Cabeçalhos de Segurança HTTP. Ismael Gonçalves Mar/2017
|
|
- Natália Farinha Batista
- 6 Há anos
- Visualizações:
Transcrição
1 Cabeçalhos de Segurança HTTP Ismael Gonçalves Mar/2017
2 Agenda Quem sou eu Cabeçalhos de Segurança HTTP HTTP Strict Transport Security (HSTS) HTTP Public Key Pins (HPKP) X-Frame-Options X-XSS-Protection Content Security Policy (CSP) Set-Cookie Options X-Content-Type-Options Referrer-Policy Conclusão Referências
3 Quem sou eu Consultor Sênior de Segurança 10 anos de trabalhos voltados à segurança de aplicações Contribuidor OWASP (Capítulo Brasília, Top Ten Cheatsheet, OWASP Testing Guide) Praticante da revelação de vulnerabilidades de forma responsável (!) Voluntário ISC2 para questões do CISSP Pesquisador independente
4 Cabeçalhos de Segurança HTTP Evolução modelo de segurança Proteção do canal de comunicação Segurança do lado do cliente Aplicação de políticas de segurança no navegador
5 Requisição típica HTTP GET / HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/ (KHTML, like Gecko) Chrome/ Mobile Safari/ Host: Accept: */* HTTP/ OK Date: Fri, 17 Mar :45:30 GMT Server: Apache/2.2.8 (Ubuntu) DAV/2 X-Powered-By: PHP/ ubuntu5.10 Content-Length: 891 Content-Type: text/html
6 Requisição típica HTTP GET / HTTP/1.1 User-Agent: Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/ (KHTML, like Gecko) Chrome/ Mobile Safari/ Host: Accept: */* HTTP/ OK Date: Fri, 17 Mar :45:30 GMT Server: Apache/2.2.8 (Ubuntu) DAV/2 X-Powered-By: PHP/ ubuntu5.10 Content-Length: 891 Content-Type: text/html X-Frame-Options: DENY Strict-Transport-Security: max-age= ; includesubdomains; preload
7 HTTP Strict Transport Security (HSTS) Strict-Transport-Security: max-age=<expire-time> Strict-Transport-Security: max-age=<expire-time>; includesubdomains Strict-Transport-Security: max-age=<expire-time>; preload
8 Tráfego típico sítio com HTTP/HTTPS GET / HTTP/1.0 Host: Moved Permantenly Content-Length: 0 Location: GET / HTTP/1.0 Host:
9 SSLStrip GET Resposta HTML modificada e em texto claro GET Resposta HTML
10 Suporte HSTS
11 HSTS debaixo dos panos
12 HSTS - Considerações - Aplicável para sites que suportam todo seu conteúdo via HTTPS - Dificuldade de implantação L7 routing - Lista preload SEMPRE inclui subdomínios - Remoção pode demorar meses, via atualização do browser - Mitiga ataques SSLStrip e potencialmente, SSLStrip2 com preload + subdomains - Proteção contra ataques MITM com Certificados inválidos
13 HTTP Public Key Pins (HPKP) Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; includesubdomains Public-Key-Pins: pin-sha256=<base64==>; max-age=<expiretime>; report-uri=<reporturi>
14 Resposta válida cabeçalhos HPKP HTTP/ OK Server: GitHub.com Status: 200 OK Strict-Transport-Security: max-age= ; includesubdomains; preload Public-Key-Pins: max-age= ; pinsha256="woiwryiovna9ihabcirsc7xhjliys9vwugoiud4pb18="; pinsha256="rrm1dgqndfscjxbthky16vi1obolcgffn/yohi/y+ho="; pinsha256="k2v657xbsove1pqrwoshsw3bsgt2vziqz5k+59snqws="; pinsha256="k87owbwm9uzfyddvdfoxl+8lpnyoub2ptgtn0fv6g2q="; pinsha256="iqbnnbeifuhj+8x6x8xlgh01v9ic5/v3irqlnffc7v4="; pinsha256="iie1vxtl7hzamf+/pvpr9xzt80kqxdzej+zducb3uj0="; pinsha256="lvrigejrqfzurezawuj8wie2gyhmrw5q06lspmnox7a="; includesubdomains Vary: Accept-Encoding X-Served-By: d d8c44f09604b862e979767a X-GitHub-Request-Id: B36F2320:987D:E88A2AC:5741D913
15 Suporte Public Key Pins
16 HTTP Public Key Pins - Considerações - Requer maturidade - Modo report-only (Public-Key-Pins-Report-Only)? - Mitiga MITM? - CA interna? - Suporte Chrome/Firefox (até o momento)
17 Curiosidades (HSTS, HPKP, Pinning estático) - Pinning estatícos (Chromium.org) - atic.json - Google, Facebook, Twitter, Dropbox, Yahoo, Tor - +23k domínios utilizando HSTS pre-load domínios.br
18 X-Frame-Options X-Frame-Options: DENY X-Frame-Options: SAMEORIGIN X-Frame-Options: ALLOW-FROM
19 Clickjacking Attack
20 Suporte X-Frame-Options
