Qual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código
|
|
- Lavínia Ramires Sacramento
- 6 Há anos
- Visualizações:
Transcrição
1 Segurança de aplicações web como aumentar a segurança dos sites da sua organização Italo Valcy, Pedro Sampaio, Michel Peterson, Bruno Diego ETIR UFBA
2 Qual o cenário? Incidentes de Segurança de Desfiguração de Site Mais de 90 sites invadidos até Set/2015 Tempo médio de tratamento: 8hs (total: 720h, 4.5 meses) Sites de usuários, grupos de pesquisa, eventos, etc Vulnerabilidades conhecidas (sqli, cmd exe, auth bypass, etc) Serviço web hosting compartilhado onde o cliente é responsável pelo CMS ou software da página Equipes de desenvolvimento despreparadas ou inativas 2
3 Qual a proposta? Hardening de infraestrutrua de hospedagem Firewall de aplicação Pentest de aplicações web Análise estática de código 3
4 Hardening de infraestrutura Objetivos: Isolamento entre sites (FS, CPU, Mem, etc) Auditoria (logging, site x user) Limitação de recursos x burst Facilitar troubleshooting Soluções: 4
5 Hardening de infraestrutura Objetivos: Isolamento entre sites (FS, CPU, Mem, etc) Auditoria (logging, site x user) Limitação de recursos x burst Facilitar troubleshooting Soluções: Escolhemos o CL pela rapidez de deploy inicial, mas (planejamos) vamos migrar para docker em breve. 5
6 CloudLinux Requer RHEL ou CentOS Sec Updates complementar CageFS Kernel modificado com LVE Mod_hostlimits (apache) 6
7 Lightweight Virtual Environment (LVE) Tecnologia de Kernel para limitação de recursos (CPU, Processos, Memory, IO) Similar ao cgroups, similar à containers Usa escalomento baseado em fair-sched (ex: limite de recursos de CPU por porcentagem) Ao receber a requisição, o apache identifica o usuário do site e executa a requisição no LVE Permite mudança (autorizada) de LVE sobre demanda Ferramentas de gerencia: lveps, lvetop, lveinfo, lvechart 7
8 CageFS Sistema de arquivos do CL para isolamento de sites /proc particular /home restrito /etc/{passwd, shadow, etc} restrito Apenas binários sem SUID serão acessíveis (acl) Proteção contra ataques de links simbólicos Diferente de SymlinksIfOwnerMatch Seletores de interpretador (PHP, Ruby, Python) 8
9 Burst Objetivo: Aumentar os recursos do site sobre demanda Como? Integração com zabbix (monitoramento com lvetop + burst com lvectl, inc e dec) /etc/zabbix/scripts/check_load.sh /etc/zabbix/scripts/resource_burst.sh Atuação automática (max 3 vezes) 9
10 Firewall de aplicação Objetivo: Proteção contra ataques conhecidos (sqli, xss, bruteforce, etc.) Virtual patching Troubleshooting Como? R: WAF, mas qual? Modsecurity, Ironbee, Naxsi, Zorp, Imperva 10
11 Firewall de aplicação WAF: intercepta, analisa e filtra mensagens enviadas ao servidor web (HTTP), independente da aplicação 11
12 Firewall de aplicação Proposta: Regras OWASP Core Rule Set 12
13 Mod-security Inspeção Tipos de Bloqueio: Bloqueio Imediato O evento é bloqueado na primeira regra acionada. Anomaly Score O evento será bloqueado se uma quantidade suficiente de regras seja acionada. 13
14 Mod-security Inspeção Bloqueio imediato: SecRule ARGS "(select where group order by union)" "phase:2,t:urldecodeuni,block,msg:'sql Injection Attack',id:'959070'" 14
15 Mod-security Inspeção Anomaly Score SecRule TX:SQLI_SELECT_STATEMENT select" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT where" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT order by" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT union" "phase:2,pass,nolog,setvar:tx.sqli_select_statement_count=+1,setvar:tx.sql_injection_score=+1" SecRule TX:SQLI_SELECT_STATEMENT_COUNT 3" "phase:2,block,msg:'sql SELECT Statement Anomaly Detection Alert'" 15
