Penetration Testing Workshop

Tamanho: px
Começar a partir da página:

Download "Penetration Testing Workshop"

Transcrição

1 Penetration Testing Workshop Information Security FCUL 9 Maio 2013

2 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner Herman Duarte, OSCP, Associate CISSP, ISO27001LA Senior Consultant

3 A INTEGRITY S.A. é uma empresa de Consultoria e Assessoria e que actua no âmbito da Segurança da Informação, Gestão de Telecomunicações e IT Governance. Os factores de relevo da INTEGRITY a destacar, são os seguintes: A prática da INTEGRITY é suportada por um conjunto de consultores tecnológicos extremamente experientes, qualificados e certificados nas suas áreas de actuação. A INTEGRITY actua com um total nível de isenção e integridade, uma vez que não transacciona tecnologia nem efectua acordos com fabricantes, não detendo assim de quaisquer interesses secundários sobre a transacção de produtos tecnológicos. A única parceria que a INTEGRITY efectua é com os seus clientes de forma a garantir as práticas de gestão tecnológicas mais efectivas e eficientes para a organização. A INTEGRITY baseia as suas práticas consultivas nas melhores práticas Internacionais, atendendo às certificações dos seus consultores, nomeadamente em CISSP, OSCP, ITIL, COBIT, ISO 27001, entre outras.

4 Portofolio Areas Alinhamento das práticas de gestão tecnológica da organização com as Melhores Práticas. (ITIL, COBIT, ) Gestão eficiente dos riscos da organização aliada à gestão adequada dos controlos de segurança da Informação. (ISO 27001) Alinhamento dos reais requisitos de Negócio com a selecção e gestão adequada dos serviços de Telecomunicações. -I n c r e m e n t o d e E f i c i ê n c i a e E f i c á c i a- -C o m p l i a n c e & G e s t ã o d e R i s c o-

5 Agenda Definição Standards Metodologia Vulnerabilidades Workshop

6 Penetration Testing Metodologia que permite avaliar a segurança de uma infra-estrutura através da simulação de um ataque. Durante o Penetration Test são utilizadas técnicas e ferramentas utilizadas pelos hackers, de forma a que os ataques sejam os mais realistas possíveis.

7 Penetration Testing O objectivo não é apenas identificar vulnerabilidades. Pretende-se aferir a viabilidade de um ataque em profundidade, e qual o impacto do mesmo para o negócio.

8 Standards NIST SP Guideline on Network Security Testing ISACA Document P8 - Security Assessment OSSTMM OpenSource Security Testing Methodology Manual PTES Penetration Testing Execution Standard

9 Metodologia Source: NIST SP800-42

10 Metodologia - Planning Definir âmbito Definir as rules of engagement Acordos de Confidencialidade Obter autorização escrita Identificar ferramentas Planear o projecto Definir equipa

11 Metodologia - Discovery Identificar toda a informação possível sobre a organização e os alvos (negócio/tecnologia/pessoas) Identificar possíveis vulnerabilidades Google Network Scanning Vulnerability Scanning Web Browsing

12 Metodologia - Attack Explorar as potenciais vulnerabilidades identificadas Regresso à fase de Discovery

13 Metodologia - Reporting Esta fase é transversal a todo o PenTest e inclui as seguintes vertentes: Registo de todas as actividades Arquivo seguro de toda a informação obtida Elaboração de documento contendo: Informação obtida Vulnerabilidades identificadas Recomendações Destruição segura dos dados obtidos durante o projecto.

14 Vulnerabilidades em Aplicações Web

15 Vulnerability Landscape Source: Cenzic

16 Vulnerability Landscape Source: Cenzic

17 Workshop

18 Cenário Site de instituição financeira (Hacme Bank), com uma aplicação web de HomeBanking

19 Ferramentas Nmap - BurpSuite - Browser J Firefox with these add-ons: User Agent Switcher Foxy Proxy

20 Configuração SSID: Password: Grupos de duas pessoas IP da máquina alvo: <número do grupo>

21 Nmap 101 Scanning techniques : -ss TCP SYN Scan -st TCP (Full connection) -sv Service/Version detection -sc Script Scan -O OS detection -A = { -sv, -sc, -O } -n No DNS resolution -v verbose

22 Workshop Exercício 1 Objectivo: Identificar os sistemas operativos e aplicações acessíveis na rede (Information Gathering / Discovery) Ferramenta: Nmap Sugestão: nmap -h

23 BurpSuite 101

24 Workshop Exercício 2 Objectivo: Estudo da aplicação HacmeBank através da identificação das variáveis utilizadas (request parameters, response data, cookies, etc) Ferramenta: BurpSuite Sugestão: Experimentem efectuar o login na aplicação.