21 X-Frame-Options - Considerações - Seu site necessita ser aberto por outro em um frame? - Não suporta mais de um domínio em allow-from - CSP 2 frame-ancestor - Mitiga clickjacking
22 X-XSS-Protection X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block
23 Cross-Site-Scritping (XSS) Attack
24 Suporte X-XSS-Protection
25 X-XSS-Protection - Considerações - Proteção apenas contra XSS Refletido - Não suportado pelo Firefox - Problemas com o filtro XSS
26 Content Security Policy (CSP) Content-Security-Policy: <policy>; <policy>
27 Content Security Policy (CSP)
28 Exemplo CSP Resposta Content-Security-Policy: script-src 'nonce-7ts2mkrwrgdmy1/r72jidq==' 'unsafe-eval' 'self'; frame-ancestors 'self'; font-src data: 'self'; media-src blob: 'self'; connect-src 'self'; style-src 'unsafe-inline' 'self'; object-src default-src 'self'; frame-src twitter: 'self' img-src data: blob: 'self'; report-uri Set-Cookie: fm=0; Expires=Tue, 28 Mar :35:01 UTC; Path=/; Domain=.twitter.com; Secure; HTTPOnly Strict-Transport-Security: max-age= X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1; mode=block
29 Suporte Content Security Policy (CSP)
30 Content Security Policy (CSP) - considerações - Dificuldade de implementação, remoção de scripts in line <html> <head> <script>var msg = javascript inline ; alert(msg);</script> </head> <body>ola!</body></html> - Unsafe-inline, Unsafe-eval pode minar o esforço - Proteção contra XSS (Reflected/Stored), mas definitiva? - Proteção contra clickjacking - Não suportado por todos os browsers
31 Set-Cookie (cookie options) Set-Cookie: <key>=<value>; Expires=<expiryDate>; Secure; HttpOnly; SameSite=<strict/lax>
32 Set-Cookie (cookie options) HttpOnly Cookie não acessível via Javascript Secure Evita envio de cookie em canal não criptografado SameSite Previne envio do cookie em requisições cross-site
33 CSRF
34 Set-Cookie (cookie options) - considerações - Secure and HttpOnly - Proteção contra captura de cookies em texto claro - Possível redução de impacto XSS roubo de sessão - SameSite Suportado apenas pelo Chrome - Ainda em draft - Fornece uma boa proteção contra CSRF/XSSI - Lax utilizado com métodos HTTP seguros - Pode prejudicar navegação?
35 X-Content-Type-Options X-Content-Type-Options: nosniff;
36 X-Content-Type-Options - considerações - Suportado por todos os browsers populares, exceto Safari - Mitiga ataques de MIME confusion - Servidor web deve retornar MIME corretos para uso do cabeçalho
37 Referrer-Policy Referrer-Policy: <diretiva> Referrer-Policy: no-referrer Referrer-Policy: no-referrer-when-downgrade Referrer-Policy: origin Referrer-Policy: origin-when-cross-origin Referrer-Policy: same-origin Referrer-Policy: strict-origin Referrer-Policy: strict-origin-when-cross-origin Referrer-Policy: unsafe-url
38 Referrer-Policy Policy Document Navigation to Referrer no-referrer any domain or path no referrer no-referrer-when-downgrade no-referrer-when-downgrade no-referrer-when-downgrade no referrer origin any domain or path origin-when-cross-origin origin-when-cross-origin origin-when-cross-origin same-origin same-origin no referrer strict-origin strict-origin no referrer strict-origin any domain or path strict-origin-when-cross-origin strict-origin-when-cross-origin strict-origin-when-cross-origin no referrer unsafe-url any domain or path
39 Suporte Referrer-Policy
40 Referrer-Policy - considerações - Ainda em desenvolvimento - Suporte ainda limitado (Firefox e algumas funcionalidades Chrome) - Lida com questões de privacidade Referer:
41 Ferramenta para testes dos cabeçalhos ab=technical_resources
42 Conclusões - Cabeçalhos de segurança podem melhorar a segurança e privacidade de seus usuários - Fazem parte de estratégia de defesa em camadas - Alguns apresentam armadilhas e requerem maturidade - Requerem controles adicionais - Níveis de suporte diferente entre navegadores
43 Referências The Tagled Web - A Guide to Security Modern Web Applications, Michael Zalewski
Camada de Aplicação. Redes Industriais Prof. Rone Ilídio
