Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web

Tamanho: px
Começar a partir da página:

Download "Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web"

Transcrição

1 IBM Software Group Expandindo a Prática de Teste: Análise de Vulnerabilidade em Aplicativos Web 2007 IBM Corporation Verdades Alarmantes Approximately 100 million Americans have been informed that they have suffered a security breach so this problem has reached epidemic proportions. Jon Oltsik Enterprise Strategy Group Up to 21,000 loan clients may have had data exposed Marcella Bombardieri, Globe Staff/August 24, 2006 Personal information stolen from 2.2 million active-duty members of the military, the government said New York Times/June 7, 2006 Hacker may have stolen personal identifiable information for 26,000 employees.. ComputerWorld, June 22,

2 A verdade alarmante Estudo realizado com 200 empresas brasileiras afirma que 67,5% sofreram algum tipo de ataque nos últimos 12 meses (ISS) Principal problema de segurança: Usuários podem submeter dados de entrada arbitrários Principais sinais de problemas: Instituições financeiras nacionais têm sofrido até 100 ataques frustrados por dia No Brasil 13% das empresas que sofreram ataques tiveram prejuízos que ultrapassam R$ 1 Milhão (Módulo) Imaturidade em segurança Desenvolvimento in-house Percepção de simplicidade Restrições de recursos e tempo Mau uso de tecnologias Justiça Federal do Pará condena 65 hackers...os condenados acessavam de forma fraudulenta as contas-correntes e de poupança de outras pessoas. As quadrilhas deram prejuízo a instituições como Caixa Econômica Federal (CEF), Banco do Brasil, Banco Itaú e Banco do Estado de Goiás. Redação Terra, 17 de julho de Alta Prioridade da Segurança de Aplicações Aplicações Web são o alvo número 1 dos hackers: 75% dos ataques no nível de aplicação (Gartner) XSS and SQL Injection são as vulnerabilidades número 1 e 2 (Mitre) A Maioria dos sites é vulnerável: 90% são vulneráveis a ataques na camada de aplicação (Watchfire) 78% percent of easily exploitable vulnerabilities affected Web applications (Symantec) 80% das organizações enfrentará incidentes de segurança até 2010 (Gartner) Aplicações Web tem alto valor para os hackers: Dados pessoais, financeiros, identidade, etc Governança se baseia em atendimento a padrões de conformidade Payment Card Industry (PCI) Standards, GLBA, HIPPA, ISO, SOX Políticas internas 4 2

3 Custo de Falhas na Segurança da Informação Imagem afetada: Má propaganda Perda de Dados Confidencias Condenações Judiciais Insucesso em Auditorias Indenizações Redução do Valor de Ações 5 Inserindo a Segurança no Cliclo de Vida Developers Guiar a o desenvolvimento para garantir a segurança Developers Garantir que as vulnerabilidades foram sanadas Developers Prover os testadores e desenvolvedores com habilidade de detectar e remediar falhas 6 3

4 Arquitetura de Uma Aplicação Web Típica Aplicação rodando aqui Dados sensíveis aqui Internet Firewall Client Tier (Browser) SSL (Presentation) Middle Tier App Server (Business Logic) Database Data Tier 7 Defesas da Rede para as Aplicações Web Firewall Intrusion Detection System Intrusion Prevention System Application Firewall!"# "$ 8 4

5 O mito: Nosso site é seguro! %+! %, -. %&'( )* 9 A Realidade: os esforços estão desbalanceados < 5 1( 5 1 %* ;95 :75 4! / 0 1 %* 2%*!3! 10 5

6 Onde estão as vulnerabilidades? * '( +.- Client-Side Custom Web Services Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 11 OWASP e lista OWASP Top 10 Open Web Application Security Project an open organization dedicated to fight insecure software The OWASP Top Ten document represents a broad consensus about what the most critical web application security flaws are We will use the Top 10 list to cover some of the most common security issues in web applications 12 6

