SlideShare uma empresa Scribd logo

Pentest em aplicações web

C
Campus Party Brasil

O documento discute testes de invasão em aplicações web, abordando: 1) as principais vulnerabilidades em software, como injeção de código e falhas no gerenciamento de sessões; 2) a metodologia de teste, incluindo reconhecimento, mapeamento e exploração de vulnerabilidades; 3) técnicas como varredura de portas e fuzzing para descoberta de vulnerabilidades.

1 de 30
Baixar para ler offline
Pentest em aplicações web Nelson Uto, M.Sc.
Agenda Motivação. (In)segurança de software. Metodologia de testes de invasão. Reconhecimento. Mapeamento. Descoberta e exploração de vulnerabilidades.
Importante NUNCA procure vulnerabilidades em sistemas, quaisquer que sejam, sem a devida autorização!!!
Ambiente de teste
Motivação “any program, no matter how innocuous it seems, can harbor security holes” Cheswick e Bellovin, 1994.
Exemplo
Distribuição de vulnerabilidades Aplicações Sistema Operacional Rede Fonte: SANS
Vulnerabilidades mais comuns – CVE
Segurança de software Trindade de problemas [McGraw]: Complexidade; Conectividade; Extensibilidade. Embutir segurança quando o SW já estiver pronto? Segurança deve ser considerada em todo o ciclo de desenvolvimento de software!!
Vulnerabilidades por fase do SDLC Fase Vulnerabilidade Especificação Microsoft Bob Arquitetura e projeto Topologia de rede Escolha de algoritmos criptográficos fracos Codificação Tratamento inadequado de erros Implantação Infraestrutura subjacente vulnerável Gerenciamento inadequado de chaves
OWASP Top Ten 2010 (1) A1 – Injeção A2 – Cross-site Scripting (XSS) A3 – Falhas em autenticação e gerenciamento de sessões A4 – Referência direta a objetos insegura A5 – Cross-site Request Forgery (CSRF)
OWASP Top Ten (2) A6 – Falhas na configuração de segurança A7 – Armazenamento criptográfico inseguro A8 – Acesso irrestrito a URLs A9 – Proteção inadequada no transporte de informações A10 – Redirecionamentos não validados
Teste de invasão em aplicações web O que é um teste de invasão? Tipos de teste: Caixa preta; Caixa branca; Caixa cinza.
Metodologia
Ferramentas básicas Navegadores web. Proxies de interceptação. Web spiders. Fuzzers. Varredores de portas e serviços. Varredores de vulnerabilidades.
Reconhecimento Informações interessantes Informações: Nomes de funcionários e informações sobre eles. Identificadores de usuários. Tecnologias empregadas. Servidores e topologia de rede. Configurações dos componentes. Recursos disponibilizados pelos servidores.
Reconhecimento Levantamento de infos em fontes públicas Redes sociais. Grupos de discussão. Anúncios de emprego. WHOIS. DNS.
Reconhecimento Google Hacking Técnica que utiliza mecanismos de busca para identificar vulnerabilidades de software e de configuração em sistemas acessíveis pela Internet. Aplicável não somente ao Google Search. Exemplo: site:<domínio> login OR logon site:<domínio> "This file was generated by Nessus".
Reconhecimento Informações sobre infraestrutura Identificação de SOs, portas e serviços. Identificação de servidores web. Métodos suportados pelo servidor web. Detecção de hosts virtuais. Descoberta de arquivos e diretórios.
Mapeamento Deve resultar em um mapa da aplicação. Passos: Cópia das páginas e recursos da aplicação. Identificação dos pontos de entrada de informação. Relacionamento com as informações de reconhecimento.
Descoberta e exploração de vulnerabilidades Validação no lado cliente da aplicação Validações no lado cliente devem ser realizadas apenas como uma pré-filtragem. Muito fácil de serem burladas. Muito comum em sistemas Web.
Descoberta e exploração de vulnerabilidades XSS (1) Um dos problemas mais populares. Permite transportar código malicioso até o navegador de outros usuários. Código é executado no contexto da aplicação vulnerável.
Descoberta e exploração de vulnerabilidades XSS (2) – Exemplo
Descoberta e exploração de vulnerabilidades XSS (3) – Armazenado
Descoberta e exploração de vulnerabilidades XSS (4) – Cenários Sequestro de sessão. Escravização de navegador web. Varredura de redes.
Descoberta e exploração de vulnerabilidades Injeção de SQL (1) Usuário injeta código SQL em campos da interface. Aplicação não trata a entrada corretamente e executa o código injetado.
Descoberta e exploração de vulnerabilidades Injeção de SQL (2) Interface da Campo: Blah aplicação Aplicação SELECT * FROM TABELA WHERE COLUNA = ´Blah´
Descoberta e exploração de vulnerabilidades Injeção de SQL (3) Interface da Campo: ´ or 1 = 1;-- aplicação Aplicação SELECT * FROM TABELA WHERE COLUNA = ´´ or 1 = 1;--’
Descoberta e exploração de vulnerabilidades Falhas no ger. de sessões e autenticação São falhas comuns em aplicações web. Permitem acesso ilegítimo.
Nelson Uto, nelson_uto (at) yahoo.com.br Dúvidas?