Camada de Aplicação Redes Industriais Prof. Rone Ilídio Itens do Livro Redes de Computadores e a Internet, Kurose 5ª edição 2 Camada de Aplicação 2.1 Princípios de aplicações de rede 2.1.1 Arquiteturas
Leia maisRedes de Computadores
Redes de Computadores HTTP Prof. Thiago Dutra Agenda Definição de HTTP Hipertexto Características do HTTP O HTTP e a Web Conexões HTTP Mensagens HTTP Cookies Caches Web GET Condicional
Leia maisRedes de Computadores
Redes de Computadores Camada de Aplicação HTTP FTP SMTP Slide 1 Mensagem de Requisição HTTP linha de pedido (comandos GET, POST,HEAD ) linhas de cabeçalho Carriage return, line feed indica fim da mensagem
Leia maisRedes de Computadores
Redes de Computadores Camada de Aplicação Slide 1 Protocolo da Camada de Aplicação Tipos de mensagens trocadas; A sintaxe dos vários tipos de mensagens; A semântica dos campos; Regras para determinar quando
Leia maisINTRODUÇÃO À INTERNET E À WORLD WIDE WEB
INTRODUÇÃO À INTERNET E À WORLD WIDE WEB CURSO TÉCNICO DE INFORMÁTICA MODALIDADE SUBSEQÜENTE DESENVOLVIMENTO WEB I PROF. ALEXANDRO DOS SANTOS SILVA 1 1 SUMÁRIO Conceitos básicos Histórico Principais modelos
Leia maisRedes de Computadores I. Sockets e Arquitetura HTTP
v.2016 Redes de Computadores I Sockets e Arquitetura HTTP Prof. Ricardo Couto A. da Rocha rcarocha@ufg.br UFG Regional Catalão HTTP - O Servidor Web Prof. Dr. Ricardo Couto Antunes da Rocha - Depto. de
Leia maisMônica Oliveira Primo de Lima Edervan Soares Oliveira TRABALHO SOBRE PROTOCOLO HTTP
Mônica Oliveira Primo de Lima Edervan Soares Oliveira TRABALHO SOBRE PROTOCOLO HTTP 1. FORMATO DA MENSAGEM HTTP Assim como todo protocolo, o HTTP tem possui definições de como devem ser as mensagens. Existem
Leia maisEstruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte
Estruturas de Comunicação de Dados Aula 3 Camadas de Aplicação e Transporte Escola Maria Eduarda Ramos de Barros Curso técnico em redes de computadores Carpina - PE Roteiro Aplicações de Rede Transporte
Leia maisConstrução de Sites. Introdução ao Universo Web. Prof. Nícolas Trigo
Construção de Sites Introdução ao Universo Web Prof. Nícolas Trigo trigo.nicolas@gmail.com CONCEITOS BÁSICOS Internet à conglomerado de redes de computadores que permite o acesso a informações e a transferência
Leia maisRedes de Computadores
Redes de Computadores Prof. José Augusto Suruagy Monteiro suruagy@unifacs.br www.nuperc.unifacs.br/suruagy/redes 2a: Camada de Aplicação 1 Livro Texto: Kurose, J., Ross, K., Computer Networking: A Top-Down
Leia maisIntrodução. Página web. Tipos de documentos web. HyperText Transfer Protocol. Rd Redes de Computadores. Aula 27
Introdução Inst tituto de Info ormátic ca - UF FRGS Rd Redes de Computadores td HyperText Transfer Protocol Aula 27 Serviço world wide web Aplicação cliente-servidor Publicação de documentos (servidor)
Leia mais@sergio_caelum sergiolopes.org
HTTP/2 @sergio_caelum sergiolopes.org review HTTP em 5 slides $ telnet www.caelum.com.br 80 Trying 64.233.171.121... Connected to ghs.googlehosted.com. Escape character is '^]'. GET / HTTP/1.1 Host: www.caelum.com.br
Leia maisFernando M. V. Ramos, RC (LEI), TP02. HTTP. Redes de Computadores
TP02. HTTP Redes de Computadores Objetivos Uma introdução ao protocolo HTTP Um olhar com algum detalhe para dentro do protocolo Noções básicas Uma página web consiste num conjunto de objetos Ficheiros
Leia maisRedes de Computadores
Introdução Redes de Computadores HyperText Transfer Protocol Aula 25 Serviço world wide web Aplicação cliente-servidor Originalmente visando publicação de documentos (servidor) e a recuperação e visualização
Leia maisRedes de Computadores I
UNIVERSIDADE FEDERAL RURAL DO SEMI-ÁRIDO DEPARTAMENTO DE CIÊNCIAS EXATAS E NATURAIS CURSO DE CIÊNCIA DA COMPUTAÇÃO Redes de Computadores I Nível de Aplicação (HTTP) Prof. Helcio Wagner da Silva. p.1/24
Leia maisAulas Práticas. Implementação de um Proxy HTTP. O que é um proxy?
