J. Long e E. Skoudis. Google Hacking For Penetration Testers. Syngress, [4] A.W. Bayles e C. Hurley. Penetration Tester s Open Source Toolkit. Número v. 2 em IT Pro. Syngress Publishing, [5] David Kennedy. Penetration testing - let me probe your ports..., [6] IBM Security Systems Division. Ibm rational appscan. com/software/awdtools/appscan/, [7] Tenable Network Security. Nessus. nessus, [8] Anastasios Laskos. arachni. https://github.com/zapotek/arachni, [9] Romain Gaucher. Grabber [10] netxeyes. Web injection scanner (wis) [11] Wikipedia. Web application security scanner. Web_Application_Security_Scanner, [12] Shay Chen. The scanning legion: Web application scanners accuracy assessment & feature comparison commercial & open source scanners. commercial-web-application-scanner.html, [13] Acunetix. Acunetix wvs (commercial edition). vulnerability-scanner/, [14] Acunetix. Acunetix wvs (free edition). cross-site-scripting/scanner.htm, [15] Federico Stange. aidsql [16] Axel Neumann e Roger Blum. Andiparos. andiparos/, [17] PortSwigger. Burp suite professional Link Consulting,SA Pág. 17 de 23

19 [18] Cenzic. Cenzic hailstorm professional. desktop/index.html, [19] Yu. crawlfish [20] Miroslav Stampar. Damn small sqli scanner (dsss). https://github.com/ stamparm/dsss, [21] Sanghun Jeon. Gamja [22] David Byrne. Grendel scan [23] Simone Margaritelli. iscan [24] NoSec. Jsky (commercial edition). jsky/, [25] NoSec. Jsky (free edition) [26] Ashaman Boyd. Loverboy [27] SCRT Information Security. Mini mysqlat0r. downloads/mini-mysqlat0r, [28] Mavituna Security. Netsparker (commercial edition). mavitunasecurity.com/netsparker/, [29] Mavituna Security. Netsparker (community edition). mavitunasecurity.com/communityedition/, [30] N-Stalker. N-stalker 2009 (free edition). editions/free/, [31] N-Stalker. N-stalker 2012 (free edition). editions/free/, [32] NT OBJECTives. Ntospider. security-software/ntospider-application-security-scanner, [33] Jordan Del Grande. Oedipus. Security-Systems/Oedipus-Web-App-Vulnerability-Scanner html, [34] John Martinelli. openacunetix /openAcunetix-Web-Application-Scanner.html, [35] Chinotec Technologies. Paros proxy [36] Chinotec Technologies. Parospro. Link Consulting,SA Pág. 18 de 23

20 option=com_content&view=article&id=98&itemid=175, [37] Marcin Kozlowski. Powerfuzzer [38] Yigit Aktan. Priamos [39] Carlos del Ojo Elias. Proxystrike. proxystrike.php, [40] Safe3 Network Center. safe3wvs. htm, [41] Syhunt. Sandcat (free edition). Sandcat, [42] Syhunt. Sandcat pro [43] Syhunt. Sandcatcs [44] HP Application Security Center. Scrawlr. com/t5/scrawlr/bd-p/sws-198?jumpid=reg_r1002_usen, https: //h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57c4k/index. php?mcc=dnxa&jumpid=in_r11374_us/en/large/tsg/w1_0908_scrawlr_ redirect/mcc_dnxa, [45] David devitry. Screamingcss [46] Stefan Kals. Secubat [47] Michal Zalewski. Skipfish [48] Metaeye Security Group. Sql injection digger (sqid). projects/sqid/, [49] Open Web Application Security Project. Sqlix. https://www.owasp.org/ index.php/category:owasp_sqlix_project, [50] Bernardo Damele A. G. e Miroslav Stampar. sqlmap. sourceforge.net/, [51] Levent Kayan & Illuminatus. Uber web security scanner. packetstormsecurity.org/files/82347/uber-web-security-scanner html, [52] Subgraph. Vega [53] Brad Cable. Vulndetector [54] Andrés Riancho. W3af Link Consulting,SA Pág. 19 de 23