25 Workshop BurpSuite Intruder

26 Workshop Exercício 3 Objectivo: Efectuar o brute-force a componente de login Ferramenta: Browser / BurpSuite Sugestão: BurpSuite Intruder

27 HacmeBank - Users Username: jv Password: jv789 Username: jm Password: jm789

28 Workshop Exercício 4 Objectivo: Aumentar a nossa conta bancária J Ferramenta: BurpSuite Sugestão: Experimentem efectuar uma transação

29 Workshop Exercício 5 Objectivo: Obter informação de transações de outros utilizadores Ferramenta: Browser Sugestão: Myaccounts -> View Transactions

30 Workshop Exercício 6 Objectivo: Obter privilégios de administração na aplicação Ferramenta: BurpSuite Sugestão: Use the Source, Luke J

31 Cross Site Scripting (XSS) Exemplo Pedido ao webserver Processamento na aplicação: print A sua pesquisa +arg1+ retornou +n+ resultados: 3 Output para o browser: A sua pesquisa nome retornou 30 resultados: 31

32 Cross Site Scripting (XSS) Exemplo Pedido ao webserver ><script>alert(document.cookie)</script>< Processamento na aplicação: print A sua pesquisa +arg1+ retornou +n+ resultados: 3 Output para o browser: A sua pesquisa ><script>alert(document.cookie)</script><retornou 30 resultados: 32

33 Workshop Exercício 5 Objectivo: Roubar sessão de outro(s) utilizadores via XSS Ferramenta: Browser / BurpSuite / netcat Sugestão: Mensagem com código JavaScript Escuta com netcat nlvp 8081 Utilizar o Burp para substituir o cookie

34 SQL Injection (SQLi) Exemplo 1 1 Pedido ao webserver GET /site/listagem.asp?arg1=nome 2 Processamento no ASP listagem.asp Lista = "SELECT * FROM contas WHERE user = + arg1 + 3 Processamento na base de dados SELECT * FROM contas WHERE user = nome 34

35 SQL Injection (SQLi) Exemplo 2 1 Pedido ao webserver GET /site/listagem.asp?arg1= a or user = b -- 2 Processamento no ASP listagem.asp Lista = "SELECT * FROM contas WHERE user = + arg1 + 3 Processamento na base de dados SELECT * FROM contas WHERE user = a or user= b -- 35

36 Workshop BurpSuite Repeater

37 Workshop Exercício 8 Objectivo: Login sem credenciais Ferramenta: BurpSuite Sugestão: BurpSuite Repeater Tentar construir a query SQL que deverá estar a ser utilizada pela aplicação durante a autenticação.

38 Our focus is the Integrity of the People, Processes, Information and Organizations INTEGRITY S.A.- Av. João Crisóstomo, n.º 30, 5º Lisboa PORTUGAL Tlf:

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Ementa Completa. Introdução

Ementa Completa. Introdução Ementa Completa Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades Autorização Non-Disclosure

Leia mais

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com

Metodologias pentest. Prof. Nataniel Vieira nataniel.vieira@gmail.com Metodologias pentest Prof. Nataniel Vieira nataniel.vieira@gmail.com Sumário Metodologias Abordagens existentes Fases de um pentest Principais técnicas Principais ferramentas Aplicações alvo 2 Hacking

Leia mais

No final do curso, os alunos devem ser capazes de:

No final do curso, os alunos devem ser capazes de: BEHAVIOUR GROUP Bringing value to you Certified Information Systems Security Professional (CISSP) Treinamento Reconhecimento global em segurança da informação Introdução Este curso, com a duração de cinco

Leia mais

Soluções de Segurança da Informação para o mundo corporativo

Soluções de Segurança da Informação para o mundo corporativo Soluções de Segurança da Informação para o mundo corporativo (para cada problema, algumas soluções!) Rafael Soares Ferreira Diretor de Resposta a Incidentes e Auditorias rafael@clavis.com.br Conceitos