7 The OWASP Top 10 list Application Threat Negative Impact Example Impact Cross Site scripting Injection Flaws Malicious File Execution Insecure Direct Object Reference Cross-Site Request Forgery Information Leakage and Improper Error Handling Broken Authentication & Session Management Insecure Cryptographic Storage Insecure Communications Failure to Restrict URL Access Identity Theft, Sensitive Information Leakage, Attacker can manipulate queries to the DB / LDAP / Other system Execute shell commands on server, up to full control Attacker can access sensitive files and resources Attacker can invoke blind actions on web applications, impersonating as a trusted user Attackers can gain detailed system information Session tokens not guarded or invalidated properly Weak encryption techniques may lead to broken encryption Sensitive info sent unencrypted over insecure channel Hacker can access unauthorized resources Hackers can impersonate legitimate users, and control their accounts. Hackers can access backend database information, alter it or steal it. Site modified to transfer all interactions to the hacker. Web application returns contents of sensitive file (instead of harmless one) Blind requests to bank account transfer money to hacker Malicious system reconnaissance may assist in developing further attacks Hacker can force session token on victim; session tokens can be stolen after logout Confidential information (SSN, Credit Cards) can be decrypted by malicious users Unencrypted credentials sniffed and used by hacker to impersonate user Hacker can forcefully browse and access a page past the login page 13 Demonstração... SQL Injection Cross-site Scripting 14 7

8 SQL Injection User input inserted into SQL Command: Get product details by id: Hack: send param id with value -!! Resulting executed SQL:!! All products returned 15 Cross Site Scripting The Exploit Process Evil.org 1) Link modificado enviado para o cliente 4) script envia identificação e sessão do cliente sem pedir permissão 5) Evil.org usa a informação para se passar pelo cliente User 2) Cliente envia script como dado bank.com 3) script/dado retorna enviado pelo site do banco 16 8

9 Explorando Cross-Site Scripting Se alguém conseguir você fazer rodar um script malicioso, ele pode Roubar seus cookies (sua identificação) Rastrear cada ação que você realizar no seu navegador Redirecionar você para um phising site Modificar o conteúdo de qualquer página Explorar outras vulnerabilidades ao navegar e controlar sua máquina 17 Watchfire in the Rational Portfolio BUSINESS SOFTWARE QUALITY SOLUTIONS Test and Change Management Requirements Test Change Defects Rational RequisitePro Rational ClearQuest Rational ClearQuest Rational ClearQuest DEVELOPMENT Developer Test Rational PurifyPlus Rational Test RealTime Test Automation Functional Test Rational Functional Tester Plus Automated Manual Rational Rational Functional Tester Manual Tester Security and Compliance Test AppScan WebXM Performance Test Rational Performance Tester OPERATOINS Rational Robot Quality Metrics =-*

10 AppScan What is it? AppScan is an automated tool used to perform vulnerability assessments on Web Applications Why do I need it? To simplify finding and fixing web application security problems What does it do? Scans web applications, finds security issues and reports on them in an actionable fashion Who uses it? Security Auditors main users today QA engineers when the auditors become the bottle neck Developers to find issues as early as possible (most efficient) 19 Como o Appscan Trabalha! >

11 O que o IBM Rational AppScan testa? Web Applications Third-party Components Web Server Configuration Web Server Database Applications Operating System Network 21 Indo além da detecção de problemas 22 11

12 Como o IBM Rational AppScan funciona? Aborda a aplicação como uma caixa-preta Escaneia e gera um mapa de toda a aplicação Determina os vetores de ataque baseado nas políticas de teste Testes são enviados por requisições HTTP modificadas e as respostas são avaliadas de acordo com as regras +..4/ %* Demonstração... IBM Rational AppScan Standard Edition 24 12

13 Pergunte-se a si mesmo... O que os desenvolvedores e testadores da minha organização sabem sobre segurança da informação? Eles têm meios de prevenir vulnerabilidades? Apesar de nosso investimento em segurança de rede, será que realmente estamos seguros? Ainda que esteja seguro hoje, tenho como garantir que não haverá falhas de segurança no futuro?