Redes de Computadores Aulas Práticas Implementação de um Proxy HTTP Material de suporte às aulas de Redes de Computadores Copyright DI FCT/UNL / 1 O que é um proxy? Genericamente é um processo que actua
Leia maisPTC Aula A Web e o HTTP. (Kurose, p ) (Peterson, p ) 24/03/2017
PTC 3450 - Aula 06 2.2 A Web e o HTTP (Kurose, p. 73-83) (Peterson, p. 425-444) 24/03/2017 Muitos slides adaptados com autorização de J.F Kurose and K.W. Ross, All Rights Reserved Capítulo 2: conteúdo
Leia maisPHP: Cookies e Sessões
PHP: Cookies e Sessões Programação de Servidores Marx Gomes Van der Linden Protocolo HTTP O protocolo HTTP não tem conceito de sessões. Modelo simples de Requisição e Resposta. http://marx.vanderlinden.com.br/
Leia maisCorreio eletrônico. Sistema de correio da Internet composto de
Correio eletrônico Sistema de correio da Internet composto de Agentes de usuário Servidores de correio ou agentes de transferência de mensagens Protocolo simples de transferência de correio (Simple Mail
Leia maisProgramação Web Aula 1: Introdução
Programação Web Aula 1: Introdução Departamento de Informática UFPR 1 Histórico 2 Modelo Navegadores (Cliente) Servidores Funcionamento de Servidores Características de Servidores URL 3 HTTP Funcionamento
Leia maisRaspando dados. O maravilhoso mundo da multidão de informações. pedro belasco - cromatica - cdc W3C - Open Data
Raspando dados O maravilhoso mundo da multidão de informações pedro belasco - cromatica - cdc 2010 - W3C - Open Data 1 Parte 1, Mas, afinal, que diabos é uma página? Arquitetura da Internet, como computadores
Leia maisRedes de Computadores
Prof. Universidade Federal de Mato Grosso do Sul brivaldo@facom.ufms.br 18 de maio de 2017 Visão Geral 1 Visão Geral 2 3 4 Web e o HTTP Relembrando rapidamente, página web é construída com objetos um objeto
Leia maisWelington R. Monteiro Fatea Segurança 09/2016
Welington R. Monteiro Fatea Segurança 09/2016 É uma vulnerabilidade encontrada em aplicações web, que permite a injeção de códigos no lado do cliente, ou seja, altera a página apenas no computador do usuário.
Leia maisRedes de Computadores e Aplicações Camada de aplicação IGOR ALVES
Redes de Computadores e Aplicações Camada de aplicação IGOR ALVES Camada de aplicação Um protocolo da camada de aplicação define como processos de uma aplicação, que funcionam em sistemas finais diferentes,
Leia maisSistemas de InformaçBases de Dados 2012/2013. Desenvolvimento de Aplicações com Bases de Dados
Sistemas de InformaçBases de Dados 2012/2013 Desenvolvimento de Aplicações com Bases de Dados Alberto Sardinha Bibliografia Raghu Ramakrishnan, Database Management Systems 3rd ed, Cap. 6 e 7 1 Sumário
Leia maisrumo ao HTTP 2.0 o que vem por aí e o que você pode utilizar já com SPDY
rumo ao HTTP 2.0 o que vem por aí e o que você pode utilizar já com SPDY Luiz Corte Real @srsaude Sérgio Lopes @sergio_caelum m a ç n la to n e review HTTP em 5 slides $ telnet www.caelum.com.br 80 Trying
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, ISO27001:2013 compliance. Norma Internacional
Leia maisCapítulo 2. Camada de aplicação
INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIADO RIO GRANDE DO NORTE IFRN Disciplina: Arquitetura de redes de computadores e Tecnologia de Implementação de Redes Professor: M. Sc. Rodrigo Ronner T.
