SlideShare uma empresa Scribd logo

Fuzzing e segurança

Danilo Vaz
Danilo Vaz

Palestra Fuzzing Uninove

Apresentações e oratória
1 de 10
Baixar para ler offline
Fuzzing e Segurança
root@root:~# whoami Danilo Vaz Blog: unknownsec.wordpress.com Twitter: @unknownantisec Github: github.com/danilovazb Cleiton Pinheiro Blog: blog.inurl.com.br Twitter: @googleinurl Github: github.com/googleinurl
O que é Fuzzing? Fuzzing é uma tecnica para identificar falhas através de testes automatizados ou semi- automatizados.
Como funciona esse paranauê? - Como injetar dados em aplicações WEB - Tools para facilitar
Injetando dados - Fuzzing Web GET /FUZZ/FUZZ/parâmetro=FUZZFUZZ User-Agent: FUZZ Cookie: FUZZ
Injetando dados - Fuzzing Web POST /FUZZ/FUZZ/ FUZZ User-Agent: FUZZ Cookie: FUZZ parâmetro=FUZZ
Tools WebScarab WebScarab é um framework de análise de aplicações que se comunicam usando os protocolos HTTP e HTTPS. https://www.owasp.org/index.php/OWASP_WebScarab_NG_Project Burp Suite Burp Suite é uma ferramenta em JAVA para testes em aplicações web, identificando algumas falhas web http://portswigger.net/burp/
Tools - Made in Brasil Scanner InurlBR: Ferramenta para busca avançada em motores de busca, possibilitando desde analise com exploit GET/POST a captura de emails com validação personalizada interna para cada alvo/url encontrada.
Fuzzing na prática!
Obrigado! Download dos slides:

Recomendados

Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Conviso Application Security
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Mauro Risonho de Paula Assumpcao
 
[In]Segurança Mobile
[In]Segurança Mobile[In]Segurança Mobile
[In]Segurança MobileDanilo Vaz
 
As melhores práticas de desenvolvimento de software em fábrica de software
As melhores práticas de desenvolvimento de software em fábrica de softwareAs melhores práticas de desenvolvimento de software em fábrica de software
As melhores práticas de desenvolvimento de software em fábrica de softwareRafael Souza
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
 
Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Rafael Amaral
 

Recomendados

Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Playing Web Fuzzing - H2HC 2009
Playing Web Fuzzing - H2HC 2009Conviso Application Security
 
Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.Detecção e prevenção de vulnerabilidades no Wordpress.
Detecção e prevenção de vulnerabilidades no Wordpress.João Neto
 
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoPalestra - FACSENAC - De Hacker e louco, todo mundo tem um pouco
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
 
Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Backtrack 4 Final Distro Penetration Testing Unimep2009
Backtrack 4 Final Distro Penetration Testing Unimep2009Mauro Risonho de Paula Assumpcao
 
[In]Segurança Mobile
[In]Segurança Mobile[In]Segurança Mobile
[In]Segurança MobileDanilo Vaz
 
As melhores práticas de desenvolvimento de software em fábrica de software
As melhores práticas de desenvolvimento de software em fábrica de softwareAs melhores práticas de desenvolvimento de software em fábrica de software
As melhores práticas de desenvolvimento de software em fábrica de softwareRafael Souza
 
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
 
Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Implementando uma device farm android com Open STF - TDC BH 2019
Implementando uma device farm android com Open STF - TDC BH 2019Rafael Amaral
 
Testes de software automatizados
Testes de software automatizadosTestes de software automatizados
Testes de software automatizadosMarcelo Andrade
 
Palestra fatec
Palestra fatecPalestra fatec
Palestra fatecEdilson Feitoza
 
Semana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdfSemana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdffabio154906
 
Ferramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareFerramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareJeremias Araujo
 
PHPUnit e teste de software
PHPUnit e teste de softwarePHPUnit e teste de software
PHPUnit e teste de softwarericardophp
 
ReSTFul Api's com FRAPI
ReSTFul Api's com FRAPIReSTFul Api's com FRAPI
ReSTFul Api's com FRAPIAlex Piaz
 
Implementando uma Device Farm Android
Implementando uma Device Farm AndroidImplementando uma Device Farm Android
Implementando uma Device Farm AndroidThialison Souza
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosStefan Teixeira
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosVanessa Me Tonini
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
RPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcessRPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcessEduardo Britto
 
Javier Flavio
Javier FlavioJavier Flavio
Javier FlavioNelson Sousa
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Paulo Renato Lopes Seixas
 
Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php Michael Douglas
 
Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Aécio Pires
 
PHP Tools for Fast coding
PHP Tools for Fast codingPHP Tools for Fast coding
PHP Tools for Fast codingDaniel Archer Marques Cramer
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackAécio Pires
 
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...Zabbix BR
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackAécio Pires
 

Mais conteúdo relacionado

Semelhante a Fuzzing e segurança

Testes de software automatizados
Testes de software automatizadosTestes de software automatizados
Testes de software automatizadosMarcelo Andrade
 
Semana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdfSemana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdffabio154906
 
Ferramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareFerramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareJeremias Araujo
 
PHPUnit e teste de software
PHPUnit e teste de softwarePHPUnit e teste de software
PHPUnit e teste de softwarericardophp
 
ReSTFul Api's com FRAPI
ReSTFul Api's com FRAPIReSTFul Api's com FRAPI
ReSTFul Api's com FRAPIAlex Piaz
 
Implementando uma Device Farm Android
Implementando uma Device Farm AndroidImplementando uma Device Farm Android
Implementando uma Device Farm AndroidThialison Souza
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosStefan Teixeira
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosVanessa Me Tonini
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
RPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcessRPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcessEduardo Britto
 
Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php Michael Douglas
 
Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Aécio Pires
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackAécio Pires
 
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...Zabbix BR
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackAécio Pires
 

Semelhante a Fuzzing e segurança (20)

Testes de software automatizados
Testes de software automatizadosTestes de software automatizados
Testes de software automatizados
 
Palestra fatec
Palestra fatecPalestra fatec
Palestra fatec
 
Semana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdfSemana34b - Brute Force Online.pdf
Semana34b - Brute Force Online.pdf
 
Ferramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de softwareFerramentas open source para auxiliar os testes de software
Ferramentas open source para auxiliar os testes de software
 
PHPUnit e teste de software
PHPUnit e teste de softwarePHPUnit e teste de software
PHPUnit e teste de software
 
ReSTFul Api's com FRAPI
ReSTFul Api's com FRAPIReSTFul Api's com FRAPI
ReSTFul Api's com FRAPI
 
Implementando uma Device Farm Android
Implementando uma Device Farm AndroidImplementando uma Device Farm Android
Implementando uma Device Farm Android
 
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes AutomatizadosTDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
TDC 2014 Floripa - Melhorando sua Estratégia de Testes Automatizados
 
Acessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passosAcessibilidade Web: Primeiros passos
Acessibilidade Web: Primeiros passos
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)
 
RPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcessRPA - Apresentação Conceitual - iProcess
RPA - Apresentação Conceitual - iProcess
 
Javier Flavio
Javier FlavioJavier Flavio
Javier Flavio
 
Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010Pen Test, Afinal o que é ? - FLISOL 2010
Pen Test, Afinal o que é ? - FLISOL 2010
 
Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php Por que jenkins se posso usar deployer php
Por que jenkins se posso usar deployer php
 
Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?Zabbix 2.0: o que ele pode monitorar na sua rede?
Zabbix 2.0: o que ele pode monitorar na sua rede?
 
PHP Tools for Fast coding
PHP Tools for Fast codingPHP Tools for Fast coding
PHP Tools for Fast coding
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStack
 
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
1º Meetup Zabbix Meetup do Recife: Aécio Pires - Gerenciando Zabbix com o Sal...
 
Gerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStackGerenciando o Zabbix com o SaltStack
Gerenciando o Zabbix com o SaltStack
 

Fuzzing e segurança

  • 2. root@root:~# whoami Danilo Vaz Blog: unknownsec.wordpress.com Twitter: @unknownantisec Github: github.com/danilovazb Cleiton Pinheiro Blog: blog.inurl.com.br Twitter: @googleinurl Github: github.com/googleinurl
  • 3. O que é Fuzzing? Fuzzing é uma tecnica para identificar falhas através de testes automatizados ou semi- automatizados.
  • 4. Como funciona esse paranauê? - Como injetar dados em aplicações WEB - Tools para facilitar
  • 5. Injetando dados - Fuzzing Web GET /FUZZ/FUZZ/parâmetro=FUZZFUZZ User-Agent: FUZZ Cookie: FUZZ
  • 6. Injetando dados - Fuzzing Web POST /FUZZ/FUZZ/ FUZZ User-Agent: FUZZ Cookie: FUZZ parâmetro=FUZZ
  • 7. Tools WebScarab WebScarab é um framework de análise de aplicações que se comunicam usando os protocolos HTTP e HTTPS. https://www.owasp.org/index.php/OWASP_WebScarab_NG_Project Burp Suite Burp Suite é uma ferramenta em JAVA para testes em aplicações web, identificando algumas falhas web http://portswigger.net/burp/
  • 8. Tools - Made in Brasil Scanner InurlBR: Ferramenta para busca avançada em motores de busca, possibilitando desde analise com exploit GET/POST a captura de emails com validação personalizada interna para cada alvo/url encontrada.