14 27 14

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Segurança no Desenvolvimento

Segurança no Desenvolvimento Segurança no Desenvolvimento Palestrante: Daniel Araújo Melo Grupo de Resposta a Ataques da Intranet 00/00/0000 Agenda Apresentação do Grupo de Resposta a Ataques Melhores Práticas ISO 15408 OWASP BSIMM

Leia mais

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes

Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software. Prof. Leonardo Lemes Fagundes Aula 11 Integrando Segurança ao Processo de Desenvolvimento de Software Prof. Leonardo Lemes Fagundes A educação faz com que as pessoas sejam fáceis de guiar, mas difíceis de arrastar; fáceis de governar,

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org

Segurança no Plone. Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Segurança no Plone Fabiano Weimar dos Santos [Xiru] xiru@xiru.org Roteiro Um pouco sobre mim... Introdução Como Plone É tão Seguro? Modelo de Segurança OWASP Top 10 Segurança no Plone - Provedor PyTown.com

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

10 maiores riscos em aplicações Web

10 maiores riscos em aplicações Web 10 maiores riscos em aplicações Web Leandro Silva dos Santos Thiago Stuckert leandrosantos@inbrax.com thiago.melo.stuckert@gmail.com.br Novembro - 2010 1 Open Web Application Security Project (OWASP) Organização

Leia mais

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org

OWASP: Introdução OWASP. The OWASP Foundation http://www.owasp.org : Introdução Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation Permission is granted to copy, distribute and/or

Leia mais

Quem tem medo de XSS? William Costa

Quem tem medo de XSS? William Costa Quem tem medo de XSS? William Costa Composição do XSS. Os XSS s normalmente são divididos em 3 categorias Reflected XSS Stored XSS DOM Based XSS Reflected XSS Quando o usuário envia uma requisição durante

Leia mais

Como estar preparado para a próxima ameaça a segurança?

Como estar preparado para a próxima ameaça a segurança? Dell Security :: Dell SonicWALL Como estar preparado para a próxima ameaça a segurança? Vladimir Alem Product Marketing Manager Dell Security, LATAM biggest distributed denial-of-service (DDoS) attack

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br

Segurança e Insegurança em Aplicações Internet Java EE. Fernando Lozano Consultor 4Linux lozano@4linux.com.br Segurança e Insegurança em Aplicações Internet Java EE Fernando Lozano Consultor 4Linux lozano@4linux.com.br 2/33 3/33 Sua Rede Está Segura? Seus servidores e desktops estão seguros: Firewall, anti-vírus,

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Attacking Session Management

Attacking Session Management Attacking Session Management Alexandre Villas (alequimico) Janeiro de 2012 SUMÁRIO 1. Introdução 2. Classes de ataques ao gerenciamento de sessão 1. Session Fixation 2. Predição 3. Interceptação 4. Força

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

INFORMATION SECURITY IN ORGANIZATIONS

INFORMATION SECURITY IN ORGANIZATIONS INFORMATION SECURITY IN ORGANIZATIONS Ana Helena da Silva, MCI12017 Cristiana Coelho, MCI12013 2 SUMMARY 1. Introduction 2. The importance of IT in Organizations 3. Principles of Security 4. Information

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS

UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS UNIVERSIDADE DO ESTADO DE SANTA CATARINA CENTRO DE CIÊNCIAS TECNOLÓGICAS - CCT TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS ANDRE MENDES DUARTE DEIWYS LUCIANO GRUMOVSKI GUSTAVO HEIDRICH GRUNWALD

Leia mais

Josh Pauli Revisão técnica Scott White. Novatec

Josh Pauli Revisão técnica Scott White. Novatec Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or

Leia mais

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos

IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos IBM Software Segurança Junho de 2012 IBM Security AppScan: Segurança de aplicações e gerenciamento de riscos Identificar, priorizar, rastrear e reparar vulnerabilidades críticas de segurança 2 IBM Security

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Avaliação de Vulnerabilidades. O que eu preciso saber?