Leia maisProtocolo HTTP. Eduardo Ferreira dos Santos. Fevereiro, Ciência da Computação Centro Universitário de Brasília UniCEUB 1 / 22
Protocolo HTTP Eduardo Ferreira dos Santos Ciência da Computação Centro Universitário de Brasília UniCEUB Fevereiro, 2017 1 / 22 Sumário 1 Denições 2 Implementação HTTP 3 Protocolo HTTP/1.1 2 / 22 Denições
Leia maisRedes de Computadores. Protocolos de Internet
Redes de Computadores Protocolos de Internet Gustavo Reis gustavo.reis@ifsudestemg.edu.br O que é a Internet? Milhões de elementos de computação interligados Hospedeiros = sistemas finais Executando aplicações
Leia maisNesta disciplina aprenderemos. HTML CSS JavaScript Jquery PHP
Introdução Nesta disciplina aprenderemos HTML CSS JavaScript Jquery PHP HTML é a abreviatura de HyperText Mark-up Language. O HTML foi inventado em 1990, por um cientista chamado Tim Berners-Lee. A finalidade
Leia maisAula 4 Arquitetura de software na Web atual: AJAX e Ajax. Prof: Dra. Renata Pontin de Mattos Fortes
SCE 0265 ICMC-USP Aula 4 Arquitetura de software na Web atual: AJAX e Ajax Prof: Dra. Renata Pontin de Mattos Fortes Aluno PAE: Willian Massami Watanabe 1 Introdução O que é AJAX? 2 Introdução O que é
Leia maisArquitetura TCP/IP Nível de Aplicação (HTTP, SMTP, FTP & DNS) Prof. Helber Silva
Arquitetura TCP/IP Nível de Aplicação (HTTP, SMTP, FTP & DNS) Prof. Helber Silva 1 Roteiro Introdução Protocolo HTTP Protocolo SMTP Protocolo FTP Protocolo DNS Conclusão 2 Introdução Desenvolvimento de
Leia maisEnvio de dados em links
Envio de dados em links teste de PHP com base de dados Filmes produzidos por: estudio disney
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, OWASP Top 10 2013 compliance. OWASP
Leia maisSQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO
SQL INJECTION: ENTENDENDO E EVITANDO MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² ¹ Faculdade IDEAU Bagé RS Brasil magalhaesbg@gmail.com ² Faculdade IDEAU Bagé RS Brasil rafaelrodriguesbastos@gmail.com
Leia maisDaniel Moreno. Novatec
Daniel Moreno Novatec Novatec Editora Ltda. 2017. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia
Leia maisTrabalho de laboratório sobre HTTP
Trabalho de laboratório sobre HTTP Redes de Computadores I - 2005/2006 LEIC - Tagus Park Semana de 26 a 30 de Setembro 1 Introdução O objectivo desta aula é a familiarização com conceitos básicos do protocolo
Leia maisDesenvolvimento Web. Introdução Geral. Prof. Vicente Paulo de Camargo
Introdução Geral Prof. Vicente Paulo de Camargo Web e Internet A Internet é uma rede de computadores que conecta milhões de computadores Se comunicam através do protocolos específicos A Web é uma forma
Leia maisBen Vinegar Anton Kovalyov
Ben Vinegar Anton Kovalyov Novatec Original English language edition published by Manning Publications Co., Sound View CT.#3B, Greenwich, CT 06830 USA. Copyright 2013 by Manning Publications. Portuguese-language
Leia maisEstatísticas da www.comitepcj.sp.gov.br (-12) - main http://www.comitepcj.sp.gov.br/reports/awstats.pl?month=12&year=&output=mai... Page 1 of 7 Última Atualização: 10 Jan 2012-01:03 Período reportado:
Leia maisRedes de Computadores
Redes de Computadores Capítulo 2 - Camada de Aplicação Prof. Jó Ueyama Março/2014 1 Cap. 2: Camada de Aplicação 2.1. Princípios de aplicações de rede 2.2. Web e HTTP 2.3. FTP 2.4. Correio eletrônico SMTP,
Leia maisAula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.
Segurança da Informação Aula 4 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 30 de agosto de 2017 Google Hacking Utilizar uma search engine para buscar falhas específicas
Leia maisRedes de Computadores
Redes de Computadores Capítulo 2 - Camada de Aplicação Prof. Jó Ueyama Março/2017 1 Cap. 2: Camada de Aplicação 2.1. Princípios de aplicações de rede 2.2. Web e HTTP 2.3. FTP 2.4. Correio eletrônico SMTP,
Leia maisJava para WEB com Struts 2 e Hibernate
Java para WEB com Struts 2 e Hibernate Aula 01 http://fernandoanselmo.orgfree.com fernando.anselmo74@gmail.com Apresentação Fernando Anselmo fernando.anselmo74@gmail.com 25 anos na área de Desenvolvimento
Leia maisProtocolo HTTP. - Características. - Modelo Requisição/Resposta. - Common Gateway Interface (CGI)
Protocolo HTTP - Características - Modelo Requisição/Resposta - Common Gateway Interface (CGI) Características Hypertext Transfer Protocol (HTTP) Protocolo utilizado para transferir documentos de hipertexto
Leia maisCross-Site Scripting (XSS): Entendendo o conceito e seus tipos
Cross-Site Scripting (XSS): Entendendo o conceito e seus tipos Talvez a vulnerabilidade de segurança de aplicações web mais comum e mais debatido é Cross-Site Scripting (XSS). Quando tais vulnerabilidades
Leia maisDica: Capturar imagens do ecrã durante o carregamento de página
Dica: Capturar imagens do ecrã durante o carregamento de página Date : 30 de Outubro de 2017 Nos últimos tempos temos dado algum destaque ao fantástico kit de ferramentas DevTools que o Google Chrome oferece...
