Penetration Testing Workshop

Tamanho: px
Começar a partir da página:

Download "Penetration Testing Workshop"

Transcrição

1 Penetration Testing Workshop Information Security FCUL 9 Maio 2013

2 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner Herman Duarte, OSCP, Associate CISSP, ISO27001LA Senior Consultant

3 A INTEGRITY S.A. é uma empresa de Consultoria e Assessoria e que actua no âmbito da Segurança da Informação, Gestão de Telecomunicações e IT Governance. Os factores de relevo da INTEGRITY a destacar, são os seguintes: A prática da INTEGRITY é suportada por um conjunto de consultores tecnológicos extremamente experientes, qualificados e certificados nas suas áreas de actuação. A INTEGRITY actua com um total nível de isenção e integridade, uma vez que não transacciona tecnologia nem efectua acordos com fabricantes, não detendo assim de quaisquer interesses secundários sobre a transacção de produtos tecnológicos. A única parceria que a INTEGRITY efectua é com os seus clientes de forma a garantir as práticas de gestão tecnológicas mais efectivas e eficientes para a organização. A INTEGRITY baseia as suas práticas consultivas nas melhores práticas Internacionais, atendendo às certificações dos seus consultores, nomeadamente em CISSP, OSCP, ITIL, COBIT, ISO 27001, entre outras.

4 Portofolio Areas Alinhamento das práticas de gestão tecnológica da organização com as Melhores Práticas. (ITIL, COBIT, ) Gestão eficiente dos riscos da organização aliada à gestão adequada dos controlos de segurança da Informação. (ISO 27001) Alinhamento dos reais requisitos de Negócio com a selecção e gestão adequada dos serviços de Telecomunicações. -I n c r e m e n t o d e E f i c i ê n c i a e E f i c á c i a- -C o m p l i a n c e & G e s t ã o d e R i s c o-

5 Agenda Definição Standards Metodologia Vulnerabilidades Workshop

6 Penetration Testing Metodologia que permite avaliar a segurança de uma infra-estrutura através da simulação de um ataque. Durante o Penetration Test são utilizadas técnicas e ferramentas utilizadas pelos hackers, de forma a que os ataques sejam os mais realistas possíveis.

7 Penetration Testing O objectivo não é apenas identificar vulnerabilidades. Pretende-se aferir a viabilidade de um ataque em profundidade, e qual o impacto do mesmo para o negócio.

8 Standards NIST SP Guideline on Network Security Testing ISACA Document P8 - Security Assessment OSSTMM OpenSource Security Testing Methodology Manual PTES Penetration Testing Execution Standard

9 Metodologia Source: NIST SP800-42

10 Metodologia - Planning Definir âmbito Definir as rules of engagement Acordos de Confidencialidade Obter autorização escrita Identificar ferramentas Planear o projecto Definir equipa

11 Metodologia - Discovery Identificar toda a informação possível sobre a organização e os alvos (negócio/tecnologia/pessoas) Identificar possíveis vulnerabilidades Google Network Scanning Vulnerability Scanning Web Browsing

12 Metodologia - Attack Explorar as potenciais vulnerabilidades identificadas Regresso à fase de Discovery

13 Metodologia - Reporting Esta fase é transversal a todo o PenTest e inclui as seguintes vertentes: Registo de todas as actividades Arquivo seguro de toda a informação obtida Elaboração de documento contendo: Informação obtida Vulnerabilidades identificadas Recomendações Destruição segura dos dados obtidos durante o projecto.

