Cartilha de Desenvolvimento Seguro

Tamanho: px
Começar a partir da página:

Download "Cartilha de Desenvolvimento Seguro"

Transcrição

1 Cartilha de Desenvolvimento Seguro Alexandre Vargas Amador e Fausto Levandoski¹ 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, São Leopoldo RS Brasil {Alexandre.amador e Neste trabalho apresentaremos a 2011 CWE/SANS Top 25 Most Dangerous Software Errors, uma lista com os 25 erros de programação mais perigosos que podem levar ao desenvolvimento de aplicações vulneráveis. A lista é o resultado da colaboração entre o SANS Institute, MITRE, e muitos especialistas em segurança de software. [1] CWE-89: Neutralização imprópria de elementos especiais usados em um comando SQL ("SQL Injection ) Explicação: As sintaxe de SQL em campos de coleta de dados, pode causar entradas inesperadas que são interpretados como comandos de SQL, em vez de dados de usuários comuns. Isto pode ser usado para alterar a lógica de consulta para contornar as verificações de segurança, ou ainda inserir declarações adicionais que modificam a base de dados, possivelmente incluindo a execução de comandos do sistema. A falha depende do fato que o SQL não faz nenhuma distinção sobre os controles de dados. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade e integridade, porém um dos maiores impactos dessa vulnerabilidade é no controle de acesso, obtendo informações sensíveis para o negócio da empresa. Dicas para Mitigação: 1. Utilizar bibliotecas ou estrutura para evitar esse ponto fraco. 2. Elaborar critérios de privilégios para executar o código para realizar as tarefas necessárias. Se possível, criar contas isoladas com privilégios limitados que são utilizados apenas para uma única tarefa. Dessa forma, um ataque bem sucedido não irá imediatamente permitir o acesso do atacante para o resto do software ou seu ambiente. Por exemplo, aplicativos de banco de dados raramente precisam para executar como o administrador de banco de dados, especialmente no dia-a-dia das operações. 3. Ajustar o código para que seja realizada a validação de dados de entrada, evitando a injeção de argumento, onde tais características podem estar disponíveis no banco de dados ou na linguagem de programação. Fonte:

2 [2] CWE-78: Neutralização imprópria de elementos especiais usados em um comando do sistema operacional ('Command Injection OS') Explicação: A construção parcial ou completa de um comando de OS utilizando a entrada de um componente, mas sem neutralizar elementos especiais que possam modificar o comando OS. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade, integridade, disponibilidade e não repúdio. Os atacantes podem executar comandos não autorizados, o que poderia então ser usado para desabilitar o software, ou ler e modificar os dados para qual o atacante não tem permissões de acesso direto. Dicas para Mitigação: 1. Se possível, bibliotecas usar chamadas ao invés de processos externos para recriar a funcionalidade desejada. 2. Se o programa a ser executado permite que os argumentos sejam especificados em um arquivo de entrada ou da entrada padrão, então considere o uso que o modo passar argumentos em vez de linha de comandos. 3. Use cumprimento da política de tempo de execução para criar uma whitelist de comandos permitidos, assim evitando o uso de qualquer comando que não apareça na whitelist. Tecnologias como o AppArmor estão disponíveis, e possui outras ferramentas que podem fazer isto. Fonte: [3] CWE-120: Cópia do buffer sem verificação do tamanho da entrada ("Classic Buffer Overflow ) Explicação: O programa copia um buffer de entrada para um buffer de saída sem verificar se o tamanho do buffer de entrada é menor que o tamanho do buffer de saída, levando a um estouro de buffer. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, a confidencialidade, integridade e disponibilidade, onde buffer overflows, muitas vezes pode ser usada para executar código arbitrário, que normalmente é fora do âmbito da política de um programa de segurança implícita. Isso muitas vezes pode ser usado para subverter qualquer serviço de segurança. 1. Executar ou compilar o seu software usando recursos ou extensões que fornecem automaticamente um mecanismo de proteção que reduz ou elimina um buffer overflow.

3 2. Usar o recurso como Adress Space Layout Randomization (ASLR). Apesar de que está solução não ser completa, no entanto ele força o atacante adivinhar um valor desconhecido que muda a cada execução do programa. 3. Usar um sistema de CPU de operacional que oferece Proteção de Dados de execução (NX), ou seu equivalente. Está solução não é completa, uma vez que o buffer overflow pode ser usado para substituir as variáveis nas proximidades para modificar o estado do software de forma perigosa. Além disso, não pode ser usado em casos em que a auto modificação do código é necessária. Finalmente, um ataque pode ainda causar uma negação de serviço, uma vez que a resposta típica é para sair do aplicativo. Fonte: [4] CWE-79: Neutralização imprópria de entrada durante geração da página Web ("Cross-site Overflow ) Explicação: O software não neutraliza entrada de usuários antes de ser colocado na saída, onde é usado como uma página web que é servido para outros usuários, por exemplo: vulnerabilidades no Cross-site scripting (XSS). Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade), assim como, no controle de acesso, um dos ataques mais comuns realizada com cross-site scripting envolve a divulgação de informações armazenadas nos cookies do usuário. Normalmente, um usuário mal intencionado irá criar um script de cliente, que quando analisado por um navegador web, realizando uma atividade, como por exemplo, o envio de todos os cookies do site para um determinado endereço de e- mail. Dicas de mitigação: 1. Quando um conjunto de objetos aceitáveis, tais como nomes de arquivos ou URLs, é limitado ou conhecido, criar um mapeamento de um conjunto de valores de entrada fixos (tais como numérico IDs) para os nomes reais ou URLs, e rejeitar todas as outras entradas. 2. Utilizar um firewall de aplicativo que pode detectar ataques desse tipo. Pode ser benéfico nos casos em que o código não pode ser corrigido (porque é controlado por um terceiro). 3. Se você estiver usando PHP, configure seu aplicativo para que ele não use register_globals. Durante a implementação, desenvolva o aplicativo para que ele não dependa desse recurso. Fonte:

