10 maiores riscos em aplicações Web
|
|
- Iago Candal Neiva
- 8 Há anos
- Visualizações:
Transcrição
1 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert Novembro
2 Open Web Application Security Project (OWASP) Organização sem fins lucrativos. Desenvolve projetos na área de teste de segurança de aplicações e serviços Web. Site OWASP: Capítulo Brasília: 2
3 OWASP TOP 10 Documento de conscientização. Amplo consenso sobre as falhas de segurança. Link para o projeto - 3
4 OWASP TOP 10 A1 - FALHAS DE INJEÇÃO 4
5 O que é? Injetar código que modifica a semântica da consulta. Toda entrada é má até que se prove o contrário. Falta de validação na entrada. 5
6 Injeção de SQL Structured Query Language (SQL) Inserir SQL em uma entrada de dados. Insert/Update/Delete ou operações administrativas. 6
7 Firewall Firewall Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Databases Legacy Systems Web Services Directories Human Resrcs Billing Cenário Network Layer Application Layer HT TP request APPLICATION ATTACK HT TP response Custom Code App Server Web Server Hardened OS SQL query DB Table "SELECT * FROM Account Summary Account: accounts WHERE acct= SKU: OR 1=1-- " Acct: Acct: Acct: Acct: Aplicação apresenta um formulário para o usuário. 2. Usuário envia uma entrada maliciosa através do formulário. 3. Aplicação transmite a consulta SQL para o BD. 4. BD executa a consulta e retorna o resultado para a aplicação. 5. Aplicação apresenta o resultado para o usuário. 7
8 Injeção de SQL às cegas Mensagens genéricas. Consultas SQL retornam verdadeiro ou falso. 101 AND (SELECT ASCII(SUBSTR(first_name,1,1)) FROM user_data WHERE userid=15613) =$ -- $ = [65, 122] (Todas as letras do alfabeto). Demo: 8
9 Proteção Prepared Statements (Consultas parametrizadas). Stored Procedures. Verificar todos os dados fornecidos pelo usuário. Enterprise Security API (ESAPI) Validação no lado do cliente. 9
10 Whitelist x Blacklist Blacklist é uma lista de entradas maliciosas. Whitelist é uma lista de entradas válidas. Whitelist é a mais recomendada. Expressões regulares. 10
11 Referências The real dirty of whitelist OWASP Sqli - OWASP Sqli Proteção - OWASP Blind Sqli - OWASP Enterprise Security API- Rsnake Sqli Cheat Sheet: Outra cheat sheet
12 OWASP TOP 10 A2 - CROSS SITE SCRIPTING (XSS) 12
13 O que é? O problema: Entrada fornecida pelo usuário é inserida dinamicamente nas páginas sendo executada como código pelo navegador. Origem do termo. Existem três tipos de XSS: Não-Persistente. (Refletido) Persistente. (Armazenado) Baseado em DOM (persistente ou não) 13
14 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions 1 Cenário Persistente Atacante prepara uma armadilha, atualizando seu perfil Atacante armazena um script malicioso em uma página Web. Aplicação com a vulnerabilidade XSS 2 Vítima visita o perfil do atacante Custom Code Script roda no navegador da vítima, tendo total acesso ao DOM e cookie. 3 Script envia silenciosamente para o atacante o session cookie da vítima 14
15 Demo XSS persistente. Objetivo: Mostrar o cookie do usuário. Cookie permite o armazenamento da seção. 15
16 Impactos do XSS Sequestro de sessão de usuário. Roubo de dados sensíveis. Reescrita de página Web. Redirecionamento de página para sites falsos e/ou malware. 16
17 Proteção Fazer validação dos dados inseridos pelo usuário. Não renderizar dados digitados pelo usuário sem validação. 17
18 Referências OWASP XSS: OWASP DOM Based XSS: Artigo DOM Based XSS: Rsnake XSS Cheat Sheet: Livro XSS Attacks: Cross Site Scripting Exploits and Defense - NoScript: 18
19 OWASP TOP 10 A3 - FALHAS DE AUTENTICAÇÃO E GERENCIAMENTO DE SESSÃO 19
20 O que é? HTTP é um protocolo stateless. SESSION ID. Logout, gerenciamento da senha e timeouts. Complicado de implementar de maneira segura. 20
21 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Cenário 1 Usuário envia credenciais Página utiliza reescrita de url Ex: Coloca a sessão na URL 2 Custom Code 3 Usuário clica no link em um fórum 5 Atacante utiliza o JSESSIONID e toma controle da conta da vítima Atacante checa o log de e encontra o JSESSIONID da vítima 4 21