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Ataques a Aplicações Web

Ataques a Aplicações Web Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL

Leia mais

Análise de Vulnerabilidades em Aplicações WEB

Análise de Vulnerabilidades em Aplicações WEB Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários

Leia mais

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems

SQS Portugal Portfólio de Serviços de Segurança. SQS Software Quality Systems SQS Portugal Portfólio de Serviços de Segurança SQS Software Quality Systems SQS Portugal Apresentação A SQS Portugal - Software Quality Systems, é uma empresa especializada em ajudar os seus clientes

Leia mais

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

13-10-2013. Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com 13-10-2013 Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com Falha segurança Baco PerenBoom Cross-site scripting (XSS) e Logins por canal não seguro

Leia mais

ANEXO I TERMO DE REFERÊNCIA

ANEXO I TERMO DE REFERÊNCIA ANEXO I TERMO DE REFERÊNCIA OBJETO CONTRATAÇÃO DE EMPRESA ESPECIALIZADA PARA ATIVIDADE TÉCNICA PARA EXECUÇÃO DE TESTES DE PENETRAÇÃO (PENTEST) E ANÁLISE DE VULNERABILIDADES DE SEGURANÇA Contratação de

Leia mais

Treinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor

Treinamento. Contra defesa cibernética Teoria e Prática Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material

Leia mais

Bruno Morisson, Partner & Audit Services Director

Bruno Morisson, Partner & Audit Services Director /// Segurança da Informação Tendências Actuais Promovendo o Crescimento Azul - H2020 e Segurança Marítima 6 Novembro 2015 Bruno Morisson, Partner & Audit Services Director MSc Information Security (RHUL),

Leia mais

Proposta Comercial Curso: Ethical Hacking

Proposta Comercial Curso: Ethical Hacking Proposta Comercial Curso: Ethical Hacking Proposta 1307DVPA/2012 A DATA SECURITY LTDA A DATA SECURITY é formada por profissionais com mais de 15 anos no mercado de segurança da informação com âmbito acadêmico

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Curso Governança de TI - Visão Executiva

Curso Governança de TI - Visão Executiva Curso Governança de TI - Visão Executiva Todos nossos cursos são preparados por profissionais certificados e com larga experiência em Governança de TI. Os cursos são ministrados em português, sendo o material

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Gestão de Segurança num Contexto de Contenção de Despesas

Gestão de Segurança num Contexto de Contenção de Despesas Gestão de Segurança num Contexto de Contenção de Despesas IDC 2011 Security is not a product it is a Process Bruce Schneier http://www.schneier.com Agenda: 1. Contexto 2. Certificados Digitais 3. Segurança

Leia mais

Curso Especialização em Gerenciamento Operacional de Serviços de TI Baseado no ITIL V3 e Cobit 4.1

Curso Especialização em Gerenciamento Operacional de Serviços de TI Baseado no ITIL V3 e Cobit 4.1 Curso Especialização em Gerenciamento Operacional de Serviços de TI Baseado no ITIL V3 e Cobit 4.1 Todos nossos cursos são preparados por profissionais certificados e com larga experiência em Governança

Leia mais

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009

OWASP. Ferramentas & Tecnologias OWASP. The OWASP Foundation http://www.owasp.org. Joaquim Marques OWASP@PT. 2 Abril, 2009 OWASP Ferramentas & Tecnologias Joaquim Marques OWASP@PT OWASP 2 Abril, 2009 Copyright 2007 - The OWASP Foundation This work is available under the Creative Commons SA 2.5 license The OWASP Foundation

Leia mais

Segurança em aplicações Web. Exemplos e Casos Práticos em

Segurança em aplicações Web. Exemplos e Casos Práticos em Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

Segurança de Redes. Introdução

Segurança de Redes. Introdução Segurança de Redes Introdução Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Apresentação Ementa Conceitos de Segurança. Segurança de Dados, Informações

Leia mais

COOKIES: UMA AMEAÇA À PRIVACIDADE

COOKIES: UMA AMEAÇA À PRIVACIDADE Mestrado em Ciência da Informação Segurança da Informação COOKIES: UMA AMEAÇA À PRIVACIDADE Marisa Aldeias 05 de dezembro de 2011 Sumário O que são; Tipos de cookies; Aplicação danosa? Interesse e utilidade;