4 [5] CWE-306: Falta de autenticação para função crítica Explicação: O software não realiza nenhuma autenticação para a funcionalidade que requer uma identidade de usuário ou consome uma quantidade significativa de recursos, sem a necessidade. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade) em relação ao acesso de controle. Criando essa vulnerabilidade de uma funcionalidade crítica fornecendo essencialmente um atacante com o nível de privilégio dessa funcionalidade. As conseqüências dependerão da funcionalidade associada, mas eles podem variar de ler ou modificar os dados sensíveis, o acesso a funcionalidades administrativas ou doutros privilégios, assim como possivelmente até mesmo a execução de código arbitrário. 1. Utilizar uma biblioteca que vete ou uma estrutura que não permita que essa vulnerabilidade para ocorrer ou fornecer construções que fazem esta fraqueza fácil de evitar. Por exemplo, considerar o uso de bibliotecas com recursos de autenticação, como OpenSSL ou o Autenticador ESAPI. 2. Para as verificações de segurança que são executadas no lado do cliente, para garantir que esse controle seja duplicado no lado do servidor, a fim de evitar outras vulnerabilidades. Os atacantes podem ignorar as verificações do lado do cliente, modificando os valores após dos controles, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 3. Sempre que possível, evitar a implementação de rotinas de autenticação personalizada e considerar o uso de recursos de autenticação, tal como previsto pela estrutura envolvente, sistema operacional ou ambiente. Este pode tornar mais fácil para fornecer uma separação clara entre as tarefas de autenticação e autorização tarefas. Em ambientes como a WEB (World Wide Web), a linha entre autenticação e autorização às vezes é turva. Se rotinas de autenticação personalizadas são necessárias, então essas rotinas devem ser aplicadas a cada página, uma vez que estas páginas podem ser solicitadas diretamente. Fonte: [6] CWE-862: Falta de autorização Explicação: O software não executa uma verificação de autorização quando um usuário tenta acessar um recurso ou executar uma ação. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade) em relação ao acesso de controle, onde um atacante poderia ler dados sensíveis, explorando essa vulnerabilidade, seja pela leitura dos dados diretamente

5 de um armazenamento que não se restringe, ou acessando através de funcionalidades que não são insuficientemente protegidos. 1. Durante o processo de Instalação e configuração do sistema, usar os recursos de controles de acessos do sistema operacional e nos servidores, definindo suas listas de controle de acesso em conformidade. Usando a regra "default deny" política ao definir essas ACLs. 2. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. Por exemplo, considerar frameworks de autorização, tais como a estrutura de autorização JAAS [R.862.5] e o OWASP ESPAI recursos de Controle de Acesso [R.862.4]. 3. Também na fase de arquitetura e design dividir sua aplicação por áreas privilegiadas, tais como anônima, normal e administrativa. Reduzir os ataques com o mapeamento de acesso, de acordo com os cargos e funcionalidades no sistema. Fonte: [7] CWE-798: Uso de Credenciais Hard-coded Explicação: O que contém credenciais "hard-coded", tais como uma senha ou chave de criptografia, que utiliza sua própria autenticação de entrada, a comunicação de saída para componentes externos, ou criptografia de dados internos. Conseqüência: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). Se usadas as senha "hard-coded", é quase certa que usuários mal-intencionados vão ganhar acesso à conta em questão, esta vulnerabilidade pode levar à exposição de recursos ou funcionalidade para os ataques, possivelmente oferecendo informações confidenciais ou até mesmo executar códigos arbitrários. 1. Para autenticação de entrada: Ao invés de embutir um nome de usuário e a senha padrão, uma chave ou outras credenciais de autenticação para logins primeira vez, utilizar um "primeiro login" modalidade que solicita para o usuário digite uma senha exclusiva e forte ou chave. 2. Se o software contenha credenciais "hard-coded", que sejam realizadas verificações de controle de acesso e limitar quais entidades podem acessar o recurso que requer as credenciais "hard-coded". Por exemplo, um recurso pode ser ativado através do console do sistema, em vez de uma conexão de rede. 3. Para a autenticação usando senhas de entradas: aplique "one-way" hashes para armazenas suas senhas e os hashes no arquivo de configuração ou em um banco de dados com controle de acesso adequado. Ao manusear uma senha de entrada durante a

6 autenticação, pegue o hash da senha e compare com o hash salvo, com isso, diminuir a possibilidade de um ataque por força bruta. Fonte: [8] CWE-311: Falta de criptografia de dados sensíveis Explicação: O software não criptografa informações sensíveis ou críticas antes do armazenamento ou transmissão. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Integridade). Se o aplicativo não usar um canal seguro, como o SSL, para trocar as informações sensíveis, é possível um atacante com acesso ao tráfego de rede capturar os pacotes e descobrir os dados. 1. Na fase de requisições especificar claramente quais os dados ou recursos é valiosos o suficiente para que eles sejam protegidos por criptografia, de forma que exija que qualquer transmissão ou armazenamento de dados / recursos deve usar algoritmos de criptografia bem controlados. 2. Durante a etapa de arquitetura e design prover que as áreas de segurança sejam claramente desenhadas obtendo um sistema "seguro" e estes passos é essencial para a prevenção de ataques comuns. Não permitindo que dados sensíveis para ir para fora do perímetro de confiança e sempre terem cuidado ao fazer uma interface com uma sessão fora desse perímetro seguro. 3. Na implementação procurar usar convenções de nomenclaturas e de tipos fortes para torná-los mais fácil de detectar quando os dados sensíveis estão sendo usado. Ao criar estruturas, objetos ou outras entidades complexas, separando os dados sensíveis e não sensíveis, tanto quanto possível. Fonte: [9] CWE-434: Upload sem controle do tipo de arquivo Explicação: Determinadas aplicações web permitem o upload de arquivos, como arquivos de imagem para um site, mas este não faz o controle do tipo de arquivos que está recebendo. Conseqüência: Um atacante poderia fazer o upload de algum rootkit e obter acesso não só aos arquivos do site em questão mas também do servidor onde este está hospedado. 1. Criar mecanismos de controle dos arquivos que o site está recebendo. 2. Impedir que arquivos com extensões não permitidas sejam enviados.