16 Bloqueio 16 16
17 Logs, Lots of Logs Modsecurity Audit Logs: visualização com WAF-FLE 17 17
18 Estatísticas Testes no ambiente UFBA: Amostra de 2187 requisições Sendo 650 de ataques SQL Injection conhecidos Infra com mais de 300 sites Configuração: Modo de bloqueio imediato Regras OWASP Core Rule Set Resultados: 1300 eventos bloqueados 60% de falsos positivos % de falsos Negativos Ataques legítimos bloqueados 18
19 Estatísticas Testes no ambiente UFBA: Amostra de 2187 requisições Sendo 650 de ataques SQL Injection conhecidos Infra com mais de 300 sites Configuração: Modo anomaly + Bloqueio imediato Regras OWASP Core Rule Set + Customização scores Resultados: 681 eventos bloqueados 5% de falsos positivos 31 2% de falsos Negativos Ataques legítimos bloqueados 19
20 Análise estática de código RIPS (PHP) Find Security Bugs / Find Bugs + Sonar (Java) Outros: de_tools.shtml 20
21 Análise estática de código O que é? Busca padrões de código fonte sujeito a falhas (bugs de segurança) Teste white-box Complexo e custoso Pode trazer resultados bem interessantes, mas também falsos positivos 21
22 Exemplos 22
23 Exemplos 23
24 Pentest de aplicações Mesmo com todos esses controles, suas aplicações web podem não ser 100% seguras Realização de testes de intrusão: Metodologia de testes e validação dos controles de segurança da aplicação 24
25 Como fazemos Atualmente ainda é um modelo em desenvolvimento Testes sobre demanda em aplicações chave Uso de ferramentas (w3af, owasp zap, nikto, openvas, nmap, sqlmap) Google hacking (google, bing, etc) Conhecimento e criatividade dos analistas TODO: estabelecer processo de testes de intrusão em aplicações web 25
26 O que já encontramos Falhas comuns (sqli, L/R file inclusion, xss, etc.) Bypass do mecanismo de autenticação (funções ocultas) Armazenamento inseguro de senhas Falhas no mecanismo de recuperação de senha Injeção de código LDAP Falta de controle contra brute-force Problemas com Autorização. 26
27 Conclusões Falhas de segurança em aplicações web são comuns e altamente impactantes para a organização Não existe uma ferramenta ou mecanismo que sozinho proteja a instituição contra falhas Combinando as tecnologias apresentadas, é possível aumentar a segurança do ambiente e reduzir os custos (financeiros e de reputação) É preciso trabalhar também nas pessoas, na cultura de desenvolvimento e aprovisionamento de software! 27
28 Dúvidas? Italo Valcy
Estratégias de Segurança para Desenvolvimento de Software. Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA
Estratégias de Segurança para Desenvolvimento de Software Italo Valcy e Kaio Rodrigo CoSIC / STI-UFBA Aplicações como alvo nos ataques https://blogs.technet.microsoft.com/seguridad/2014/09/24/site-de-um-dos-maiores-jornais-do-brasil-foicomprometido-com-malware-que-tentou-alterar-as-configuraes-de-dns-nos-roteadores-das-vtimas/
Leia maisMODSECURITY. Firewall de Aplicação WEB Open Source. Pedro Henrique C. Sampaio UFBA - CRI
MODSECURITY Firewall de Aplicação WEB Open Source Pedro Henrique C. Sampaio UFBA - CRI Quem sou eu? Pedro Sampaio Bolsista do CRI/UFBA (Equipe de segurança) Membro do Raul Hacker Club Organizador da Nullbyte
Leia maisPetter Anderson Lopes Arbitragem, Desenvolvimento Seguro, Segurança Ofensiva e Forense Computacional
Requerente: Metadados Assessoria e Sistemas. Empresa: Metadados Assessoria e Sistemas Especialista: Petter Anderson Lopes. Período: fevereiro de 2019. Modelo: Pentest, OWASP Top 10 2013 compliance. OWASP
Leia maisSejam bem vindos ao nosso encontro!