22 Demo A aplicação não implementa o SESSION ID de forma aleatória. O atacante utiliza um ataque força bruta para descobrir um SESSION ID válido. 22
23 Proteção Autenticação deve ser simples, centralizada e padronizada. Utilize SSL para proteger credenciais e session id`s. Verifique o certificado SSL. Examine todas as funções relacionadas à autenticação. Verifique se o logout realmente destrói a sessão. 23
24 Referências OWASP Authentication Cheat_Sheet- ESAPI Authenticator API- Common Weakness Enumeration (CWE) CWE Entry 287 on Improper Authenticationhttp://goo.gl/VVKY0 24
25 OWASP TOP 10 A4 - REFERÊNCIA DIRETA INSEGURA AOS OBJETOS 25
26 O que é? O acesso direto a um objeto não é verificado. Exemplo: Modificar permissao para admin. 26
27 Demo O atacante nota que seu parametro acct é Ele modifica o número para O atacante acessa informações da conta de outro usuário. 27
28 Erros comuns Listar apenas objetos que o usuário possui acesso, sem reforçar uma validação no acesso dos objetos os quais ele não possui acesso. Esconder em campos ocultos as referências dos objetos e não reforçar a autorização de acesso. Impacto típico: Acesso a arquivos não autorizados. 28
29 Proteção Validação de referência direta Verifique se o valor do parâmetro está formatado apropriadamente. Verifique se o usuário tem permissão de acesso ao objeto referenciado. Verifique se o usuário possui permissão ao modo de acesso (leitura, escrita, alteração e exclusão). 29
30 Referências ESAPI Access Control API- Application Security Verification Standard (ASVS) ASVS requirements area for Access Control (V4)- CWE Entry 639 on Insecure Direct Object Referenceshttp://goo.gl/ACOdx CWE Entry 22 on Path Traversal- 30
31 OWASP TOP 10 A5 - CROSS SITE REQUEST FORGERY (CSRF) 31
32 O que é? Atacante forja uma requisição de um usuário já autenticado. Navegador da vítima é forçado a executar uma ação sem seu consentimento. Impactos típicos: acesso a informações sensíveis, modificação de dados da conta. 32
33 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Demo 1 Atacante cria uma armadilha em um site ou Esconde em uma tag <img> um ataque contra uma aplicação vulnerável Aplicação com uma vulnerabilidade CSRF 2 Quando logada no site vulnerável, a vítima visita o site do atacante Custom Code 3 A tag <img> carregada pelo navegador envia uma requisição GET incluíndo as credenciais para a aplicação vulnerável O aplicação vulnerável recebe a requisição legítima da vítima e executa o comando da requisição 33
34 Proteção Requerer uma segunda autenticação para funções sensíveis (captcha, tabela de senhas, geolocation). Adicionar um token secreto sensível a requisição. Armazenar um token simples em cada sessão e o armazenar em cada formulário ou link. 34
35 Referências Curso sobre CSRF- OWASP CSRF Proteção- OWASP CSRFTester-CSRF Testing Tool- ESAPI HTTPUtilitiesClass with AntiCSRFTokenshttp://goo.gl/3Cq0t Evitar ataques de CSRF em java por Lucas Ferreirahttp://goo.gl/AjrDv 35
36 OWASP TOP 10 A6 - CONFIGURAÇÃO INAPROPRIADA DE SEGURANÇA 36
37 O que é? Ocorre quando páginas do sistema estão disponíveis para serem acessadas por qualquer usuário. Exemplo: O usuário tenta acessar urls padrões de páginas de configuração. 37
38 Proteção Verifique a configuração de todo o sistema, se há versões de bibliotecas desatualizadas. Analise os efeitos dos patches inseridos no seu ambiente. 38
39 Referências OWASP Development Guide: Chapter on Configuration ASVS requirements area for Security Configuration (V12) CWE Entry 2 on Environmental Security Flaws CIS Security Configuration Guides/Benchmarks 39
40 OWASP TOP 10 A7 - ARMAZENAMENTO INSEGURO - CRIPTOGRAFIA 40
41 O que é? Armazenar informação sensível de forma insegura. Quais são as informações sensíveis? Aonde armazená-las? Estão protegidas em todos os lugares? Conhecer as premissas de segurança do protocolo. 41
42 Impacto Típico Atacantes podem acessar informações sensíveis. Atacantes extraem informações secretas para utilizar em outros ataques. Perda de credibilidade da empresa. 42