21 [55] Open Web Application Security Project. Wapiti. web/wapiti, [56] Andreas Schmidt. Watobo. watobo/index.php, [57] Janus Security. Webcruiser (enterprise edition) [58] Janus Security. Webcruiser (free edition) [59] HP Application Security Center. Webinspect. https://www.fortify.com/ products/web_inspect.html, [60] Open Web Application Security Project. Webscarab. https://www.owasp.org/ index.php/category:owasp_webscarab_project, [61] GNU Citizen. Websecurify [62] Kim Young-il. Wstool [63] Taras Ivashchenko. Xcobra. title=xcobra, [64] Lord Epsylon. Xsser [65] SCRT Information Security. Xssploit. downloads/xssploit, [66] Sven Neuhaus. Xsss [67] Open Web Application Security Project. Zap. zaproxy/, [68] S. McConnell. Code complete. DV-Professional. Microsoft Press, [69] National Institute of Standards e Technology (NIST). Source code security analyzers. Analyzers.html, [70] Booz Allen Hamilton. Software security assessment tools review. https://buildsecurityin.us-cert.gov/swa/downloads/ NAVSEA-Tools-Paper pdf, [71] Centre National de la Recherche Scientifique. Astrée. fr/, [72] David Wagner. Boon [73] C code analyzer (cca), [74] Inc. Integrated Computer Solutions. Centerline systems codecenter. ics.com/products/centerline/codecenter/, Link Consulting,SA Pág. 20 de 23

22 [75] Optimyth. checking [76] CodeScan Labs. Codescan labs codescan, [77] Compuware. Compuware devpartner securitychecker. com/, [78] Coverity. Coverity prevent [79] Cppcheck. php, [80] Jeff Foster & Rob Johnson. Cqual. cqual/, [81] French The Laboratoire Spécification et Vérification. Csur. ens-cachan.fr/software/csur/, [82] Brian Chess. Eau claire [83] Bill Pugh & Andrey Loskutov. Findbugs. net/, [84] David A. Wheeler. Flawfinder [85] Carnegie Mellon University & Air Force Institute of Technology & University of Wisconsin Milwaukee. Fluid [86] HP Company. Fortify source code analysis suite 5.2. https://www.fortify. com/, [87] Grammatech. Grammatech codesonar. products/codesonar/overview.html, [88] Green Hills Software. Doublecheck. doublecheck.html, [89] Hammurapi Group. Hammurapi. hammurapi-biz/ef/xmenu/hammurapi-group/index.html, [90] Cigital. Its4, [91] Konstantin Knizhnik. Jlint [92] Klocwork. Klocwork k [93] Ben Livshits. Lapse: Web application security scanner for java. stanford.edu/~livshits/work/lapse/, [94] Ldra software technology - tbsecure plugin, [95] Microsoft. Microsoft fxcop. Link Consulting,SA Pág. 21 de 23

23 bb429476(vs.80).aspx, [96] Nachiappan Nagappan e Thomas Ball. Static analysis tools as early indicators of pre-release defect density. Em Proceedings of the 27th international conference on Software engineering, ICSE 05, páginas , New York, NY, USA, ACM. [97] MSquared Technologies. Msquared technologies resource standard metrics (rsm) [98] Ounce 4.0, [99] Parasoft. Parasoft c++test. cpptest.jsp?itemid=47, [100] Parasoft. Parasoft jtest. jsp?itemid=14, [101] Parasoft. Parasoft.test. jsp?itemid=135, [102] PMD Committers. Pmd [103] Altran Praxis. Praxis spark tool set. aspx, [104] Programming research qa, [105] HP Company. Rats (rough auditing tool for security). https://www.fortify. com/resources/tools.html, [106] JetBrains. Resharper [107] Smatch [108] SofCheck. Softcheck inspector, [109] David Evans. Splint [110] CodeSWAT. Swat4j [111] Uno [112] OOO Program Verification Systems. Viva [113] Michael V. Scovetta. Yasca (yet another source code analyzer). scovetta.com/yasca.html, Link Consulting,SA Pág. 22 de 23

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste.

SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste. SIPTEST System Intelligent Process Testing. Estudo Comparativo de Ferramentas de Teste. SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 7 Índice 1 Introdução... 2 1.1 Objectivo do documento...