Sejam bem vindos ao nosso encontro! DEV Desenvolvimento Atualizações OPS Performance Infraestrutura SEC Confidencialidade Disponibilidade Integridade Carlos Renato Vilas Boas da Silva ( CR ) Segurança
Leia maisCibersegurança no ambiente acadêmico. Italo Valcy Salvador BA, 27/Set/2016
Cibersegurança no ambiente acadêmico Italo Valcy Salvador BA, 27/Set/2016 Estrutura do ETIR-UFBA Serviços do ETIR-UFBA ETIR-UFBA Reativos Pró-ativos Qualidade Serviços do ETIR-UFBA
Leia maisSQL INJECTION: ENTENDENDO E EVITANDO. MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² RESUMO
SQL INJECTION: ENTENDENDO E EVITANDO MAGALHÃES, Felipe. B. ¹, BASTOS, Rafael. R² ¹ Faculdade IDEAU Bagé RS Brasil magalhaesbg@gmail.com ² Faculdade IDEAU Bagé RS Brasil rafaelrodriguesbastos@gmail.com
Leia maisIncorporar Segurança Digital nas organizações é uma questão fundamental. Italo Valcy 01/Out/2018, IX WTR do PoP-BA
Incorporar Segurança Digital nas organizações é uma questão fundamental Italo Valcy 01/Out/2018, IX WTR do PoP-BA Muitas notícias de ataques, fraudes, problemas de segurança digital...
Leia maisLidando com Armazenamento de Dados
Lidando com Armazenamento de Dados Paulo Ricardo Lisboa de Almeida 1 Armazenamento de Dados A grande maioria das aplicações possuem algum mecanismo para armazenagem de dados Dados de usuários Permissões
Leia maisMonitoramento com foco em Segurança. Italo Valcy UFBA
Monitoramento com foco em Segurança Italo Valcy UFBA Network Flows FONTES ABERTAS MONITORAMENTO Wi-Fi QoS / QoE REDES SOCIAIS Logs 2 Disponibilidade A disponibilidade é um princípio básico da Segurança
Leia mais[Digite texto] XLabs. Web App Firewall. formation Security
[Digite texto] XLabs Web App Firewall formation Security bs.com.br XLabs Web Application Firewall Visão Geral Utilize os Serviços de Especialistas para a Proteção dos seus aplicativos Web. Breve Explicação
Leia maisPen-test de Aplicações Web: Técnicas e Ferramentas
Divisão de Informática - DINF MJ Departamento de Polícia Federal Pen-test de Aplicações Web: Técnicas e Ferramentas Ivo de Carvalho Peixinho Perito Criminal Federal Agenda 1. Introdução 2. Ferramentas
Leia maisInfraestrutura de Sítios Institucionais Utilizando Contêineres Docker
Infraestrutura de Sítios Institucionais Utilizando Contêineres Docker Carlos V. B. Santos 1, Felipe E. dos Santos 1, Luiz C. B. Martins 1 1 Centro de Informática CPD Universidade de Brasília (UnB) Brasília,
Leia maisRELATÓRIOS PENTEST S
FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO - V ALLAN BERG BARBOSA GUIMARÃES CARLOS ANTÔNIO DA SILVA JUAREZ JUNIOR FREITAS DE OLIVEIRA RELATÓRIOS PENTEST S GOIÂNIA 2016/2 ALLAN BERG BARBOSA
Leia maisEmenta Oficial do. Curso Pentest: Técnicas de Invasão Básico
Ementa Oficial do Curso Pentest: Técnicas de Invasão Básico Capítulo 01 Introdução Introdução ao Curso Termos Comuns Teste de Invasão (pentesting) Red Team (Equipe Vermelha) Hacking Ético White Hat Black
Leia maisAula 4. Ivan Sendin. 30 de agosto de FACOM - Universidade Federal de Uberlândia SEG-4.