43 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Cenário 1 Vítima entra com o número do cartão de crédito em um formulário Custom Code 4 Um desenvolvedor malicioso rouba o número de vários cartões de crédito Log files Ocorre um erro na aplicação e o número do cartão de crédito do 2 Os logs são acessíveis pelos desenvolvedores da aplicação por propósitos de depuração de erros 3 usuário é armazenado no log 43
44 Proteção Identifique todos os dados sensíveis. Identifique o lugar aonde os dados serão armazenados. Use algoritmos fortes e bem conhecidos. Gerencie corretamente as chaves. 44
45 Referências ESAPI EncryptorAPI - OWASP Development Guide: Chapter on Cryptography - OWASP Code Review Guide: Chapter on Cryptography - CWE Entry 310 on Cryptographic Issues
46 OWASP TOP 10 A8 - FALHA DE RESTRIÇÃO DE ACESSO À URL 46
47 O que é? Algumas páginas não fazem verificação de acesso. Complemento da vulnerabilidade A4 - Referência direta insegura aos objetos 47
48 Cenário Um usuário comum loga no sistema e modificando uma url de uma página, consegue acessá-la como se fosse o administrador
49 Proteção Para cada URL: Restrinja o acesso para usuários autenticados (se não for público). Aplique regras baseadas em permissões. Desabilite o acesso de usuários não autenticados a páginas que contenham logs, configurações e outros. 49
50 Referências OWASP Development Guide: Chapter on Authorization - OWASP Article on Forced Browsing - CWE Entry 285 on Improper Access Control (Authorization)
51 OWASP TOP 10 A9 - PROTEÇÃO INSUFICIENTE NA CAMADA DE TRANSPORTE 51
52 O que é? Transmissão de dados sensíveis de forma insegura. Firesheep 52
53 Demo Vítima externa Custom Code Backend Systems Parceiro de negócio 1 Um atacante externo rouba credenciais e dados da rede externa Atacante externo 2 Empregados Um atacante interno rouba credenciais e dados da rede interna Atacante interno 53
54 Proteção Usar SSL/TLS em todas as conexões com dados sensíveis. Assinar mensagens antes de transmiti-las. Gerenciar chaves corretamente. Verificar certificados SSL antes de usá-los. (origem, autoassinados) 54
55 Referências Firesheep - Blacksheep - HTTPS Everywhere - OWASP Proteção na Camada de Transporte
56 OWASP TOP 10 A10 - ENCAMINHAMENTO E REDIRECIONAMENTO SEM VALIDAÇÃO 56
57 Accounts Finance Administration Transactions Communication Knowledge Mgmt E-Commerce Bus. Functions Redirecionamento sem validação 1 Atacante envia um para sua vítima From: Serviços internos Subject: Sua restituição de impostos Nossos registros mostram que o senhor possui impostos a restituir, por favor clique aqui. 3 A aplicação redireciona a vítima 2 A vítima clica e o endereço possue um parâmetro sem validação Custom Code A requisição envia para o site vulnerável o parâmetro, sem ser validado. Redirecionando a vítima para o site do atacante. & &dest= 4 Evil Site Evil site instala um malware na vítima 57
58 Encaminhamento sem validação 1 O atacante envia um ataque para uma página vulnerável 2 A aplicação autoriza a requisição A página requisitada possui acesso a uma área restrita. E o atacante consegui ser encaminhado para esta página, burlando o controle de acesso. Filtro public void sensitivemethod( HttpServletRequest request, HttpServletResponse response) { try { // Do sensitive stuff here.... } catch (... 3 Falha a autorização do encaminhamento e o atacante burla o controle de acesso. public void dopost( HttpServletRequest request, HttpServletResponse response) { try { String target = request.getparameter( "dest" ) );... request.getrequestdispatcher( target ).forward(request, response); } catch (... 58
59 Proteção Use encaminhamento e redirecionamento, somente quando necessário. Caso use, não permita que o usuário defina destino na URL. Valide cada parâmetro para garantir sua corretude e permissão de acesso. 59
60 Referências OWASP Article on Open Redirects - ESAPI SecurityWrapperResponsesendRedirect() method - CWE Entry 601 on Open Redirects - WASC Article on URL Redirector Abuse