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais

SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais SIPTEST System Intelligent Process Testing. SLAs a aplicar em frentes de testes funcionais SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 8 Índice 1 Introdução... 2 2 SLAs a aplicar

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems

Testes de segurança. Conferência Código Seguro 25 Nov 2004. Dependable Technologies for Critical Systems Testes de segurança Conferência Código Seguro 25 Nov 2004 Dependable Technologies for Critical Systems Copyright Critical Software S.A. 1998-2004 All Rights Reserved. Agenda O que é segurança Tipo de segurança

Leia mais

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Thiago Canozzo Lahr Security & Privacy Consultant IBM Security Services tclahr@br.ibm.com Luis Fernando M. Callado Senior

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

MARACATU. A component search tool. Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes

MARACATU. A component search tool. Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes MARACATU A component search tool Especificação, Projeto e Implementação de uma Arquitetura para um Engenho de Busca de Componentes Vinicius Cardoso Garcia July 29, 2005 Agenda Introdução Especificação

Leia mais

Auditando e criando relatório de análise de vulnerabilidades com Nessus

Auditando e criando relatório de análise de vulnerabilidades com Nessus Auditando e criando relatório de análise de vulnerabilidades com Nessus Ciência Hacker 8 de novembro de 2015 Deixe um comentário Nessus é uma das ferramentas mais recomendadas para fazer análise de vulnerabilidade,

Leia mais

João Arthur Brunet Monteiro. Março de 2008

João Arthur Brunet Monteiro. Março de 2008 Revisão Bibliográfica em Automação de Testes João Arthur Brunet Monteiro Universidade Federal de Campina Grande Março de 2008 João Arthur Brunet Monteiro (UFCG) Revisão Bibliográfica em Automação de Testes

Leia mais

Interface Homem Máquina para Domótica baseado em tecnologias Web

Interface Homem Máquina para Domótica baseado em tecnologias Web Interface Homem Máquina para Domótica baseado em tecnologias Web João Alexandre Oliveira Ferreira Dissertação realizada sob a orientação do Professor Doutor Mário de Sousa do Departamento de Engenharia

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura

Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Slide Show nº 4 Comparando nossas soluções: - uso do Software N-Stalker WAS - uso do Sistema RedeSegura Autor: Eduardo Lanna rev. 05/jan/11 Desafios da GSI em Aplicações Web Certificação da Segurança no

Leia mais

ACTOS PROFISSIONAIS GIPE. Gabinete de Inovação Pedagógica

ACTOS PROFISSIONAIS GIPE. Gabinete de Inovação Pedagógica ACTOS PROFISSIONAIS GIPE Gabinete de Inovação Pedagógica Cooptécnica Gustave Eiffel, CRL Venda Nova, Amadora 214 996 440 910 532 379 Março, 2010 GESTÃO E PROGRAMAÇÃO DE SISTEMAS INFORMÁTICOS 1 GIPE - Gabinete

Leia mais

Sumário. Objectivos Técnicas Casos Notáveis Exemplo Conclusões. Testes de Software 2

Sumário. Objectivos Técnicas Casos Notáveis Exemplo Conclusões. Testes de Software 2 Testes de Software Sumário Objectivos Técnicas Casos Notáveis Exemplo Conclusões Testes de Software 2 Objectivos Verificação o programa está de acordo com a especificação (construímos bem o produto?) Validação

Leia mais

8 DE NOVEMBRO DE 2015

8 DE NOVEMBRO DE 2015 Auditando e criando relatório de análise de vulnerabilidades com Nessus 8 DE NOVEMBRO DE 2015 Nessus é uma das ferramentas mais recomendadas para fazer análise de vulnerabilidade, devido apresentar uma

Leia mais

Nessus Vulnerability Scanner

Nessus Vulnerability Scanner Faculdade de Tecnologia SENAC-RS Disciplina de Segurança em Redes Ferramentas de Segurança Nessus Vulnerability Scanner Nome: Rafael Victória Chevarria Novembro de 2013. 1. Introdução Nessus é um scanner

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum

Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum Test-Module: uma ferramenta para gerenciamento de testes de software integrada ao FireScrum Audrey B. Vasconcelos, Iuri Santos Souza, Ivonei F. da Silva, Keldjan Alves Centro de Informática Universidade

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvolvimento de Sistemas 4ª Série Desenvolvimento de Software Seguro A atividade prática supervisionada (ATPS) é um procedimento metodológico de

Leia mais

SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE.

SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE. UNIVERSIDADE REGIONAL DE BLUMENAU CURSO DE SISTEMAS DE INFORMAÇÃO SISTEMA PARA AUDITORIA DE SEGURANÇA DE BANCO DE DADOS ORACLE. Alan Filipe Mattiollo Prof. Cláudio Ratke, Orientador Introdução Objetivos

Leia mais

O ITIL e o Plano de Contingência. Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt

O ITIL e o Plano de Contingência. Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt Lúcia Cerqueira & António Correia informatica@chts.min-saude.pt A Equipa de IT do CHTS,E.P.E. Equipa composta por 12 Elementos Framework ITIL using RT ( linha Servicedesk (1ª e 2ª Reorganização da Equipa

Leia mais

Aplicações Seguras. U m N o v o D e s a f i o

Aplicações Seguras. U m N o v o D e s a f i o Aplicações Seguras U m N o v o D e s a f i o Problemática Antecedentes A era dos hackers já começou Fonte: CBS NEWS 8-06-2011 Anonymous dedica-se a recrutar participantes e a informar sobre os seus planos,

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems SQS Portugal Portfólio de Serviços de Segurança SQS Software Quality Systems SQS Portugal Apresentação A SQS Portugal - Software Quality Systems, é uma empresa especializada em ajudar os seus clientes

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software

AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software AutoTest Um Framework Reutilizável para a Automação de Teste Funcional de Software Marcelo Fantinato CPqD Telecom & IT Solutions UNICAMP Instituto de Computação Campinas SP Agenda Motivação Objetivo Automação

Leia mais

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE

ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE ABORDAGEM DE FRAMEWORKS PARA JSF QUE AUXILIAM O DESENVOLVIMENTO DE SOFTWARE Amarildo Aparecido Ferreira Junior 1, Ricardo Ribeiro Rufino 1 ¹Universidade Paranaense (Unipar) Paranavaí PR Brasil aapfjr@gmail.com

Leia mais

Guia de Manutenção. Preparação Instalar o DeskTopBinder V2 Lite Apêndice

Guia de Manutenção. Preparação Instalar o DeskTopBinder V2 Lite Apêndice Guia de Manutenção 1 2 3 Preparação Instalar o DeskTopBinder V2 Lite Apêndice Prefácio DeskTopBinder V2 Lite pode integrar e gerir diversos dados, tais como: ficheiros criados através de aplicações, dados

Leia mais

SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI

SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI SIPTEST System Intelligent Process Testing. Estado da arte na prática de testes tendo como referência o CMMI SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 10 Índice 1 Introdução...

Leia mais

Table 1. Dados do trabalho

Table 1. Dados do trabalho Título: Desenvolvimento de geradores de aplicação configuráveis por linguagens de padrões Aluno: Edison Kicho Shimabukuro Junior Orientador: Prof. Dr. Paulo Cesar Masiero Co-Orientadora: Prof a. Dr. Rosana

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Algumas das características listada nela:

Algumas das características listada nela: Fazendo varredura e levantando vulnerabilidades com Nikto 5 DE NOVEMBRO DE 2015 O Nikto é uma ferramenta em Perl desenvolvida por Chris Solo e David Lodge, a qual foi escrita para validação de vulnerabilidade

Leia mais

Rede de Laboratórios de Produtividade de Software

Rede de Laboratórios de Produtividade de Software Rede de Laboratórios de Produtividade de Software Testes em aplicações WEB Uma Visão Geral Programa de Capacitação em Testes de Software Desktop system WEB system Ambiente de aplicativo da Web Rede de

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Encontrando falhas em aplicações web baseadas em flash Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security Tópicos Um pouco sobre flash Vulnerabilidades Como fazer direito Conclusões

