Conviso Security Training Ementa dos Treinamentos

Tamanho: px
Começar a partir da página:

Download "Conviso Security Training Ementa dos Treinamentos"

Transcrição

1 Escritório Central Rua Marechal Hermes 678 CJ 32 CEP , Curitiba, PR T (41) Conviso Security Training Ementa dos Treinamentos

2 Apresentação Sobre este Documento Este documento apresenta a ementa dos cursos disponibilizados através do Conviso Security Training. Destacamos as seguintes premissas adotadas para a composição do conteúdo apresentado: A disponibilização de exemplos publicados na mídia, assim como referencias em web sites de fabricantes e organizações e demais informações externas apresentadas ao longo deste documento é feita somente para suportar o entendimento do conteúdo, não sendo a intenção violar direitos autorais sobre marcas registradas ou logotipos de empresas que porventura constem das amostras. Ementa dos Cursos para o Conviso Security Training! 1

3 Conteúdo Estrutura do Conviso Security Training... 3 Sobre o Conviso Security Training... 3 Módulo 101: Conceitos Básicos em Segurança de Aplicações... 4 Descrição Geral... 4 Requisitos Mínimos... 4 Carga Horária... 4 Conteúdo Programático... 4 Módulo 102: Segurança de Aplicações no PCI DSS... 6 Descrição Geral... 6 Requisitos Mínimos... 6 Carga Horária... 6 Conteúdo Programático... 6 Módulo 201: Secure Development Lifecycle... 8 Descrição Geral... 8 Requisitos Mínimos... 8 Carga Horária... 8 Conteúdo Programático... 8 Módulo 202: Modelagem de Ameaças Descrição Geral Requisitos Mínimos Carga Horária Conteúdo Programático Módulos 301: C Secure Code Descrição Geral Requisitos Mínimos Carga Horária Conteúdo Programático Módulos 30x: Secure Code Descrição Geral Requisitos Mínimos Carga Horária Conteúdo Programático Ementa dos Cursos para o Conviso Security Training! 2

4 Estrutura do Conviso Security Training Sobre o Conviso Security Training Os profissionais responsáveis pela proteção dos Ambientes Informatizados não podem mais ficar restritos à simples administração de uma ferramenta automatizada. Eles precisam ser capacitados nas mesmas técnicas utilizadas para os ataques, aprendendo a defender seus perímetros de forma eficaz. Como a capacitação dos analistas e programadores passou a incluir requisitos de segurança há poucos anos e em um número restrito de universidades, um grande legado de aplicações foi desenvolvido sem que houvesse uma preocupação com a proteção contra ataques. Desenvolvemos o Conviso Security Testing para atender a esta demanda com abordagens diferentes para duas audiências específicas, os desenvolvedores que precisam criar aplicações de forma segura, e os profissionais de Tecnologia da Informação que dão suporte para estas equipes, seja como gestores que definem a forma como as atividades são desenvolvidas ou os técnicos que garantem uma infraestrutura segura. Security Application Processes Formado por dois cursos que podem ser contratados individualmente ou de forma complementar, apresenta conceitos fundamentais de segurança em aplicações através da conscientização na importância desta prática, aplicabilidade na construção e manutenção de processos para suporte e técnicas ofensivas/defensivas em aplicações web. Secure Code Formado por seis cursos que podem ser contratados individualmente ou de forma complementar, ensina e demonstra como as vulnerabilidades em aplicações deve ser evitadas através de um processo para o desenvolvimento seguro. Caracterizados pelo uso intensivo de exercícios práticos para fixação do conteúdo, a abordagem é inteiramente dedicada para equipes diretamente relacionadas à produção de software. SENSEI Todos os cursos podem ser contratados com acesso ao Sistema de Ensino em Segurança da Informação (SENSEI), um modelo de suporte ao estudo que permite aos alunos darem continuidade às práticas ensinadas durante as aulas de forma dinâmica e interativa. Ementa dos Cursos para o Conviso Security Training! 3