14 Vulnerabilidades em Aplicações Web

15 Vulnerability Landscape Source: Cenzic

16 Vulnerability Landscape Source: Cenzic

17 Workshop

18 Cenário Site de instituição financeira (Hacme Bank), com uma aplicação web de HomeBanking

19 Ferramentas Nmap - BurpSuite - Browser J Firefox with these add-ons: User Agent Switcher Foxy Proxy

20 Configuração SSID: Password: Grupos de duas pessoas IP da máquina alvo: <número do grupo>

21 Nmap 101 Scanning techniques : -ss TCP SYN Scan -st TCP (Full connection) -sv Service/Version detection -sc Script Scan -O OS detection -A = { -sv, -sc, -O } -n No DNS resolution -v verbose

22 Workshop Exercício 1 Objectivo: Identificar os sistemas operativos e aplicações acessíveis na rede (Information Gathering / Discovery) Ferramenta: Nmap Sugestão: nmap -h

23 BurpSuite 101

24 Workshop Exercício 2 Objectivo: Estudo da aplicação HacmeBank através da identificação das variáveis utilizadas (request parameters, response data, cookies, etc) Ferramenta: BurpSuite Sugestão: Experimentem efectuar o login na aplicação.

25 Workshop BurpSuite Intruder

26 Workshop Exercício 3 Objectivo: Efectuar o brute-force a componente de login Ferramenta: Browser / BurpSuite Sugestão: BurpSuite Intruder

27 HacmeBank - Users Username: jv Password: jv789 Username: jm Password: jm789

28 Workshop Exercício 4 Objectivo: Aumentar a nossa conta bancária J Ferramenta: BurpSuite Sugestão: Experimentem efectuar uma transação

29 Workshop Exercício 5 Objectivo: Obter informação de transações de outros utilizadores Ferramenta: Browser Sugestão: Myaccounts -> View Transactions

30 Workshop Exercício 6 Objectivo: Obter privilégios de administração na aplicação Ferramenta: BurpSuite Sugestão: Use the Source, Luke J

31 Cross Site Scripting (XSS) Exemplo Pedido ao webserver Processamento na aplicação: print A sua pesquisa +arg1+ retornou +n+ resultados: 3 Output para o browser: A sua pesquisa nome retornou 30 resultados: 31

32 Cross Site Scripting (XSS) Exemplo Pedido ao webserver ><script>alert(document.cookie)</script>< Processamento na aplicação: print A sua pesquisa +arg1+ retornou +n+ resultados: 3 Output para o browser: A sua pesquisa ><script>alert(document.cookie)</script><retornou 30 resultados: 32

33 Workshop Exercício 5 Objectivo: Roubar sessão de outro(s) utilizadores via XSS Ferramenta: Browser / BurpSuite / netcat Sugestão: Mensagem com código JavaScript Escuta com netcat nlvp 8081 Utilizar o Burp para substituir o cookie

34 SQL Injection (SQLi) Exemplo 1 1 Pedido ao webserver GET /site/listagem.asp?arg1=nome 2 Processamento no ASP listagem.asp Lista = "SELECT * FROM contas WHERE user = + arg1 + 3 Processamento na base de dados SELECT * FROM contas WHERE user = nome 34

35 SQL Injection (SQLi) Exemplo 2 1 Pedido ao webserver GET /site/listagem.asp?arg1= a or user = b -- 2 Processamento no ASP listagem.asp Lista = "SELECT * FROM contas WHERE user = + arg1 + 3 Processamento na base de dados SELECT * FROM contas WHERE user = a or user= b -- 35

36 Workshop BurpSuite Repeater

37 Workshop Exercício 8 Objectivo: Login sem credenciais Ferramenta: BurpSuite Sugestão: BurpSuite Repeater Tentar construir a query SQL que deverá estar a ser utilizada pela aplicação durante a autenticação.

38 Our focus is the Integrity of the People, Processes, Information and Organizations INTEGRITY S.A.- Av. João Crisóstomo, n.º 30, 5º Lisboa PORTUGAL Tlf:

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

Proposta Comercial Curso: Ethical Hacking

Proposta Comercial Curso: Ethical Hacking Proposta Comercial Curso: Ethical Hacking Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com âmbito acadêmico

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Bruno Morisson, Partner & Audit Services Director

Bruno Morisson, Partner & Audit Services Director /// Segurança da Informação Tendências Actuais Promovendo o Crescimento Azul - H2020 e Segurança Marítima 6 Novembro 2015 Bruno Morisson, Partner & Audit Services Director MSc Information Security (RHUL),