61 2007 x 2010 OWASP Top (Previous) OWASP Top (New) A2 Injection Flaws A1 Injection A1 Cross Site Scripting (XSS) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management A4 Insecure Direct Object Reference A5 Cross Site Request Forgery (CSRF) <was T A10 Insecure Configuration Management> A8 Insecure Cryptographic Storage = = + A3 Broken Authentication and Session Management A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW) A7 Insecure Cryptographic Storage A10 Failure to Restrict URL Access A8 Failure to Restrict URL Access A9 Insecure Communications <not in T > A9 Insufficient Transport Layer Protection A10 Unvalidated Redirects and Forwards (NEW) A3 Malicious File Execution <dropped from T > A6 Information Leakage and Improper Error Handling <dropped from T > =
62 Perguntas? Obrigado! Apoio: 62
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma
Leia maisWeb Application Firewall
Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de
Leia maisDesenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisAula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes
Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,
Leia maisQuem tem medo de XSS? William Costa
Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante
Leia mais(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com
(In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades
Leia maisBoas Práticas de Desenvolvimento Seguro
Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO
Leia maisXSS - CROSS-SITE SCRIPTING
Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisSegurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org
Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com
Leia maisConviso Security Training Ementa dos Treinamentos
Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este
Leia maisAnálise de Vulnerabilidades em Aplicações WEB
Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários
Leia maisVULNERABILIDADES WEB v.2.2
VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção
Leia maisSegurança em Aplicações Web Metodologia OWASP
Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário
Leia maisOWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web
As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisO atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.
Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)
Leia maisTecnologias WEB Web 2.0
Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços
Leia maisBiblioteca de segurança para tratar as principais vulnerabilidades web
Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:
Leia maissegurança em aplicações web
segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e
Leia maisJSF - Controle de Acesso FERNANDO FREITAS COSTA
JSF - Controle de Acesso FERNANDO FREITAS COSTA ESPECIALISTA EM GESTÃO E DOCÊNCIA UNIVERSITÁRIA JSF Controle de Acesso Antes de iniciarmos este assunto, é importante conhecermos a definição de autenticação
Leia maisProgramação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza
Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem
Leia maisOWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org
: Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or
Leia maisProgramação WEB (JSP + Banco Dados) Eng. Computação Prof. Rodrigo Rocha http://www.materialdeaula.com.br
Programação WEB (JSP + Banco Dados) Eng. Computação Prof. Rodrigo Rocha http://www.materialdeaula.com.br JSP (Java Server Pages) - JavaServer Pages (JSP) - Tecnologia de programação serverside - Permite
Leia maisSegurança no Desenvolvimento
Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM
Leia maisSegurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1
Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/
Leia maisSERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012
O servidor Apache é o mais bem sucedido servidor web livre. Foi criado em 1995 por Rob McCool, então funcionário do NCSA (National Center for Supercomputing Applications). Em maio de 2010, o Apache serviu
Leia maisSegurança em Sistemas Web. Addson A. Costa
Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.