7 [10] CWE-807: Dependência de entrada não segura Explicação: A aplicação usa um mecanismo de proteção que depende a existência ou valores de uma entrada, mas a entrada pode ser modificada por um usuário não confiável de uma forma que ignore esses mecanismos de proteção. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade e Controle de acesso) Os atacantes podem ignorar a decisão de acesso seguro. As conseqüências dependerão da funcionalidade associada. Em última instância, essa vulnerabilidade pode levar à exposição ou modificação de dados sensíveis, falhas de sistemas, ou execução de código arbitrário. 1. Na etapa de arquitetura e design, usar uma biblioteca vetada ou estrutura que não permita que essa vulnerabilidade venha ocorrer ou forneça construções mais fáceis de evitar essa fraqueza. Com um protocolo sem estado, como HTTP, use uma estrutura que mantém o estado para você. Exemplos incluem ASP.NET estado de exibição [R.807.3] e o OWASP ESAPI [R.807.4] recurso de gerenciamento de sessão. Tendo cuidado com recursos de linguagem que forneçam apoio ao estado, uma vez que estes podem ser fornecidos como uma conveniência para o programador e não pode ser considerado como seguro. 2. Também na fase de arquitetura e design realizar as verificações de segurança que são executadas no lado do cliente, garantir que esse controle seja duplicado no lado do servidor, a fim de evitar CWE-602. Atacantes podem ignorar as verificações do lado do cliente, modificando os valores após os controles forem efetuados, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 3. Já na fase de operação e implementação, se estiver utilizando PHP, configurar o aplicativo para que ele não use register_globals". Durante a implementação, desenvolva seu aplicativo para que ele não com esse recurso. Fonte: [11] CWE-250: Execução com privilégios desnecessários Explicação: O software realiza uma operação em um nível de privilégio que é superior ao nível mínimo exigido, o que cria novas vulnerabilidades ou amplia as conseqüências de outras fraquezas. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). Um atacante será capaz de obter acesso a qualquer recurso que são permitidos pelos privilégios extras. Resultados comuns incluem a execução de código, desabilitando serviços, e leitura de dados restritos.

8 1. Na fase de implementação realizar a validação de entrada extensiva para todo o código privilegiado que devem ser expostos para o usuário e rejeitar qualquer coisa que não se encaixam nos seus requisitos rigorosos. 2. Na etapa de estratégia é importante garantir que o seu software seja executado corretamente sob a configuração FDCC (Federal Desktop Core) [R.250.4] ou um equivalente guia de configuração, o que muitas organizações usam para limitar a superfície de ataque e risco potencial do software implantado. 3. Quando você tira os privilégios, garantindo acesso indevido evitando um CWE-273, a implementação de mecanismos de proteção no ambiente irá ajudar a fortalecer, neste procedimento e nos mecanismos de proteção. Fonte: [12] CWE-352: Pedido falso no Cross-Site (CSRF Cross-Site Request Forgery) Explicação: A aplicação web pode ou não, verificar o pedido se é válido, da qual as informações fornecidas consistente pelo usuário. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). As conseqüências podem variar dependendo da natureza da funcionalidade que é vulnerável a CSRF. Um invasor pode efetivamente realizar operações como a vítima. Se a vítima for um administrador ou usuário privilegiado, as conseqüências podem incluir a obtenção de total controle sobre a aplicação web, apagar ou roubar dados, desinstalar o produto, ou usá-lo para executar outros ataques contra todos os usuários do produto. Porque o atacante tem a identidade da vítima, o escopo de CSRF é limitado apenas pelos privilégios da vítima. 1. Garantir que seu aplicativo está livre de problemas de cross-site scripting (CWE-79), porque a maioria das defesas CSRF pode ser contornada utilizando um ataque de controle via script. 2. Verifique o cabeçalho "HTTP Referer" para ver se a solicitação foi originada a partir de uma página esperada. Isso poderia interromper a funcionalidade legítima, porque os usuários ou proxies pode ter desabilidade o envio "Referer" por razões de privacidade. 3. Não use o método "GET" para qualquer pedido que desencadeie uma mudança de estado. Fonte: [13] CWE-22: Limitação imprópria para o path de um diretório restrito ( Path Traversal ) Explicação: O software usa a entrada externa para construir um caminho que se destina a identificar um arquivo ou diretório que está localizado sob um diretório pai restrito, mas o

9 software não neutraliza corretamente os elementos especiais dentro do caminho que pode causar acesso de um local que está fora do diretório restrito. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). O invasor pode ser capaz de criar ou substituir arquivos críticos que são usados para executar código, tais como programas ou bibliotecas. 1. Na fase de arquitetura e design realizar as verificações de segurança que são executadas no lado do cliente, garantir que esse controle seja duplicado no lado do servidor, a fim de evitar CWE-602. Atacantes podem ignorar as verificações do lado do cliente, modificando os valores após os controles forem efetuados, ou alterando o cliente para remover as verificações do lado do cliente por completo. Então, esses valores modificados seriam enviados para o servidor. 2. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. 3. Usar um firewall de aplicativo que pode detectar ataques contra esta vulnerabilidade. Pode ser benéfico nos casos em que o código não pode ser corrigido (por ser controlado por um terceiro), como medida de prevenção de emergência, quando mais medidas de garantia de software abrangentes são aplicados, ou para fornecer uma maior defesa. Fonte: [14] CWE-494: Download de código sem verificação de integridade Explicação: O download de código fontes ou um executável a partir de um local remoto e executá-lo, sem verificar suficientemente a origem e a integridade do código. Conseqüências: Execução de código não confiável pode comprometer o fluxo de controle do programa. O código não confiável pode atacar executando comandos controlados, ler ou modificar recursos sensíveis, ou impedir que o software funcione corretamente para os usuários legítimos. 1. Realizar a instalação de DNS reverso para pesquisar e detectar DNS falsos. 2. Criptografar o código com um esquema de criptografia confiável antes de transmitir. 3. Executar o seu código usando os privilégios menores que são necessários para realizar as tarefas necessárias [R.494.7]. Se possível, criar contas de isolados com privilégios limitados que são usadas apenas para uma única tarefa. Dessa forma, um ataque bem sucedido não irá imediatamente permitir o acesso ao atacante para o resto do software ou ao seu ambiente. Por exemplo, aplicativos de banco de dados raramente precisam

10 para executar como o administrador de banco de dados, especialmente no dia-a-dia das operações. Fonte: [15] CWE-863: Autorização incorreta Explicação: O software realiza verificação de autorização quando um usuário tenta acessar um recurso ou executar uma ação, mas não executa corretamente a verificação. Isso permite que o atacante possa contornar as restrições de acesso pretendido. Conseqüências: Um invasor poderia ler dados sensíveis, seja pela leitura dos dados diretamente de um armazenamento de dados que não está corretamente restrito, ou acessando funcionalidades com insuficiência de proteção no privilégio de ler os dados. 1. Na fase de arquitetura e design usar uma biblioteca vetada ou estruturas que não permite que essa fraqueza possa ocorrer ou fornecer construções que evitem essa vulnerabilidade. Por exemplo, considerar frameworks de autorização, tais como a estrutura de autorização JAAS [R.863.4] e o OWASP ESPAI recursos de Controle de Acesso [R.863.5]. 2. Certificar-se de executar verificações de controle de acesso relacionadas com a sua lógica de negócios. Esta verificação pode ser diferente do que as verificações de controle de acesso que você aplica a recursos mais genéricos, como arquivos, conexões, processos, memória e registros médicos para um usuário de banco de dados específico, mas cada registro só poderia ser destinado a ser acessível para o paciente e o médico do paciente, por exemplo. 3. Usar os recursos de controle de acesso de seu sistema operacional e ambiente de servidor para definir suas listas de controle de acesso em conformidade. Use "default deny" como política ao definir essas ACLs. Fonte: [16] CWE-829: Inclusão de funcionalidade de um ambiente não confiável Explicação: É uma forma bastante comum de desenvolvimento de software a divisão deste em programas menores. Um exemplo é o uso de include. Conseqüência: Um atacante que tenha domínio sobre o servidor poderia alterar um ou mais arquivos fazendo com que a aplicação não se comporte de maneira adequada.