Avaliação de Vulnerabilidades. O que eu preciso saber? Avaliação de Vulnerabilidades O que eu preciso saber? Mito 1 Estamos protegidos, já possuímos um bom firewall e também sistemas IDS/IPS. Realidade A implementação dessas ferramentas muitas vezes levam

Leia mais

Gestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem )

Gestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem ) Segurança de Aplicações e Banco de Dados Gestão de Segurança da Informação pós-graduação Lato Sensu Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem ) Patrick Tracanelli Francisco Temponi

Leia mais

Biblioteca de segurança para tratar as principais vulnerabilidades web

Biblioteca de segurança para tratar as principais vulnerabilidades web Biblioteca de segurança para tratar as principais vulnerabilidades web Tarcizio Vieira Neto DIOPE/COGSI/SISEC/SIDES Líder em soluções de TI para governo Apresentação pessoal Tarcizio Vieira Neto 4 anos

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services

Anatomia dos ataques em aplicativos para mobile banking. Finance & Risk Services Anatomia dos ataques em aplicativos para mobile banking Finance & Risk Services O que torna os dispositivos móveis tão diferentes dos computadores pessoais? Suas informações armazenadas no dispositivo

Leia mais

Gestão Automática de Senhas Privilegiadas

Gestão Automática de Senhas Privilegiadas Gestão Automática de Senhas Privilegiadas Fernando Oliveira Diretor da Lieberman Software para a América Latina Foliveira@LiebSoft.com +1 (954) 232 6562 2013 by Lieberman Software Corporation O que é a

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007. Brasil ca.com/education 0800-121502

CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007. Brasil ca.com/education 0800-121502 CA Education Calendário de Cursos em Turmas Abertas Janeiro Junho 2007 Brasil ca.com/education 0800-121502 Venha Para a Fonte Preferida de Treinamento Para Software de Gerenciamento de TI e Melhores Práticas

Leia mais

Vulnerabilidades em Sistemas de Informação:

Vulnerabilidades em Sistemas de Informação: Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos

Leia mais

Introdução ao Produto

Introdução ao Produto Introdução ao Produto O desafio Database Activity Monitoring provides privileged user and application access monitoring that is independent of native database logging and audit functions. It can function

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

Se preocupe com o que é importante, que a gente se preocupa com a segurança.

Se preocupe com o que é importante, que a gente se preocupa com a segurança. Se preocupe com o que é importante, que a gente se preocupa com a segurança. Os firewalls convencionais e os IPS (Intrusion Prevention System) não são capazes de detectar e bloquear ataques na camada de

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites

Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites Segurança nos sites governamentais de Cabo Verde Security in the Cape Verdean government websites Anilton Pina Brandão Laboratório de Educação Digital Universidade Jean Piaget de Cabo Verde Praia, Cabo

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

DAS6662 - T.E.I. Segurança em Sistemas Distribuídos. Segurança de Sistemas. Segurança de Sistemas

DAS6662 - T.E.I. Segurança em Sistemas Distribuídos. Segurança de Sistemas. Segurança de Sistemas DAS6662 - T.E.I. Segurança em Sistemas Distribuídos 1ª Parte José Eduardo Malta de Sá Brandão Orientação: Joni da Silva Fraga http://www.das.ufsc.br/~jemsb/das6662 jemsb@das.ufsc.br Segurança de Sistemas

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

User interface evaluation experiences: A brief comparison between usability and communicability testing

User interface evaluation experiences: A brief comparison between usability and communicability testing User interface evaluation experiences: A brief comparison between usability and communicability testing Kern, Bryan; B.S.; The State University of New York at Oswego kern@oswego.edu Tavares, Tatiana; PhD;

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

IT Governance e ISO/IEC 20000. Susana Velez

IT Governance e ISO/IEC 20000. Susana Velez IT Governance e ISO/IEC 20000 Susana Velez Desafios de TI Manter TI disponível Entregar valor aos clientes Gerir os custos de TI Gerir a complexidade Alinhar TI com o negócio Garantir conformidade com

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

IBM Software Demos Rational Software Delivery Platform - Apresentação do cenário da demonstração

IBM Software Demos Rational Software Delivery Platform - Apresentação do cenário da demonstração As demonstrações desta seção apresentam um cenário do cotidiano de uma equipe de desenvolvimento usando o IBM Rational Software Delivery Platform. Esse é o novo nome do Rational Software Development Platform

Leia mais

Dell SonicWALL NETWORK 1 Day. Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com

Dell SonicWALL NETWORK 1 Day. Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com Dell SonicWALL NETWORK 1 Day Junho 2012 João Ramos Diretor de Canais Dell SonicWALL Brasil 55 11 9631-5544 Joao_R@Dell.com SonicWALL uma nova FORÇA SonicWALL Enables Dell End-to-end Advanced Threat Protection

