Cartilha de Desenvolvimento Seguro

Tamanho: px
Começar a partir da página:

Download "Cartilha de Desenvolvimento Seguro"

Transcrição

1 Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, São Leopoldo RS Brasil {Alexandre.amador e Neste trabalho apresentaremos a 2011 CWE/SANS Top 25 Most Dangerous Software Errors, uma lista com os 25 erros de programação mais perigosos que podem levar ao desenvolvimento de aplicações vulneráveis. A lista é o resultado da colaboração entre o SANS Institute, MITRE, e muitos especialistas em segurança de software. [1] CWE-89: Neutralização imprópria de elementos especiais usados em um comando SQL ("SQL Injection ) Explicação: As sintaxe de SQL em campos de coleta de dados, pode causar entradas inesperadas que são interpretados como comandos de SQL, em vez de dados de usuários comuns. Isto pode ser usado para alterar a lógica de consulta para contornar as verificações de segurança, ou ainda inserir declarações adicionais que modificam a base de dados, possivelmente incluindo a execução de comandos do sistema. A falha depende do fato que o SQL não faz nenhuma distinção sobre os controles de dados. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade e integridade, porém um dos maiores impactos dessa vulnerabilidade é no controle de acesso, obtendo informações sensíveis para o negócio da empresa. Dicas para Mitigação: 1. Utilizar bibliotecas ou estrutura para evitar esse ponto fraco. 2. Elaborar critérios de privilégios para executar o código para realizar as tarefas necessárias. Se possível, criar contas isoladas com privilégios limitados que são utilizados apenas para uma única tarefa. Dessa forma, um ataque bem sucedido não irá imediatamente permitir o acesso do atacante para o resto do software ou seu ambiente. Por exemplo, aplicativos de banco de dados raramente precisam para executar como o administrador de banco de dados, especialmente no dia-a-dia das operações. 3. Ajustar o código para que seja realizada a validação de dados de entrada, evitando a injeção de argumento, onde tais características podem estar disponíveis no banco de dados ou na linguagem de programação. Fonte:

2 [2] CWE-78: Neutralização imprópria de elementos especiais usados em um comando do sistema operacional ('Command Injection OS') Explicação: A construção parcial ou completa de um comando de OS utilizando a entrada de um componente, mas sem neutralizar elementos especiais que possam modificar o comando OS. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade, integridade, disponibilidade e não repúdio. Os atacantes podem executar comandos não autorizados, o que poderia então ser usado para desabilitar o software, ou ler e modificar os dados para qual o atacante não tem permissões de acesso direto. Dicas para Mitigação: 1. Se possível, bibliotecas usar chamadas ao invés de processos externos para recriar a funcionalidade desejada. 2. Se o programa a ser executado permite que os argumentos sejam especificados em um arquivo de entrada ou da entrada padrão, então considere o uso que o modo passar argumentos em vez de linha de comandos. 3. Use cumprimento da política de tempo de execução para criar uma whitelist de comandos permitidos, assim evitando o uso de qualquer comando que não apareça na whitelist. Tecnologias como o AppArmor estão disponíveis, e possui outras ferramentas que podem fazer isto. Fonte: [3] CWE-120: Cópia do buffer sem verificação do tamanho da entrada ("Classic Buffer Overflow ) Explicação: O programa copia um buffer de entrada para um buffer de saída sem verificar se o tamanho do buffer de entrada é menor que o tamanho do buffer de saída, levando a um estouro de buffer. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade, integridade e disponibilidade, onde buffer overflows, muitas vezes pode ser usada para executar código arbitrário, que normalmente é fora do âmbito da política de um programa de segurança implícita. Isso muitas vezes pode ser usado para subverter qualquer serviço de segurança. 1. Executar ou compilar o seu software usando recursos ou extensões que fornecem automaticamente um mecanismo de proteção que reduz ou elimina um buffer overflow.

3 2. Usar o recurso como Adress Space Layout Randomization (ASLR). Apesar de que está solução não ser completa, no entanto ele força o atacante adivinhar um valor desconhecido que muda a cada execução do programa. 3. Usar um sistema de CPU de operacional que oferece Proteção de Dados de execução (NX), ou seu equivalente. Está solução não é completa, uma vez que o buffer overflow pode ser usado para substituir as variáveis nas proximidades para modificar o estado do software de forma perigosa. Além disso, não pode ser usado em casos em que a auto modificação do código é necessária. Finalmente, um ataque pode ainda causar uma negação de serviço, uma vez que a resposta típica é para sair do aplicativo. Fonte: [4] CWE-79: Neutralização imprópria de entrada durante geração da página Web ("Cross-site Overflow ) Explicação: O software não neutraliza entrada de usuários antes de ser colocado na saída, onde é usado como uma página web que é servido para outros usuários, por exemplo: vulnerabilidades no Cross-site scripting (XSS). Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade), assim como, no controle de acesso, um dos ataques mais comuns realizada com cross-site scripting envolve a divulgação de informações armazenadas nos cookies do usuário. Normalmente, um usuário mal intencionado irá criar um script de cliente, que quando analisado por um navegador web, realizando uma atividade, como por exemplo, o envio de todos os cookies do site para um determinado endereço de e- mail. Dicas de mitigação: 1. Quando um conjunto de objetos aceitáveis, tais como nomes de arquivos ou URLs, é limitado ou conhecido, criar um mapeamento de um conjunto de valores de entrada fixos (tais como numérico IDs) para os nomes reais ou URLs, e rejeitar todas as outras entradas. 2. Utilizar um firewall de aplicativo que pode detectar ataques desse tipo. Pode ser benéfico nos casos em que o código não pode ser corrigido (porque é controlado por um terceiro). 3. Se você estiver usando PHP, configure seu aplicativo para que ele não use register_globals. Durante a implementação, desenvolva o aplicativo para que ele não dependa desse recurso. Fonte:

4 [5] CWE-306: Falta de autenticação para função crítica Explicação: O software não realiza nenhuma autenticação para a funcionalidade que requer uma identidade de usuário ou consome uma quantidade significativa de recursos, sem a necessidade. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade) em relação ao acesso de controle. Criando essa vulnerabilidade de uma funcionalidade crítica fornecendo essencialmente um atacante com o nível de privilégio dessa funcionalidade. As conseqüências dependerão da funcionalidade associada, mas eles podem variar de ler ou modificar os dados sensíveis, o acesso a funcionalidades administrativas ou doutros privilégios, assim como possivelmente até mesmo a execução de código arbitrário. 1. Utilizar uma biblioteca que vete ou uma estrutura que não permita que essa vulnerabilidade para ocorrer ou fornecer construções que fazem esta fraqueza fácil de evitar. Por exemplo, considerar o uso de bibliotecas com recursos de autenticação, como OpenSSL ou o Autenticador ESAPI. 2. Para as verificações de segurança que são executadas no lado do cliente, para garantir que esse controle seja duplicado no lado do servidor, a fim de evitar outras vulnerabilidades. Os atacantes podem ignorar as verificações do lado do cliente, modificando os valores após dos controles, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 3. Sempre que possível, evitar a implementação de rotinas de autenticação personalizada e considerar o uso de recursos de autenticação, tal como previsto pela estrutura envolvente, sistema operacional ou ambiente. Este pode tornar mais fácil para fornecer uma separação clara entre as tarefas de autenticação e autorização tarefas. Em ambientes como a WEB (World Wide Web), a linha entre autenticação e autorização às vezes é turva. Se rotinas de autenticação personalizadas são necessárias, então essas rotinas devem ser aplicadas a cada página, uma vez que estas páginas podem ser solicitadas diretamente. Fonte: [6] CWE-862: Falta de autorização Explicação: O software não executa uma verificação de autorização quando um usuário tenta acessar um recurso ou executar uma ação. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade) em relação ao acesso de controle, onde um atacante poderia ler dados sensíveis, explorando essa vulnerabilidade, seja pela leitura dos dados diretamente

5 de um armazenamento que não se restringe, ou acessando através de funcionalidades que não são insuficientemente protegidos. 1. Durante o processo de Instalação e configuração do sistema, usar os recursos de controles de acessos do sistema operacional e nos servidores, definindo suas listas de controle de acesso em conformidade. Usando a regra "default deny" política ao definir essas ACLs. 2. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. Por exemplo, considerar frameworks de autorização, tais como a estrutura de autorização JAAS [R.862.5] e o OWASP ESPAI recursos de Controle de Acesso [R.862.4]. 3. Também na fase de arquitetura e design dividir sua aplicação por áreas privilegiadas, tais como anônima, normal e administrativa. Reduzir os ataques com o mapeamento de acesso, de acordo com os cargos e funcionalidades no sistema. Fonte: [7] CWE-798: Uso de Credenciais Hard-coded Explicação: O que contém credenciais "hard-coded", tais como uma senha ou chave de criptografia, que utiliza sua própria autenticação de entrada, a comunicação de saída para componentes externos, ou criptografia de dados internos. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). Se usadas as senha "hard-coded", é quase certa que usuários mal-intencionados vão ganhar acesso à conta em questão, esta vulnerabilidade pode levar à exposição de recursos ou funcionalidade para os ataques, possivelmente oferecendo informações confidenciais ou até mesmo executar códigos arbitrários. 1. Para autenticação de entrada: Ao invés de embutir um nome de usuário e a senha padrão, uma chave ou outras credenciais de autenticação para logins primeira vez, utilizar um "primeiro login" modalidade que solicita para o usuário digite uma senha exclusiva e forte ou chave. 2. Se o software contenha credenciais "hard-coded", que sejam realizadas verificações de controle de acesso e limitar quais entidades podem acessar o recurso que requer as credenciais "hard-coded". Por exemplo, um recurso pode ser ativado através do console do sistema, em vez de uma conexão de rede. 3. Para a autenticação usando senhas de entradas: aplique "one-way" hashes para armazenas suas senhas e os hashes no arquivo de configuração ou em um banco de dados com controle de acesso adequado. Ao manusear uma senha de entrada durante a