Segurança da Informação Aula 4 FACOM - Universidade Federal de Uberlândia ivansendin@yahoo.com,sendin@ufu.br 30 de agosto de 2017 Google Hacking Utilizar uma search engine para buscar falhas específicas
Leia maisGestão de Vulnerabilidades Técnicas Processos e Ferramentas
Gestão de Vulnerabilidades Técnicas Processos e Ferramentas José Gildásio, Rogerio Bastos, Fábio Costa, Italo Valcy Universidade Federal da Bahia Ponto de Presença da RNP na Bahia Quem somos É responsável
Leia maisServiços Integrados: Segmentos de mercado. Cobrança Pagamentos Folha de Pagamento Débito Automático Extrato Eletrônico
Serviços Integrados: Pagamentos Folha de Pagamento Débito Automático Extrato Eletrônico Segmentos de mercado Desenvolvimento de produtos e serviços diferenciados de acordo com o modelo de negócios de cada
Leia maisLaudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO
Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO Requerente: DIRETOR DA EMPRESA ALVO. Pentester: Petter Anderson Lopes. Período: de 10/2015 a 06/2016. Modelo: Gray Hat. Ambiente:
Leia maisVisualização e Ações Tomadas Frente ao Ataque ao Servidor de Portais Web da UFG
Visualização e Ações Tomadas Frente ao Ataque ao Servidor de Portais Web da UFG Marcello Henrique Dias de Moura Mário Augusto da Cruz Hugo Alexandre Dantas do Nascimento Centro de Recursos Computacionais
Leia maisFerramenta de apoio a Segurança
Ferramenta de apoio a Segurança SUMÁRIO PALESTRANTE PILARES DA STI VISÃO SISTÊMICA DA STI PORQUE MONITORAR A SEGURANÇA? ONDE O ZABBIX PODE AJUDAR? ZABBIX vs. RANSOWARES PALESTRANTE Graduado em Redes de
Leia maisTrabalho de Conclusão de Curso
Trabalho de Conclusão de Curso Container Linux, uma Implementação Web Amigável Marco Otávio Duarte de Almeida Brivaldo Alves da Silva Junior Motivação Fornecer aos usuários um ambiente seguro e rápido
Leia maisGrupo de Trabalho BIS: Mecanismos para Análise de Big Data em Segurança da Informação
Grupo de Trabalho BIS: Mecanismos para Análise de Big Daniel Macêdo Batista USP Proposta do Protótipo: início de 2017... Boom de projetos relacionados com cidades inteligentes Web services como base Muitos
Leia maisFerramentas de Pentest
Laboratório de Ataque e Defesa Ferramentas de Pentest ENCOSIS 2015 Introdução Ciclo de vida dos testes de invasão Muitos autores descrevem o ciclo de vida dos testes de invasão em cinco ou mais ciclos.
Leia maisChris Binnie. Novatec
Chris Binnie Novatec All rights reserved. This translation is published under license with the original publisher John Wiley & Sons, Inc. Copyright 2016 by John Wiley & Sons, Inc., Indianapolis, Indiana.
Leia maisAtaques a Aplicações Web
Ataques a Aplicações Web - Uma visão prática - Carlos Nilton A. Corrêa http://www.carlosnilton.com.br/ ccorrea@unimedrj.com.br @cnacorrea Agenda 1. Panorama da (in)segurança web 2. Google hacking 3. SQL
Leia maisQuando a máquina terminar o arranque e lhe pedir as credenciais para entrar, introduza as seguintes:
Segurança Informa tica e nas Organizaço es Vulnerabilidades na Web (V1.1) Este trabalho deve ser realizado na máquina virtual Ubuntu10tm que pode descarregar de ftp://www.ieeta.pt/avzdatastore/vulnerable%20linux/ubuntu10tm.zip,
Leia maisSISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA
SISTEMAS DE LOG, TRATAMENTO DE ATAQUES E ERROS PROF.: PAULO RICARDO LISBOA DE ALMEIDA LIDANDO COM ATAQUES A aplicação está sendo atacada E agora? LIDANDO COM ATAQUES A aplicação está sendo atacada E agora?
Leia maissegurança em aplicações web
segurança em aplicações web myke hamada mykesh gmail 1 whoami ciência da computação segurança da informação ruby rails c# vbscript opensource microsoft ethical hacking 2 agenda introdução ontem e
Leia maisInstituto de Ciências Matemáticas e de Computação Universidade de São Paulo
Tipos de Instituto de Ciências Matemáticas e de Computação Universidade de São Paulo 1 / 12 Organização Tipos de 1 Tipos de 2 3 2 / 12 É um servidor que atua como um intermediador entre requisições provenientes