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

5/10/10. Implementação. Building web Apps. Server vs. client side. How to create dynamic contents?" Client side" Server side"

5/10/10. Implementação. Building web Apps. Server vs. client side. How to create dynamic contents? Client side Server side 5/10/10 Implementação Mestrado em Informática Universidade do Minho! 6! Building web Apps How to create dynamic contents?" Client side" Code runs on the client (browser)" Code runs on a virtual machine

Leia mais

Core Security Technologies Foco de Mercado e Uma Visão Geral Ajudando as empresas a comprovarem a segurança dos seus sistemas de informação.

Core Security Technologies Foco de Mercado e Uma Visão Geral Ajudando as empresas a comprovarem a segurança dos seus sistemas de informação. Core Security Technologies Foco de Mercado e Uma Visão Geral Ajudando as empresas a comprovarem a segurança dos seus sistemas de informação. May 2008 Pense como o inimigo pensa Teste seus sistemas para

Leia mais

CMDB no ITIL v3. Miguel Mira da Silva. mms@ist.utl.pt 919.671.425

CMDB no ITIL v3. Miguel Mira da Silva. mms@ist.utl.pt 919.671.425 CMDB no ITIL v3 Miguel Mira da Silva mms@ist.utl.pt 919.671.425 1 CMDB v2 Configuration Management IT components and the services provided with them are known as CI (Configuration Items) Hardware, software,

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO

UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO UNIVERSIDADE FEDERAL DO PARANÁ JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB: PRINCIPAIS VULNERABILIDADES E ESTRATÉGIAS DE PREVENÇÃO CURITIBA 2011 JULIANO JOSÉ DA SILVA SEGURANÇA EM APLICAÇÕES WEB:

Leia mais

Business Technology Optimization. Milton Cruz

Business Technology Optimization. Milton Cruz Business Technology Optimization Milton Cruz SUCESU/RJ - Agenda Com o aumento da complexidade da demanda por soluções de TI nas Organizações, é cada vez mais evidente que há necessidade de capacitação

Leia mais

Solução de ciclo de vida IBM Rational AppScan: construir segurança para aplicações Web na delivery de software e sistemas.

Solução de ciclo de vida IBM Rational AppScan: construir segurança para aplicações Web na delivery de software e sistemas. Protecção estratégica para os seus activos web para suportar os seus objectivos de negócio Solução de ciclo de vida IBM Rational AppScan: construir segurança para aplicações Web na delivery de software

Leia mais

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web

Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Utilizando a análise estática e dinâmica para aumentar a segurança em aplicações web Thiago Canozzo Lahr Security & Privacy Consultant IBM Security Services tclahr@br.ibm.com Luis Fernando M. Callado Senior

Leia mais

Shell Control Box Sicoob (2000) Privileged Activity Monitoring: Transparência e Inovação

Shell Control Box Sicoob (2000) Privileged Activity Monitoring: Transparência e Inovação Shell Control Box Sicoob (2000) Privileged Activity Monitoring: Transparência e Inovação Shell Control Box BalaBit IT Security 15 anos em segurança de redes 1 milhão de instalações no mundo Syslog Company

Leia mais

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário

CURSO PRÁTICO. Módulo 2 Pré-requisitos. Application Virtualization 5.0. Nível: Básico / Intermediário CURSO PRÁTICO Application Virtualization 5.0 Nível: Básico / Intermediário Módulo 2 Pré-requisitos Índice Configurações Suportadas... 3 Management Server... 3 Publishing Server... 3 Reporting Server...