11 1. Evitar o uso de include ou require no aplicativo. 2. Uso de hash, [17] CWE-732: Atribuição incorreta de permissão para um recurso crítico Explicação: O software permissões especifica para um recurso de segurança crítica de uma forma que permite que o recurso a ser lido ou alterado por usuários mal-intencionados. Conseqüências: Um invasor pode ser capaz de ler informações sensíveis a partir de recurso associado, tais como, credenciais ou informações de configuração armazenadas em um arquivo. 1. Para todos os arquivos de configuração, executáveis e bibliotecas, certifique-se que eles são apenas lidos e escritos pelo administrador do software. 2. Não há sugestões para alterações de configuração insegura em sua documentação, especialmente se essas configurações podem estender aos recursos e outros softwares que estão fora do escopo de seu próprio software. 3. O administrador do sistema deverá alterar manualmente as configurações automáticas para as configurações que são recomendas para o manual. Fonte: [18] CWE-676: Uso de função potencialmente perigosa Explicação: O programa chama uma função potencialmente perigosa que pode criar uma vulnerabilidade se for usado incorretamente, mas também pode ser usado de modo seguro. Conseqüências: Se a função é usada de forma incorreta, então isso pode resultar em problemas de segurança impactando no CID (Confidencialidade, Integridade e Disponibilidade). Dicas de Mitigação: 1. Identificar uma lista de funções API proibido e proibir os desenvolvedores de usar essas funções, oferecendo alternativas mais seguras. Em alguns casos, ferramentas de análise automática de código ou o compilador pode ser instruído para detectar uso de funções proibida, como o "banned.h" incluído no arquivo de SDL da Microsoft [R.676.1] [R.676.2]. Fontes: [19] CWE-327: Uso de algoritmos criptográficos quebrados

12 Explicação: O uso de um algoritmo de criptografia quebrada é um risco desnecessário que pode resultar na exposição de informações confidenciais. Conseqüências: Impacto nas propriedades de Segurança da Informação, tais como, o CID (Confidencialidade, Integridade e Disponibilidade). A confidencialidade de dados sensíveis pode ser comprometida pelo uso de um algoritmo criptográfico quebrado. A integridade de dados sensíveis pode ser comprometida pelo uso de um algoritmo criptográfico quebrado. Pode ter consequências de não-repúdio, se o algoritmo de criptografia é usado para garantir a identidade da fonte dos dados (tais como assinaturas digitais), em seguida, um algoritmo quebrado vai comprometer este regime e da fonte dos dados não pode ser provada. 1. O design do software deve ser de modo que você pode substituir um algoritmo criptográfico com o outro. Isto tornará mais fácil de atualizar para algoritmos mais fortes. 2. Cuidadosamente gerenciar e proteger chaves criptográficas (ver CWE-320). Se as chaves podem ser adivinhado ou roubado, então a força da criptografia em si é irrelevante. 3. Usar uma biblioteca vetada ou estrutura que não permite que essa vulnerabilidade venha ocorrer ou que forneça construções que fazem essa fraqueza mais fácil de evitar, nesse caso, há alguns padrões (procedimentos) de implementações que vai lhe poupar tempo de desenvolvimento e podem ser mais propensos a evitar erros que podem ocorrer durante a implementação de algoritmos criptográficos. Considerar o recurso de criptografia ESAPI. Fonte: [20] CWE-131: Cálculo Incorreto do tamanho do Buffer. Explicação: O software calcula incorretamente o tamanho da atribuição de um buffer, o que poderia levar a um estouro de buffer. Conseqüências: Se o cálculo incorreto é usado no contexto de alocação de memória, então o software pode criar um reserva que é menor ou maior do que o esperado. Se o buffer alocado é menor do que esperado, isso poderia levar a um "out-of-bounds" (fora dos limites) ao ler ou escrever (CWE-119), possivelmente causando uma falha permitindo a execução de código arbitrário, ou exposição de dados sensíveis. Dicas de mitigação: 1. Substituir as funções de cópia ilimitada com funções analógicas que suportam argumentos comprimentos, tais como "strcpy com strncpy". 2. Usar "sizeof()" do tipo de dados adequado para evitar a CWE Usar um recurso como Address Space Layout Randomization (ASLR). [R.131.3]e[R.131.5].

13 [21] CWE-307: Restrição imprópria de tentativas de autenticação Explicação: O software não implementa medidas suficientes para evitar tentativas múltiplas de autenticação, e falha dentro de um curto espaço de tempo, tornando-o mais suscetível a ataques de força bruta. Conseqüências: Um atacante poderia executar um número arbitrário de tentativas de autenticação usando senhas diferentes, e eventualmente ter acesso à conta de alvo. 1. Mecanismos de proteção comuns que incluem (Desconectar o usuário após um pequeno número de tentativas falhadas, Implementação de um tempo limite, o bloqueio de uma conta de alvo, exigindo uma tarefa computacional por parte do usuário). 2. Usar uma biblioteca fechada ou estrutura que não permite que essa vulnerabilidade possa ocorrer. Considerando o uso de bibliotecas com recursos de autenticação, como OpenSSL ou Authenticator ESAPI. [R.307.1]. 3. Bloquear o endereço Ip após um número de tentativas mal sucedidas. [22] CWE-601: Redirecionamento de URL para o site não confiável ( Open Redirect ) Explicação: Uma aplicação web aceita uma entrada controlada pelo usuário que especifica um link para um site externo, e usa esse link em um Redirect. Isto simplifica a ataques de phishing. Conseqüências: O usuário pode ser submetido a ataques de phishing sendo redirecionado para uma página não confiável. O ataque de phishing pode apontar para uma página web atacante controlado que parece ser um site confiável. Os phishers podem então roubar as credenciais do usuário e depois usar essas credenciais para acessar o site legítimo. 1. Use uma página de aviso intermediária que fornece ao usuário um aviso claro de que eles estão deixando o seu site. Implementar um tempo limite de tempo antes do redirecionamento, ou forçar o usuário a clicar sobre o link. Tenha cuidado para evitar problemas de XSS (CWE-79) ao gerar a página de aviso. 2. Use um firewall de aplicativo que pode detectar ataques contra esta vulnerabilidade. Pode ser benéfico nos casos em que o código não pode ser corrigido (porque é controlado por um terceiro), como medida de prevenção de emergências, enquanto que mais medidas de garantia de software abrangente são aplicadas, ou para fornecer maior defesa. 3. Compreender todas as possíveis áreas onde as entradas não confiáveis podem digitar o seu software: parâmetros ou argumentos, cookies, nada de ler a partir da rede, variáveis de ambiente, consultas de DNS reverso, os resultados da consulta, cabeçalhos de solicitação, componentes de URL, , arquivos, nomes de arquivos, bancos de dados e