Leia maisCATÁLOGO DE SERVIÇOS DE TI Versão 2.0 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO
CATÁLOGO DE SERVIÇOS DE Versão 2.0 DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO ÍNDICE 1. INTRODUÇÃO... 3 2. SERVIÇOS... 4 2.1. CADASTROS E ACESSOS... 4 2.2. SERVIÇOS DE IMPRESSÃO... 5 2.3. SERVIÇOS DE REDE
Leia maisTERMOS DE SERVIÇO ULTIMA ATUALIZAÇAO
BLAST HOSTING TERMOS DE SERVIÇO ULTIMA ATUALIZAÇAO 23/05/2017 1. Conteúdo não Permitido: Em hipótese alguma vamos permitir o uso dos seguintes softwares/aplicativos/códigos em nossos servidores: Qualquer
Leia maisIDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO
IDENTIFICANDO VULNERABILIDADES EM LARGA ESCALA ATRAVÉS DE FALHAS DE DESENVOLVIMENTO Quem sou eu: Desenvolvedor PHP? -Sim Entusiasta da área de segurança? -Sim Então trabalha com segurança? -Não, se trabalhar
Leia maisVULNERABILIDADES WEB v.2.2
VULNERABILIDADES WEB v.2.2 $ whoami Sgt NILSON Sangy Computer Hacking Forensic Investigator Analista de Segurança da Informação Guerreiro Cibernético $ ls -l /etc 1. Contextualização 2. OWASP 2.1. Injeção
Leia maisXML-e. Uso da obrigação em seu benefício. Menu
Uso da obrigação em seu benefício Como Funciona O XML-e foi criado para cuidar desta responsabilidade de armazenamento com total sigilo e segurança, e o mais importante é que tudo é feito de forma simples
Leia mais474QU35 J1y4n y4r
J1y4n y4r1 0000 0001 71P05 D3 0000 0011 FOOTPRINTING TAREFA DE COLETAR INFORMAÇÕES SOBRE UM SISTEMA ALVO; - FEITA POR VIAS TRADICIONAIS E PÚBLICAS, COMO USO DO FINGER, LEITURA DE PÁGINAS DO SITE PARA OBTER
Leia maisSegurança em Sistemas Operacionais
Segurança em Sistemas Operacionais A Internet é um divisor águas no tema segurança da informação: Mainframes: segurança por meio do acesso físico; Minicomputadores: segurança por meio subscrição (login
Leia maisSegurança e Auditoria. Auditoria Coleta de dados, Análise de dados, Auditoria preventiva. de Sistemas
Segurança e Auditoria Auditoria Coleta de dados, Análise de dados, Auditoria preventiva de Sistemas Auditoria Auditaria: Coleta Análise recolher dados sobre o funcionamento de um sistema ou aplicação e
Leia maisSegurança da Informação
Universidade Federal do Rio de Janeiro Centro de Ciências Jurídicas e Econômicas Faculdade de Administração e Ciências Contábeis Biblioteconomia e Gestão de Unidades de Informação Segurança da Informação
Leia maisCampus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini /
Campus Capivari Técnico em Manutenção e Suporte em Informática Prof. André Luís Belini E-mail: prof.andre.luis.belini@gmail.com / andre.belini@ifsp.edu.br MATÉRIA: SEGURANÇA DE REDES Aula N : 02 Tema:
Leia maisEspecificação Técnica Sistema de Acesso
1. Introdução O VW Acesso é um sistema 100% web, para controle de acesso de pessoas. O sistema possui arquitetura robusta e independente de plataforma, atendendo todos os segmentos e portes de empresa.
Leia maisApache Mesos para operar grandes sistemas e (micro)serviços. Diego de Oliveira Março de 2015
Apache Mesos para operar grandes sistemas e (micro)serviços Diego de Oliveira Março de 2015 Sobre mim Diego de Oliveira, desenvolvedor, pai, professor, viajante, motoqueiro... doliveira@uolinc.com Sobre
Leia maisEntendendo a criptografia e como ela pode ser usada na prática. Italo Valcy Universidade Federal da Bahia CERT.
Entendendo a criptografia e como ela pode ser usada na prática Italo Valcy Universidade Federal da Bahia CERT.Bahia PoP-BA/RNP Conceitos iniciais Criptografia (kryptós, escondido,
Leia maisSolução em AntiSpam em Nuvem. Filtre mais de 99,98% dos s indesejados!
BluePex Security Mail - ANTISPAM Especificações Técnicas Mínimas Solução para antispam Fabricante A BluePex, empresa brasileira de controle e segurança da informação é a fabricante da solução em Antispam.