Leia maisAvaliação do site didactum-secur ity.com.websiteoutlook.com
Avaliação do site didactum-secur ity.com.websiteoutlook.com Gerado a 19 de Julho de 2019 10:31 AM O resultado é de 72/100 Conteúdo SEO Título Didactum-security : Website stats and valuation Cumprimento
Leia maisAnálise de Vulnerabilidades em Aplicações WEB
Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários
Leia maisInserção pelos operadores de rede de conteúdo falso em websites selecionados
Inserção pelos operadores de rede de conteúdo falso em websites selecionados ADAPTADO DE WEBSITE-TARGETED FALSE CONTENT INJECTION BY NETWORK OPERATORS GABI NAKIBLY, JAIME SCHCOLNIK E YOSSI RUBIN - ISRAEL
Leia maisCross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo
Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer
Leia maisCapítulo 7. A camada de aplicação
Capítulo 7 A camada de aplicação slide 1 slide 2 DNS Sistema de Nomes de Domínio O espaço de nomes DNS Registros de recursos de domínio Servidores de nome slide 3 O espaço de nomes DNS (1) Parte do espaço
Leia maisO atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.
Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)
Leia maisTECNOLOGIA GRATUITA: PROGRAMAÇÃO PARA AMBIENTES DE REDE TÓPICO: NOÇÕES DO PROTOCOLO HTTP
TECNOLOGIA GRATUITA: PROGRAMAÇÃO PARA AMBIENTES DE REDE TÓPICO: NOÇÕES DO PROTOCOLO HTTP 2012-1/11 - Conteúdo INTRODUÇÃO...3 DIAGRAMA DAS APLICAÇÕES...3 O PROTOCOLO HTTP...5 EXERCÍCIOS...11-2/11 - INTRODUÇÃO
Leia maisInstrutor: Eder Martins Franco
Minicurso de REST Aula 1 fsdfsdf Introdução às RESTful APIs com PHP Instrutor: Eder Martins Franco 27 MAI 2017 Faculdade FUCAPI v1.0 Professor who? Programador e professor, notívago e viciado em café.
Leia maisWeb. Até a década de 1990, a Internet era utilizada. por pesquisadores, acadêmicos e universitários, para troca de arquivos e para correio eletrônico.
A Web e o HTTP Web Até a década de 1990, a Internet era utilizada por pesquisadores, acadêmicos e universitários, para troca de arquivos e para correio eletrônico. Então, no início dessa década, iniciou-se
Leia maisInternet e protocolos web. A Internet é uma rede descentralizada de recursos computacionais. Topologia tem de fornecer caminhos alternativos
Internet e protocolos web A Internet é uma rede descentralizada de recursos computacionais Tolerante a falhas (no single point of failure) Topologia tem de fornecer caminhos alternativos entre 2 computadores
Leia maisINTRODUÇÃO ÀS APLICAÇÕES PARA WEB
INTRODUÇÃO ÀS APLICAÇÕES PARA WEB Material cedido pelo prof. Francisco Dantas Nobre Neto Professor: Rhavy Maia Guedes E-mail: rhavy.maia@gmail.com, rhavymg.wordpress.com Sites vs Aplicativos Web Aplicativos
Leia maisAttacking Session Management
Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força
Leia maisAvaliação do site monitoring-har dware.com.websiteoutlook.com
Avaliação do site monitoring-har dware.com.websiteoutlook.com Gerado a 19 de Julho de 2019 10:31 AM O resultado é de 59/100 Conteúdo SEO Título Monitoring-hardware : HOMEPAGE Didactum knowledge base Website
Leia maisExercício Programa Mini Web Server
2004-2017 Volnys Bernal 1 Exercício Programa PSI 2653 Meios Eletrônicos Interativos I 2004-2017 Volnys Bernal 2 Objetivo Desenvolvimento de um programa servidor WEB Composição do grupo 4 pessoas (obrigatório)
Leia maisDNS. Usa o UDP e a porta 53. Não é uma aplicação com a qual o usuário interage diretamente Complexidade nas bordas da rede
DNS Sistema de nomes de domínio (Domain Name System) Serviço de diretórios da Internet Nomes são mais fáceis de lembrar Descrito nas RFCs 1034, 1035 e outras DNS consiste em Banco de dados distribuído
Leia maisPython para web com Flask. #PythonAmazonas
Python para web com Flask #PythonAmazonas @marcosptf Be Free. KDE About me @marcosptf pytero -> Grupy-SP phpzero -> PHPSP javero -> NetCat 2/48 Be Free. KDE Flask? O que é Flask? Flask é um microframework
Leia maisTrabalho 01: Cliente e Servidor Python
Trabalho 01: Cliente e Servidor Python Redes de Computadores 1 Descrição Este trabalho deve ser entregue no Moodle até a data correspondente de entrega. Envie sua resposta somente em texto a não ser que
Leia maisHypertext Transfer Protocol
Hypertext Transfer Protocol HTTP Celso Rabelo M Pinto Novembro, 2016 1 / 12 Agenda Introdução Windows XAMPP 2 / 12 Introdução 1. O http é o protocolo utilizado para a comunicação através da Internet; 2.