Leia mais

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2014 2 MARCOS FLÁVIO ARAÚJO

Leia mais

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades

25/11/2011. Heróis da Segurança OWASP. A necessidade de Aplicações Seguras OWASP TOP 10. Modelagem de Riscos. Aplicações Seguras: mitos e verdades Roteiro Heróis da Segurança OWASP DESENVOLVIMENTO SEGURO KleitorFranklint LíderOWASP CapítuloManaus Kleitor.franklint@owasp.org kleitor@prodam.am.gov.br A necessidade de Aplicações Seguras OWASP TOP 10

Leia mais

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS

VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS UNIVERSIDADE FEDERAL DE PERNAMBUCO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CENTRO DE INFORMÁTICA VISUAL STUDIO TEAM SYSTEM IMPLANTAÇÃO DA SUITE DE FERRAMENTAS PARA APOIO AO PROCESSO DE DESENVOLVIMENTO DE SOFTWARE

Leia mais

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos IBM Software Segurança Junho de 2012 IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos Identificar, priorizar, rastrear e reparar vulnerabilidades críticas de segurança 2 IBM Security

Leia mais

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Projecto de Modelação, Engenharia de Software e Sistemas Distribuídos 2008-09. Requisitos para a 3ª entrega do projecto.

Projecto de Modelação, Engenharia de Software e Sistemas Distribuídos 2008-09. Requisitos para a 3ª entrega do projecto. Departamento de Engenharia Informática Modelação, Engenharia de Software, Sistemas Distribuídos Requisitos para a 3ª entrega do projecto Test O Matic 10 de Maio de 2009 1 Índice 1 Índice... 1 2 Sumário...

Leia mais

FANESE Faculdade de Administração e Negócios de Sergipe

FANESE Faculdade de Administração e Negócios de Sergipe I FANESE Faculdade de Administração e Negócios de Sergipe GERENCIAMENTO DE PATCHES Atualizações de segurança Aracaju, Agosto de 2009 DAYSE SOARES SANTOS LUCIELMO DE AQUINO SANTOS II GERENCIAMENTO DE PATCHES

Leia mais

SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho

SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho SIPTEST System Intelligent Process Testing. Metodologias e boas práticas de testes de carga, stress e desempenho SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 9 Índice 1 Introdução...

Leia mais

Análise de Sistemas. Conceito de análise de sistemas

Análise de Sistemas. Conceito de análise de sistemas Análise de Sistemas Conceito de análise de sistemas Sistema: Conjunto de partes organizadas (estruturadas) que concorrem para atingir um (ou mais) objectivos. Sistema de informação (SI): sub-sistema de

Leia mais

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda Especificações técnicas HP Fortify on Demand Teste de segurança de software na nuvem Segurança de software contratada como um serviço sob demanda O HP Fortify on Demand é uma solução de segurança como

Leia mais

DAS6607 - Inteligência Artificial Aplicada à Controle de Processos e Automação Industrial

DAS6607 - Inteligência Artificial Aplicada à Controle de Processos e Automação Industrial DAS6607 - Inteligência Artificial Aplicada à Controle de Processos e Automação Industrial Aluno: André Faria Ruaro Professores: Jomi F. Hubner e Ricardo J. Rabelo 29/11/2013 1. Introdução e Motivação 2.

Leia mais

Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga. Um artigo técnico da Oracle Junho de 2009

Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga. Um artigo técnico da Oracle Junho de 2009 Identificação rápida de gargalos Uma forma mais eficiente de realizar testes de carga Um artigo técnico da Oracle Junho de 2009 Identificação rápida de gargalos Uma forma mais eficiente de realizar testes

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Processo do Serviços de Manutenção de Sistemas de Informação

Processo do Serviços de Manutenção de Sistemas de Informação Processo do Serviços de Manutenção de Sistemas de Informação 070112=SINFIC HM Processo Manutencao MSI.doc, Página 1 Ex.mo(s) Senhor(es): A SINFIC agradece a possibilidade de poder apresentar uma proposta

Leia mais

UNIVERSIDADE F EDERAL DE P ERNAMBUCO ANÁLISE DE UM MÉTODO PARA DETECÇÃO DE PEDESTRES EM IMAGENS PROPOSTA DE TRABALHO DE GRADUAÇÃO