6 autenticação, pegue o hash da senha e compare com o hash salvo, com isso, diminuir a possibilidade de um ataque por força bruta. Fonte: [8] CWE-311: Falta de criptografia de dados sensíveis Explicação: O software não criptografa informações sensíveis ou críticas antes do armazenamento ou transmissão. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade). Se o aplicativo não usar um canal seguro, como o SSL, para trocar as informações sensíveis, é possível um atacante com acesso ao tráfego de rede capturar os pacotes e descobrir os dados. 1. Na fase de requisições especificar claramente quais os dados ou recursos é valiosos o suficiente para que eles sejam protegidos por criptografia, de forma que exija que qualquer transmissão ou armazenamento de dados / recursos deve usar algoritmos de criptografia bem controlados. 2. Durante a etapa de arquitetura e design prover que as áreas de segurança sejam claramente desenhadas obtendo um sistema "seguro" e estes passos é essencial para a prevenção de ataques comuns. Não permitindo que dados sensíveis para ir para fora do perímetro de confiança e sempre terem cuidado ao fazer uma interface com uma sessão fora desse perímetro seguro. 3. Na implementação procurar usar convenções de nomenclaturas e de tipos fortes para torná-los mais fácil de detectar quando os dados sensíveis estão sendo usado. Ao criar estruturas, objetos ou outras entidades complexas, separando os dados sensíveis e não sensíveis, tanto quanto possível. Fonte: [9] CWE-434: Upload sem controle do tipo de arquivo Explicação: Determinadas aplicações web permitem o upload de arquivos, como arquivos de imagem para um site, mas este não faz o controle do tipo de arquivos que está recebendo. Conseqüência: Um atacante poderia fazer o upload de algum rootkit e obter acesso não só aos arquivos do site em questão mas também do servidor onde este está hospedado. 1. Criar mecanismos de controle dos arquivos que o site está recebendo. 2. Impedir que arquivos com extensões não permitidas sejam enviados.

7 [10] CWE-807: Dependência de entrada não segura Explicação: A aplicação usa um mecanismo de proteção que depende a existência ou valores de uma entrada, mas a entrada pode ser modificada por um usuário não confiável de uma forma que ignore esses mecanismos de proteção. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Controle de acesso) Os atacantes podem ignorar a decisão de acesso seguro. As conseqüências dependerão da funcionalidade associada. Em última instância, essa vulnerabilidade pode levar à exposição ou modificação de dados sensíveis, falhas de sistemas, ou execução de código arbitrário. 1. Na etapa de arquitetura e design, usar uma biblioteca vetada ou estrutura que não permita que essa vulnerabilidade venha ocorrer ou forneça construções mais fáceis de evitar essa fraqueza. Com um protocolo sem estado, como HTTP, use uma estrutura que mantém o estado para você. Exemplos incluem ASP.NET estado de exibição [R.807.3] e o OWASP ESAPI [R.807.4] recurso de gerenciamento de sessão. Tendo cuidado com recursos de linguagem que forneçam apoio ao estado, uma vez que estes podem ser fornecidos como uma conveniência para o programador e não pode ser considerado como seguro. 2. Também na fase de arquitetura e design realizar as verificações de segurança que são executadas no lado do cliente, garantir que esse controle seja duplicado no lado do servidor, a fim de evitar CWE-602. Atacantes podem ignorar as verificações do lado do cliente, modificando os valores após os controles forem efetuados, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 3. Já na fase de operação e implementação, se estiver utilizando PHP, configurar o aplicativo para que ele não use register_globals". Durante a implementação, desenvolva seu aplicativo para que ele não com esse recurso. Fonte: [11] CWE-250: Execução com privilégios desnecessários Explicação: O software realiza uma operação em um nível de privilégio que é superior ao nível mínimo exigido, o que cria novas vulnerabilidades ou amplia as conseqüências de outras fraquezas. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). Um atacante será capaz de obter acesso a qualquer recurso que são permitidos pelos privilégios extras. Resultados comuns incluem a execução de código, desabilitando serviços, e leitura de dados restritos.