5 Módulo 101: Conceitos Básicos em Segurança de Aplicações Descrição Geral O Módulo Conceitos Básicos em Segurança de Aplicações foi desenvolvido para fornecer aos alunos uma visão geral do processo de desenvolvimento seguro, abordando conceitos fundamentais, as falhas descritas pelo OWASP Top e as técnicas básicas para reduzir o nível de risco através da proteção da aplicação. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimento básico de desenvolvimento de aplicações e inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Este módulo tem a carga horária de 8 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde. Conteúdo Programático 1. Introdução ao Desenvolvimento Seguro: Apresenta e discute os conceitos primordiais de segurança da informação e como eles são aplicados para garantir a manutenção de um nível aceitável de risco Conceitos para a Segurança da Informação 1.2. Visão Geral da Segurança para Aplicações 2. Visão Geral da Segurança para Aplicações: Discute os processos e técnicas que devem ser utilizados para garantir o planejamento, desenvolvimento, implementação e administração de software dentro de um nível de risco aceitável pela organização Justificativas Operacionais e Estratégicas 2.2. As Fases de um Secure Development Lifecycle 2.3. Conceitos iniciais de Código Seguro 3. OWASP: Apresenta o Open Web Application Security Project (OWASP), uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter, aplicações que podem ser confiáveis O que é o OWASP 3.2. Histórico do OWASP 3.3. Principais Projetos e Iniciativas 4. As Vulnerabilidades do OWASP Top : Apresenta, conceitua e discute cada uma das 10 vulnerabilidades mais comuns em Aplicações Web apresentadas no OWASP Top A1: Injection 4.2. A2: Cross-Site Scripting (XSS) 4.3. A3: Broken Authentication and Session Management 4.4. A4: Insecure Direct Object References 4.5. A5: Cross-Site Request Forgery (CSRF) 4.6. A6: Security Misconfiguration Ementa dos Cursos para o Conviso Security Training! 4

6 4.7. A7: Insecure Cryptographic Storage 4.8. A8: Failure to Restrict URL Access 4.9. A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards 5. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software Revisão do Conteúdo 5.2. Conclusões Ementa dos Cursos para o Conviso Security Training! 5

7 Módulo 102: Segurança de Aplicações no PCI DSS Descrição Geral Partindo do Requerimento 6 estabelecido pelo PCI DSS v.2.0, este curso aborda as principais questões de segurança em aplicações, estudando instrumentos de análise proativa e como estes devem ser utilizados, como a causa chave das vulnerabilidades pode ser identificada e utilizada em ações corretivas e quais ferramentas e documentos de suporte devem ser utilizados para garantir o atendimento ao que é requerido pelo padrão. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimentos básicos de desenvolvimento de software e conhecimento básico de inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Este módulo tem a carga horária de 8 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde. Conteúdo Programático 1. Introdução do Desenvolvimento Seguro: Apresenta os conceitos fundamentais da segurança da informação e como estes devem ser aplicados no desenvolvimento de aplicações Conceitos para a Segurança da Informação 1.2. Visão Geral da Segurança para Aplicações 2. Requerimentos estabelecidos pelo PCI Council: Apresenta um breve histórico do PCI e apresenta como os requerimentos relacionados a segurança de aplicações devem ser cumpridos, abrangendo todos os pontos estabelecidos no Requisito 6 na interpretação e entendimento dos conceitos e aplicação nas operações diárias A Segurança de Software no PCI DSS 2.2. O Requisito 6.1: Administração de Patches de Segurança 2.3. O Requisito 6.2: Ranking de risco 2.4. O Requisito 6.3: Regras básicas para desenvolvimento seguro 2.5. Requisito 6.4: Controle de alterações em software 2.6. Requisito 6.5: Além do OWASP Top Requisito 6.6: WAF x SDL 3. O Processo de Segurança em Desenvolvimento: Introduz o Secure Development Lifecycle (SDL) apresentando uma visão geral das fases componentes, as principais metodologias utilizadas no mercado e uma base para as estratégias de uso empregadas pelas organizações Fase de Planejamento 3.2. Fase de Design 3.3. Fase de Implementação 3.4. Fase de Administração Ementa dos Cursos para o Conviso Security Training! 6

8 4. O OWASP Top 10: Apresenta, conceitua e discute cada uma das 10 vulnerabilidades mais comuns em Aplicações Web apresentadas no OWASP Top A1 - Injeção 4.2. A2 - Cross Site Scripting (XSS) 4.3. A3 Broken Authentication and Session Management 4.4. A4 Insecure Direct Object Reference 4.5. A5 Cross Site Request Forgery (CSRF) 4.6. A6 Security Misconfiguration 4.7. A7 Insecure Cryptographic Storage 4.8. A8 Failure to Restrict URL Access 4.9. A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards 5. Processo de Gestão de Vulnerabilidades: Apresenta os conceitos envolvidos e como devem ser empregados pelas organizações para estabelecer e administrar um processo de Gestão de Vulnerabilidades para Software Processo de Resposta a Incidentes de Segurança 5.2. O Papel da Gestão de Vulnerabilidades 6. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software dentro do que é esperado pelos requisitos estabelecidos no PCI DSS Sobre a Segurança de Aplicações 6.2. Aplicabilidade no PCI DSS 6.3. O OWASP Top Ementa dos Cursos para o Conviso Security Training! 7