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Eliminando Fronteiras: Aumente a Produtividade com Soluções de Mobilidade Symantec Arthur Cesar Oreana

Eliminando Fronteiras: Aumente a Produtividade com Soluções de Mobilidade Symantec Arthur Cesar Oreana Eliminando Fronteiras: Aumente a Produtividade com Soluções de Mobilidade Symantec Arthur Cesar Oreana Senior Systems Engineer 1 SYMANTEC VISION 2013 2 SYMANTEC VISION 2013 3 Valor da conectividade Era

Leia mais

Database Security. Protegendo Contra Mega Violações. Troy Kitch Sr. Principal Director, Security Software Oracle. Longinus Timochenco CISO SBC Brasil

Database Security. Protegendo Contra Mega Violações. Troy Kitch Sr. Principal Director, Security Software Oracle. Longinus Timochenco CISO SBC Brasil Database Security Protegendo Contra Mega Violações Troy Kitch Sr. Principal Director, Security Software Oracle Longinus Timochenco CISO SBC Brasil Junho 23, 2015 Copyright 2015, Oracle and/or its affiliates.

Leia mais

Information technology specialist (systems integration) Especialista em tecnologia da informação (integração de sistemas)

Information technology specialist (systems integration) Especialista em tecnologia da informação (integração de sistemas) Information technology specialist (systems integration) Especialista em tecnologia da informação (integração de sistemas) Professional activities/tasks Design and produce complex ICT systems by integrating

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web

O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web Slide Show nº 2 O Processo de Gerenciamento de Vulnerabilidades em Aplicações Web Autor: Eduardo Lanna rev. 05/jan/11 Segurança de Aplicações Web Função do risco de ataque a um Sistema e suas variáveis??

Leia mais

Bernardo Patrão Technical Manager Critical Software

Bernardo Patrão Technical Manager Critical Software Bernardo Patrão Technical Manager Critical Software 10 Dezembro 2009 Instituto de Estudos Superiores Militares A problemática da protecção de informação crítica A Segurança nas Organizações Ameaças Modelo

Leia mais

Construindo uma aplicação Web completa utilizando ASP.Net 2.0, Visual Studio 2005 e IIS 7.0 ( Parte 1)

Construindo uma aplicação Web completa utilizando ASP.Net 2.0, Visual Studio 2005 e IIS 7.0 ( Parte 1) Construindo uma aplicação Web completa utilizando ASP.Net 2.0, Visual Studio 2005 e IIS 7.0 ( Parte 1) Marcus Garcia Microsoft Most Valuable Professional INETA Regional Director MAS Mentor Associado Um

Leia mais

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA

FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA FACULDADES INTEGRADAS PROMOVE DE BRASÍLIA PROJETO DE INICIAÇÃO CIENTÍFICA SOLUÇÃO SISTÊMICA BASEADA EM CÓDIGO ABERTO PARA DEFESA E MITIGAÇÃO DE ATAQUES À APLICAÇÕES WEB. DANIEL ALMEIDA DE PAULA BRASÍLIA

Leia mais

Encontro XIX: Invadindo o SQL Server? DBA Vs. Hacker

Encontro XIX: Invadindo o SQL Server? DBA Vs. Hacker Encontro XIX: Invadindo o SQL Server? DBA Vs. Hacker Luan.Maciel - @luansql Lenon.Leite - @lenonleite Ricardo.Kalil - @ricardokalil One Way Solution [OWS] What Happens in #Vegas Stay in #Vegas #Vegas =

Leia mais

PCI Data Security Standard

PCI Data Security Standard PCI Data Security Standard Luiz Gustavo C. Barbato gbarbato@trustwave.com GTS 11 01/06/2008 O que é um Comprometimento de Cartão de Crédito? Conseguir acesso não autorizado através de alguma vulnerabilidade

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Ameaças e Riscos Formas de Proteção Investigação Forense. Sérgio Sá Security Practice Director

Ameaças e Riscos Formas de Proteção Investigação Forense. Sérgio Sá Security Practice Director Ameaças e Riscos Formas de Proteção Investigação Forense Sérgio Sá Security Practice Director Riscos Cibernéticos e Informáticos na Internacionalização Porto, 5 Março 2015 Sobre a Unisys A Unisys é uma

Leia mais

Desenvolvimento Ágil 1

Desenvolvimento Ágil 1 Desenvolvimento Ágil 1 Just-in-Time Custo = Espaço + Publicidade + Pessoal De que forma poderiamos bater a concorrência se um destes factores fosse zero? 2 Just-in-time Inventory is waste. Custo de armazenamento

Leia mais

o Podemos utilizar métricas técnicas de segurança para alimentar o Gerenciamento de riscos?

o Podemos utilizar métricas técnicas de segurança para alimentar o Gerenciamento de riscos? Aula 5 Tradução dos slides da disciplina Information Security and Trust, CSC8202 versão PUCRS 2012, ministrada pelo Prof. Dr. Aad van Moorsel da University of Newcastle, Inglaterra. Após falar de ontologias,

Leia mais

Perceba todos os benefícios das informações de segurança e do gerenciamento de eventos para operações e conformidade.