8 1. Na fase de implementação realizar a validação de entrada extensiva para todo o código privilegiado que devem ser expostos para o usuário e rejeitar qualquer coisa que não se encaixam nos seus requisitos rigorosos. 2. Na etapa de estratégia é importante garantir que o seu software seja executado corretamente sob a configuração FDCC (Federal Desktop Core) [R.250.4] ou um equivalente guia de configuração, o que muitas organizações usam para limitar a superfície de ataque e risco potencial do software implantado. 3. Quando você tira os privilégios, garantindo acesso indevido evitando um CWE-273, a implementação de mecanismos de proteção no ambiente irá ajudar a fortalecer, neste procedimento e nos mecanismos de proteção. Fonte: [12] CWE-352: Pedido falso no Cross-Site (CSRF Cross-Site Request Forgery) Explicação: A aplicação web pode ou não, verificar o pedido se é válido, da qual as informações fornecidas consistente pelo usuário. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). As conseqüências podem variar dependendo da natureza da funcionalidade que é vulnerável a CSRF. Um invasor pode efetivamente realizar operações como a vítima. Se a vítima for um administrador ou usuário privilegiado, as conseqüências podem incluir a obtenção de total controle sobre a aplicação web, apagar ou roubar dados, desinstalar o produto, ou usá-lo para executar outros ataques contra todos os usuários do produto. Porque o atacante tem a identidade da vítima, o escopo de CSRF é limitado apenas pelos privilégios da vítima. 1. Garantir que seu aplicativo está livre de problemas de cross-site scripting (CWE-79), porque a maioria das defesas CSRF pode ser contornada utilizando um ataque de controle via script. 2. Verifique o cabeçalho "HTTP Referer" para ver se a solicitação foi originada a partir de uma página esperada. Isso poderia interromper a funcionalidade legítima, porque os usuários ou proxies pode ter desabilidade o envio "Referer" por razões de privacidade. 3. Não use o método "GET" para qualquer pedido que desencadeie uma mudança de estado. Fonte: [13] CWE-22: Limitação imprópria para o path de um diretório restrito ( Path Traversal ) Explicação: O software usa a entrada externa para construir um caminho que se destina a identificar um arquivo ou diretório que está localizado sob um diretório pai restrito, mas o

9 software não neutraliza corretamente os elementos especiais dentro do caminho que pode causar acesso de um local que está fora do diretório restrito. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). O invasor pode ser capaz de criar ou substituir arquivos críticos que são usados para executar código, tais como programas ou bibliotecas. 1. Na fase de arquitetura e design realizar as verificações de segurança que são executadas no lado do cliente, garantir que esse controle seja duplicado no lado do servidor, a fim de evitar CWE-602. Atacantes podem ignorar as verificações do lado do cliente, modificando os valores após os controles forem efetuados, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 2. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. 3. Usar um firewall de aplicativo que pode detectar ataques contra esta vulnerabilidade. Pode ser benéfico nos casos em que o código não pode ser corrigido (por ser controlado por um terceiro), como medida de prevenção de emergência, quando mais medidas de garantia de software abrangentes são aplicados, ou para fornecer uma maior defesa. Fonte: [14] CWE-494: Download de código sem verificação de integridade Explicação: O download de código fontes ou um executável a partir de um local remoto e executá-lo, sem verificar suficientemente a origem e a integridade do código. Conseqüências: Execução de código não confiável pode comprometer o fluxo de controle do programa. O código não confiável pode atacar executando comandos controlados, ler ou modificar recursos sensíveis, ou impedir que o software funcione corretamente para os usuários legítimos. 1. Realizar a instalação de DNS reverso para pesquisar e detectar DNS falsos. 2. Criptografar o código com um esquema de criptografia confiável antes de transmitir. 3. Executar o seu código usando os privilégios menores que são necessários para realizar as tarefas necessárias [R.494.7]. Se possível, criar contas de isolados com privilégios limitados que são usadas apenas para uma única tarefa. Dessa forma, um ataque bem sucedido não irá imediatamente permitir o acesso ao atacante para o resto do software ou ao seu ambiente. Por exemplo, aplicativos de banco de dados raramente precisam

10 para executar como o administrador de banco de dados, especialmente no dia-a-dia das operações. Fonte: [15] CWE-863: Autorização incorreta Explicação: O software realiza verificação de autorização quando um usuário tenta acessar um recurso ou executar uma ação, mas não executa corretamente a verificação. Isso permite que o atacante possa contornar as restrições de acesso pretendido. Conseqüências: Um invasor poderia ler dados sensíveis, seja pela leitura dos dados diretamente de um armazenamento de dados que não está corretamente restrito, ou acessando funcionalidades com insuficiência de proteção no privilégio de ler os dados. 1. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. Por exemplo, considerar frameworks de autorização, tais como a estrutura de autorização JAAS [R.863.4] e o OWASP ESPAI recursos de Controle de Acesso [R.863.5]. 2. Certificar-se de executar verificações de controle de acesso relacionadas com a sua lógica de negócios. Esta verificação pode ser diferente do que as verificações de controle de acesso que você aplica a recursos mais genéricos, como arquivos, conexões, processos, memória e registros médicos para um usuário de banco de dados específico, mas cada registro só poderia ser destinado a ser acessível para o paciente e o médico do paciente, por exemplo. 3. Usar os recursos de controle de acesso de seu sistema operacional e ambiente de servidor para definir suas listas de controle de acesso em conformidade. Use "default deny" como política ao definir essas ACLs. Fonte: [16] CWE-829: Inclusão de funcionalidade de um ambiente não confiável Explicação: É uma forma bastante comum de desenvolvimento de software a divisão deste em programas menores. Um exemplo é o uso de include. Conseqüência: Um atacante que tenha domínio sobre o servidor poderia alterar um ou mais arquivos fazendo com que a aplicação não se comporte de maneira adequada.