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisEasyAzure. EasyAzure. Guia do programa. Ingram Micro Brasil. Versão 1.7
EasyAzure Guia do programa Versão 1.7 Email: cloud.br@ingrammicro.com Telefone: 55 (11) 2078-4280 Endereço: Av. Piracema, 1341 - Tamboré - Barueri - SP Brasil 1 EasyAzure São pacotes prontos com as soluções
Leia maisSegurança da informação
Segurança da informação FATEC Americana Tecnologia em Análise de Sistemas e Tecnologias da Informação Diagnóstico e solução de problemas de TI Prof. Humberto Celeste Innarelli Conteúdo Introdução Segurança
Leia maisTaxonomia Comum para a Rede Nacional de CSIRTs
Taxonomia Comum para a Rede Nacional de CSIRTs Taxonomia Comum para a Rede Nacional de CSIRTs Dezembro de 2012 ÍNDICE 1 INTRODUÇÃO... 2 2 CLASSIFICAÇÃO DE INCIDENTES... 3 i 1 INTRODUÇÃO Este documento
Leia maisKarl Matthias Sean P. Kane
Karl Matthias Sean P. Kane Novatec Authorized Portuguese translation of the English edition of titled Docker: Up and Running, ISBN 9781491917572 2015 Karl Matthias, Sean P. Kane. This translation is published
Leia maisGestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de
Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste
Leia maisECXON CONTRATO DE PRESTAÇÃO DE SERVIÇOS
Página 1 de 5 ECXON CONTRATO DE PRESTAÇÃO DE SERVIÇOS Página 2 de 5 1. A empresa: Termos de utilização e prestação de serviços referente a empresa registrada sob CNPJ 28.954.347/0001-92, cuja razão social
Leia maisApostila 4. Ameaças e Contramedidas de Segurança no Host
Apostila 4 Ameaças e Contramedidas de Segurança no Host 1 Ameaças e Contramedidas de Segurança no Host As ameaças no host são direcionadas ao sistema de software sobre o qual suas aplicações são construídas.
Leia maisTECNOLOGIA DA INFORMAÇÃO
PÓS EM COMÉRCIO EXTERIOR E ESTRATÉGIA UNIVERSIDADE CATÓLICA DE PETRÓPOLIS CENTRO DE CIÊNCIAS SOCIAIS APLICADAS TECNOLOGIA DA INFORMAÇÃO.:UNIDADE 5 - SEGURANÇA DA INFORMAÇÃO:. PARTE 2 - AMEAÇAS A SEGURANÇA
Leia maisPIkit : A New Kernel-Independent Processor-Interconnect Rootkit
PIkit : A New Kernel-Independent Processor-Interconnect Rootkit Autores do artigo: Wonjun Song, Hyunwoo Choi, Junhong Kim, Eunsoo Kim, Yongdae Kim, John Kim Apresentação: Vagner Kaefer Dos Santos Introdução
Leia maisAplicações Web Legadas: Avaliação e Estratégias para Gerenciamento do Risco
Aplicações Web Legadas: Avaliação e Estratégias para Gerenciamento do Risco Ricardo Almeida 1, Victor Covalski 1, Thiago Cardoso 1, Rafael Padilha 1, Thomas Oliveira 1, Roger Machado 1, Ricardo Ladeira
Leia maisSegurança Informática e nas Organizações. Guiões das Aulas Práticas
Segurança Informática e nas Organizações Guiões das Aulas Práticas André Zúquete 1 e Hélder Gomes 2 1 Departamento de Eletrónica, Telecomunicações e Informática 2 Escola Superior de Tecnologia e Gestão
Leia maisENTREGRANDO BENEFÍCIOS PARA GRANDES EMPRESAS
ENTREGRANDO S PARA GRANDES EMPRESAS ENTREGRAND BAIXO CUSTO S Baixos custos Proteção Interna ao Acesso de Dados Precisamos gerenciar o acesso de dados online e off-line, mas ferramentas dedicadas são caras,
Leia maisFiltragem de entrada interrompe ameaças da Internet antes que eles cheguem ao seu servidor de
------------- Elimine as ameaças e e-mails indesejados! Simples e eficiente, experimente o que é viver sem Spam Filtragem de entrada interrompe ameaças da Internet antes que eles cheguem ao seu servidor
Leia maisRedes de Computadores Da Teoria à Prática com Netkit
LABORATÓRIO XVIII Servidor Proxy não Transparente instalado no Gateway Redes de Computadores Da Teoria à Prática com Netkit Laboratório XVIII Servidor Proxy instalado no Gateway Objetivos do laboratório
Leia maisFicha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto
Departamento de Ciências e Tecnologias da Informação Ficha de Registo de Tema e Orientador de Dissertação / Trabalho de Projecto Mestrado: METI/MEI Ano Lectivo: 2014/2015 Nome: Título da Dissertação /
Leia maisHands-on: Implantação de monitoramento por Sflow
Hands-on: Implantação de monitoramento por Sflow Encontro de CSIRTs Acadêmicos RNP / PoP-BA / UFBA Italo Valcy 05 e 06 de dezembro de 2018 Créditos O material aqui apresentado foi
Leia maisAnálise de Vulnerabilidades em Aplicações WEB
Análise de Vulnerabilidades em Aplicações WEB Apresentação Luiz Vieira Construtor 4Linux Analista e Consultor de Segurança 15 anos de experiência em TI Pen-Tester Articulista sobre Segurança de vários
Leia maisAvaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0
White Paper Solutions Business Manager Avaliação de segurança de aplicativo Web do Micro Focus Solutions Business Manager 11.0 por Sarah Timmons e Brock Bland, 8 de dezembro de 2015 Índice página Introdução...