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos

Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Kaspersky Anti-Virus 2013 Kaspersky Internet Security 2013 Lista de novos recursos Sumário Visão geral de novos recursos 2 Instalação, ativação, licenciamento 2 Internet Security 3 Proteção Avançada 4

Leia mais

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança 3 SERVIÇOS IP 3.1 Serviços IP e alguns aspectos de segurança Os serviços IP's são suscetíveis a uma variedade de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade

Leia mais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais

ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais ADOBE FLASH PLAYER 10.3 Gerenciador de configurações locais PRERELEASE 03/07/2011 Avisos legais Avisos legais Para consultar avisos legais, acesse o site http://help.adobe.com/pt_br/legalnotices/index.html.

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Manual do PolicyKit-kde. Daniel Nicoletti Tradução: Luiz Fernando Ranghetti

Manual do PolicyKit-kde. Daniel Nicoletti Tradução: Luiz Fernando Ranghetti Daniel Nicoletti Tradução: Luiz Fernando Ranghetti 2 Conteúdo 1 Resumo 5 2 Como funciona 6 2.1 Resumo............................................ 6 2.2 O problema.........................................

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx

seguras para administradores de organizadores do site Cisco WebEx Melhores práticas para reuniões Visão geral da privacidade WebEx Visão geral da privacidade WebEx As soluções on-line ajudam a permitir que os funcionários globais e as equipes virtuais se reúnam e colaborarem em tempo real como se estivessem trabalhando na mesma sala.

Leia mais

Planejando uma política de segurança da informação

Planejando uma política de segurança da informação Planejando uma política de segurança da informação Para que se possa planejar uma política de segurança da informação em uma empresa é necessário levantar os Riscos, as Ameaças e as Vulnerabilidades de

Leia mais

Políticas de Segurança de Sistemas

Políticas de Segurança de Sistemas Políticas de Segurança de Sistemas Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira Estudo de Boletins de Segurança O que é um boletim de segurança? São notificações emitidas pelos fabricantes

Leia mais

Ameaças e Contramedidas de Host

Ameaças e Contramedidas de Host Prof. Hederson Velasco Ramos Prof. Henrique Jesus Quintino de Oliveira quintino@umc.br Fonte: http://www.antispam.br/ Monitoramento (PortScan) Exemplos de monitoramento são varreduras de porta, varredura

Leia mais

Privacidade.

Privacidade. <Nome> <Instituição> <e-mail> Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua

Leia mais

Lista de Erros Discador Dial-Up

Lista de Erros Discador Dial-Up Lista de Erros Discador Dial-Up Erro Código Descrição Ok 1 Usuário autenticado com sucesso e conexão encerrada pelo usuário OK 11 Usuário autenticado com sucesso e discador terminado pelo usuário OK 21

Leia mais

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel

Software de gerenciamento do sistema Intel. Guia do usuário do Pacote de gerenciamento do servidor modular Intel Software de gerenciamento do sistema Intel do servidor modular Intel Declarações de Caráter Legal AS INFORMAÇÕES CONTIDAS NESTE DOCUMENTO SÃO RELACIONADAS AOS PRODUTOS INTEL, PARA FINS DE SUPORTE ÀS PLACAS

Leia mais

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças

Segurança em PHP. Márcio Pessoa. Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Segurança em PHP Desenvolva programas PHP com alto nível de segurança e aprenda como manter os servidores web livres de ameaças Márcio Pessoa Novatec capítulo 1 Conceitos gerais No primeiro capítulo serão

Leia mais

Quais tipos de informações nós obteremos para este produto

Quais tipos de informações nós obteremos para este produto Termos de Uso O aplicativo Claro Facilidades faz uso de mensagens de texto (SMS), mensagens publicitárias e de serviços de internet. Nos casos em que houver uso de um serviço tarifado como, por exemplo,

Leia mais

Verificação em duas etapas.

Verificação em duas etapas. <Nome> <Instituição> <e-mail> Verificação em duas etapas Agenda Senhas Verificação em duas etapas Principais tipos e cuidados a serem tomados Outros cuidados Créditos Senhas (1/4) Servem para autenticar

Leia mais

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões

Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Kaspersky Security Center 10 SP1 (KSC 10 SP1) Como criar Exclusões Regras de exclusão são grupos de condições que o Kaspersky Endpoint Security utiliza para omitir um objeto durante uma varredura (scan)

Leia mais

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA

PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA PROJETO INTEGRADOR LUIZ DAVI DOS SANTOS SOUZA Os serviços IP's citados abaixo são suscetíveis de possíveis ataques, desde ataques passivos (como espionagem) até ataques ativos (como a impossibilidade de

Leia mais

OBJETIVO DA POLÍTICA DE SEGURANÇA

OBJETIVO DA POLÍTICA DE SEGURANÇA POLÍTICA DE SEGURANÇA DIGITAL Wagner de Oliveira OBJETIVO DA POLÍTICA DE SEGURANÇA Hoje em dia a informação é um item dos mais valiosos das grandes Empresas. Banco do Brasil Conscientizar da necessidade

Leia mais

Aula 12 Lista de verificação de segurança para o Windows 7

Aula 12 Lista de verificação de segurança para o Windows 7 Aula 12 Lista de verificação de segurança para o Windows 7 Use esta lista de verificação para ter certeza de que você está aproveitando todas as formas oferecidas pelo Windows para ajudar a manter o seu

Leia mais

Que informações nós coletamos, e de que maneira?

Que informações nós coletamos, e de que maneira? Política de Privacidade Vivertz Esta é a política de privacidade da Affinion International Serviços de Fidelidade e Corretora de Seguros Ltda que dispõe as práticas de proteção à privacidade do serviço

Leia mais

Códigos Maliciosos.