Leia mais

ANEXO I TERMO DE REFERÊNCIA

ANEXO I TERMO DE REFERÊNCIA ANEXO I TERMO DE REFERÊNCIA OBJETO CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA Contratação de

Leia mais

No final do curso, os alunos devem ser capazes de:

No final do curso, os alunos devem ser capazes de: BEHAVIOUR GROUP Bringing value to you Certified Information Systems Security Professional (CISSP) Treinamento Reconhecimento global em segurança da informação Introdução Este curso, com a duração de cinco

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems SQS Portugal Portfólio de Serviços de Segurança SQS Software Quality Systems SQS Portugal Apresentação A SQS Portugal - Software Quality Systems, é uma empresa especializada em ajudar os seus clientes

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

Gestão de Segurança num Contexto de Contenção de Despesas

Gestão de Segurança num Contexto de Contenção de Despesas Gestão de Segurança num Contexto de Contenção de Despesas IDC 2011 Security is not a product it is a Process Bruce Schneier http://www.schneier.com Agenda: 1. Contexto 2. Certificados Digitais 3. Segurança

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Formação Profissional Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Assessoria de Gestão, Lda Controlo Interno e Auditoria Interna No actual contexto de crise, em que as organizações estão

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional 2011. Mário Lavado itsmf Portugal 11-10-2011

Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional 2011. Mário Lavado itsmf Portugal 11-10-2011 Workshop Maturidade da Governação e Gestão de TI em Portugal Inquérito Nacional 2011 Mário Lavado itsmf Portugal 11-10-2011 Agenda Apresentação dos resultados do estudo de maturidade do ITSM & ITGovervance

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008 Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001 Susana Carias Lisboa, 24 de Outubro de 2008 Agenda Introdução Desafio 1º passo Problemática ISO 27001 ISO 20000 Conclusões 2 Agenda Introdução

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

COOKIES: UMA AMEAÇA À PRIVACIDADE

COOKIES: UMA AMEAÇA À PRIVACIDADE Mestrado em Ciência da Informação Segurança da Informação COOKIES: UMA AMEAÇA À PRIVACIDADE Marisa Aldeias 05 de dezembro de 2011 Sumário O que são; Tipos de cookies; Aplicação danosa? Interesse e utilidade;

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

Daniel Moreno. Novatec

Daniel Moreno. Novatec Daniel Moreno Novatec Novatec Editora Ltda. 2015. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK A Norma ISO/IEC 20000:2011 Information technology Service management Part 1: Service management system requirements é uma Norma de Qualidade que

Leia mais

AG 2008. Relatório 2007. itsmf Portugal

AG 2008. Relatório 2007. itsmf Portugal AG 2008 Relatório 2007 itsmf Portugal ST MARKETING Susana Soares Coordenadora de Marketing e Comunicação itsmf Portugal 1. Newsletter ITIL e TAL Relatório 2007 1. Métricas 500 Subscritores 5 Artigos de

Leia mais

edgebox - PTEDU edgebox como servidor de autenticação nas escolas Copyright @ 2009 Critical Links S.A. All rights reserved. Saturday, July 18, 2009

edgebox - PTEDU edgebox como servidor de autenticação nas escolas Copyright @ 2009 Critical Links S.A. All rights reserved. Saturday, July 18, 2009 edgebox - PTEDU edgebox como servidor de autenticação nas escolas 1 Agenda Introdução 802.1x Cenários eradmanager Clientes 802.1x Q & A Introdução 3 O que é o edgebox? Um equipamento de rede com uma interface

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Weber Ress weber@weberress.com

Weber Ress weber@weberress.com Weber Ress weber@weberress.com SDL Security Development Lifecycle SD 3 +C Security by Design Security by Default Security in Deployment Communications SDL Processo de desenvolvimento clássico Processo

Leia mais

Auditando Segurança da Informação

Auditando Segurança da Informação Auditando Segurança da Informação Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/cdodt

Leia mais

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS GTS - Grupo de Trabalho em Segurança de Redes - 23ª Reunião GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS Leandro Bennaton * leandro.bennaton@corp.terra.com.br Twitter: @bennaton Carlos H. Borella

Leia mais

Daniel Caçador dmcacador@montepio.pt

Daniel Caçador dmcacador@montepio.pt Daniel Caçador dmcacador@montepio.pt Google Fixes Gmail Cross-site Request Forgery Vulnerability Netcraft, 30 Set 2007 Military Hackers hit US Defense office vnunet.com, 26 Abril, 2002 3 Factos : Grande

Leia mais

Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS.

Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS. Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant

Leia mais

A segurança de informação é um tema cada vez mais atual nas organizações.

A segurança de informação é um tema cada vez mais atual nas organizações. Pós Graduação em Information Security Gestão - Pós-Graduações Com certificação Nível: Duração: 180h Sobre o curso A segurança de informação é um tema cada vez mais atual nas organizações. A competitividade

Leia mais

PHP. Hypertext Pre-Processor

PHP. Hypertext Pre-Processor PHP Hypertext Pre-Processor O que é o PHP? Uma linguagem de scripting é uma linguagem cujo código não tem de ser compilado para ser executado! O código escrito é interpretado em tempo de execução para

Leia mais

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2014 2 MARCOS FLÁVIO ARAÚJO

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Teste de Invasão de Rede

Teste de Invasão de Rede Teste de Invasão de Rede Fernando José Karl, CISSP fernando.karl@gmail.com 25/3/2011 UNISINOS 2011-1 1 Alerta Invadir redes é crime previsto em códigos penais de diversos países. Esta disciplina não tem

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle

Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle Luís Filipe Borges Pinto Resumo: Este projecto consiste na implementação de uma aplicação WEB para monitorização

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT

Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT Direção de Sistemas de Informação 30 de Janeiro, 2013 Contexto da Segurança na EDP 2 O contexto da Segurança na EDP

Leia mais

NOVA GERAÇÃO DE SOLUÇÕES EMPRESARIAIS ESET (V6) As novas soluções ESET Licence Administrator As vantagens Glossário FAQ

NOVA GERAÇÃO DE SOLUÇÕES EMPRESARIAIS ESET (V6) As novas soluções ESET Licence Administrator As vantagens Glossário FAQ NOVA GERAÇÃO DE SOLUÇÕES EMPRESARIAIS ESET (V6) As novas soluções ESET Licence Administrator As vantagens Glossário FAQ NOVA GERAÇÃO DE SOLUÇÕES EMPRESARIAIS ESET Foi com enorme entusiasmo que lançámos

Leia mais

IT Governance. Alinhar as Tecnologias de Informação (TI s) www.pwc.pt/academy. Academia da PwC

IT Governance. Alinhar as Tecnologias de Informação (TI s) www.pwc.pt/academy. Academia da PwC www.pwc.pt/academy IT Governance Alinhar as Tecnologias de Informação (TI s) com o negócio Academia da PwC Considerando que existe um conjunto de factores críticos de sucesso na governação das Tecnologias

Leia mais

SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012

SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012 New Standards for Business SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012 Quem Somos A SCORE INNOVATION é uma empresa que tem como objecto social a prestação de serviços em consultoria,

Leia mais

Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias

Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias Natal, November 26-27, 2012 Nome: Lacier Dias Introdução Formado em Segurança

Leia mais

(In)Segurança Virtual. Técnicas de Ataque e Defesa

(In)Segurança Virtual. Técnicas de Ataque e Defesa (In)Segurança Virtual Técnicas de Ataque e Defesa Expotec 2009 IFRN- Campus Mossoró Nícholas André - nicholasandreoliveira9@gmail.com www.iotecnologia.com.br Mossoró-RN Setembro-2009 O que é preciso! Engenharia

Leia mais

Sistemas de Gestão na Segurança de Informação

Sistemas de Gestão na Segurança de Informação Public Safety & National Security Day Sistemas de Gestão na Segurança de Informação Paulo Faroleiro Lisboa, 10 de Dezembro 09 A Novabase Web site: www.novabase.pt Fundada em 1989 no seio académico no IST,