Leia maisNeste tópico, abordaremos a funcionalidade de segurança fornecida com o SAP Business One.
Neste tópico, abordaremos a funcionalidade de segurança fornecida com o SAP Business One. 1 Ao final deste tópico, você estará apto a: Descrever as funções de segurança fornecidas pelo System Landscape
Leia maisUNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS
UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD
Leia maisAULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA
Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6
Leia maisSegurança em Internet Banking. <Nome> <Instituição> <e-mail>
Segurança em Internet Banking Agenda Internet Banking Riscos principais Cuidados a serem tomados Créditos Internet Banking (1/4) Permite: realizar ações disponíveis nas agências
Leia maisSIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores
SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade
Leia maisDesenvolvendo para WEB
Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura
Leia maisMódulo e-rede Prestashop v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede Prestashop v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 Instruções iniciais 4 4.2 Instalação
Leia maisMódulo e-rede Magento v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede Magento v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 Instruções iniciais 4 4.2 Instalação
Leia maisSegurança na WEB Ambiente WEB estático
Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores
Leia maisAttacking Session Management
Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força
Leia maisExercício em ASP.NET (Agenda)
Exercício em ASP.NET (Agenda) 1 Introdução O exercício será composto basicamente por 3 módulos: - Autenticação/Autorização de Usuários - Menu - Cadastro / Exclusão de contatos Todos os módulos da aplicação
Leia maisMANUAL DO USUÁRIO. AssetView FDT. AssetView FDT
MANUAL DO USUÁRIO AssetView FDT AssetView FDT A S T V W F D T M P www.smar.com.br Especificações e informações estão sujeitas a modificações sem prévia consulta. Informações atualizadas dos endereços estão
Leia maisEDITORA FERREIRA MP/RJ_EXERCÍCIOS 01
EDITORA FERREIRA MP/RJ NCE EXERCÍCIOS 01 GABARITO COMENTADO 01 Ao se arrastar um arquivo da pasta C:\DADOS para a pasta D:\TEXTOS utilizando se o botão esquerdo do mouse no Windows Explorer: (A) o arquivo
Leia maisIntrodução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção...
Conteúdo do Ebook Introdução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção... Quais foram as últimas falhas... Conclusão... 03 04 05 06 06 07
Leia maisOmega Tecnologia Manual Omega Hosting
Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8
Leia maisFacebook. Java com o. Integrando Aplicações. Descubra como é fácil criar uma aplicação para rodar no Facebook. _capa
_capa Integrando Aplicações Java com o Facebook Descubra como é fácil criar uma aplicação para rodar no Facebook Desde o lançamento oficial do Facebook, em 2004, o número de usuários vem aumentando a cada
Leia maisPolíticas de segurança e informações
Whitepaper Políticas de segurança e informações VISÃO GERAL Este documento fornece uma visão de alto nível das políticas de segurança da New Relic, além de uma descrição geral dos recursos e das funcionalidades
Leia mais1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2.