Códigos Maliciosos. <Nome> <Instituição> <e-mail> Códigos Maliciosos Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente desenvolvidos para executar

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Quanto mais informações você disponibiliza na Internet, mais difícil se torna preservar a sua privacidade Nada impede que você abra mão de sua privacidade e, de livre e espontânea

Leia mais

Atualização deixa Java mais seguro, mas ainda é melhor desativar

Atualização deixa Java mais seguro, mas ainda é melhor desativar Atualização deixa Java mais seguro, mas ainda é melhor desativar seg, 21/01/13 por Altieres Rohr Segurança Digital Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime,

Leia mais

Java e JavaScript. Krishna Tateneni Tradução: Lisiane Sztoltz

Java e JavaScript. Krishna Tateneni Tradução: Lisiane Sztoltz Krishna Tateneni Tradução: Lisiane Sztoltz 2 Conteúdo 1 Java e JavaScript 4 1.1 Java............................................. 4 1.2 JavaScript.......................................... 4 3 1 Java e

Leia mais

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Mac Abril de 2015 Inicialização rápida O Novell Filr permite que você acesse facilmente todos os seus arquivos e pastas do desktop, browser

Leia mais

Segurança em Computadores. GTI SEDU atendimento@sedu.es.gov.br

Segurança em Computadores. GTI SEDU atendimento@sedu.es.gov.br Segurança em Computadores GTI SEDU atendimento@sedu.es.gov.br Agenda Computadores Riscos principais Cuidados a serem tomados Créditos Computadores (1/4) Computador pessoal grande quantidade de dados armazenados

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

FERRAMENTAS DE COLABORAÇÃO CORPORATIVA

FERRAMENTAS DE COLABORAÇÃO CORPORATIVA FERRAMENTAS DE COLABORAÇÃO CORPORATIVA Manual de Utilização Google Grupos Sumário (Clique sobre a opção desejada para ir direto à página correspondente) Utilização do Google Grupos Introdução... 3 Página

Leia mais

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br

Proteção no Ciberespaço da Rede UFBA. CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Proteção no Ciberespaço da Rede UFBA CPD - Divisão de Suporte Yuri Alexandro yuri.alexandro@ufba.br Agenda Segurança o que é? Informação o que é? E Segurança da Informação? Segurança da Informação na UFBA

Leia mais

Gerência de Redes Segurança

Gerência de Redes Segurança Gerência de Redes Segurança Cássio D. B. Pinheiro cdbpinheiro@ufpa.br cassio.orgfree.com Objetivos Apresentar o conceito e a importância da Política de Segurança no ambiente informatizado, apresentando

Leia mais

Segurança de Redes & Internet

Segurança de Redes & Internet Boas Práticas Segurança de Redes & Internet 0800-644-0692 Video Institucional Boas Práticas Segurança de Redes & Internet 0800-644-0692 Agenda Cenário atual e demandas Boas práticas: Monitoramento Firewall

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Professor: Cleber Schroeder Fonseca cleberfonseca@charqueadas.ifsul.edu.br 8 1 SEGURANÇA EM REDES DE COMPUTADORES 2 Segurança em redes de computadores Consiste na provisão de políticas

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows

Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Inicialização Rápida do Aplicativo de Desktop Novell Filr 1.2 para Windows Abril de 2015 Inicialização rápida O Novell Filr permite que você acesse facilmente todos os seus arquivos e pastas do desktop,

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

2) Demonstre a verificação da fraude no envio de um arquivo não sigiloso, porém autenticado, de A para B e alterado indevidamente por T.

2) Demonstre a verificação da fraude no envio de um arquivo não sigiloso, porém autenticado, de A para B e alterado indevidamente por T. Revisão para A1 Criptografia e Certificação Digital Legenda: A + - Chave Pública de A A - - Chave Privada de A s Chave Secreta MD5 Algoritmo de HASH MSG Mensagem de texto claro - Operação de comparação

Leia mais

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma

6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma 6 PLANEJAMENTO DE SI 6.1 Planejamento de Segurança da Informação O planejamento em S.I é algo crucial para que haja o bom funcionamento de uma empresa. Diferente do senso comum o planejamento não se limita

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança de Sistemas

Segurança de Sistemas Segurança de Sistemas SISINFO Profs. Hederson Velasco Ramos Henrique Jesus Quintino de Oliveira quintino@umc.br Spoofing Tampering Repudiation Information Disclosure Denial of Service Elevation of Privilege

Leia mais

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por

Compartilhamento de recursos de forma a racionar e otimizar o uso de equipamentos e softwares. Servidores e Workstations. Segurança é um desafio, por $XWDUTXLD(GXFDFLRQDOGR9DOHGR6mR)UDQFLVFR± $(96) )DFXOGDGHGH&LrQFLDV6RFLDLVH$SOLFDGDVGH3HWUROLQD± )$&$3( &XUVRGH&LrQFLDVGD&RPSXWDomR $8',725,$'$7(&12/2*,$'$,1)250$d 2 &\QDUD&DUYDOKR F\QDUDFDUYDOKR#\DKRRFRPEU

Leia mais

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br

Códigos Maliciosos. Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Códigos Maliciosos Prof. MSc. Edilberto Silva edilms@yahoo.com http://www.edilms.eti.br Agenda Códigos maliciosos Tipos principais Cuidados a serem tomados Créditos Códigos maliciosos (1/3) Programas especificamente

Leia mais

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS Se todos os computadores da sua rede doméstica estiverem executando o Windows 7, crie um grupo doméstico Definitivamente, a forma mais

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Prof. Demétrios Coutinho

Prof. Demétrios Coutinho Prof. Demétrios Coutinho Hoje em dia a informação é o bem mais valioso de uma empresa/cliente. A segurança da informação é um conjunto de medidas que se constituem basicamente de controles e política de

Leia mais

Guia de Prática. Windows 7 Ubuntu 12.04

Guia de Prática. Windows 7 Ubuntu 12.04 Guia de Prática Windows 7 Ubuntu 12.04 Virtual Box e suas interfaces de rede Temos 04 interfaces de rede Cada interface pode operar nos modos: NÃO CONECTADO, que representa o cabo de rede desconectado.

Leia mais

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4.