9 Módulo 201: Secure Development Lifecycle Descrição Geral O Módulo 201 estabelece a capacitação na criação de um Security Development Lifecycle (SDL), possibilitando que o aprendizado seja utilizado para incluir os aspectos necessários de segurança nos processos de desenvolvimento e/ou manutenção das aplicações corporativas. Usando metodologias de mercado, normas internacionais e ferramentas disponíveis na Internet, os alunos serão capacitados nas técnicas de desenvolvimento seguro, análise de riscos e implementação do SDL, possibilitando que o aprendizado seja utilizado para incluir os aspectos necessários de segurança nos processos de desenvolvimento e/ou manutenção de software. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimento de desenvolvimento de software e conhecimento básico de inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Este módulo tem a carga horária de 16 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde, em cada um dos dois dias de duração do treinamento. Conteúdo Programático 1. Introdução ao Desenvolvimento Seguro: Apresenta e discute os conceitos primordiais de segurança da informação e como eles são aplicados para garantir a manutenção de um nível aceitável de risco Conceitos para a Segurança da Informação 1.2. Visão Geral da Segurança para Aplicações 2. Por que segurança em desenvolvimento?: Serão discutidos os motivadores e como é esperado o retorno sobre o investimento em segurança em desenvolvimento de software Justificativas Operacionais e Estratégicas 2.2. Cases de Implementação 2.3. Visão Geral de Regulamentações que demandam segurança em desenvolvimento 3. O processo de segurança em desenvolvimento: Apresenta o Secure Development Lifecycle (SDL) apresentando uma visão geral das fases componentes, as principais metodologias utilizadas no mercado e uma base para as estratégias de uso empregadas pelas organizações Visão Geral do SDL 3.2. A Fase de Planejamento 3.3. A Fase de Design 3.4. A Fase de Implementação 3.5. A Fase de Administração Ementa dos Cursos para o Conviso Security Training! 8

10 4. Papéis e Responsabilidades: Papéis e responsabilidades que devem ser endereçadas para o incremento e adequação da segurança em aplicações Revisores 4.2. Especialistas 4.3. Auditores 4.4. Facilitadores 5. Introdução a Modelagem de Ameaças: Abordagem para análise de riscos em aplicações, tratando desde o desenvolvimento da análise a técnicas para identificar e quantificar os riscos envolvidos O Processo de Modelagem de Ameaças 6. Métricas de Acompanhamento: Quais métricas devem ser desenvolvidas para medir o processo de segurança em desenvolvimento e como a administração referente pode ser utilizada pelos responsáveis para suportar um processo de maturidade crescente Métricas para o estabelecimento do processo 6.2. Métricas para o acompanhamento do processo 7. Gestão de Vulnerabilidades e Resposta à Incidentes de Segurança: Apresenta os conceitos envolvidos e como devem ser empregados pelas organizações para estabelecer e administrar um processo de Gestão de Vulnerabilidades para Software O Processo de Resposta a Incidentes de Segurança 7.2. O Papel da Gestão de Vulnerabilidades 8. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software e conclusão do módulo com discussões sobre conceitos incrementais e fontes de estudo referenciadas para continuidade do aprendizado. Ementa dos Cursos para o Conviso Security Training! 9

11 Módulo 202: Modelagem de Ameaças Descrição Geral O Módulo 202 estabelece a capacitação na condução de um processo de análise de riscos de um projeto de desenvolvimento de software baseado em Modelagem de Ameaças. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimento de desenvolvimento de software, segurança em desenvolvimento de software e conhecimento básico de inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Este módulo tem a carga horária de 16 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde, em cada um dos dois dias de duração do treinamento. Conteúdo Programático 1. Introdução a Modelagem de Ameaças: Abordagem para análise de riscos em aplicações, tratando desde o desenvolvimento da análise a técnicas para identificar e quantificar os riscos envolvidos O Processo de Modelagem de Ameaças 2. Princípios da Elaboração de Modelos de Ameaças: Serão discutidos e definições usadas em modelagem de ameaças Recurso 2.2. Ameaça 2.3. Vulnerabilidade 2.4. Ataque 2.5. Controle 3. Identificar os Riscos: Apresenta o passo 1 do processo de modelagem de ameaças Que recursos devo proteger 4. Criar uma Arquitetura: Apresenta o passo 2 do processo de modelagem de ameaças Identificar o que a aplicação faz 4.2. Criar um diagrama de arquitetura 4.3. Identificar as tecnologias 5. Decompor a Aplicação: Apresenta o passo 3 do processo de modelagem de ameaças Identificar limites de confiança 5.2. Identificar o fluxo de dados 5.3. Identificar os pontos de entrada 5.4. Identificar código privilegiado 5.5. Documentar o perfil de segurança Ementa dos Cursos para o Conviso Security Training! 10

12 6. Identificar as Ameaças: Apresenta o passo 4 do processo de modelagem de ameaças STRIDE 6.2. Identificar ameaças de rede 6.3. Identificar ameaças de hosts 6.4. Identificar ameaças de aplicação 7. Documentar as Ameaças: Apresenta o passo 5 do processo de modelagem de ameaças Documentar as ameaças 8. Estimar as Ameaças: Apresenta o passo 6 do processo de modelagem de ameaças DREAD 8.2. Estimar as ameaças 9. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software e conclusão do módulo com discussões sobre conceitos incrementais e fontes de estudo referenciadas para continuidade do aprendizado. Ementa dos Cursos para o Conviso Security Training! 11