Leia maisPesquise defeitos falhas da atualização da alimentação da inteligência de Segurança no centro de gerenciamento de FireSIGHT
Pesquise defeitos falhas da atualização da alimentação da inteligência de Segurança no centro de gerenciamento de FireSIGHT Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Problema Verifique
Leia maisDesenvolvimento Web Protocolos da Internet
Instituto Federal de Educação Ciência e Tecnologia Campus Currais Novos Desenvolvimento Web Protocolos da Internet Professor: Bruno E. G. Gomes Currais Novos, 2013 Introdução Histórico da Internet Cliente
Leia maisEstatísticas da www.comitepcj.sp.gov.br (-01) http://www.comitepcj.sp.gov.br/reports/awstats.pl?month=01&year=&output=main... Page 1 of 6 Última Atualização: 04 2010-05:00 Período reportado: OK Sumário
Leia maisAPLICAÇÕES E SERVIÇOS WEB
http://tutorials.jenkov.com/web-services/message-formats.html APLICAÇÕES E SERVIÇOS WEB Laboratórios de Informática 2014-2015 João Paulo Barraca, André Zúquete, Diogo Gomes Aplicações WEB A maioria de
Leia maisEntendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP)
Entendendo e Mitigando Ataques Baseados em HTTP Parameter Pollution (HPP) 05/12/2009 Ricardo Kléber M. Galvão rk@cefetrn.br Aplicações Web Modernas (3 Camadas) Cliente Aplicação Web Browser Microsoft IIS
Leia maisCorreio eletrônico. Sistema de correio da Internet composto de
Correio eletrônico Sistema de correio da Internet composto de Agentes de usuário Servidores de correio ou agentes de transferência de mensagens Protocolo simples de transferência de correio (Simple Mail
Leia maisProgramação para Internet
Universidade Federal de Uberlândia Faculdade de Computação Programação para Internet Curso de Sistemas de Informação Prof. Dr. Daniel A. Furtado Módulo 9 Cookies HTTP e Sessões Programação para Internet
Leia maisDesenvolvimento Web. [Versão 5 Maio/2019] Professor Emiliano S. Monteiro
Desenvolvimento Web [Versão 5 Maio/2019] Professor Emiliano S. Monteiro API REST (PHP) Professor Emiliano S. Monteiro API REST Significa Representation State Transfer. É um estilo de desenvolvimento ou
Leia maisEstratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA
Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/
Leia maisSegurança em aplicações Web. Exemplos e Casos Práticos em
Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header
Leia maisDSL- 500G Generation II Configurações de Segurança
DSL- 500G Generation II Configurações de Segurança 1. Acesse as configurações do modem através do navegador de Internet: Na barra de endereços do navegador digite: 10.1.1.1 e pressione a tecla ENTER. Abrirá
Leia maissegurança em aplicações web
segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e
Leia maisIntrodução 1 PARTE I: A LINGUAGEM DA WEB 5
Sumário Introdução 1 PARTE I: A LINGUAGEM DA WEB 5 Capítulo 1: Introdução a HTML5 7 Criando com tags: um panorama 8 Incorporando os novos elementos de HTML5 9 Usando tags válidas de HTML4 11 Esquecendo
Leia maisA composição de uma Java Server Pages (Diretivas, Elementos de Script e Objetos Implícitos)
Desenvolvimento de Sistemas Web A composição de uma Java Server Pages (Diretivas, Elementos de Script e Objetos Implícitos) Prof. Mauro Lopes 1-31 24 Objetivos Dando continuidade aos estudos sobre JSP,
Leia maisPage 1 of 6 Última Atualização: 08 2009-05:00 Período reportado: OK Sumário Período reportado Mês Primeira visita 01-00:11 Última visita 31-23:58 Visitantes únicos Número de visitas Páginas Hits Bytes
Leia maisCCT0298 ANALISE DE REDES Aula : Trafego HTTP
CCT0298 ANALISE DE REDES Aula : Trafego HTTP O que é o protocolo HTTP? Hyper Text Transfer Protocol é o protocolo usado na World Wide Web para a distribuição e recuperação de informação. A troca de informações
Leia maisAula 6: Vulnerabilidades Web
Aula 6: Vulnerabilidades Web Exploits of a Mom http://xkcd.com 1.1 Objectivos: Compreender duas vulnerabilidades encontradas em aplicações web: SQL Injection; Cross-site Scripting. Pensar sobre formas
Leia mais13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com
13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro
Leia maisBreve introdução a User Dir e Senhas no Apache Uma abordagem prática (aka crash course on User Dir and Directory Authentication on Apache)
Breve introdução a User Dir e Senhas no Apache Uma abordagem prática (aka crash course on User Dir and Directory Authentication on Apache) Prof. Rossano Pablo Pinto Novembro/2012 - v0.1 Abril/2013 - v0.3
Leia maisIntrodução a Web. Programação para a Internet. Prof. Vilson Heck Junior
Introdução a Web Programação para a Internet Prof. Vilson Heck Junior Introdução Quer ter idéias? Quer vender algo? Talvez comprar? A Web é uma forma universal de comunicação, na qual você pode participar.