1. Introdução pág.3 2. Apresentação do sistema Joomla! pág.4 3. Acessando a administração do site pág.4 4. Artigos 4.1. Criando um Artigo 4.2. Editando um Artigo 4.3. Excluindo um Artigo 4.4. Publicar
Leia maisNoções de. Microsoft SQL Server. Microsoft SQL Server
Noções de 1 Considerações Iniciais Basicamente existem dois tipos de usuários do SQL Server: Implementadores Administradores 2 1 Implementadores Utilizam o SQL Server para criar e alterar base de dados
Leia mais3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança
3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade
Leia maisGUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE
GUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE INTRODUÇÃO O portal do Afrafep Saúde é um sistema WEB integrado ao sistema HEALTH*Tools. O site consiste em uma área onde os Usuários e a Rede Credenciada,
Leia maisGESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS
GTS - Grupo de Trabalho em Segurança de Redes - 23ª Reunião GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS Leandro Bennaton * leandro.bennaton@corp.terra.com.br Twitter: @bennaton Carlos H. Borella
Leia maisSistemas para Internet 06 Ataques na Internet
Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:
Leia maisManual de Instalação. SafeSign Standard 3.0.77. (Para MAC OS 10.7)
SafeSign Standard 3.0.77 (Para MAC OS 10.7) 2/23 Sumário 1 Introdução... 3 2 Pré-Requisitos Para Instalação... 3 3 Ambientes Homologados... 4 4 Hardware Homologado... 4 5 Instruções de Instalação... 5
Leia maisSistema Protocolo Integrado Manual de Integração ao Web Service
2015 Sistema Protocolo Integrado Manual de Integração ao Web Service Manual com a descrição do Web Service de recebimento das informações de processos e documentos dos órgãos e entidades. Versão 1.0 Vigência
Leia maisMódulo e-rede VirtueMart v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede VirtueMart v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 Permissões 4 4.2 Instalação
Leia maisAuditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2
Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2 Primeiramente vamos falar um pouco sobre a Auditoria do Windows 2008 e o que temos de novidades com relação aos Logs. Como parte de sua
Leia maisObjetivos deste capítulo
1 Objetivos deste capítulo Identificar a finalidade de uma política de segurança. Identificar os componentes de uma política de segurança de rede. Identificar como implementar uma política de segurança
Leia mais13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com
13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro
Leia maisComo funciona a plataforma Superlógica? - Livro 1 de 4 LOJA VIRTUAL DE SERVIÇOS RECORRENTES Como funciona a contratação? Como você será contratado pela internet? www.superlogica.com 0800 709 6800 https://github.com/superlogica/api
Leia maisGASIN - Gerência de Administração dos Serviços de TI
MANUAL DO NOVO COMPONENTE ASSINADOR BHISS DIGITAL Prezado Contribuinte usuário do Sistema BHISS Digital: Esse manual tem como objetivo auxiliá-lo nas configurações do seu micro para que seja possível a
Leia mais2013 GVDASA Sistemas Administração dos Portais
2013 GVDASA Sistemas Administração dos Portais 2013 GVDASA Sistemas Administração dos Portais AVISO O conteúdo deste documento é de propriedade intelectual exclusiva da GVDASA Sistemas e está sujeito a
Leia maisMódulo e-rede OpenCart v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede OpenCart v1.0 Manual de Instalação do Módulo estamos todos ligados ÍNDICE 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 vqmod 4 4.2 Instalação e ativação
Leia maisPen-test de Aplicações Web: Técnicas e Ferramentas
Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas
Leia maisProcedimento para instalação do OMNE-Smartweb em Raio-X
Procedimento para instalação do OMNE-Smartweb em Raio-X A primeira coisa a analisarmos é onde ficará posicionado o servidor de Raio-x na rede do cliente, abaixo será colocado três situações básicas e comuns
Leia maisConfigurando o IIS no Server 2003
2003 Ser ver Enterprise Objetivo Ao término, você será capaz de: 1. Instalar e configurar um site usando o IIS 6.0 Configurando o IIS no Server 2003 Instalando e configurando o IIS 6.0 O IIS 6 é o aplicativo
Leia mais2 Gerenciamento de Log 2.1 Definições básicas
2 Gerenciamento de Log 2.1 Definições básicas Os logs são fontes riquíssimas de informação e são gerados pelos servidores e pelas aplicações conforme eventos significativos acontecem. Em [1], log é definido