Leia mais

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio

Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Formação Profissional Controlo Interno e Auditoria Interna Lisboa, 24 e 25 de Maio Assessoria de Gestão, Lda Controlo Interno e Auditoria Interna No actual contexto de crise, em que as organizações estão

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

soluções transversais SOLUÇÕES segurança

soluções transversais SOLUÇÕES segurança soluções transversais SOLUÇÕES segurança RESUMO DA SOLUÇÃO single sign-on acessos prevenção autenticação Os serviços de segurança são implementados como um layer do tipo Black Box, utilizável pelos canais

Leia mais

Segurança da Informação

Segurança da Informação Segurança da Informação Segurança e Vulnerabilidades em Aplicações Web jobona@terra.com.br Definição: Segurança Segundo o dicionário da Wikipédia, o termo segurança significa: 1. Condição ou estado de

Leia mais

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008 Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001 Susana Carias Lisboa, 24 de Outubro de 2008 Agenda Introdução Desafio 1º passo Problemática ISO 27001 ISO 20000 Conclusões 2 Agenda Introdução

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores

Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares

Leia mais

Sobre Nós. NossaVisão

Sobre Nós. NossaVisão 2015 Sobre Nós 1 ArtsSec foi fundada por um grupo de profissionais dedicados à segurança da informação a fim de proporcionar soluções criativas e de alto valor aos seus clientes. A empresa surgiu em 2012,

Leia mais

PHP. Hypertext Pre-Processor

PHP. Hypertext Pre-Processor PHP Hypertext Pre-Processor O que é o PHP? Uma linguagem de scripting é uma linguagem cujo código não tem de ser compilado para ser executado! O código escrito é interpretado em tempo de execução para

Leia mais

Web Application Firewall

Web Application Firewall Web Application Firewall SonicWALL Secure Remote Access Appliances Junho 2012 Edilson Cantadore Dell SonicWALL Brasil +55-11-7200-5833 Edilson_Cantadore@Dell.com Aplicações Web Cada vez mais objetos de

Leia mais

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

Pensamento do Dia! Bruce Schneier http://www.schneier.com

Pensamento do Dia! Bruce Schneier http://www.schneier.com »»»»»»»»»»»»»»»»»»»»»»»««Segurança Preventiva Agenda Estado Actual da Segurança na Internet Abordagem Reactiva vs Abordagem Preventiva Ferramentas de Análise e Diagnóstico Sistemas de Monitorização de

Leia mais

SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012

SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012 New Standards for Business SCORE INNOVATION Corporate Profile Luanda Maputo, 1 de Novembro 2012 Quem Somos A SCORE INNOVATION é uma empresa que tem como objecto social a prestação de serviços em consultoria,

Leia mais

A certificação electrónica

A certificação electrónica A certificação electrónica jose.miranda@multicert.com 04 de Novembro 2005 1 AGENDA Desafio dos novos processos electrónicos na Sociedade de Informação Certificação Digital e timestamping: o que é e para

Leia mais

Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional 2011. Mário Lavado itsmf Portugal 11-10-2011

Workshop. Maturidade da Governação e Gestão de TI em Portugal. Inquérito Nacional 2011. Mário Lavado itsmf Portugal 11-10-2011 Workshop Maturidade da Governação e Gestão de TI em Portugal Inquérito Nacional 2011 Mário Lavado itsmf Portugal 11-10-2011 Agenda Apresentação dos resultados do estudo de maturidade do ITSM & ITGovervance

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK

ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK ISO/IEC 20000 DOIS CASOS DE SUCESSO DE CLIENTES QUALIWORK A Norma ISO/IEC 20000:2011 Information technology Service management Part 1: Service management system requirements é uma Norma de Qualidade que

Leia mais

Auditando Segurança da Informação

Auditando Segurança da Informação Auditando Segurança da Informação Claudio Dodt, CISA, CRISC, CISSP, ITIL Expert Business Continuity & Security Senior Consultant claudio.dodt@daryus.com.br www.daryus.com.br claudiododt.com www.twitter.com/cdodt