Leia mais

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Desktop Virtual Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Tendo em conta que a Virtualização será um dos principais alvos de investimento para o ano 2009 (dados

Leia mais

Projecto GTBC. leading excellence 1. Portugal: Espanha:

Projecto GTBC. leading excellence 1. Portugal: Espanha: Projecto GTBC Portugal: Edifício Taurus Campo Pequeno, 48 2º 1000-081 Lisboa Tel.: +351 217 921 920 Fax: +351 217 921 929 www.gtbc.pt info@gtbc.pt Espanha: CalleAtocha, 20, 2ªIzq 28012 Madrid Tel.: +34

Leia mais

Segurança da Informação:

Segurança da Informação: Segurança da Informação: Tratando dados em PHP Objetivo: O objetivo desta palestra é demonstrar os riscos inerentes de se trabalhar com informações externas à aplicações desenvolvidas em PHP, como o descuido

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

AVDS Vulnerability Management System

AVDS Vulnerability Management System DATA: Agosto, 2012 AVDS Vulnerability Management System White Paper Brazil Introdução Beyond Security tem o prazer de apresentar a nossa solução para Gestão Automática de Vulnerabilidade na núvem. Como

Leia mais

GOVaaS APRESENTAÇÃO DA FORMAÇÃO + EXAME COBIT 5 FOUNDATION

GOVaaS APRESENTAÇÃO DA FORMAÇÃO + EXAME COBIT 5 FOUNDATION GOVaaS Governance Advisors, as-a-service GOVaaS Governance Advisors, as-a-service Rua do Tamisa, BL 5.02.03 D 1.ºC Parque das Nações, 1990-518 Lisboa T: +351 962 103 153 info@govaas.com www.govaas.com

Leia mais

PONTO DE CONTATO ELETRÓNICO COM OS TRIBUNAIS ARBITRAIS

PONTO DE CONTATO ELETRÓNICO COM OS TRIBUNAIS ARBITRAIS PONTO DE CONTATO ELETRÓNICO COM OS TRIBUNAIS ARBITRAIS MANUAL DE UTILIZADOR INFARMED - Autoridade Nacional do Medicamento e Produtos de Saúde, I.P. Parque de Saúde de Lisboa - Avenida do Brasil, 53 1749-004

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3.

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3. Usando o Nmap Este artigo irá explicar como instalar e utilizar algumas funções do Nmap. Todos os comandos foram testados com a versão 3.48 do Nmap. É bem provável que alguns comandos não funcionem em

Leia mais

PEN TEST Afinal, o que é?

PEN TEST Afinal, o que é? PEN TEST Afinal, o que é? Paulo Renato Security Specialist & GNU/Linux LPIC 1 LPIC 2 NCLA DCTS VSP-4 VSTP-4 Apresentação Paulo Renato Lopes Seixas - Especialista em projetos de redes corporativas e ambientes

Leia mais

IT SEGURANÇA. Luanda 26, 27 e 28 de Setembro de 2011 PROGRAMA

IT SEGURANÇA. Luanda 26, 27 e 28 de Setembro de 2011 PROGRAMA 1ª Edição Como Desenhar e Implementar uma estratégia IT SEGURANÇA Evite riscos e garanta a continuidade do negócio REQUISITOS LEGAIS /ANÁLISE DE RISCO / GESTÃO DE RISCO DISASTER RECOVERY PLAN / AUDITORIA

Leia mais

Software Engineer (m/f) Lisboa

Software Engineer (m/f) Lisboa Software Engineer (m/f) Software house em forte expansão no mercado nacional e internacional procura profissional para a posição de Software Engineer. Alocado a projectos na área financeira o profissional

Leia mais

---- ECOpro ----- Manual de implementação

---- ECOpro ----- Manual de implementação ---- ECOpro ----- Manual de implementação Index Pag. PHP em IIS 7 2 Arquitectura 7 Configurar primeira entrada no ECO 11 Entrar no ECO pela primeira vez 12 Primeiros passos para configuração do ECO 13