Perceba todos os benefícios das informações de segurança e do gerenciamento de eventos para operações e conformidade. Soluções de gerenciamento de eventos e informações de segurança Para o suporte de seus objetivos de TI Perceba todos os benefícios das informações de segurança e do gerenciamento de eventos para operações

Leia mais

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP

Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Edição 7Masters Segurança 22 de julho de 2015 São Paulo, SP Mitigando os Riscos de Segurança em Aplicações Web Lucimara Desiderá lucimara@cert.br Por que alguém iria querer me atacar? Desejo de autopromoção

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

Presentation: MegaVoz Contact Center Tool

Presentation: MegaVoz Contact Center Tool Presentation: MegaVoz Contact Center Tool MegaVoz MegaVoz Solution: Automatic tool for contact phone management Contact Center strategy support; Advanced Resources technology (Computer Telephony Integration);

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Privacidade na Web. Cristine Hoepers cristine@cert.br!

Privacidade na Web. Cristine Hoepers cristine@cert.br! Privacidade na Web Cristine Hoepers cristine@cert.br! Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto BR Comitê Gestor da Internet

Leia mais

QUEM SOMOS NOSSA VISÃO NOSSA MISSÃO NOSSOS VALORES

QUEM SOMOS NOSSA VISÃO NOSSA MISSÃO NOSSOS VALORES QUEM SOMOS A NTSec, Network Security, atua na área de Tecnologia da Informação (TI), foi criada com o intuito de promover solução em segurança da informação. Oferece aos seus clientes o que existe de mais

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Criando uma estratégia para proteção abrangente na internet

Criando uma estratégia para proteção abrangente na internet IBM Software Criando uma estratégia para proteção abrangente na internet Índice 1 Resumo executivo 2 Grandes oportunidades, grandes riscos 3 Os riscos de segurança dos aplicativos de internet se multiplicam

Leia mais

A Cloud Computing Architecture for Large Scale Video Data Processing

A Cloud Computing Architecture for Large Scale Video Data Processing Marcello de Lima Azambuja A Cloud Computing Architecture for Large Scale Video Data Processing Dissertação de Mestrado Dissertation presented to the Postgraduate Program in Informatics of the Departamento

Leia mais

Disciplina de Segurança e Auditoria de Sistemas Ataques

Disciplina de Segurança e Auditoria de Sistemas Ataques Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas,

Leia mais

Project Management Activities

Project Management Activities Id Name Duração Início Término Predecessoras 1 Project Management Activities 36 dias Sex 05/10/12 Sex 23/11/12 2 Plan the Project 36 dias Sex 05/10/12 Sex 23/11/12 3 Define the work 15 dias Sex 05/10/12

Leia mais

João Matias. Managing Director Oracle Portugal

João Matias. Managing Director Oracle Portugal João Matias Managing Director Oracle Portugal Pontos de Partida. Para onde Vamos? Evolução. Estratégia. Desafios. A vida começa aos quarenta... Evolução O passado recente dos ambientes de IT Best of Breed

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Universidade de Brasília

Universidade de Brasília Universidade de Brasília Instituto de Ciências Exatas Departamento de Ciência da Computação Lição sobre injeção de SQL do projeto WebGoat Segurança de Dados,Turma A, 01/2010 Thiago Melo Stuckert do Amaral

Leia mais

Bases de Dados. Lab 1: Introdução ao ambiente. Figura 1. Base de dados de exemplo

Bases de Dados. Lab 1: Introdução ao ambiente. Figura 1. Base de dados de exemplo Departamento de Engenharia Informática 2014/2015 Bases de Dados Lab 1: Introdução ao ambiente 1º semestre O ficheiro bank.sql contém um conjunto de instruções SQL para criar a base de dados de exemplo

Leia mais