Guia de Atualização PROJURIS WEB 4.5. Manual do Técnico Atualização - ProJuris Web 4.5. Manual do Técnico Atualização - ProJuris Web 4. Guia de Atualização PROJURIS WEB 4.5 Por: Fabio Pozzebon Soares Página 1 de 11 Sistema ProJuris é um conjunto de componentes 100% Web, nativamente integrados, e que possuem interface com vários idiomas,

Leia mais

Omega Tecnologia Manual Omega Hosting

Omega Tecnologia Manual Omega Hosting Omega Tecnologia Manual Omega Hosting 1 2 Índice Sobre o Omega Hosting... 3 1 Primeiro Acesso... 4 2 Tela Inicial...5 2.1 Área de menu... 5 2.2 Área de navegação... 7 3 Itens do painel de Controle... 8

Leia mais

Instalação do IBM SPSS Modeler Server Adapter

Instalação do IBM SPSS Modeler Server Adapter Instalação do IBM SPSS Modeler Server Adapter Índice Instalação do IBM SPSS Modeler Server Adapter............... 1 Sobre a Instalação do IBM SPSS Modeler Server Adapter................ 1 Requisitos de

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B

Guia de administração. BlackBerry Professional Software para Microsoft Exchange. Versão: 4.1 Service pack: 4B BlackBerry Professional Software para Microsoft Exchange Versão: 4.1 Service pack: 4B SWD-313211-0911044452-012 Conteúdo 1 Gerenciando contas de usuários... 7 Adicionar uma conta de usuário... 7 Adicionar

Leia mais

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas.

Publicação web. Será ativado um assistente de publicação que lhe guiará em todas as etapas a seguir apresentadas. Publicação web Pré requisitos: Lista de questões Formulário multimídia Este tutorial tem como objetivo, demonstrar de maneira ilustrativa, todos os passos e opções que devem ser seguidos para publicar

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento

ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida. Clique aqui para fazer o download da versão mais recente deste documento ESET CYBER SECURITY PRO para Mac Guia de Inicialização Rápida Clique aqui para fazer o download da versão mais recente deste documento ESET Cyber Security Pro fornece proteção de última geração para seu

Leia mais

Voz em ambiente Wireless

Voz em ambiente Wireless Voz em ambiente Wireless Mobilidade, acesso sem fio e convergência são temas do momento no atual mercado das redes de comunicação. É uma tendência irreversível, que vem se tornando realidade e incorporando-se

Leia mais

Guia do Usuário Administrativo Bomgar 10.2 Enterprise

Guia do Usuário Administrativo Bomgar 10.2 Enterprise Guia do Usuário Administrativo Bomgar 10.2 Enterprise Índice Introdução 2 Interface administrativa 2 Status 2 Minha conta 3 Opções 3 Equipes de suporte 4 Jumpoint 5 Jump Clients 6 Bomgar Button 6 Mensagens

Leia mais

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br

Segurança e Proteção da Informação. Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br Segurança e Proteção da Informação Msc. Marcelo Carvalho Tavares marcelo.tavares@unir.br 1 Segurança da Informação A informação é importante para as organizações? Por que surgiu a necessidade de se utilizar

Leia mais

Hardware (Nível 0) Organização. Interface de Máquina (IM) Interface Interna de Microprogramação (IIMP)

Hardware (Nível 0) Organização. Interface de Máquina (IM) Interface Interna de Microprogramação (IIMP) Hardware (Nível 0) Organização O AS/400 isola os usuários das características do hardware através de uma arquitetura de camadas. Vários modelos da família AS/400 de computadores de médio porte estão disponíveis,

Leia mais

Capítulo 2: Introdução às redes comutadas (configuração switch)

Capítulo 2: Introdução às redes comutadas (configuração switch) Unisul Sistemas de Informação Redes de Computadores Capítulo 2: Introdução às redes comutadas (configuração switch) Roteamento e Switching Academia Local Cisco UNISUL Instrutora Ana Lúcia Rodrigues Wiggers

Leia mais

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação.

AULA 5. Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. AULA 5 OBJETIVOS EM SEGURANÇA DA INFORMAÇÃO Embora o termo segurança da informação já diga muito, é interessante descrever um pouco mais sobre objetivos da segurança de informação. Podemos listar como

Leia mais

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com

Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Prof. Jeferson Cordini jmcordini@hotmail.com Segurança da Informação Segurança da Informação está relacionada com proteção de um conjunto de dados, no sentido de preservar o valor

Leia mais

Sistemas para Internet 06 Ataques na Internet

Sistemas para Internet 06 Ataques na Internet Sistemas para Internet 06 Ataques na Internet Uma visão geral dos ataques listados na Cartilha de Segurança para Internet do CGI Comitê Gestor da Internet Componente Curricular: Bases da Internet Professor:

Leia mais

Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado)

Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado) Instruções de Instalação do IBM SPSS Modeler (Licença de Usuário Autorizado) Índice Instruções de Instalação....... 1 Requisitos do sistema........... 1 Código de autorização.......... 1 Instalando...............

Leia mais

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9

ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 ANDRÉ ALENCAR 1 INFORMÁTICA INTERNET EXPLORER 9 1. JANELA PADRÃO Importante: O Internet Explorer não pode ser instalado no Windows XP. 2. INTERFACE MINIMALISTA Seguindo uma tendência já adotada por outros

Leia mais

Guia de instalação. Configuração necessária Instalação e ativação

Guia de instalação. Configuração necessária Instalação e ativação Guia de instalação Configuração necessária Instalação e ativação Configuração necessária As aplicações da linha de produtos 4D v14 requerem como mínimo a seguinte configuração: Windows Mac OS Processador

Leia mais

Servidor IIS. Sorayachristiane.blogspot.com

Servidor IIS. Sorayachristiane.blogspot.com Servidor IIS Servidor IIS IIS Serviço de informação de Internet; É um servidor que permite hospedar um ou vários sites web no mesmo computador e cria uma distribuição de arquivos utilizando o protocolo

Leia mais

http://cartilha.cert.br/

http://cartilha.cert.br/ http://cartilha.cert.br/ Manter seu computador seguro é essencial para se proteger dos riscos envolvidos no uso da Internet Um grande risco que você pode correr ao usar a Internet é o de achar que não

Leia mais

Guia de Instalação e Inicialização. Para WebReporter 2012

Guia de Instalação e Inicialização. Para WebReporter 2012 Para WebReporter 2012 Última revisão: 09/13/2012 Índice Instalando componentes de pré-requisito... 1 Visão geral... 1 Etapa 1: Ative os Serviços de Informações da Internet... 1 Etapa 2: Execute o Setup.exe

Leia mais

Segurança na Rede Local Redes de Computadores

Segurança na Rede Local Redes de Computadores Ciência da Computação Segurança na Rede Local Redes de Computadores Disciplina de Desenvolvimento de Sotware para Web Professor: Danilo Vido Leonardo Siqueira 20130474 São Paulo 2011 Sumário 1.Introdução...3