13 Módulos 301: C Secure Code Descrição Geral Este treinamento possui como característica comum apresentar uma estrutura com as principais vulnerabilidades, formas de exploração e técnicas de defesa para a linguagem C. Partindo de um modelo de treinamento onde existe interação contínua com a turma através da exposição de conteúdo somada a exercícios interativos e desafios para aplicação do conhecimento adquirido na sala de aula, estes treinamentos foram desenvolvidos para técnicos especializados em desenvolvimento de software, exigindo conhecimento na linguagem de programação referente. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimento na linguagem referente e conhecimento básico de inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Cada módulo componente do Secure Code tem a carga horária de 8 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde. Ementa dos Cursos para o Conviso Security Training! 12

14 Conteúdo Programático 1. Introdução: Uma breve introdução sobre aspectos de segurança no desenvolvimento de software A importância da segurança por configuração e codificação segura 2. As Vulnerabilidades segundo o Commom Weakness Enumeration 2.1. Falhas de Lógica 2.2. Erros Númericos 2.3. Conversão de Signed para Unsigned 2.4. Uncontrolled Format String 2.5. Information Exposure 2.6. Buffer Overflows 2.7. Race Condition (TOCTOU) 2.8. Covert Timing Channel 2.9. Cryptographic Problems 3. Melhores Práticas 3.1. Principle of Least Privilege 3.2. Access Permissions 4. Ferramentas 4.1. Valgrind 4.2. RATS 4.3. Flaw-Finders 4.4. Compiler Flags 5. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software, com o fechamento do módulo através de discussões sobre conceitos incrementais e fontes de estudo referenciadas para continuidade do aprendizado. Ementa dos Cursos para o Conviso Security Training! 13

15 Módulos 30x: Secure Code Descrição Geral O Secure Code são treinamentos específicos para cada linguagem, os seguintes treinamentos estão disponíveis: Módulo 301 C Módulo 302 Cold Fusion Módulo 303 Java Módulo 304 PHP Módulo 305.Net Módulo 306 Ruby on Rails Estes treinamentos possuem como característica comum apresentar uma estrutura com as principais vulnerabilidades, formas de exploração e técnicas de defesa para as principais linguagens utilizadas no mercado. Partindo de um modelo de treinamento onde existe interação contínua com a turma através da exposição de conteúdo somada a exercícios interativos e desafios para aplicação do conhecimento adquirido na sala de aula, estes treinamentos foram desenvolvidos para técnicos especializados em desenvolvimento de software, exigindo conhecimento na linguagem de programação referente. Requisitos Mínimos Para garantir um aproveitamento adequado do conteúdo fornecido, este módulo requer que os alunos tenham conhecimento na linguagem referente e conhecimento básico de inglês técnico para leitura de parte do material de apoio fornecido pelo Conviso Labs. Carga Horária Cada módulo componente do Secure Code tem a carga horária de 8 horas, com intervalos de 1 hora para o almoço e 30 minutos para coffee break, sendo 15 minutos na parte da manhã e 15 minutos no período da tarde. Ementa dos Cursos para o Conviso Security Training! 14

16 Conteúdo Programático 1. Introdução: Uma breve introdução sobre aspectos de segurança no desenvolvimento de software A importância da segurança por configuração e codificação segura 2. O que é o OWASP: Apresenta o Open Web Application Security Project (OWASP), uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter, aplicações que podem ser confiáveis Histórico do OWASP 2.2. Principais Projetos e Iniciativas 3. As Vulnerabilidades do OWASP Top : Apresenta, conceitua e discute cada uma das 10 vulnerabilidades mais comuns em Aplicações Web apresentadas no OWASP Top A1: Injection 3.2. A2: Cross-Site Scripting (XSS) 3.3. A3: Broken Authentication and Session Management 3.4. A4: Insecure Direct Object References 3.5. A5: Cross-Site Request Forgery (CSRF) 3.6. A6: Security Misconfiguration 3.7. A7: Insecure Cryptographic Storage 3.8. A8: Failure to Restrict URL Access 3.9. A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards 4. Segurança por Configuração: Cuidados com a configuração do ambiente que suporta a aplicação, considerando servidores de aplicação e máquina virtual Configuração do Ambiente 4.2. Segurança na Integração entre soluções 4.3. Firewall de Aplicação e Virtual Patching 5. Segurança por Código: Técnicas para tratar vulnerabilidades e cuidados que devem ser tomados ao se desenvolver software Práticas Gerais de Código Seguro 5.2. Validação de Entradas e Codificação de Saída 5.3. Autenticação e Gerenciamento de Senhas 5.4. Autorização e Gerenciamento de Acesso 5.5. Gerenciamento de Sessão 5.6. Transmissão e Armazenamento de Informações Sensíveis 5.7. Interação com Banco de Dados 5.8. Tratamento adequado de erros 5.9. Logging 6. Suporte na Revisão e Desenvolvimento: Ferramentas que podem ser utilizados para auxiliar o programador a desenvolver códigos com mais qualidade e segurança Ferramentas de Suporte a Análise 6.2. Continuous Delivery 7. Conclusões: Revisão do conteúdo apresentado, relacionando os conceitos descritos ao longo do módulo e como devem ser empregados em conjunto no processo de proteção do software, com o fechamento do módulo através de discussões sobre conceitos incrementais e fontes de estudo referenciadas para continuidade do aprendizado. Ementa dos Cursos para o Conviso Security Training! 15