11 1. Evitar o uso de include ou require no aplicativo. 2. Uso de hash, [17] CWE-732: Atribuição incorreta de permissão para um recurso crítico Explicação: O software permissões especifica para um recurso de segurança crítica de uma forma que permite que o recurso a ser lido ou alterado por usuários mal-intencionados. Conseqüências: Um invasor pode ser capaz de ler informações sensíveis a partir de recurso associado, tais como, credenciais ou informações de configuração armazenadas em um arquivo. 1. Para todos os arquivos de configuração, executáveis e bibliotecas, certifique-se que eles são apenas lidos e escritos pelo administrador do software. 2. Não há sugestões para alterações de configuração insegura em sua documentação, especialmente se essas configurações podem estender aos recursos e outros softwares que estão fora do escopo de seu próprio software. 3. O administrador do sistema deverá alterar manualmente as configurações automáticas para as configurações que são recomendas para o manual. Fonte: [18] CWE-676: Uso de função potencialmente perigosa Explicação: O programa chama uma função potencialmente perigosa que pode criar uma vulnerabilidade se for usado incorretamente, mas também pode ser usado de modo seguro. Conseqüências: Se a função é usada de forma incorreta, então isso pode resultar em problemas de segurança impactando no CID (Confidencialidade, Integridade e Disponibilidade). Dicas de Mitigação: 1. Identificar uma lista de funções API proibido e proibir os desenvolvedores de usar essas funções, oferecendo alternativas mais seguras. Em alguns casos, ferramentas de análise automática de código ou o compilador pode ser instruído para detectar uso de funções proibida, como o "banned.h" incluído no arquivo de SDL da Microsoft [R.676.1] [R.676.2]. Fontes: [19] CWE-327: Uso de algoritmos criptográficos quebrados

12 Explicação: O uso de um algoritmo de criptografia quebrada é um risco desnecessário que pode resultar na exposição de informações confidenciais. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). A confidencialidade de dados sensíveis pode ser comprometida pelo uso de um algoritmo criptográfico quebrado. A integridade de dados sensíveis pode ser comprometida pelo uso de um algoritmo criptográfico quebrado. Pode ter consequências de não-repúdio, se o algoritmo de criptografia é usado para garantir a identidade da fonte dos dados (tais como assinaturas digitais), em seguida, um algoritmo quebrado vai comprometer este regime e da fonte dos dados não pode ser provada. 1. O design do software deve ser de modo que você pode substituir um algoritmo criptográfico com o outro. Isto tornará mais fácil de atualizar para algoritmos mais fortes. 2. Cuidadosamente gerenciar e proteger chaves criptográficas (ver CWE-320). Se as chaves podem ser adivinhado ou roubado, então a força da criptografia em si é irrelevante. 3. Usar uma biblioteca vetada ou estrutura que não permite que essa vulnerabilidade venha ocorrer ou que forneça construções que fazem essa fraqueza mais fácil de evitar, nesse caso, há alguns padrões (procedimentos) de implementações que vai lhe poupar tempo de desenvolvimento e podem ser mais propensos a evitar erros que podem ocorrer durante a implementação de algoritmos criptográficos. Considerar o recurso de criptografia ESAPI. Fonte: [20] CWE-131: Cálculo Incorreto do tamanho do Buffer. Explicação: O software calcula incorretamente o tamanho da atribuição de um buffer, o que poderia levar a um estouro de buffer. Conseqüências: Se o cálculo incorreto é usado no contexto de alocação de memória, então o software pode criar um reserva que é menor ou maior do que o esperado. Se o buffer alocado é menor do que esperado, isso poderia levar a um "out-of-bounds" (fora dos limites) ao ler ou escrever (CWE-119), possivelmente causando uma falha permitindo a execução de código arbitrário, ou exposição de dados sensíveis. Dicas de mitigação: 1. Substituir as funções de cópia ilimitada com funções analógicas que suportam argumentos comprimentos, tais como "strcpy com strncpy". 2. Usar "sizeof()" do tipo de dados adequado para evitar a CWE Usar um recurso como Address Space Layout Randomization (ASLR). [R.131.3]e[R.131.5].