Leia mais

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza

FIREWALL. Prof. Fabio de Jesus Souza. fabiojsouza@gmail.com. Professor Fabio Souza FIREWALL Prof. Fabio de Jesus Souza fabiojsouza@gmail.com Professor Fabio Souza O que são Firewalls? Os firewalls são sistemas de segurança que podem ser baseados em: um único elemento de hardware; um

Leia mais

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper

Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Forefront Server Security Management Console: Gerenciamento Simplificado da Segurança para Mensagens e Colaboração White Paper Outubro de 2007 Resumo Este white paper explica a função do Forefront Server

Leia mais

Política de Privacidade da Golden Táxi Transportes Executivo. Sua Privacidade Na Golden Táxi Transportes Executivo. acredita que, como nosso

Política de Privacidade da Golden Táxi Transportes Executivo. Sua Privacidade Na Golden Táxi Transportes Executivo. acredita que, como nosso Política de Privacidade da Golden Táxi Transportes Executivo. Sua Privacidade Na Golden Táxi Transportes Executivo. acredita que, como nosso visitante on-line, você tem o direito de saber as práticas que

Leia mais

Guia de Inicialização para o Windows

Guia de Inicialização para o Windows Intralinks VIA Versão 2.0 Guia de Inicialização para o Windows Suporte 24/7/365 da Intralinks EUA: +1 212 543 7800 Reino Unido: +44 (0) 20 7623 8500 Consulte a página de logon da Intralinks para obter

Leia mais

Curso Introdução à Educação Digital - Carga Horária: 40 horas (30 presenciais + 10 EaD)

Curso Introdução à Educação Digital - Carga Horária: 40 horas (30 presenciais + 10 EaD) ******* O que é Internet? Apesar de muitas vezes ser definida como a "grande rede mundial de computadores, na verdade compreende o conjunto de diversas redes de computadores que se comunicam e que permitem

Leia mais

ETEC Campo Limpo AULA 07. 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA

ETEC Campo Limpo AULA 07. 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA AULA 07 1. Interpretando informações do UTILITÁRIO DE CONFIGURAÇÃO DO SISTEMA O Utilitário de configuração do sistema, o famoso "msconfig" está disponível nas versões recentes do Windows. Para abrir o

Leia mais

Administração do Windows Server 2003

Administração do Windows Server 2003 Administração do Windows Server 2003 Visão geral O Centro de Ajuda e Suporte do Windows 2003 Tarefas do administrador Ferramentas administrativas Centro de Ajuda e Suporte do 2003 Usando o recurso de pesquisa

Leia mais

Manual do Remote Desktop Connection. Brad Hards Urs Wolfer Tradução: Marcus Gama

Manual do Remote Desktop Connection. Brad Hards Urs Wolfer Tradução: Marcus Gama Manual do Remote Desktop Connection Brad Hards Urs Wolfer Tradução: Marcus Gama 2 Conteúdo 1 Introdução 5 2 O protocolo do Buffer de Quadro Remoto (Buffer de Quadro Remoto) 6 3 Usando o Remote Desktop

Leia mais

Prevenção. Como reduzir o volume de spam

Prevenção. Como reduzir o volume de spam Prevenção Como reduzir o volume de spam A resposta simples é navegar consciente na rede. Este conselho é o mesmo que recebemos para zelar pela nossa segurança no trânsito ou ao entrar e sair de nossas

Leia mais

5 Mecanismo de seleção de componentes

5 Mecanismo de seleção de componentes Mecanismo de seleção de componentes 50 5 Mecanismo de seleção de componentes O Kaluana Original, apresentado em detalhes no capítulo 3 deste trabalho, é um middleware que facilita a construção de aplicações

Leia mais

Certificado Digital A1

Certificado Digital A1 Abril/ Certificado Digital A1 Geração Página 1 de 32 Abril/ Pré requisitos para a geração Dispositivos de Certificação Digital Para que o processo de instalação tenha sucesso, é necessário obedecer aos

Leia mais

Indústria de Cartão de Pagamento (PCI)

Indústria de Cartão de Pagamento (PCI) Indústria de Cartão de Pagamento (PCI) Procedimentos para Scanning de Segurança Administração de Risco Região América Latina e Caribe Indústria de Cartão de Pagamento Procedimentos para Scanning de Segurança

Leia mais

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589

Segurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups

Leia mais

GUIA DE CONFIGURAÇÃO FILTRO DE URL

GUIA DE CONFIGURAÇÃO FILTRO DE URL GUIA DE CONFIGURAÇÃO FILTRO DE URL GUIA DE CONFIGURAÇÃO FILTRO DE URL O módulo Filtro URL estende a funcionalidade do Netdeep Secure com a capacidade de bloquear o acesso a conteúdo web indesejado, filtrando

Leia mais

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP

TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP TCP/IP TCP UDP IP HTTP HTTPS FTP TFTP TELNET POP3 IMAP SMTP SNMP DHCP HTTP (Hypertext Transfer Protocol ) Protocolo usado na Internet para transferir as páginas da WWW (WEB). HTTPS (HyperText Transfer

Leia mais

Seu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388

Seu manual do usuário BLACKBERRY INTERNET SERVICE http://pt.yourpdfguides.com/dref/1117388 Você pode ler as recomendações contidas no guia do usuário, no guia de técnico ou no guia de instalação para BLACKBERRY INTERNET SERVICE. Você vai encontrar as respostas a todas suas perguntas sobre a

Leia mais

Capítulo 1: Introdução...3

Capítulo 1: Introdução...3 F-Secure Anti-Virus for Mac 2014 Conteúdo 2 Conteúdo Capítulo 1: Introdução...3 1.1 O que fazer após a instalação...4 1.1.1 Gerenciar assinatura...4 1.1.2 Abrir o produto...4 1.2 Como me certificar de

Leia mais

Grid e Gerenciamento Multi-Grid

Grid e Gerenciamento Multi-Grid Principais Benefícios Alta disponibilidade, Escalabilidade Massiva Infoblox Oferece serviços de rede sempre ligados através de uma arquitetura escalável, redundante, confiável e tolerante a falhas Garante

Leia mais

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente.

O Firewall do Windows vem incorporado ao Windows e é ativado automaticamente. Noções básicas sobre segurança e computação segura Se você se conecta à Internet, permite que outras pessoas usem seu computador ou compartilha arquivos com outros, deve tomar algumas medidas para proteger

Leia mais

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso: MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem

Leia mais