Leia mais

AG 2008. Relatório 2007. itsmf Portugal

AG 2008. Relatório 2007. itsmf Portugal AG 2008 Relatório 2007 itsmf Portugal ST MARKETING Susana Soares Coordenadora de Marketing e Comunicação itsmf Portugal 1. Newsletter ITIL e TAL Relatório 2007 1. Métricas 500 Subscritores 5 Artigos de

Leia mais

edgebox - PTEDU edgebox como servidor de autenticação nas escolas Copyright @ 2009 Critical Links S.A. All rights reserved. Saturday, July 18, 2009

edgebox - PTEDU edgebox como servidor de autenticação nas escolas Copyright @ 2009 Critical Links S.A. All rights reserved. Saturday, July 18, 2009 edgebox - PTEDU edgebox como servidor de autenticação nas escolas 1 Agenda Introdução 802.1x Cenários eradmanager Clientes 802.1x Q & A Introdução 3 O que é o edgebox? Um equipamento de rede com uma interface

Leia mais

---- ECOpro ----- Manual de implementação

---- ECOpro ----- Manual de implementação ---- ECOpro ----- Manual de implementação Index Pag. PHP em IIS 7 2 Arquitectura 7 Configurar primeira entrada no ECO 11 Entrar no ECO pela primeira vez 12 Primeiros passos para configuração do ECO 13

Leia mais

Configuração dos portáteis utilizando os cabos de rede

Configuração dos portáteis utilizando os cabos de rede Configuração dos portáteis utilizando os cabos de rede O decréscimo do preço dos computadores portáteis originou uma subida exponencial do uso destes equipamentos. O IPCA, procurando acompanhar esta tendência,

Leia mais

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07

Apresentação. Objetivo. Dados Principais. Período 20/06 à 25/07 Apresentação Dados Principais Este treinamento promove o conhecimento de conceitos básicos e metodologias baseadas na principal norma de Segurança da Informação internacionalmente aceita. Após a conclusão

Leia mais

Proposta. COBIT Fundamentos. Apresentação Executiva. COBIT - Fundamentos

Proposta. COBIT Fundamentos. Apresentação Executiva. COBIT - Fundamentos COBIT Fundamentos Apresentação Executiva 1 O treinamento de Cobit Fundamentos tem como premissa capacitar o participante a compreender e controlar os riscos associados, mantendo o equilíbrio entre os investimentos

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS

GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS GTS - Grupo de Trabalho em Segurança de Redes - 23ª Reunião GESTÃO DE RISCOS COM BASE NO MONITORAMENTO DE AMEAÇAS Leandro Bennaton * leandro.bennaton@corp.terra.com.br Twitter: @bennaton Carlos H. Borella

Leia mais

Segurança em PHP. Exemplos e Casos Práticos

Segurança em PHP. Exemplos e Casos Práticos Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL

Leia mais

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE

UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS OPEN SOURCE MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2014 2 MARCOS FLÁVIO ARAÚJO

Leia mais

VULNERABILIDADES WEB v.2.2

VULNERABILIDADES WEB v.2.2 VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

15 de Junho a 7 de Julho Lisboa MOTIVAÇÃO Conhecer a informação que utilizamos diariamente, os seus processos de gestão e procedimentos directamente com ela associados, constituem formas de melhor compreendermos

Leia mais

MEMORANDO. Ambiente de Produção GeRFiP Configurações de acesso e utilização v.12

MEMORANDO. Ambiente de Produção GeRFiP Configurações de acesso e utilização v.12 MEMORANDO Ambiente de Produção GeRFiP Configurações de acesso e utilização v.12 Enquadramento do documento Programa Projecto GeRFiP Migração GeRFiP Histórico de versões Versão Data Autor Descrição Localização

Leia mais

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR

GUIA DE FUNCIONAMENTO DA UNIDADE CURRICULAR Curso Engenharia Informática Ano letivo 2012/13 Unidade Curricular Programação e Segurança ECTS 4 Regime Opcional Ano 2º/3º Semestre 2º sem Horas de trabalho globais Docente (s) José Carlos Fonseca Total

Leia mais

-AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS. A sua protecção, com os melhores especialistas.

-AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS. A sua protecção, com os melhores especialistas. -AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS A sua protecção, com os melhores especialistas. Porquê a auditoria ao tratamento de dados pessoais? A regulamentação do tratamento de dados pessoais é uma área complexa

Leia mais

A segurança de informação é um tema cada vez mais atual nas organizações.