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

Cumprindo as exigências 6.6 do PCI DSS

Cumprindo as exigências 6.6 do PCI DSS Cumprindo as exigências 6.6 do PCI DSS Em abril de 2008, o Conselho de Padrões de Segurança (SSC, na sigla em inglês) do Setor de Cartões de Pagamento (PCI, na sigla em inglês) publicou um esclarecimento

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Guia de Preparação. EXIN Secure Programming Fundamentos

Guia de Preparação. EXIN Secure Programming Fundamentos Guia de Preparação EXIN Secure Programming Fundamentos Edição Abril 2015 Copyright 2015 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicada, reproduzida, copiada ou armazenada

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015

PODER JUDICIÁRIO. PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 PODER JUDICIÁRIO JUSTIÇA FEDERAL CONSELHO DA JUSTIÇA FEDERAL PORTARIA Nº CJF-POR-2015/00104 de 6 de março de 2015 Dispõe sobre a aprovação do documento acessório comum "Política de Segurança para Desenvolvimento,

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Autores/Grupo: TULIO, LUIS, FRANCISCO e JULIANO. Curso: Gestão da Tecnologia da Informação. Professor: ITAIR PEREIRA DA SILVA GESTÃO DE PESSOAS

Autores/Grupo: TULIO, LUIS, FRANCISCO e JULIANO. Curso: Gestão da Tecnologia da Informação. Professor: ITAIR PEREIRA DA SILVA GESTÃO DE PESSOAS Autores/Grupo: TULIO, LUIS, FRANCISCO e JULIANO Curso: Gestão da Tecnologia da Informação Professor: ITAIR PEREIRA DA SILVA GESTÃO DE PESSOAS ORGANOGRAMA FUNCIANOGRAMA DESENHO DE CARGO E TAREFAS DO DESENVOLVEDOR

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Aspectos de Segurança em Programação com Java

Aspectos de Segurança em Programação com Java Aspectos de Segurança em Programação com Java Marcos Alexandre de Melo Medeiros Paulo Sérgio Motta Pires Departamento de Engenharia de Computação e Automação DCA UFRN marcosam@info.ufrn.br, pmotta@dca.ufrn.br

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Curso preparatório para a certificação COBIT 4.1 Fundation

Curso preparatório para a certificação COBIT 4.1 Fundation Curso preparatório para a certificação COBIT 4.1 Fundation Dentro do enfoque geral em conhecer e discutir os fundamentos, conceitos e as definições de Governança de TI - tecnologia da informação, bem como

Leia mais

ISO/IEC 17799. Informação

ISO/IEC 17799. Informação ISO/IEC 17799 Norma de Segurança da Norma de Segurança da Informação Segurança da Informação Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar

Leia mais

Treinamento BPM e BPMN Apresentação Executiva

Treinamento BPM e BPMN Apresentação Executiva Apresentação Executiva 1 O treinamento de BPM e BPMN tem como premissa capacitar o aluno a captar as atividades relativas a determinado processo da empresa, organizá-las, gerando um fluxograma de atividades/processos,

Leia mais

Governança de TI com COBIT, ITIL e BSC

Governança de TI com COBIT, ITIL e BSC {aula #2} Parte 1 Governança de TI com melhores práticas COBIT, ITIL e BSC www.etcnologia.com.br Rildo F Santos rildo.santos@etecnologia.com.br twitter: @rildosan (11) 9123-5358 skype: rildo.f.santos (11)

Leia mais

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org

Modelo de processo para desenvolvimento de aplicações seguras OWASP. The OWASP Foundation http://www.owasp.org Modelo de processo para desenvolvimento de aplicações seguras Tarcizio Vieira Neto member SERPRO tarcizio.vieira@owasp.org AppSec LATAM 2011 06/10/2011 Copyright The Foundation Permission is granted to

Leia mais

Privacidade na Web. Cristine Hoepers cristine@cert.br!