UNIVERSIDADE F EDERAL DE P ERNAMBUCO ANÁLISE DE UM MÉTODO PARA DETECÇÃO DE PEDESTRES EM IMAGENS PROPOSTA DE TRABALHO DE GRADUAÇÃO UNIVERSIDADE F EDERAL DE P ERNAMBUCO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO CENTRO DE INFORMÁTICA 2010.2 ANÁLISE DE UM MÉTODO PARA DETECÇÃO DE PEDESTRES EM IMAGENS PROPOSTA DE TRABALHO DE GRADUAÇÃO Aluno!

Leia mais

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

III. Norma Geral de Segurança da Informação para Uso da Internet

III. Norma Geral de Segurança da Informação para Uso da Internet O B J E CT I V O Estabelecer critérios para acesso à Internet utilizando recursos do Projecto Portal do Governo de Angola. Orientar os Utilizadores sobre as competências, o uso e responsabilidades associadas

Leia mais

Guia de Prova de Aptidão Profissional

Guia de Prova de Aptidão Profissional Guia de Prova de Aptidão Profissional Técnico de Gestão e Programação de Sistemas Informáticos Fábio Alexandre Lemos Ferreira Fábio Cardante Teixeira 2010/2011 Índice I. Apresentação permanente do projecto...

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Monitoramento de Métricas de Segurança da Informação

Monitoramento de Métricas de Segurança da Informação Monitoramento de Métricas de Segurança da Informação Rafael Seidi Shigueoka¹, Bruno Bogaz Zarpelão¹ 1 Departamento de Computação Universidade Estadual de Londrina (UEL) Caixa Postal 10.011 CEP 86057-970

Leia mais

Business Continuity: da implementação à execução. Vítor Duarte HP Business Continuity Team

Business Continuity: da implementação à execução. Vítor Duarte HP Business Continuity Team Business Continuity: da implementação à execução Vítor Duarte HP Business Continuity Team 2007 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice

Leia mais

Custo Total de Exploração para Centro de Dados e Infraestrutura

Custo Total de Exploração para Centro de Dados e Infraestrutura Custo Total de Exploração para Centro de Dados e Infraestrutura White Paper #6 Revisão 2 Resumo Nesta comunicação é descrito um método melhorado para medir o Custo Total de Exploração (TCO) da infraestrutura

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Verificação é um processo para se determinar se os produtos, (executáveis ou

Verificação é um processo para se determinar se os produtos, (executáveis ou ATIVIDADES VV&T E A NORMA IEEE 1012 A qualidade do software está diretamente relacionada à satisfação do cliente, sendo assim, as empresas estão percebendo a importância em produzir software com qualidade.

Leia mais

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A satisfação e o desempenho dos recursos humanos em qualquer organização estão directamente relacionados entre

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Habilitações Literárias. Identificação. Conhecimentos de Línguas Estrangeiras

Habilitações Literárias. Identificação. Conhecimentos de Línguas Estrangeiras Identificação Nome: João Filipe dos Santos Daniel Filiação: João Francisco dos Santos Daniel Anabela Carvalho dos Santos Daniel Naturalidade: Costa da Caparica Nacionalidade: Portuguesa Data de Nascimento:

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA

DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA DEPARTAMENTO DE ENGENHARIA INFORMÁTICA FACULDADE DE CIÊNCIAS E TECNOLOGIA DA UNIVERSIDADE DE COIMBRA Sistemas Operativos 2003/2004 Trabalho Prático #2 -- Programação em C com ponteiros -- Objectivos Familiarização

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

Requisitos de Ferramentas Especializadas de Gestão de Configuração de Software

Requisitos de Ferramentas Especializadas de Gestão de Configuração de Software Requisitos de Ferramentas Especializadas de Gestão de Configuração de Software Ricardo Terra 1 1 Departamento de Ciência da Computação Universidade Federal de Minas Gerais (UFMG) Campus da Pampulha 31.270-010

Leia mais

Direcção Regional de Educação do Algarve

Direcção Regional de Educação do Algarve MÓDULO 1 Folha de Cálculo 1. Introdução à folha de cálculo 1.1. Personalização da folha de cálculo 1.2. Estrutura geral de uma folha de cálculo 1.3. O ambiente de da folha de cálculo 2. Criação de uma

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Josué Andrade Gomes. Atuar no desenvolvimento (análise, especificação e programação) de aplicações e na coordenação de equipes de desenvolvimento.