13 [21] CWE-307: Restrição imprópria de tentativas de autenticação Explicação: O software não implementa medidas suficientes para evitar tentativas múltiplas de autenticação, e falha dentro de um curto espaço de tempo, tornando-o mais suscetível a ataques de força bruta. Conseqüências: Um atacante poderia executar um número arbitrário de tentativas de autenticação usando senhas diferentes, e eventualmente ter acesso à conta de alvo. 1. Mecanismos de proteção comuns que incluem (Desconectar o usuário após um pequeno número de tentativas falhadas, Implementação de um tempo limite, o bloqueio de uma conta de alvo, exigindo uma tarefa computacional por parte do usuário). 2. Usar uma biblioteca fechada ou estrutura que não permite que essa vulnerabilidade possa ocorrer. Considerando o uso de bibliotecas com recursos de autenticação, como OpenSSL ou Authenticator ESAPI. [R.307.1]. 3. Bloquear o endereço Ip após um número de tentativas mal sucedidas. [22] CWE-601: Redirecionamento de URL para o site não confiável ( Open Redirect ) Explicação: Uma aplicação web aceita uma entrada controlada pelo usuário que especifica um link para um site externo, e usa esse link em um Redirect. Isto simplifica a ataques de phishing. Conseqüências: O usuário pode ser submetido a ataques de phishing sendo redirecionado para uma página não confiável. O ataque de phishing pode apontar para uma página web atacante controlado que parece ser um site confiável. Os phishers podem então roubar as credenciais do usuário e depois usar essas credenciais para acessar o site legítimo. 1. Use uma página de aviso intermediária que fornece ao usuário um aviso claro de que eles estão deixando o seu site. Implementar um tempo limite de tempo antes do redirecionamento, ou forçar o usuário a clicar sobre o link. Tenha cuidado para evitar problemas de XSS (CWE-79) ao gerar a página de aviso. 2. Use um firewall de aplicativo que pode detectar ataques contra esta vulnerabilidade. Pode ser benéfico nos casos em que o código não pode ser corrigido (porque é controlado por um terceiro), como medida de prevenção de emergências, enquanto que mais medidas de garantia de software abrangente são aplicadas, ou para fornecer maior defesa. 3. Compreender todas as possíveis áreas onde as entradas não confiáveis podem digitar o seu software: parâmetros ou argumentos, cookies, nada de ler a partir da rede, variáveis de ambiente, consultas de DNS reverso, os resultados da consulta, cabeçalhos de solicitação, componentes de URL, , arquivos, nomes de arquivos, bancos de dados e

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS

CÓDIGO DA VAGA: TP08 QUESTÕES DE MÚLTIPLAS ESCOLHAS QUESTÕES DE MÚLTIPLAS ESCOLHAS 1) Em relação à manutenção corretiva pode- se afirmar que : a) Constitui a forma mais barata de manutenção do ponto de vista total do sistema. b) Aumenta a vida útil dos

Leia mais

Ameaças e Contramedidas de Host

Ameaças e Contramedidas de Host Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira quintino@umc.br Fonte: http://www.antispam.br/ Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura

Leia mais

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira

File Transport Protocolo - FTP. Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira File Transport Protocolo - FTP Fausto Levandoski, Marcos Vinicius Cassel, Tiago Castro de Oliveira Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos,

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

Hardening de Servidores

Hardening de Servidores Hardening de Servidores O que é Mitm? O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes, por exemplo

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Lista de Erros Discador Dial-Up

Lista de Erros Discador Dial-Up Lista de Erros Discador Dial-Up Erro Código Descrição Ok 1 Usuário autenticado com sucesso e conexão encerrada pelo usuário OK 11 Usuário autenticado com sucesso e discador terminado pelo usuário OK 21

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Sumário Visão geral de novos recursos 2 Instalação, ativação, licenciamento 2 Internet Security 3 Proteção Avançada 4

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Aula 4 WEB 2.0. 1. Conceito

Aula 4 WEB 2.0. 1. Conceito Centro Universitário de Volta Redonda - UniFOA Curso Tecnológico de Redes de Computadores 5º período Disciplina: Tecnologia WEB Professor: José Maurício S. Pinheiro V. 2009-2 Aula 4 WEB 2.0 Web 2.0 é um

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

arquitetura do join.me

arquitetura do join.me Uma visão geral técnica da arquitetura confiável e segura do join.me. 1 Introdução 2 Visão geral da arquitetura 3 Segurança de dados 4 Segurança de sessão e site 5 Visão geral de hospedagem 6 Conclusão

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.

Leia mais

Protegendo o seu negócio com servidores DNS que se protegem

Protegendo o seu negócio com servidores DNS que se protegem Resumo do produto: A Solução de DNS seguro da Infoblox reduz os ataques aos servidores DNS através do reconhecimento inteligente de vários tipos de ataque e atuando no tráfego de ataque enquanto continua

Leia mais

Configurando o IIS no Server 2003

Configurando o IIS no Server 2003 2003 Ser ver Enterprise Objetivo Ao término, você será capaz de: 1. Instalar e configurar um site usando o IIS 6.0 Configurando o IIS no Server 2003 Instalando e configurando o IIS 6.0 O IIS 6 é o aplicativo

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br

Segurança na Web. André Tavares da Silva. andre.silva@udesc.br Segurança na Web André Tavares da Silva andre.silva@udesc.br Propósito da Segurança A segurança não é usada simplesmente para proteger contra ataques diretos mas é essencial para estabelecer credibilidade/confiança

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções.

Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Acesse a página inicial do NET Antivírus + Backup : www.netcombo.com.br/antivirus. Teremos 3 opções. Esse box destina-se ao cliente que já efetuou o seu primeiro acesso e cadastrou um login e senha. Após

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI

Exercícios da Parte II: Segurança da Informação Walter Cunha PSI Exercícios da Parte II: Segurança da Informação Walter Cunha PSI 1. (CESGRANRIO/Analista BNDES 2008) NÃO é uma boa prática de uma política de segurança: (a). difundir o cuidado com a segurança. (b). definir

Leia mais

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações

Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Segurança da Informação Segurança de Redes Segurança de Sistemas Segurança de Aplicações Símbolos Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador) que tem uma determinada

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Março/2005 Prof. João Bosco M. Sobral

Março/2005 Prof. João Bosco M. Sobral Plano de Ensino Introdução à Segurança da Informação Princípios de Criptografia Segurança de Redes Segurança de Sistemas Símbolos: S 1, S 2,..., S n Um símbolo é um sinal (algo que tem um caráter indicador)

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Shavlik Protect. Guia de Atualização

Shavlik Protect. Guia de Atualização Shavlik Protect Guia de Atualização Copyright e Marcas comerciais Copyright Copyright 2009 2014 LANDESK Software, Inc. Todos os direitos reservados. Este produto está protegido por copyright e leis de

Leia mais

O Windows Server 2003 proporciona novos recursos e aprimoramentos em três áreas principais:

O Windows Server 2003 proporciona novos recursos e aprimoramentos em três áreas principais: 1. Introdução Os serviços do Microsoft Internet Information Server (IIS) 6.0 com o Windows Server 2003 fornecem recursos de servidor da Web integrados, confiáveis, escaláveis, seguros e administráveis

Leia mais

Conviso Security Training Ementa dos Treinamentos

Conviso Security Training Ementa dos Treinamentos Escritório Central Rua Marechal Hermes 678 CJ 32 CEP 80530-230, Curitiba, PR T (41) 3095.3986 www.conviso.com.br Conviso Security Training Ementa dos Treinamentos Apresentação Sobre este Documento Este

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

E-learning: O novo paradigma da educação e suas questões de segurança

E-learning: O novo paradigma da educação e suas questões de segurança E-Learning MBA Gestão de Sistemas de Informação Segurança na Informação Professor: Ly Freitas Grupo: Ferdinan Lima Francisco Carlos Rodrigues Henrique Andrade Aragão Rael Frauzino Pereira Renata Macêdo

Leia mais

1 Introdução. O sistema permite:

1 Introdução. O sistema permite: A intenção deste documento é demonstrar as possibilidades de aplicação da solução INCA Insite Controle de Acesso - para controle de conexões dia-up ou banda larga à Internet e redes corporativas de forma

Leia mais

Teste de Qualidade Web based para Banda Larga FAQs

Teste de Qualidade Web based para Banda Larga FAQs Teste de Qualidade Web based para Banda Larga FAQs Pergunta O que é o teste de velocidade? Quem é o público alvo? O que oferece? Como funciona? Por onde é o acesso? Resposta Um teste de qualidade de banda

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V

GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V GUIA DE INSTALAÇÃO NETDEEP SECURE COM HYPER-V 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Omega Tecnologia Manual Omega Hosting

Omega Tecnologia Manual Omega Hosting Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8

Leia mais

2) Demonstre a verificação da fraude no envio de um arquivo não sigiloso, porém autenticado, de A para B e alterado indevidamente por T.

2) Demonstre a verificação da fraude no envio de um arquivo não sigiloso, porém autenticado, de A para B e alterado indevidamente por T. Revisão para A1 Criptografia e Certificação Digital Legenda: A + - Chave Pública de A A - - Chave Privada de A s Chave Secreta MD5 Algoritmo de HASH MSG Mensagem de texto claro - Operação de comparação

Leia mais

MozyPro Guia do administrador Publicado: 2013-07-02

MozyPro Guia do administrador Publicado: 2013-07-02 MozyPro Guia do administrador Publicado: 2013-07-02 Sumário Prefácio: Prefácio...vii Capítulo 1: Apresentação do MozyPro...9 Capítulo 2: Noções básicas sobre os Conceitos do MozyPro...11 Noções básicas

Leia mais

Conceitos de Segurança em Sistemas Distribuídos

Conceitos de Segurança em Sistemas Distribuídos Conceitos de Segurança em Sistemas Distribuídos Francisco José da Silva e Silva Laboratório de Sistemas Distribuídos (LSD) Departamento de Informática / UFMA http://www.lsd.ufma.br 30 de novembro de 2011

Leia mais

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Conceitos de segurança da informação. Prof. Nataniel Vieira nataniel.vieira@gmail.com Conceitos de segurança da informação Prof. Nataniel Vieira nataniel.vieira@gmail.com Introdução A infraestrutura de rede, os serviços e dados contidos nos computadores ligados a ela são bens pessoais,

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Introdução aos Sistemas de Informações

Introdução aos Sistemas de Informações Introdução aos Sistemas de Informações Módulo 6 Segurança da TI Por que os Controles São Necessários Os controles são necessários para garantir a qualidade e segurança dos recursos de hardware, software,

Leia mais

Voz em ambiente Wireless

Voz em ambiente Wireless Voz em ambiente Wireless Mobilidade, acesso sem fio e convergência são temas do momento no atual mercado das redes de comunicação. É uma tendência irreversível, que vem se tornando realidade e incorporando-se

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx Visão geral da privacidade WebEx As soluções on-line ajudam a permitir que os funcionários globais e as equipes virtuais se reúnam e colaborarem em tempo real como se estivessem trabalhando na mesma sala.