Privacidade na Web. Cristine Hoepers cristine@cert.br! Privacidade na Web Cristine Hoepers cristine@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet

Leia mais

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda

Segurança + Conformidade. Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança + Conformidade Dentro do Prazo e Orçamento Previsto Sob Demanda Segurança e Conformidade via Software-as-a-Service (SaaS) Hoje em dia, é essencial para as empresas administrarem riscos de segurança

Leia mais

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI

MODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte

Leia mais

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07 Apresentação Dados Principais Este treinamento promove o conhecimento de conceitos básicos e metodologias baseadas na principal norma de Segurança da Informação internacionalmente aceita. Após a conclusão

Leia mais

Segurança de Aplicações Internet e Comércio Eletrônico Especialização em Administração e Segurança de Sistemas Computacionais

Segurança de Aplicações Internet e Comércio Eletrônico Especialização em Administração e Segurança de Sistemas Computacionais O material utilizado neste curso é de autoria de Leonardo Gardini. No caso de eventual necessidade o material somente poderá ser utilizado, mesmo que em parte, mediante prévia e explícita anuência do autor.

Leia mais

Programação em Java. Subtítulo

Programação em Java. Subtítulo Programação em Java Subtítulo Sobre a APTECH A APTECH é uma instituição global, modelo em capacitação profissional, que dispõe de diversos cursos com objetivo de preparar seus alunos para carreiras em

Leia mais

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS GTS - Grupo de Trabalho em Segurança de Redes - 23ª Reunião GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS Leandro Bennaton * leandro.bennaton@corp.terra.com.br Twitter: @bennaton Carlos H. Borella

Leia mais

A segurança de informação é um tema cada vez mais atual nas organizações.

A segurança de informação é um tema cada vez mais atual nas organizações. Pós Graduação em Information Security Gestão - Pós-Graduações Com certificação Nível: Duração: 180h Sobre o curso A segurança de informação é um tema cada vez mais atual nas organizações. A competitividade

Leia mais

Políticas de segurança e informações

Políticas de segurança e informações Whitepaper Políticas de segurança e informações VISÃO GERAL Este documento fornece uma visão de alto nível das políticas de segurança da New Relic, além de uma descrição geral dos recursos e das funcionalidades

Leia mais

Curso de. Formação Executiva em Estratégia, Governança e Processos de TI

Curso de. Formação Executiva em Estratégia, Governança e Processos de TI Curso de Formação Executiva em Estratégia, Governança e Processos de TI Descrição da Ementa do Curso Como integrar negócio e tecnologia? Como maximizar o retorno sobre investimentos em projetos de Tecnologia

Leia mais

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA

SOLUÇÕES DE RESILIÊNCIA E SEGURANÇA SERVIÇO DE RESPOSTA A INCIDENTES D Solução de segurança que fornece orientações para o efetivo controle ou correção de ataques externos causados por vulnerabilidades encontradas no ambiente do cliente.

Leia mais

ATA DE REGISTRO DE PREÇO

ATA DE REGISTRO DE PREÇO ÓRGÃO DETENTOR DA ATA: TRIBUNAL DE CONTAS DO ESTADO DO MATO GROSSO Pregão Presencial N. 13/2015 Ata de Registro de Preço ÓRGÃO: Tribunal de Contas do Estado do Mato Grosso Pregão Presencial N. 13/2015

Leia mais

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda

HP Fortify on Demand. Teste de segurança de software na nuvem. Segurança de software contratada como um serviço sob demanda Especificações técnicas HP Fortify on Demand Teste de segurança de software na nuvem Segurança de software contratada como um serviço sob demanda O HP Fortify on Demand é uma solução de segurança como

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

Programa do Curso de Pós-Graduação Lato Sensu MBA em Engenharia de Software Orientada a Serviços (SOA)

Programa do Curso de Pós-Graduação Lato Sensu MBA em Engenharia de Software Orientada a Serviços (SOA) Programa do Curso de Pós-Graduação Lato Sensu MBA em Engenharia de Software Orientada a Serviços (SOA) Apresentação O programa de Pós-graduação Lato Sensu em Engenharia de Software Orientada a Serviços

Leia mais

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS

Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados. Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Indústria de Cartões de Pagamento (PCI) Padrão de segurança de dados Resumo de Alterações da Versão 2.0 para a 3.0 do PCI-DSS Novembro de 2013 Introdução Este documento fornece um resumo de alterações

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Apresentação do Curso

Apresentação do Curso Apresentação do Curso 26/9/2004 Prof. Rossoni, Farias 1 Programa da Disciplina Ementa de disciplina: SEGURANÇA DA INFORMAÇÃO Conceitos básicos: ameaças, avaliação de riscos e política de segurança. Segurança

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos IBM Software Segurança Junho de 2012 IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos Identificar, priorizar, rastrear e reparar vulnerabilidades críticas de segurança 2 IBM Security

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Proposta. ITIL V3 2011 Fundamentos. Apresentação Executiva. ITIL V3 2011 - Fundamentos