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

A certificação electrónica

A certificação electrónica A certificação electrónica jose.miranda@multicert.com 04 de Novembro 2005 1 AGENDA Desafio dos novos processos electrónicos na Sociedade de Informação Certificação Digital e timestamping: o que é e para

Leia mais

Segurança Digital e Privacidade no sector bancário Desafios tecnológicos

Segurança Digital e Privacidade no sector bancário Desafios tecnológicos Segurança Digital e Privacidade no sector bancário Desafios tecnológicos Segurança Digital e Privacidade As organizações começam a apresentar uma crescente preocupação com a temática da segurança devido:

Leia mais

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca

SEG. EM SISTEMAS E REDES. 02. Vulnerabilidades em sistemas. Prof. Ulisses Cotta Cavalca <ulisses.cotta@gmail.com> SEG. EM SISTEMAS E REDES 02. Vulnerabilidades em sistemas Prof. Ulisses Cotta Cavalca Belo Horizonte/MG 2015 SUMÁRIO 1) Introdução 2) Vulnerabilidades em sistemas 1. INTRODUÇÃO

Leia mais

Central de Exposição a Derivativos. Manual Técnico

Central de Exposição a Derivativos. Manual Técnico Central de Exposição a Derivativos Manual Técnico SUMÁRIO 1. INTRODUÇÃO... 3 1.1 Requisitos Mínimos... 3 1.2 Estrutura de acesso e fluxo da informação... 3 1.3 Procedimentos para aquisição de rede privada...

Leia mais

Utilização da Normalização na Regulação das Comunicações Eletrónicas

Utilização da Normalização na Regulação das Comunicações Eletrónicas Utilização da Normalização na Regulação das Comunicações Eletrónicas Segurança e Integridade de Redes e Serviços Workshop ANACOM itsmf Portugal: Normalização de TI técnicas de segurança Manuel Pedrosa

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS

Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso

Leia mais

Programa de Parceiros

Programa de Parceiros Programa de Parceiros Tabela de Conteúdos O que é iflowbpm? 1 Porquê o iflowbpm? 2 Benefícios do Parceiro 3 Programa de Parceiros e Oportunidades 4 Caracteristicas 5 Vantagens 6 Requisitos 6 Programa de

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

GESTÃO DE TECNOLOGIAS DE INFORMAÇÃO

GESTÃO DE TECNOLOGIAS DE INFORMAÇÃO PROGRAMA AVANÇADO EM GESTÃO DE TECNOLOGIAS FACULDADE DE ENGENHARIA A realizar em Luanda A CATÓLICA-LISBON é a melhor business school portuguesa nos rankings do Financial Times. Está acreditada pelas três

Leia mais

Descrição de Ataques XSS em servidores Web

Descrição de Ataques XSS em servidores Web ABSTRACT Descrição de Ataques XSS em servidores Web Leonardo Santos Silva São Paulo, Brasil Com a proliferação de sítios web e a incapacidade dos desenvolvedores em manter um código atualizado contra os

Leia mais

IT Governance. Alinhar as Tecnologias de Informação (TI s) com o negócio! www.pwc.pt/academy

IT Governance. Alinhar as Tecnologias de Informação (TI s) com o negócio! www.pwc.pt/academy www.pwc.pt/academy IT Governance Alinhar as Tecnologias de Informação (TI s) com o negócio! PwC s Academy Formação de profissionais para profissionais IT Governance Alinhar as TI s com o negócio Os projetos

Leia mais

Bases de Dados. Lab 7: Desenvolvimento de aplicações com PHP

Bases de Dados. Lab 7: Desenvolvimento de aplicações com PHP Departamento de Engenharia Informática 2013/2014 Bases de Dados Lab 7: Desenvolvimento de aplicações com PHP 1º semestre Este lab é uma continuação dos anteriores. Se realizou os labs anteriores, a base

Leia mais

Business Value Delivery The IT Challenge

Business Value Delivery The IT Challenge Business Value Delivery The IT Challenge Luis Miguel Porém Country Manager Compuware Portugal Coimbra, Abril de 2004 ustentação do negócio Uma aplicação que funciona e está disponível é o activo principal

Leia mais