Josué Andrade Gomes. Atuar no desenvolvimento (análise, especificação e programação) de aplicações e na coordenação de equipes de desenvolvimento. Email: josuegomes@gmail.com Telefone: (41) 8760-0330 Website: http://www.josuegomes.com/ Linkedin: http://br.linkedin.com/in/josuegomes Objetivo Atuar no desenvolvimento (análise, especificação e programação)

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Formação Profissional Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Assessoria de Gestão, Lda Controlo Interno e Auditoria Interna No actual contexto de crise, em que as organizações estão

Leia mais

Melhores práticas para gerenciamento de suporte a serviços de TI

Melhores práticas para gerenciamento de suporte a serviços de TI Melhores práticas para gerenciamento de suporte a serviços de TI Adriano Olimpio Tonelli Redes & Cia 1. Introdução A crescente dependência entre os negócios das organizações e a TI e o conseqüente aumento

Leia mais

Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica

Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica Uma Iniciativa na Definição de uma Estratégia de Teste de Software Combinando Análise Estática e Dinâmica Cleber Luiz C. Godoy¹, Auri Marcelo R. Vincenzi¹ 1Instituto de Informática Universidade Federal

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço

Mestrado em Segurança da Informação e Direito no Ciberespaço Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Supervisão das Politicas de Segurança Computação em nuvem Fernando Correia Capitão-de-fragata

Leia mais

SIPTEST System Intelligent Process Testing.

SIPTEST System Intelligent Process Testing. SIPTEST System Intelligent Process Testing. Sistema de incentivos à investigação e desenvolvimento tecnológico (SI I&DT) Relatório técnico-científico final do projeto nº 22952 (Janeiro de 2012 Dezembro

Leia mais

System Quality Assurance

System Quality Assurance System Quality Assurance Visão Reduzir os custos inerentes à existência de defeitos em produção, em sistemas de alta complexidade funcional e de elevada heterogeneidade tecnológica, através de um conjunto

Leia mais

Proposta Comercial Curso: Ethical Hacking

Proposta Comercial Curso: Ethical Hacking Proposta Comercial Curso: Ethical Hacking Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com âmbito acadêmico

Leia mais

SISTEMA DE GESTÃO DE PROJETOS DE SOFTWARE - SGPS

SISTEMA DE GESTÃO DE PROJETOS DE SOFTWARE - SGPS SISTEMA DE GESTÃO DE PROJETOS DE SOFTWARE - SGPS Lilian R. M. Paiva, Luciene C. Oliveira, Mariana D. Justino, Mateus S. Silva, Mylene L. Rodrigues Engenharia de Computação - Universidade de Uberaba (UNIUBE)

Leia mais

SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas.

SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas. SIPTEST System Intelligent Process Testing. Abordagens de teste para metodologias de desenvolvimento específicas. SIPTEST - System Intelligent Testing Link Consulting,SA Pág. 0 de 8 Índice 1 Introdução...

Leia mais

Going Spatial - criando e expandindo o alcance do seu Sistema de Informação Geográfica

Going Spatial - criando e expandindo o alcance do seu Sistema de Informação Geográfica Rua Julieta Ferrão, 10-10.ºA 1600-131 Lisboa Tel.: 21 781 66 40 Fax: 21 793 15 33 info@esri-portugal.pt www.esri-portugal.pt Going Spatial - criando e expandindo o alcance do seu Sistema de Informação

Leia mais

manual instalação e configuração v13 1

manual instalação e configuração v13 1 manual instalação e configuração v13 1 Conteúdo Introdução... 3 Conteúdo do DVD:... 3 Instalação e configuração do ERP... 4 Instalação do ERP... 4 Configuração do ERP... 6 Como actualização de versão...

Leia mais