Proposta. ITIL V3 2011 Fundamentos. Apresentação Executiva. ITIL V3 2011 - Fundamentos ITIL V3 2011 Fundamentos Apresentação Executiva 1 O treinamento de ITIL V3 Foundations, tem como premissa capacitar o aluno a entender a aplicação da metodologia do ITIL e contato com as suas principais

Leia mais

Requisitos de controlo de fornecedor externo

Requisitos de controlo de fornecedor externo Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Coordenação de Segurança cooseg@celepar.pr.gov.br. 1 de 37

Coordenação de Segurança cooseg@celepar.pr.gov.br. 1 de 37 Implementando Segurança em Software Livre Coordenação de Segurança cooseg@celepar.pr.gov.br 1 de 37 Internet Incidente de Segurança Ataques Ameaças Vulnerabilidades Riscos Estatísticas Agenda Políticas

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

Formação em JAVA. Subtítulo

Formação em JAVA. Subtítulo Formação em JAVA Subtítulo Sobre a APTECH A Aptech é uma instituição global, modelo em capacitação profissional, que dispõe de diversos cursos com objetivo de preparar seus alunos para carreiras em Tecnologia

Leia mais

CONSULTORIA E SERVIÇOS DE INFORMÁTICA

CONSULTORIA E SERVIÇOS DE INFORMÁTICA CONSULTORIA E SERVIÇOS DE INFORMÁTICA Quem Somos A Vital T.I surgiu com apenas um propósito: atender com dedicação nossos clientes. Para nós, cada cliente é especial e procuramos entender toda a dinâmica

Leia mais

COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA

COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA COMO REFORÇAR A SEGURANÇA DE SUA REDE A AMEAÇA ESTÁ EM CONSTANTE MUDANÇA, COMO DEVE SER COM A SEGURANÇA PRÁTICAS RECOMENDADAS DE SEGURANÇA DE TI: ESTRATÉGIAS ESPECIALIZADAS PARA COLETA DE LOGS, ANÁLISE

Leia mais

Aula 2 Revisão 1. Ciclo de Vida. Processo de Desenvolvimento de SW. Processo de Desenvolvimento de SW. Processo de Desenvolvimento de SW

Aula 2 Revisão 1. Ciclo de Vida. Processo de Desenvolvimento de SW. Processo de Desenvolvimento de SW. Processo de Desenvolvimento de SW Ciclo de Vida Aula 2 Revisão 1 Processo de Desenvolvimento de Software 1 O Processo de desenvolvimento de software é um conjunto de atividades, parcialmente ordenadas, com a finalidade de obter um produto

Leia mais

DSI é o processo cujo objetivo é introduzir mudanças num sistema de informação, com objetivo de melhorar o seu desempenho.

DSI é o processo cujo objetivo é introduzir mudanças num sistema de informação, com objetivo de melhorar o seu desempenho. - DSI DSI é o processo cujo objetivo é introduzir mudanças num sistema de informação, com objetivo de melhorar o seu desempenho. Preocupação: Problema técnicos Mudança na natureza e conteúdo do trabalho

Leia mais

Parceiro Oficial de Treinamentos Proxmox no Brasil

Parceiro Oficial de Treinamentos Proxmox no Brasil Apresentação Parceiro Oficial de Treinamentos Proxmox no Brasil A VANTAGE Educacional é uma referência no Brasil em Treinamento e Capacitação das principais soluções corporativas Open Source. Nosso Centro

Leia mais

Parceiro Oficial de Treinamentos Zabbix no Brasil

Parceiro Oficial de Treinamentos Zabbix no Brasil Apresentação Parceiro Oficial de Treinamentos Zabbix no Brasil A VANTAGE Educacional é uma referência no Brasil em Treinamento e Capacitação das principais soluções corporativas Open Source. Além de possuir

Leia mais

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários...

Sumário. Parte I Introdução... 19. Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21. Capítulo 2 Conceitos necessários... Agradecimentos... 7 O autor... 8 Prefácio... 15 Objetivos do livro... 17 Parte I Introdução... 19 Capítulo 1 Fundamentos da infra-estrutura de chave pública... 21 Introdução à ICP... 21 Serviços oferecidos

Leia mais

Proposta Comercial Curso: Security Officer Foundation

Proposta Comercial Curso: Security Officer Foundation Proposta Comercial Curso: Security Officer Foundation Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

Planejamento da disciplina: Modelagem de processos de negócio

Planejamento da disciplina: Modelagem de processos de negócio UNIVERSIDADE FEDERAL DE MINAS GERAIS / INSTITUTO DE CIÊNCIAS EXATAS DEPARTAMENTO DE CIÊNCIA DA COMPUTAÇÃO Planejamento da disciplina: Modelagem de processos de negócio Professor: Clarindo Isaías Pereira