Leia maisFonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu
Fonte: http://www.online-security-solution.com/ - Illustration by Gaich Muramatsu Prof. Hederson Velasco Ramos Uma boa maneira de analisar ameaças no nível dos aplicativo é organiza las por categoria de
Leia maisDaniel Moreno. Novatec
Daniel Moreno Novatec Novatec Editora Ltda. 2017. Todos os direitos reservados e protegidos pela Lei 9.610 de 19/02/1998. É proibida a reprodução desta obra, mesmo parcial, por qualquer processo, sem prévia
Leia maisVisão geral do Enterprise
Visão geral do Enterprise Benefícios e recursos do plano Enterprise da Cloudflare 1 888 99 FLARE enterprise@cloudflare.com www.cloudflare.com/br Este documento resume os benefícios e recursos do plano
Leia maisWAF 2019 OGA N-STALKER VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES DO DIAGNÓSTICO À DEFESA. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL
DO DIAGNÓSTICO À DEFESA. UMA NOVA ERA, UMA NOVA MARCA! Fusão Aker N-Stalker GDPR e LGPD Evite vazamentos de dados de suas aplicações e garanta a integridade de seus processos de proteção de dados e fique
Leia maisAdrian Pruteanu. Novatec
Adrian Pruteanu Novatec Copyright Packt Publishing 2019. First published in the English language under the title Becoming the Hacker (9781788627962) Copyright Packt Publishing 2019. Publicação original
Leia maisCross-Site Scripting. Paulo Ricardo Lisboa de Almeida. 1 Universidade Positivo
Cross-Site Scripting Paulo Ricardo Lisboa de Almeida 1 Cross-Site Scripting - XSS Foco no ataque aos usuários finais O servidor não é diretamente afetado Dificuldade na detecção dos ataques Podem comprometer
Leia maisGestão de Segurança da Informação. Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem )
Segurança de Aplicações e Banco de Dados Gestão de Segurança da Informação pós-graduação Lato Sensu Segurança de Banco de Dados ( SQL Injection, APBIDS, Modelagem ) Patrick Tracanelli Francisco Temponi
Leia maisFundamentos de Ethical Hacking EXIN. Guia de Preparação. Edição
Fundamentos de Ethical Hacking EXIN Guia de Preparação Edição 201701 Copyright EXIN Holding B.V. 2017. All rights reserved. EXIN is a registered trademark. No part of this publication may be reproduced,
Leia maisDesenvolvimento e disponibilização de Conteúdos para a Internet
Desenvolvimento e disponibilização de Conteúdos para a Internet Por Matheus Orion OWASP A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional,
Leia maisTornando acessível a tecnologia e os melhores serviços
Tornando acessível a tecnologia e os melhores serviços A ALEJANDRO Informática No mercado de TI desde 30 de Outubro de 1997. Conta com mais de 30 colaboradores; Especializada em implantação de Banco de
Leia maisWAF 2019 OGA N-STALKER DO DIAGNÓSTICO À DEFESA. VIRTUAL PATCHING GESTÃO DE VULNERABILIDADES. GDPR e LGPD. NÃO NECESSITA de INSTALAÇÃO LOCAL
DO DIAGNÓSTICO À DEFESA. UMA NOVA ERA, UMA NOVA MARCA! Fusão Aker N-Stalker GDPR e LGPD Evite vazamentos de dados de suas aplicações e garanta a integridade de seus processos de proteção de dados e fique
Leia maisPORTFÓLIO DE SERVIÇOS E SOLUÇÕES. Departamento Comercial DOCUMENTO PÚBLICO RESTRIÇÃO: SEM RESTRIÇÃO
PORTFÓLIO DE SERVIÇOS E SOLUÇÕES Departamento Comercial Quem é a ABCTec Atuando no mercado de TI desde 1996, a ABCTec está hoje focada em oferecer soluções voltadas à Segurança da Informação. Com uma equipe
Leia maisInfo NEXT. Soluções Seguras e Confiáveis. Sua empresa esta preparada para o futuro?