A segurança de informação é um tema cada vez mais atual nas organizações. Pós Graduação em Information Security Gestão - Pós-Graduações Com certificação Nível: Duração: 180h Sobre o curso A segurança de informação é um tema cada vez mais atual nas organizações. A competitividade

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

(In)Segurança Virtual. Técnicas de Ataque e Defesa

(In)Segurança Virtual. Técnicas de Ataque e Defesa (In)Segurança Virtual Técnicas de Ataque e Defesa Expotec 2009 IFRN- Campus Mossoró Nícholas André - nicholasandreoliveira9@gmail.com www.iotecnologia.com.br Mossoró-RN Setembro-2009 O que é preciso! Engenharia

Leia mais

Teste de invasão. alessanc@gmail.com

Teste de invasão. alessanc@gmail.com Teste de invasão alessanc@gmail.com Apresentação Alessandro Coneglian Bianchini exerce a função de engenheiro na NEC Brasil, atuando na elaboração de projetos e implantação de VoIP, Wireless, Redes e Segurança

Leia mais

RELATÓRIOS PENTEST S

RELATÓRIOS PENTEST S FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO - V ALLAN BERG BARBOSA GUIMARÃES CARLOS ANTÔNIO DA SILVA JUAREZ JUNIOR FREITAS DE OLIVEIRA RELATÓRIOS PENTEST S GOIÂNIA 2016/2 ALLAN BERG BARBOSA

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações.

Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque. CAPITULO 4- Segurança de Aplicações. Nomes: João Lucas Baltazar, Lucas Correa, Wellintom Borges e Willian Roque CAPITULO 4- Segurança de Aplicações. Fragilidades na camada de aplicação Hoje em dia existe um número de aplicativos imenso, então

Leia mais

Introdução ao Sistema. Características

Introdução ao Sistema. Características Introdução ao Sistema O sistema Provinha Brasil foi desenvolvido com o intuito de cadastrar as resposta da avaliação que é sugerida pelo MEC e que possui o mesmo nome do sistema. Após a digitação, os dados

Leia mais

Forms Authentication em ASP.NET

Forms Authentication em ASP.NET Forms Authentication em ASP.NET Em muitos sites web é necessário restringir selectivamente o acesso a determinadas áreas, ou páginas, enquanto para outras páginas pode permitir-se acesso livre. ASP.NET

Leia mais

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25

Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15. Burp Suite. Módulo 25 Formador: Paulo Ramos IGRI13: Rui Bárcia Nº15 Burp Suite Módulo 25 01 O que é? O que é o Burp Suite? Burp Suite é uma plataforma integrada para a realização de testes de segurança de aplicações web. As

Leia mais

Payment Card Industry (PCI)

Payment Card Industry (PCI) Payment Card Industry (PCI) Indústria de Cartões de Pagamento (PCI) Padrão de Segurança de Dados Procedimentos para o Scanning de Segurança Version 1.1 Portuguese Distribuição: Setembro de 2006 Índice

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

AERLIS Programa de boas práticas de gestão de projeto

AERLIS Programa de boas práticas de gestão de projeto 22 de Dezembro de 2014 AERLIS Programa de boas práticas de gestão de projeto Hugo Cartaxeiro PMP BECOME WINNERS TOGETHER. WINNING Management Consulting Foco na produtividade e previsibilidade dos projetos

Leia mais

Evidenciando e identificando servidores vulneráveis ao SSL/TLS

Evidenciando e identificando servidores vulneráveis ao SSL/TLS Evidenciando e identificando servidores vulneráveis ao SSL/TLS Ciência Hacker 10 de fevereiro de 201620 de fevereiro de 2016 Deixe um comentário Na análise de vulnerabilidade em infraestrutura, uma das

Leia mais

Curso preparatório para a certificação COBIT 4.1 Fundation

Curso preparatório para a certificação COBIT 4.1 Fundation Curso preparatório para a certificação COBIT 4.1 Fundation Dentro do enfoque geral em conhecer e discutir os fundamentos, conceitos e as definições de Governança de TI - tecnologia da informação, bem como

Leia mais

Central de Exposição a Derivativos. Manual Técnico

Central de Exposição a Derivativos. Manual Técnico Central de Exposição a Derivativos Manual Técnico SUMÁRIO 1. INTRODUÇÃO... 3 1.1 Requisitos Mínimos... 3 1.2 Estrutura de acesso e fluxo da informação... 3 1.3 Procedimentos para aquisição de rede privada...

Leia mais

Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS.

Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS. Gestão Estratégica de Riscos de Segurança da Informação no Setor Público: Práticas com o RealISMS. Claudio Dodt, ISMAS, CISSP, CISA, ISO 27001 Lead Auditor Business Continuity & Security Senior Consultant

Leia mais

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Segurança Informática e nas Organizações. Guiões das Aulas Práticas Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão

Leia mais

Vulnerabilidades em Aplicações Web

Vulnerabilidades em Aplicações Web Luiz F Callado Senior Deployment Specialist/Mentor IBM Rational Latin America callado@br.ibm.com 19 de Maio de 2009 Agenda Introdução Ameaças na Web Porque segurança em aplicações web é prioridade? Ataques

Leia mais

Versão 1.0. [08.02.2012] 2012, Portugal - Efacec Sistemas de Gestão S.A. Todos os direitos reservados. 1

Versão 1.0. [08.02.2012] 2012, Portugal - Efacec Sistemas de Gestão S.A. Todos os direitos reservados. 1 Copyright 2012 Efacec Todos os direitos reservados. Não é permitida qualquer cópia, reprodução, transmissão ou utilização deste documento sem a prévia autorização escrita da Efacec Sistemas de Gestão S.A.

Leia mais

Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias

Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias Radius Autenticando sua equipe nos equipamentos de maneira simples, segura e barata. MUM Brasil Novembro de 2012 Lacier Dias Natal, November 26-27, 2012 Nome: Lacier Dias Introdução Formado em Segurança

Leia mais

Cibersegurança, Gestão de Risco e Adoção de Medidas

Cibersegurança, Gestão de Risco e Adoção de Medidas Workshop: Cibersegurança: Aspetos Económicos Cibersegurança, Gestão de Risco e Adoção de Medidas José A. S. Alegria Direção de Segurança e Privacidade Portugal Telecom Setembro, 2013 Workshop: Cibersegurança:

Leia mais

PROGRAMA STEP BY STEP

PROGRAMA STEP BY STEP PROGRAMA STEP BY STEP A Nossa Dica para um Processo de Internacionalização com Sucesso Antes de decidir exportar ou internacionalizar conheça primeiro o mercado. Todos sabemos que hoje o desígnio nacional

Leia mais

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 13 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL

Aula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL Aula 14 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos

Leia mais

Início do 2º Período em 05/01/09 Férias do Carnaval de 23/02/09 a 25/02/09 Fim do 2º Período em 27/03/09. Número de Tempos Lectivos do 2º Período 34

Início do 2º Período em 05/01/09 Férias do Carnaval de 23/02/09 a 25/02/09 Fim do 2º Período em 27/03/09. Número de Tempos Lectivos do 2º Período 34 ESCOLA SECUNDÁRIA C/3º CICLO DE MANUEL DA FONSECA SANTIAGO DO CACÉM Plano Anual da Disciplina de Redes de Comunicação - 12º Ano Curso Profissional Ano lectivo 2008/2009 Planificação Elaborada pelo professor

Leia mais

Projecto GTBC. leading excellence 1. Portugal: Espanha:

Projecto GTBC. leading excellence 1. Portugal: Espanha: Projecto GTBC Portugal: Edifício Taurus Campo Pequeno, 48 2º 1000-081 Lisboa Tel.: +351 217 921 920 Fax: +351 217 921 929 www.gtbc.pt info@gtbc.pt Espanha: CalleAtocha, 20, 2ªIzq 28012 Madrid Tel.: +34

Leia mais

Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle

Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle Desenvolvimento de uma Aplicação WEB para monitorização de BD Oracle Luís Filipe Borges Pinto Resumo: Este projecto consiste na implementação de uma aplicação WEB para monitorização

Leia mais

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:

Quando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes: Segurança Informa tica e nas Organizaço es Vulnerabilidades na Web (V1.1) Este trabalho deve ser realizado na máquina virtual Ubuntu10tm que pode descarregar de ftp://www.ieeta.pt/avzdatastore/vulnerable%20linux/ubuntu10tm.zip,

Leia mais