RELATÓRIOS PENTEST S
|
|
- Alana Santana de Escobar
- 7 Há anos
- Visualizações:
Transcrição
1 FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO - V ALLAN BERG BARBOSA GUIMARÃES CARLOS ANTÔNIO DA SILVA JUAREZ JUNIOR FREITAS DE OLIVEIRA RELATÓRIOS PENTEST S GOIÂNIA 2016/2
2 ALLAN BERG BARBOSA GUIMARÃES CARLOS ANTÔNIO DA SILVA JUAREZ JUNIOR FREITAS DE OLIVEIRA RELATÓRIOS PENTEST S Projeto Integrador Tema: Segurança em Servidores de Internet - Realizar os pentest s sobre os sites dos demais grupos; - Elaboração e divulgação dos relatórios dos pentest s. GOIÂNIA 2016/2
3 1. ATIVIDADE Os grupos participantes do projeto integrador divulgaram seus respectivos sites. Cada grupo deve realizar análise no site dos demais para apontar vulnerabilidades na aplicação web desenvolvida Ferramentas e meios utilizados Para a realização das atividades foram utilizadas técnicas apresentadas em sala de aula, que representam as vulnerabilidades mais conhecidas e utilizadas em ataques as aplicações web. Em conjunto com as técnicas foram utilizadas ferramentas que realizam a análise do site escolhido e já apresentam as possíveis vulnerabilidades. Acunetix Web Vulnerability Scanner Nmap WAFW00F ( SQLMap 1.2. Realizar os pentest s sobre os sites dos demais grupos com WAF Site do grupo DAV: utilizado: Inicialmente foi utilizada a ferramenta WAFW00F para identificar qual o WAF
4 A ferramenta então trouxe como resultado da busca que o servidor web do site alvo utiliza o WAF ModSecurity. Realizamos também a varredura do site com o Acunetix para tentar obter possíveis vulnerabilidades, porém todos os requests foram negados pelo WAF do servidor do site além de utilizarem certificado ssl:
5 Resolvemos partir então para os testes manuais e o primeiro foi injetar o código booleano or 1=1-- em um dos campos de input da página de login do site caracterizando um ataque de Sql Injection: E a resposta do servidor foi o erro de Forbidden, ou seja, o WAF do servidor detectou o ataque e negou o acesso: Impossibilitado o acesso via página de login, não tivemos condições de testar ataques de outras vulnerabilidades como XSS ou CSRF por exemplo.
6 Site do grupo MMP: utilizado: Inicialmente foi utilizada a ferramenta WAFW00F para identificar qual o WAF A ferramenta então trouxe como resultado da busca que o servidor web do site alvo utiliza o WAF ModSecurity. Realizamos também a varredura do site com o Acunetix para tentar obter possíveis vulnerabilidades, porém todos os requests foram negados pelo WAF do servidor do site:
7 Resolvemos partir então para os testes manuais e o primeiro foi injetar o código booleano or 1=1-- em um dos campos de input da página de login do site caracterizando um ataque de Sql Injection: Na figura acima pode-se ver que o acesso é feito sem nenhum problema apesar do WAF ativo no servidor. Com acesso as páginas de cadastro tivemos condições de explorar outra vulnerabilidade, o Cross Site Scripting (XSS) inserindo uma função alert() do javascript em um dos campos de alguma das páginas de cadastro:
8 Aproveitando-se ainda da falha de sql injection fizemos um ataque utilizando a ferramenta Sqlmap para tentar obter dados do SGBD do servidor como databases, colunas e registros armazenados. O comando utilizando foi baseado no scan do Acunetix onde ele detectou a página login.php como sendo vulnerável a ataques de sql injection, ela por sua vez foi então o alvo seguido dos inputs com os parâmetros #2* e #1* que indicam que são campos posts e os mesmo devem ser injetados:
9 Site do grupo tiresolve: utilizado: Inicialmente foi utilizada a ferramenta WAFW00F para identificar qual o WAF
10 A ferramenta então trouxe como resultado da busca que o servidor web do site alvo utiliza o WAF da IBM. Realizamos também a varredura do site com o Acunetix para tentar obter possíveis vulnerabilidades, porém todos os requests foram ignorados ou negados pelo WAF do servidor do site:
11 Resolvemos partir então para os testes manuais e o primeiro foi injetar o código booleano or 1=1-- em um dos campos de input da página de login do site caracterizando um ataque de Sql Injection: O servidor por sua vez não retornou nenhum erro de Forbidden, ou seja, o WAF do servidor detectou o ataque e negou o acesso porém não está redirecionando para nenhuma página de notificação. Impossibilitado o acesso via página de login, não tivemos condições de testar ataques de outras vulnerabilidades como XSS ou CSRF por exemplo. Site do grupo msbsecurity: Inicialmente foi utilizada a ferramenta Nmap para varrer o site em busca de quais portas estão na escuta:
12 A ferramenta então trouxe como resultado da busca que o servidor web do site alvo utiliza o WAF da Imperva SecureSphere, porém em conversa com os integrantes do grupo responsável pelo site eles utilizam o WAF ModSecurity. Realizamos também a varredura do site com o Acunetix para tentar obter possíveis vulnerabilidades, porém todos os requests foram negados pelo WAF do servidor do site:
13 Resolvemos partir então para os testes manuais e o primeiro foi injetar o código booleano or 1=1-- em um dos campos de input da página de login do site caracterizando um ataque de Sql Injection: E a resposta do servidor foi o erro de Forbidden, ou seja, o WAF do servidor detectou o ataque e negou o acesso: Impossibilitado o acesso via página de login, não tivemos condições de testar ataques de outras vulnerabilidades como XSS ou CSRF por exemplo.
14 BIBLIOGRAFIA
Teste de Software para. Segurança de Sistemas. COTI Informática Escola de Nerds
Teste de Software para COTI Informática Escola de Nerds Segurança de Sistemas A COTI Informática A COTI Informática é uma instituição de ensino nas áreas de Programação, Banco de Dados, Análise de Sistema
Leia maisEstratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA
Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/
Leia maisCross-Site Scripting (XSS): Entendendo o conceito e seus tipos
Cross-Site Scripting (XSS): Entendendo o conceito e seus tipos Talvez a vulnerabilidade de segurança de aplicações web mais comum e mais debatido é Cross-Site Scripting (XSS). Quando tais vulnerabilidades
Leia maisDaniel Moreno. Novatec
Daniel Moreno Novatec Novatec Editora Ltda. 2017. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia
Leia maisUso da ferramenta sqlmap para detecção de vulnerabilidades de SQL Injection
Anais do EATI - Encontro Anual de Tecnologia da Informação 31 Uso da ferramenta sqlmap para detecção de vulnerabilidades de SQL Injection Felipe Santin 1, José Antônio Oliveira de Figueiredo 1, Vanessa
Leia mais474QU35 J1y4n y4r
J1y4n y4r1 0000 0001 71P05 D3 0000 0011 FOOTPRINTING TAREFA DE COLETAR INFORMAÇÕES SOBRE UM SISTEMA ALVO; - FEITA POR VIAS TRADICIONAIS E PÚBLICAS, COMO USO DO FINGER, LEITURA DE PÁGINAS DO SITE PARA OBTER
Leia maisLaudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO
Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO Requerente: DIRETOR DA EMPRESA ALVO. Pentester: Petter Anderson Lopes. Período: de 10/2015 a 06/2016. Modelo: Gray Hat. Ambiente:
Leia maisAtaques a Aplicações Web
Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL
Leia maisSEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA
SEGURANÇA EM APLICAÇÕES WEB PROF.: PAULO RICARDO LISBOA DE ALMEIDA APLICAÇÕES DESKTOP VERSUS WEB Quais são as diferenças do ponto de vista da segurança APLICAÇÕES DESKTOP VERSUS WEB Em uma aplicação desktop,
Leia maisEmenta Oficial do. Curso Pentest: Técnicas de Invasão Básico
Ementa Oficial do Curso Pentest: Técnicas de Invasão Básico Capítulo 01 Introdução Introdução ao Curso Termos Comuns Teste de Invasão (pentesting) Red Team (Equipe Vermelha) Hacking Ético White Hat Black
Leia maisCross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo
Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer
Leia maisQual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código
Segurança de aplicações web como aumentar a segurança dos sites da sua organização Italo Valcy, Pedro Sampaio, Michel Peterson, Bruno Diego ETIR UFBA Qual o cenário? Incidentes de Segurança de Desfiguração
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, OWASP Top 10 2013 compliance. OWASP
Leia maisIDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO
IDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO Quem sou eu: Desenvolvedor PHP? -Sim Entusiasta da área de segurança? -Sim Então trabalha com segurança? -Não, se trabalhar
Leia maisAula 6: Vulnerabilidades Web
Aula 6: Vulnerabilidades Web Exploits of a Mom http://xkcd.com 1.1 Objectivos: Compreender duas vulnerabilidades encontradas em aplicações web: SQL Injection; Cross-site Scripting. Pensar sobre formas
Leia maisAvaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0
White Paper Solutions Business Manager Avaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0 por Sarah Timmons e Brock Bland, 8 de dezembro de 2015 Índice página Introdução...
Leia maisSYHUNT HYBRID: GUIA DE INTRODUÇÃO
SYHUNT HYBRID: GUIA DE INTRODUÇÃO As informações contidas neste documento se aplicam a versão 6.5 do Syhunt Hybrid. INTRODUÇÃO O Syhunt Hybrid é uma suíte híbrida de avaliação de segurança de aplicações
Leia maisAula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.
Segurança da Informação Aula 4 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 30 de agosto de 2017 Google Hacking Utilizar uma search engine para buscar falhas específicas
Leia maissegurança em aplicações web
segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisSegurança em aplicações Web. Exemplos e Casos Práticos em
Segurança em aplicações Web Exemplos e Casos Práticos em Nuno Lopes, NEIIST 7º Ciclo de Apresentações. 28/Março/2007 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Response Splitting / Header
Leia mais(In)Segurança em Aplicações Web. Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com
(In)Segurança em Aplicações Web Marcelo Mendes Marinho mmarinho@br.ibm.com Thiago Canozzo Lahr tclahr@br.ibm.com Agenda Introdução Porque segurança em aplicações é prioridade? Principais causas de vulnerabilidades
Leia maisQuando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:
Segurança Informa tica e nas Organizaço es Vulnerabilidades na Web (V1.1) Este trabalho deve ser realizado na máquina virtual Ubuntu10tm que pode descarregar de ftp://www.ieeta.pt/avzdatastore/vulnerable%20linux/ubuntu10tm.zip,
Leia maisAula 14 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL
Aula 14 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisTaxonomia Comum para a Rede Nacional de CSIRTs
Taxonomia Comum para a Rede Nacional de CSIRTs Taxonomia Comum para a Rede Nacional de CSIRTs Dezembro de 2012 ÍNDICE 1 INTRODUÇÃO... 2 2 CLASSIFICAÇÃO DE INCIDENTES... 3 i 1 INTRODUÇÃO Este documento
Leia maisSegurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo alexcamargoweb@gmail.com
UNIVERSIDADE FEDERAL DO PAMPA CAMPUS BAGÉ ENGENHARIA DE COMPUTAÇÃO Segurança em aplicações web: pequenas ideias, grandes resultados alexcamargoweb@gmail.com Sobre o professor Formação acadêmica: Bacharel
Leia maisWelington R. Monteiro Fatea Segurança 09/2016
Welington R. Monteiro Fatea Segurança 09/2016 É uma vulnerabilidade encontrada em aplicações web, que permite a injeção de códigos no lado do cliente, ou seja, altera a página apenas no computador do usuário.
Leia maisMODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI
MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte
Leia maisAula 13 Mecanismos de Proteção. Fernando José Karl, AMBCI, CISSP, CISM, ITIL
Aula 13 Mecanismos de Proteção Fernando José Karl, AMBCI, CISSP, CISM, ITIL Agenda ü Mecanismos de Proteção ü Antivírus ü Antimalware ü Antivírus ü Um sistema de sistema de antivírus detecta códigos maliciosos
Leia maisAnálise de Vulnerabilidades em Aplicações WEB
Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários
Leia maisLevantamento de informação (Fingerprint)
Levantamento de informação (Fingerprint) Continuação... Prof. Pedro Filho Objetivos Mapear hosts ativos na rede Obter versões dos sistemas operacionais Entender aquisição de banners Identificar os serviços
Leia maisFerramenta Nessus e suas funcionalidades
Ferramenta Nessus e suas funcionalidades Alberto S. Matties 1 1 Curso Superior de Tecnologia em Redes de Computadores Rua Gonçalves Chaves 602 96.015-000 Pelotas RS Brasil 2 FACULDADE DE TECNOLOGIA SENAC
Leia maisSegurança em PHP. Exemplos e Casos Práticos
Segurança em PHP Exemplos e Casos Práticos Nuno Lopes, NEIIST 3º Ciclo de Apresentações. 17/Março/2005 Agenda: Register Globals Paths Cross-Site Scripting (XSS) Cross-Site Request Forgeries (CSRF) SQL
Leia maisGoogle Hacking para Ataques SQL Injection
Google Hacking para Ataques SQL Injection Amaury Walbert de Carvalho, Antonio Pires de Castro Júnior Faculdade de Tecnologia SENAI de Desenvolvimento Gerencial (FATESG) Rua 227 A, no 95, St. Leste Universitário
Leia maisINFORMATIVO DE RELEASE MASTERSAF DFE VERSÃO
MASTERSAF DFE VERSÃO 3.15.0 ÍNDICE Novas funcionalidades / Melhorias... 1 Emissor de Nota Fiscal de Serviço Eletrônica NFS-e... 1 Municípios liberados na versão 3.15.0:... 1 Alteração da forma de comunicação
Leia maisSBSeg 2016 Niterói, RJ 08 de novembro de 2016
SBSeg 2016 Niterói, RJ 08 de novembro de 2016 Segurança em IoT: O futuro repetindo o passado Miriam von Zuben miriam@cert.br Agenda Ataques atuais envolvendo IoT Problemas antigos Desafios Breaking News
Leia maisSegurança de aplicações web: Experimentos e taxonomia de ataques.
Segurança de aplicações web: Experimentos e taxonomia de ataques. Resumo Cícero Roberto Ferreira de Almeida A segurança nas interações eletrônicas via web é um tema relevante para usuários e organizações
Leia maisAplicações Web Legadas: Avaliação e Estratégias para Gerenciamento do Risco
Aplicações Web Legadas: Avaliação e Estratégias para Gerenciamento do Risco Ricardo Almeida 1, Victor Covalski 1, Thiago Cardoso 1, Rafael Padilha 1, Thomas Oliveira 1, Roger Machado 1, Ricardo Ladeira
Leia maisTreinamento. "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor
Treinamento "Contra defesa cibernética Teoria e Prática" Preparado por: Eduardo Bernuy Lopes Consultor Sênior red.safe ISO 27001 Lead Auditor 1 Informações do Curso Data: A definir (Em breve); Material
Leia maisNomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):
Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL): Nos últimos anos uma das vulnerabilidades mais exploradas por usuários mal-intencionados é a injeção de SQL, onde o atacante realiza uma
Leia maisRecomenda-se a leitura completa deste documento antes de iniciar o desenvolvimento do website.
Universidade Federal de Uberlândia Faculdade de Computação Curso de Sistemas de Informação Projeto de Programação para Internet Prof. Daniel A Furtado Descrição Geral Desenvolver um website para uma imobiliária
Leia maisFerramentas de Pentest
Laboratório de Ataque e Defesa Ferramentas de Pentest ENCOSIS 2015 Introdução Ciclo de vida dos testes de invasão Muitos autores descrevem o ciclo de vida dos testes de invasão em cinco ou mais ciclos.
Leia maisAdrian Pruteanu. Novatec
Adrian Pruteanu Novatec Copyright Packt Publishing 2019. First published in the English language under the title Becoming the Hacker (9781788627962) Copyright Packt Publishing 2019. Publicação original
Leia maisCOMPARAÇÃO DE SEGURANÇA EM FERRAMENTAS DE ARMAZENAMENTO QUE UTILIZAM A COMPUTAÇÃO EM NUVEM
COMPARAÇÃO DE SEGURANÇA EM FERRAMENTAS DE ARMAZENAMENTO QUE UTILIZAM A COMPUTAÇÃO EM NUVEM Wellington Moraes Viana 1, José Rafael Pilan 2 1 Aluno do Curso de Informática para Negócios da FATEC - Botucatu,
Leia maisLidando com Armazenamento de Dados
Lidando com Armazenamento de Dados Paulo Ricardo Lisboa de Almeida 1 Armazenamento de Dados A grande maioria das aplicações possuem algum mecanismo para armazenagem de dados Dados de usuários Permissões
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, ISO27001:2013 compliance. Norma Internacional
Leia maisAutomação de teste com SoapUi
Automação de teste com SoapUi Automação de teste... Introdução sobre automação de testes Características da ferramenta SoapUI Testes soap Testes rest A automação de teste é o uso de uma ferramenta desenvolvida
Leia maisSegurança na WEB Ambiente WEB estático
Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1 Ambiente Web Dinâmico Servidor Web Cliente Navegadores
Leia maisSejam bem vindos ao nosso encontro!
Sejam bem vindos ao nosso encontro! DEV Desenvolvimento Atualizações OPS Performance Infraestrutura SEC Confidencialidade Disponibilidade Integridade Carlos Renato Vilas Boas da Silva ( CR ) Segurança
Leia maisSEGURANÇA DE SISTEMAS E REDES. TÁSSIO JOSÉ GONÇALVES GOMES
SEGURANÇA DE SISTEMAS E REDES TÁSSIO JOSÉ GONÇALVES GOMES www.tassiogoncalves.com.br tassiogoncalvesg@gmail.com CONTEÚDO Visão geral sobre o Pentest Tipos de Pentest As fases de um ataque Categorias de
Leia maisLatinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016
Latinoware 2016 Foz do Iguaçu, PR 20 de outubro de 2016 Segurança em IoT: Novos desafios, velhos problemas Miriam von Zuben miriam@cert.br Tratamento de Incidentes Articulação Apoio à recuperação Estatísticas
Leia maisSEGURANÇA EM COMÉRCIO ELETRÔNICO
SEGURANÇA EM COMÉRCIO ELETRÔNICO MARCELO ESPÍNDOLA RESUMO O presente trabalho tem por objetivo mostrar os problemas mais comuns decorrentes no comércio eletrônico. Com isso, foi realizada uma pesquisa
Leia maisGerenciamento de Vulnerabilidade e Conformidade
Produto de ponta para segurança e avaliação de risco para gerenciar e monitorar mudanças em configurações, hardening, vulnerabilidades e políticas de conformidade dos ativos de TI e aplicações web. Gerenciamento
Leia maisAvaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS
Avaliação de Ferramentas de Análise de Segurança: Nessus OpenVAS Tiago da S. Pasa 1 1 Faculdade de Tecnologia Senac Pelotas(FATEC) Rua Gonçalves Chaves, 602 Centro CEP: 96.015-560 Pelotas RS Brasil Curso
Leia maisDisciplina de Segurança e Auditoria de Sistemas Ataques
Disciplina de Segurança e Auditoria de Sistemas Ataques Professor: Jiyan Yari Ataques mais comuns: Footprinting - tarefa de coletar informações sobre um sistema alvo; - feita por vias tradicionais e públicas,
Leia maisSQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO
SQL INJECTION: ENTENDENDO E EVITANDO MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² ¹ Faculdade IDEAU Bagé RS Brasil magalhaesbg@gmail.com ² Faculdade IDEAU Bagé RS Brasil rafaelrodriguesbastos@gmail.com
Leia maisVULNERABILIDADES WEB v.2.2
VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção
Leia maisPrefácio... 23 Introdução... 25 1 Entendendo o Assunto... 27 2 TCP/IP Básico... 37
Sumário Prefácio... 23 Introdução... 25 1 Entendendo o Assunto... 27 1.1 Bem-vindo ao Obscuro Mundo da Segurança Digital... 27 1.2 Por que Não Estamos Seguros?... 29 1.3 Breve História do Hacking... 32
Leia maisWAF 2019 OGA N-STALKER VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES DO DIAGNÓSTICO À DEFESA. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL
DO DIAGNÓSTICO À DEFESA. UMA NOVA ERA, UMA NOVA MARCA! Fusão Aker N-Stalker GDPR e LGPD Evite vazamentos de dados de suas aplicações e garanta a integridade de seus processos de proteção de dados e fique
Leia maisWeb br 2016 São Paulo, SP 14 de outubro de 2016
Web br 2016 São Paulo, SP 14 de outubro de 2016 Aplicações Web e ataques DDoS: alvo ou origem? Miriam von Zuben miriam@cert.br Agenda Ataques DDoS Ataques DDoS a servidores e aplicações Web Como melhorar
Leia maisDesenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisSegurança da Internet. Ricardo Terra (rterrabh [at] gmail.com) Segurança da Internet Outubro, 2013 2012 1
Segurança da Internet Ricardo Terra rterrabh [at] gmail.com Outubro, 2013 2012 1 CV Nome: Ricardo Terra Email: rterrabh [at] gmail.com www: ricardoterra.com.br Twitter: rterrabh Lattes: lattes.cnpq.br/
Leia maisCampus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /
Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DE REDES Aula N : 02 Tema:
Leia maisWAF 2019 OGA N-STALKER DO DIAGNÓSTICO À DEFESA. VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL
DO DIAGNÓSTICO À DEFESA. UMA NOVA ERA, UMA NOVA MARCA! Fusão Aker N-Stalker GDPR e LGPD Evite vazamentos de dados de suas aplicações e garanta a integridade de seus processos de proteção de dados e fique
Leia maisSegurança de redes com Backtrack
Faculdade de Tecnologia SENAC Pelotas/RS Curso Superior de Tecnologia em Redes de Computadores Segurança de redes com Backtrack Marcelo Bueno Lemes 1 Objetivo Linux Backtrack Ferramentas Conclusão 2 Abordar
Leia mais20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP
20º Fórum de Certificação para Produtos de Telecomunicações 30 de novembro de 2016 Campinas, SP Problemas de Segurança e Incidentes com CPEs e Outros Dispositivos Cristine Hoepers cristine@cert.br Incidentes
Leia maisINE 5423 Banco de Dados I
UFSC-CTC-INE Curso de Ciencias da Computação INE 5423 Banco de Dados I 2010/2 http://www.inf.ufsc.br/~ronaldo/ine5423 Programa da Disciplina Objetivo Conteúdo Avaliação Bibliografia Cronograma (Previsto)
Leia maisMetasploit Hands On. Rafael Soares Ferreira Clavis Segurança da Informação
Metasploit Hands On Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br $ whoami Grupo Clavis Sócio Diretor Técnico Análise forense computacional Detecção e resposta a incidentes
Leia maisSegurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner
Segurança Web com PHP 5 Douglas V. Pasqua Zend Certified Enginner Objetivo Disseminar boas práticas para o desenvolvimento de código seguro em php. Exemplificar como são feitos os ataques e suas respectivas
Leia maisJosh Pauli Revisão técnica Scott White. Novatec
Josh Pauli Revisão técnica Scott White Novatec Copyright 2013 Elsevier Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or
Leia maisINE 5423 Banco de Dados I
UFSC-CTC-INE Curso de Ciências da Computação INE 5423 Banco de Dados I 2011/1 http://www.inf.ufsc.br/~ronaldo/ine5423 Programa da Disciplina Objetivo Conteúdo Avaliação Bibliografia Cronograma (Previsto)
Leia maisO Processo de Testes de Intrusão no CPD-UFRGS
UNIVERSIDADE FEDERAL DO RIO GRANDE DO SUL INSTITUTO DE INFORMÁTICA CURSO DE ENGENHARIA DE COMPUTAÇÃO PABLO CAIÃ DE MELLO SOARES O Processo de Testes de Intrusão no CPD-UFRGS Monografia apresentada como
Leia maisUM ESTUDO DE SEGURANÇA DA INFORMAÇÃO: INJEÇÃO DE SQL
ANTONIO CARLOS GONÇALVES JUNIOR UM ESTUDO DE SEGURANÇA DA INFORMAÇÃO: INJEÇÃO DE SQL Assis 2013 ANTONIO CARLOS GONÇALVES JUNIOR UM ESTUDO DE SEGURANÇA DA INFORMAÇÃO: INJEÇÃO DE SQL Trabalho de Conclusão
Leia maisVulnerabilidades em Sistemas de Informação:
Vulnerabilidades em Sistemas de Informação: (Discussão e História) Carlos.Ribeiro@tecnico.ulisboa.pt 02/07/2014 1 Vírus Inicio dos anos 80: Primeira infecção do IBM PC Mas o sabia-se como desde os anos
Leia maisTESTES DE SEGURANÇA FESTOCK 9 DE JUNHO DE 2011 VERSÃO 1.0
TESTES DE SEGURANÇA FESTOCK 9 DE JUNHO DE 2011 VERSÃO 1.0 Índice Testes de segurança Medidas de segurança Manipulação do URL SQL Injection Observações Securtiy Task Checklist Recon and analysis Test handling
Leia maisUNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS DE CÓDIGO ABERTO
UNIVERSIDADE FUMEC ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS DE CÓDIGO ABERTO MARCOS FLÁVIO ARAÚJO ASSUNÇÃO Belo Horizonte - MG 2015 2 MARCOS FLÁVIO
Leia maisPen-test de Aplicações Web: Técnicas e Ferramentas
Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas
Leia maisDaniel Galvão de Azevedo UM ESTUDO SOBRE FERRAMENTAS DE BUSCA DE VULNERABILIDADES EM APLICAÇÕES WEB
UNIVERSIDADE FEDERAL DO RIO GRANDE DO NORTE GRADUAÇÃO EM ENGENHARIA DE COMPUTAÇÃO Daniel Galvão de Azevedo UM ESTUDO SOBRE FERRAMENTAS DE BUSCA DE VULNERABILIDADES EM APLICAÇÕES WEB Natal/RN Dezembro 2018
Leia maisFundamentos de Ethical Hacking EXIN. Guia de Preparação. Edição
Fundamentos de Ethical Hacking EXIN Guia de Preparação Edição 201701 Copyright EXIN Holding B.V. 2017. All rights reserved. EXIN is a registered trademark. No part of this publication may be reproduced,
Leia maisINSTITUTO FEDERAL DO PARANÁ FELIPE VALÉRIO DE RAMOS IMPLEMENTAÇÃO DE UM SERVIDOR WEB SEGURO
INSTITUTO FEDERAL DO PARANÁ FELIPE VALÉRIO DE RAMOS IMPLEMENTAÇÃO DE UM SERVIDOR WEB SEGURO PARANAGUÁ 2018 INSTITUTO FEDERAL DO PARANÁ FELIPE VALÉRIO DE RAMOS IMPLEMENTAÇÃO DE UM SERVIDOR WEB SEGURO Trabalho
Leia maisEntendendo o Sequestro de Sessão (Session Hijacking)
Entendendo o Sequestro de Sessão (Session Hijacking) O seqüestro de sessão é sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário
Leia maisAUDITORIA DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES WEB: ESTUDO DE CASO SOBRE O ATAQUE CROSS-SITE SCRIPTING (XSS) 1 João Marcos Barbosa Oliveira
AUDITORIA DE SEGURANÇA DA INFORMAÇÃO EM APLICAÇÕES WEB: ESTUDO DE CASO SOBRE O ATAQUE CROSS-SITE SCRIPTING (XSS) 1 João Marcos Barbosa Oliveira Resumo: O presente artigo versa sobre o tema de Auditoria
Leia maisUtilização de simuladores para a formação de guerreiros cibernéticos* Use of simulators for the training of cyber warriors
DOI: 10.5102/un.gti.v7i1.4322 Utilização de simuladores para a formação de guerreiros cibernéticos* Use of simulators for the training of cyber warriors André Farreira Alves Machado 1 Resumo O presente
Leia maisDectando falha no IMAP para explorar com exploits do Metasploit. Inj3cti0n P4ck3t
Dectando falha no IMAP para explorar com exploits do Metasploit Inj3cti0n P4ck3t São Paulo 2010 Nome: Fernando Henrique Mengali de Souza Contato: fer_henrick@hotmail.com Linguagem de Programação: Perl
Leia maisBanco de Dados SQL injection
Universidade Estadual de Mato Grosso do Sul Curso de Computação, Licenciatura Banco de Dados SQL injection '1 = 1 Prof. José Gonçalves Dias Neto profneto_ti@hotmail.com SQL Injection - Introdução Injeção
Leia maisVisão geral do Enterprise
Visão geral do Enterprise Benefícios e recursos do plano Enterprise da Cloudflare 1 888 99 FLARE enterprise@cloudflare.com www.cloudflare.com/br Este documento resume os benefícios e recursos do plano
Leia maisWIMU: Proposta e Implementação de uma Interface para Gerência de Informações de um WAF
WIMU: Proposta e Implementação de uma Interface para Gerência de Informações de um WAF Bruno G. Lucena 1, Rogério C. Turchetti 1 1 Colégio Técnico Industrial de Santa Maria (CTISM) Universidade Federal
Leia mais