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

Programa do Curso de Pós-Graduação Lato Sensu MBA em Segurança da Informação

Programa do Curso de Pós-Graduação Lato Sensu MBA em Segurança da Informação Programa do Curso de Pós-Graduação Lato Sensu MBA em Segurança da Informação Apresentação Não há dúvida que a tecnologia da informação, nos tempos atuais, é fundamental para a realização das operações

Leia mais

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO

UNIVERSIDADE POTIGUAR UNP CURSO DE SISTEMAS DE INFORMAÇÃO Cursos De Extensão - 2010 Aplicativos Google na Educação: Como utilizar recursos do Google na relação Ensino/Aprendizagem 10h A utilização de Novas Tecnologias de Informação e Comunicação (NTICs) como

Leia mais

TECNOLOGIA DA INFORMAÇÃO

TECNOLOGIA DA INFORMAÇÃO MINISTÉRIO DA DEFESA COMANDO DA AERONÁUTICA TECNOLOGIA DA INFORMAÇÃO ICA 7-32 REQUISITOS TÉCNICOS PARA AQUISIÇÃO E DESENVOLVIMENTO DE SISTEMAS SEGUROS DE TECNOLOGIA DA INFORMAÇÃO DO DECEA 2014 MINISTÉRIO

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Programação em JAVA. Subtítulo

Programação em JAVA. Subtítulo Programação em JAVA Subtítulo Sobre a APTECH A Aptech é uma instituição global, modelo em capacitação profissional, que dispõe de diversos cursos com objetivo de preparar seus alunos para carreiras em

Leia mais

ATIVIDADES PRÁTICAS SUPERVISIONADAS

ATIVIDADES PRÁTICAS SUPERVISIONADAS ATIVIDADES PRÁTICAS SUPERVISIONADAS CST em Análise e Desenvolvimento de Sistemas 4ª Série Desenvolvimento de Software Seguro A atividade prática supervisionada (ATPS) é um procedimento metodológico de

Leia mais

TEORIA GERAL DE SISTEMAS

TEORIA GERAL DE SISTEMAS TEORIA GERAL DE SISTEMAS Vulnerabilidade dos sistemas e uso indevido Vulnerabilidade do software Softwares comerciais contém falhas que criam vulnerabilidades na segurança Bugs escondidos (defeitos no

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

1 http://www.google.com

1 http://www.google.com 1 Introdução A computação em grade se caracteriza pelo uso de recursos computacionais distribuídos em várias redes. Os diversos nós contribuem com capacidade de processamento, armazenamento de dados ou

Leia mais

Soluções em Segurança

Soluções em Segurança Desafios das empresas no que se refere a segurança da infraestrutura de TI Dificuldade de entender os riscos aos quais a empresa está exposta na internet Risco de problemas gerados por ameaças externas

Leia mais

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL

Gerenciamento de Serviços em TI com ITIL. Gerenciamento de Serviços de TI com ITIL Gerenciamento de Serviços de TI com ITIL A Filosofia do Gerenciamento de Serviços em TI Avanços tecnológicos; Negócios totalmente dependentes da TI; Qualidade, quantidade e a disponibilidade (infra-estrutura

Leia mais

Soluções Inteligentes para regulamentações e negócios em aplicações SAP

Soluções Inteligentes para regulamentações e negócios em aplicações SAP Soluções Inteligentes para regulamentações e negócios em aplicações SAP Uma nova visão no Gerenciamento da Aplicação INDICE 1. A Union IT... 3 2. A importância de gerenciar dinamicamente infra-estrutura,

Leia mais

Principais Responsabilidades:

Principais Responsabilidades: DESENHO DE CARGO E TAREFAS DO DESENVOLVEDOR WEB Conhecimento dos sistemas gerenciadores de banco (MySQL), modelagem de dados, inglês técnico. Conhecimento em plataformas e metodologias de desenvolvimento

Leia mais

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6

Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Padrão: Padrão de Segurança de Dados (DSS) Requisito: 6.6 Data: Fevereiro de 2008 Suplemento de Informações: Esclarecimento de Firewalls de Aplicativos e Revisões do Código do Requisito 6.6 Data de liberação:

Leia mais

JSF - Controle de Acesso FERNANDO FREITAS COSTA

JSF - Controle de Acesso FERNANDO FREITAS COSTA JSF - Controle de Acesso FERNANDO FREITAS COSTA ESPECIALISTA EM GESTÃO E DOCÊNCIA UNIVERSITÁRIA JSF Controle de Acesso Antes de iniciarmos este assunto, é importante conhecermos a definição de autenticação

Leia mais

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO

SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO SISTEMA DE GESTÃO DE PESSOAS SEBRAE/TO UNIDADE: GESTÃO ESTRATÉGICA PROCESSO: TECNOLOGIA DA INFORMAÇÃO Competências Analista 1. Administração de recursos de infra-estrutura de tecnologia da informação 2.

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais