Pentest web

856 visualizações

Publicada em

Paletra sobre avaliação de segurança em aplicações web.

Publicada em: Internet
0 comentários
2 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
856
No SlideShare
0
A partir de incorporações
0
Número de incorporações
7
Ações
Compartilhamentos
0
Downloads
14
Comentários
0
Gostaram
2
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Pentest web

  1. 1. Teste de Intrusão em Aplicações Web
  2. 2. About Me  Professor na BandTec  Consultor e Especialista em Segurança da Informação  20 anos de experiência em TI  Pentester  CSO, LPI, CEH, DRI, CISSP, OSCP @allanpitter facebook.com/allanpitter br.linkedin.com/in/allanpitter allan.pressi@bandtec.com.br
  3. 3. Gosta de: Tecnologia, Sistemas Operacionais, Redes de Computadores, Programação, Escrever Artigos, Documentação, Gerenciar Equipes, Desafios, Aprender, Compartilhar. Características: Autodidata, Analítico, Crítico, Competitivo, Persistente, Decidido. Quem é você?
  4. 4. Antes de começar….
  5. 5. allan.pressi@bandtec.com.br 18 mesesEsta é a duração média para descoberta de uma fraude, segundo pesquisa efetuada pela Association of Certified Fraud Examiners (ACFE). Report to Nations – On Occupational Fraud and abuses / 2014 - www.acfe.com
  6. 6. allan.pressi@bandtec.com.br US$ 445bilhões Segundo o CSIS esse foi o valor do prejuízo na economia global com crimes eletrônicos no ano de 2014.
  7. 7. allan.pressi@bandtec.com.br US$ 100bilhões Esse é o investimento previsto para 2015 em segurança da informação. (Gartner)
  8. 8. allan.pressi@bandtec.com.br US$ 5dolares Esse é o retorno para cada dólar investido em segurança para as empresas.
  9. 9. allan.pressi@bandtec.com.br
  10. 10. allan.pressi@bandtec.com.br
  11. 11. Tecnologia allan.pressi@bandtec.com.br Desktop Firewall IDS/IPS Applications SQL Injection Cross Site Scripting Pattern- based Attack Web Server Known Vulnerabilities Parameter Tampering Cookie Poisoning Segurança da camada frontal não para todos os vetores de ataque Hacker Users Anti- spoofing DoS Port Scanning Privileged users (DBAs,developers) Databases Suspicious Activity Sensitive Data Unauthorized Access
  12. 12. allan.pressi@bandtec.com.br Contas de E-mails (spammers) E-commerce (cartões de créditos) Base de Clientes (informações cadastrais) Visibilidade e Abrangência (volume de acesso) Hospedagem (fake pages) Superfície de Ataque
  13. 13. OWASP - TOP 10 Vulnerabilidades Web Injeção de código Quebra de Autenticação XSS Acesso Direto a Objetos Segurança Configurações Exposição de Dados Sensíveis Controle de Acesso CSRF 9-Falhas Conhecidas Redirecionamentos allan.pressi@bandtec.com.br 1 2 3 4 8 7 6 5 9 10
  14. 14. Metodolodias de Pentest allan.pressi@bandtec.com.br  Testes realizados com base nos 66 controles apresentados pelo OWASP TESTING GUIDE (v3.0):  Information Gathering  Configuration Management Testing  Business Logic Testing  Authentication Testing  Authorization testing  Session Management Testing  Data Validation Testing  Denial of Service Testing  Web Services Testing  Ajax Testing
  15. 15. Projeto de Pentest allan.pressi@bandtec.com.br
  16. 16. allan.pressi@bandtec.com.br
  17. 17. allan.pressi@bandtec.com.br Open your mind Objetivo: • 1 minuto para isso; • Ligar os 9 pontos; • 4 linhas retas; • Sem retirar a caneta.
  18. 18. allan.pressi@bandtec.com.br Open your mind Objetivo: • 1 minuto para isso; • Ligar os 9 pontos; • 4 linhas retas; • Sem retirar a caneta.
  19. 19. allan.pressi@bandtec.com.br Open your mind Objetivo: • 1 minuto para isso; • Ligar os 9 pontos; • 4 linhas retas; • Sem retirar a caneta.
  20. 20. allan.pressi@bandtec.com.br Open your mind
  21. 21. allan.pressi@bandtec.com.br Princípios da Segurança Web Todas as entradas são vulneráveis até prova em contrário Ter uma noção das falhas não é suficiente
  22. 22. allan.pressi@bandtec.com.br Todas as entradas são vulneráveis….. Fácil Campos texto Variáveis de URL Médio Campos ocultos Cookies Demais inputs Difícil Cabeçalho HTTP
  23. 23. allan.pressi@bandtec.com.br Recursos
  24. 24. allan.pressi@bandtec.com.br Ferramentas
  25. 25. allan.pressi@bandtec.com.br O que eu devo Aprender/fazer?  Automatizar a procura de falhas;  Cobrir a maior superficie possível;  Ter uma metodologia;  Auditar, auditar, auditar…  Fazer verificações manuais;  Conhecer as diversas técnicas;  Saber escolher um bom fornecedor;  Refazer tudo novamente.
  26. 26. Demonstração
  27. 27. allan.pressi@bandtec.com.br Como as coisas acontecem…
  28. 28. allan.pressi@bandtec.com.br Como tudo as começa…
  29. 29. allan.pressi@bandtec.com.br Como tudo as começa…
  30. 30. allan.pressi@bandtec.com.br http://demo.testfire.net/ XSS SQL INJECTION Força Bruta Erros de Configuração
  31. 31. allan.pressi@bandtec.com.br
  32. 32. allan.pressi@bandtec.com.br <script>alert('Ola mundo')</script> XSS <script>alert(document.cookie)</script>
  33. 33. allan.pressi@bandtec.com.br Força Bruta Senha Fraca !!!????
  34. 34. allan.pressi@bandtec.com.br ‘ or 1=1-- SQL INJECTION ‘ senha=senha
  35. 35. allan.pressi@bandtec.com.br O que você vê? http://demo.testfire.net /default.aspx?content =personal.htm
  36. 36. allan.pressi@bandtec.com.br Erros de Config http://demo.testfire.n et/default.aspx?conte nt=../bank/main.aspx. cs%00.txt
  37. 37. Nossa proposta de Pós-graduação
  38. 38. Obrigado | :-)

×