Leia maisManual Operacional do SISCOAF
Manual Operacional do SISCOAF Manual Operacional do SISCOAF Página 2 Conteúdo 1. Acesso ao SISCOAF...3 2. Cadastro de novos comunicantes...4 3. Logon no SISCOAF...6 4. Menu do SISCOAF...8 - Administrar....8
Leia maisCaracterísticas de Firewalls
Firewall Firewall é um sistema de proteção de redes internas contra acessos não autorizados originados de uma rede não confiável (Internet), ao mesmo tempo que permite o acesso controlado da rede interna
Leia maisConfiguração do cliente de e-mail Thunderbird para usuários DAC
Configuração do cliente de e-mail Thunderbird para usuários DAC A. Configurando a autoridade certificadora ICPEdu no Thunderbird Os certificados utilizados nos serviços de e-mail pop, imap e smtp da DAC
Leia maisAmeaças, riscos e vulnerabilidades Cont. Objetivos
Ameaças, riscos e vulnerabilidades Cont. Prof. Esp. Anderson Maia E-mail: tecnologo.maia@gmail.com Objetivos entender a definição dos termos hacker, cracker e engenharia social; compreender a anatomia
Leia maisSegurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Leia maisMódulo e-rede VirtueMart v1.0. Manual de. Instalação do Módulo. estamos todos ligados
Módulo e-rede VirtueMart v1.0 Manual de Instalação do Módulo estamos todos ligados 01 02 03 04 Introdução 3 Versão 3 Requerimentos 3 Manual de instalação 4 05 06 4.1 Permissões 4 4.2 Instalação e ativação
Leia maisDocuWare Mobile ProductInfo. Gerenciamento móvel de documentos. Benefícios
DocuWare Mobile ProductInfo Gerenciamento móvel de documentos O DocuWare Mobile permite acessar os gabinetes de arquivo do DocuWare diretamente em seu smartphone ou tablet. Você pode carregar, visualizar
Leia maisTREINAMENTO. Novo processo de emissão de certificados via applet.
TREINAMENTO Novo processo de emissão de certificados via applet. Introdução SUMÁRIO Objetivo A quem se destina Autoridades Certificadoras Impactadas Produtos Impactados Pré-requisitos para utilização da
Leia maisTCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP
TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer
Leia maisSegurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner
Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas
Leia maisEstá apto a utilizar o sistema, o usuário que tenha conhecimentos básicos de informática e navegação na internet.
1. Descrição Geral Este manual descreve as operações disponíveis no módulo VTWEB Client, cuja finalidade é gerenciar cadastros de funcionários, realização de pedidos e controle financeiro dos pedidos.
Leia maisCSAU 10.0. Guia: Manual do CSAU 10.0 como implementar e utilizar.
CSAU 10.0 Guia: Manual do CSAU 10.0 como implementar e utilizar. Data do Documento: Janeiro de 2012 Sumário 1. Sobre o manual do CSAU... 3 2. Interface do CSAU 10.0... 4 2.1. Início... 4 2.2. Update...
Leia maisAspectos de Segurança em Programação com Java
Aspectos de Segurança em Programação com Java Marcos Alexandre de Melo Medeiros Paulo Sérgio Motta Pires Departamento de Engenharia de Computação e Automação DCA UFRN marcosam@info.ufrn.br, pmotta@dca.ufrn.br
Leia maiswww.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00
www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 Controle de Revisões Micropagamento F2b Web Services/Web 18/04/2006 Revisão Data Descrição 00 17/04/2006 Emissão inicial. www.f2b.com.br
Leia maisESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon
AGENDA 1. Download dos pacotes de instalação ESET Remote Administrator 2. Download dos pacotes de instalação ESET EndPoint Solutions 3. Procedimento de instalação e configuração básica do ESET Remote Adminstrator
Leia maisConfigurando o DDNS Management System
Configurando o DDNS Management System Solução 1: Com o desenvolvimento de sistemas de vigilância, cada vez mais usuários querem usar a conexão ADSL para realizar vigilância de vídeo através da rede. Porém
Leia maisNovidades do AVG 2013
Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento
Leia maisSeu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388
Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para BLACKBERRY INTERNET SERVICE. Você vai encontrar as respostas a todas suas perguntas sobre a
Leia maisOutlook XML Reader Versão 8.0.0. Manual de Instalação e Demonstração UNE Tecnologia
Outlook XML Reader Versão 8.0.0 Manual de Instalação e Demonstração UNE Tecnologia Add-in para o Outlook 2003, 2007 e 2010 responsável pela validação e armazenamento de notas fiscais eletrônicas. Atenção,
Leia mais