Info NEXT Soluções Seguras e Confiáveis Sua empresa esta preparada para o futuro? A InfoNext ajuda sua empresa a CRESCER Todas as empresas dependem do bom funcionamento da sua infraestrutura de TI - sem
Leia maisAula 6: Vulnerabilidades Web
Aula 6: Vulnerabilidades Web Exploits of a Mom http://xkcd.com 1.1 Objectivos: Compreender duas vulnerabilidades encontradas em aplicações web: SQL Injection; Cross-site Scripting. Pensar sobre formas
Leia maisProjetos. Apresentação
Projetos Apresentação A Empresa faz parte do grupo CTE (20 anos no mercado), e tem seu foco em TI (8 anos no mercado). 500 clientes ativos e 30.000 usuários. Business Autodoc desenvolve sistemas (sistema
Leia maisCurso. Liferay Desenvolvedor
Curso Liferay Desenvolvedor 1 Portal Liferay...7 1.1 O que é um Portal... 7 1.2 O que é Liferay Portal... 7 1.3 Arquitetura do Portal... 7 1.4 Organização... 8 1.5 Comunidades... 8 1.6 Grupos de Usuários...
Leia maisSOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO
SOLUÇÃO COMPLETA PARA SEGURANÇA DE PERÍMETRO Proteção multinível para negócios conectados. NEXT GENERATION FIREWALL HIGHLIGHTS Firewall Proxy web Categorização de conteúdo IDS/IPS Controle de aplicação
Leia maisITIL INTERMEDIATE ISO RHCE
Os Desafos da Segurança da Informação na era da IoT DIEGO MONTE Graduando em Redes de Computadores LPIC-3 ITIL INTERMEDIATE ISO27002 Foundaton Security + RHCE Red Hat Certfed Engineer SOPHOS Certfed Engineer
Leia maisIntrodução em Segurança de Redes
Introdução em Segurança de Redes Introdução Nas últimas décadas as organizações passaram por importantes mudanças Processamento das informações Antes: realizado por meios físicos e administrativos Depois:
Leia maisINFOWATCH ATTACK KILLER SECURITY AT A HIGHSPEED
INFOWATCH ATTACK KILLER SECURITY AT A HIGHSPEED SEGURANÇA A ALTA VELOCIDADE O ciberespaço sugere alta velocidade na entrega de informações, uma resposta cada vez mais rápida às necessidades do mercado
Leia maisGrupo Técnico de Cibersegurança 1 Pesquisa ANBIMA de Cibersegurança 2017
1 Pesquisa ANBIMA de Cibersegurança 2017 Aplicação da pesquisa ação realizada pelo subgrupo 2 Envio para 262 instituições (30/8 a 22/9); Assets (117 instituições) envio de 2 pesquisas (3 Ed. da pesquisa
Leia maisSUPORTE ATLASSIAN 2017 SUPORTE ATLASSIAN
SUPORTE ATLASSIAN 2017 1 Se as ferramentas Atlassian são de alto nível de importância dentro da sua organização, considere nosso Suporte Platinum. Mantenha sua equipe focada no que realmente interessa
Leia maisConfigurar o LDAP como uma fonte do contato do diretório para o Jabber de Cisco usando a integração do diretório Cisco
Configurar o LDAP como uma fonte do contato do diretório para o Jabber de Cisco usando a integração do diretório Cisco Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Informações de
Leia maisGerência de Redes Áreas Carlos Gustavo Araújo da Rocha. Gerência de Redes
Áreas Carlos Gustavo Araújo da Rocha - Áreas Relembrando... Redes de computadores evoluem cada vez mais para um ambiente complexo, com diversas entidades de hardware e software envolvidas no seu funcionamento
Leia maisXerox FreeFlow Core, 4.0 SP3 ( ) Livro Versão 1.3 Outubro de P Xerox FreeFlow Core Guia de segurança
Xerox FreeFlow Core, 4.0 SP3 (4.0.3.0) Livro Versão 1.3 Outubro de 2015 708P91107 2015 Xerox Corporation. Todos os direitos reservados. Xerox, Xerox e a marca figurativa, e FreeFlow são marcas comerciais
Leia maisKemio - Requisitos Técnicos
Kemio - Requisitos Técnicos Software de Base Produto Versões Suportadas MongoDB Community 3.2 / 3.4 Java JDK 6 / 8 Apache Tomcat 8.0 / 9.0 Hardware Item Mínimo Recomendado Notas CPU 64-bit 2.0+ GHz RAM
Leia mais