Leia maisWeb Services REST JAX-RS
Web Services REST JAX-RS Professor: Ricardo Luis dos Santos IFSUL 2015 Agenda Principais tecnologias envolvidas Testando os serviços desenvolvidos JAX-RS Principais anotações JAX-RS Principais anotações
Leia maisUniversidade Federal do Espírito Santo CCA UFES. Centro de Ciências Agrárias CCA UFES Departamento de Computação. Programação WEB
Universidade Federal do Espírito Santo Centro de Ciências Agrárias CCA UFES Departamento de Computação Universidade Federal do Espírito Santo CCA UFES Programação WEB Desenvolvimento de Sistemas para WEB
Leia maisInternet - Navegação. Conceitos. 1 Marco Soares
Internet - Navegação Conceitos 1 Internet A Internet é uma rede de comunicação de milhões de computadores conetados, que oferece inúmeros serviços. Cada computador está ligado a uma rede que por sua vez
Leia maisRedes de Computadores RES 12502
Instituto Federal de Santa Catarina Redes de Computadores Redes de Computadores RES 12502 2014 2 Área de Telecomunicações slide 1 O material para essas apresentações foi retirado das apresentações disponibilizadas
Leia maisREDES DE COMPUTADORES II. TÁSSIO JOSÉ GONÇALVES GOMES
REDES DE COMPUTADORES II TÁSSIO JOSÉ GONÇALVES GOMES www.tassiogoncalves.com.br tassiogoncalvesg@gmail.com APRESENTAÇÃO TÁSSIO JOSÉ GONÇALVES GOMES Mestrando em Informática pela UFAL e Bacharel em Sistemas
Leia maisRedes de Computadores Grupo de Redes de Computadores
Redes de Computadores Grupo de Redes de Computadores HTTP HyperText Transport Protocol Introdução ao protocolo HTTP Origem Definido na iniciativa da WWW HTML e HTTP Modelo cliente servidor Protocolo sem
Leia maisHyperText Transfer Protocol (HTTP)
Programação Na Web HyperText Transfer Protocol () António Gonçalves Arquitectura Protocolo de transporte de documentos hypertexto RFC 1945 - Versão 1.0 RFC 2616 - Versão 1.1 O pedido é feito em ASCII e
Leia maisCONTEÚDO PROGRAMÁTICO
CONTEÚDO PROGRAMÁTICO PHP Avançado Carga horária: 40 horas TreinaWeb Tecnologia LTDA CNPJ: 06.156.637/0001-58 Av. Paulista, 1765 - Conj 71 e 72 São Paulo - SP CONTEÚDO PROGRAMÁTICO 1 - Introdução Introdução
Leia maisComo se defender utilizando software livre na era da espionagem
Como se defender utilizando software livre na era da espionagem Dia da Liberdade de Software 2013 Setembro de 2013 Conteúdo da apresentação 1 Introdução Sniffers TCPDUMP Wireshark 2 DNS S 3 Proteção DNS
Leia maisUniversidade Federal de Mato Grosso
Universidade Federal de Mato Grosso Programação III Curso de Ciência da Computação Prof. Thiago P. da Silva thiagosilva@ufmt.br Material basedado em [Kurose&Ross 2009] e [Gonçalves, 2007] Agenda Internet
Leia maisMost people knows about pen-test strategy, but miss tactical. Wendel Guglielmetti Henrique - YSTS 2.0
Most people knows about pen-test strategy, but miss tactical Quem sou eu? Consultor independente. Afiliado ao Hackaholic. Mais de 7 anos na indústria de segurança. Descobri vulnerabilidades em Webmails,
Leia mais