Leia mais

PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION

PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION PRIMEIROS PASSOS NO CRACKIT MEDIUM VERSION Parabéns por instalar o CRACKIT MV! Agora chegou a hora de configurá-lo e administrá-lo. Todo o ambiente de administração do CRACKIT MV é web, ou seja via Browser

Leia mais

Aumentando a Segurança e a Privacidade da sua Organização com o Internet Explorer 8

Aumentando a Segurança e a Privacidade da sua Organização com o Internet Explorer 8 8 Aumentando a Segurança e a Privacidade da sua Organização com o Internet Explorer 8 Abril de 2009 Versão 1.0 Sumário: O navegador da Web é a principal interface que os usuários têm com a rede. Por esse

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1

Blinde seu caminho contra as ameaças digitais. Manual do Produto. Página 1 ] Blinde seu caminho contra as ameaças digitais Manual do Produto Página 1 O Logon Blindado é um produto desenvolvido em conjunto com especialistas em segurança da informação para proteger os clientes

Leia mais

Implementar servidores de Web/FTP e DFS. Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc.

Implementar servidores de Web/FTP e DFS. Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc. Implementar servidores de Web/FTP e DFS Disciplina: Serviços de Redes Microsoft Professor: Fernando Santorsula fernando.santorsula@esamc.br Conteúdo programático Introdução ao protocolo HTTP Serviço web

Leia mais

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4. Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX

GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX GUIA DE INSTALAÇÃO NETDEEP SECURE COM VIRTUAL BOX NETDEEP SECURE COM VIRTUAL BOX 1- Visão Geral Neste manual você aprenderá a instalar e fazer a configuração inicial do seu firewall Netdeep Secure em um

Leia mais

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall

www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício AULA 09 Firewall www.projetoderedes.com.br Gestão da Segurança da Informação Professor: Maurício O que é Firewall Um Firewall é um sistema para controlar o aceso às redes de computadores, desenvolvido para evitar acessos

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação.

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. AULA 5 OBJETIVOS EM SEGURANÇA DA INFORMAÇÃO Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. Podemos listar como

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007

Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps. Artigo do Google escrito em fevereiro de 2007 Análise abrangente de proteções de vulnerabilidade e segurança para o Google Apps Artigo do Google escrito em fevereiro de 2007 Segurança do Google Apps PARA OBTER MAIS INFORMAÇÕES On-line: www.google.com/a

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

KM-NET for Accounting. Guia de Operação

KM-NET for Accounting. Guia de Operação KM-NET for Accounting Guia de Operação Informações legais e gerais Aviso É proibida a reprodução não autorizada deste guia ou parte dele. As informações neste guia estão sujeitas a alterações sem aviso

Leia mais

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

Guia do Usuário Administrativo Bomgar 10.2 Enterprise Guia do Usuário Administrativo Bomgar 10.2 Enterprise Índice Introdução 2 Interface administrativa 2 Status 2 Minha conta 3 Opções 3 Equipes de suporte 4 Jumpoint 5 Jump Clients 6 Bomgar Button 6 Mensagens

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

Controlando o tráfego de saída no firewall Netdeep

Controlando o tráfego de saída no firewall Netdeep Controlando o tráfego de saída no firewall Netdeep 1. Introdução Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é

Leia mais

Manual de utilização do STA Web

Manual de utilização do STA Web Sistema de Transferência de Arquivos Manual de utilização do STA Web Versão 1.1.7 Sumário 1 Introdução... 3 2 Segurança... 3 2.1 Autorização de uso... 3 2.2 Acesso em homologação... 3 2.3 Tráfego seguro...

Leia mais

WEBMAIL Política de Uso Aceitável

WEBMAIL Política de Uso Aceitável WEBMAIL Política de Uso Aceitável Bem-vindo ao Correio Eletrônico da UFJF. O Correio Eletrônico da UFJF (Correio-UFJF) foi criado para ajudá-lo em suas comunicações internas e/ou externas à Universidade.

Leia mais

jshield Uma Proposta para Segurança de Aplicações Web

jshield Uma Proposta para Segurança de Aplicações Web jshield Uma Proposta para Segurança de Aplicações Web Márcio A. Macêdo¹, Ricardo G. Queiroz¹ ¹Centro de Ensino Unificado de Teresina (CEUT) Teresina, PI Brasil. marcioalmeida@ceut.com.br, ricardoqueiroz@ieee.org

Leia mais