Recomendados

CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCarlos Eduardo Motta de Castro
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
backdoors
backdoorsbackdoors
backdoorsguest0510c9
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 

Recomendados

CNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCNASI Cyber, Forense e CISSP
CNASI Cyber, Forense e CISSPCarlos Eduardo Motta de Castro
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
backdoors
backdoorsbackdoors
backdoorsguest0510c9
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Invasão e Segurança
Invasão e SegurançaInvasão e Segurança
Invasão e SegurançaCarlos Henrique Martins da Silva
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Carlos Henrique Martins da Silva
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
TRABALHO DE VIRUS
TRABALHO DE VIRUSTRABALHO DE VIRUS
TRABALHO DE VIRUSL33STJP
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírusNuno Duarte
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaCarlos Henrique Martins da Silva
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3Marco Freitas
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaMarcelo Machado Pereira
 
Arduino cp
Arduino cpArduino cp
Arduino cpCampus Party Brasil
 
Fisl11 criptografia para-todos
Fisl11 criptografia para-todosFisl11 criptografia para-todos
Fisl11 criptografia para-todosCampus Party Brasil
 

Mais conteúdo relacionado

Mais procurados

Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosMauricio Corrêa
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
TRABALHO DE VIRUS
TRABALHO DE VIRUSTRABALHO DE VIRUS
TRABALHO DE VIRUSL33STJP
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírusNuno Duarte
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoLuciano Monteiro da Silva
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012Marcio Cunha
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3Marco Freitas
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaMarcelo Machado Pereira
 

Mais procurados (20)

Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
XSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigosXSS Injection ou Cross Site Scripting e seus perigos
XSS Injection ou Cross Site Scripting e seus perigos
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
TRABALHO DE VIRUS
TRABALHO DE VIRUSTRABALHO DE VIRUS
TRABALHO DE VIRUS
 
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
8 d 23_nuno_rodrigues_24ricardo_pinto_vírus
 
OWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objetoOWASP top 10 - Referência insegura direta a objeto
OWASP top 10 - Referência insegura direta a objeto
 
Aula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força BrutaAula 7 - Ataque de Força Bruta
Aula 7 - Ataque de Força Bruta
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3Software Malicioso e Firewall - EPFF IMEI GEI 3
Software Malicioso e Firewall - EPFF IMEI GEI 3
 
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força brutaVulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
Vulnerabilidade de senhas e requisitos necessarios para ataques de força bruta
 

Destaque

Palestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasPalestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasCampus Party Brasil
 
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150Campus Party Brasil
 
Palestra Infografia e Visualização de dados
Palestra Infografia e Visualização de dadosPalestra Infografia e Visualização de dados
Palestra Infografia e Visualização de dadosCampus Party Brasil
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesCampus Party Brasil
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationCampus Party Brasil
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreCampus Party Brasil
 
Astrofotografia simples campus party 2011
Astrofotografia simples campus party 2011Astrofotografia simples campus party 2011
Astrofotografia simples campus party 2011Campus Party Brasil
 
Amd future of gp us - campus party
Amd future of gp us - campus partyAmd future of gp us - campus party
Amd future of gp us - campus partyCampus Party Brasil
 

Destaque (20)

Arduino cp
Arduino cpArduino cp
Arduino cp
 
Fisl11 criptografia para-todos
Fisl11 criptografia para-todosFisl11 criptografia para-todos
Fisl11 criptografia para-todos
 
Music hack day
Music hack day Music hack day
Music hack day
 
2011 01-18 mongo-db
2011 01-18 mongo-db2011 01-18 mongo-db
2011 01-18 mongo-db
 
Palestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracasPalestra vrlivrestudio sergio_gracas
Palestra vrlivrestudio sergio_gracas
 
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150
Cpbr4 aplicativos mobile_da_ideia_ao_produto_ou_nao150
 
Palestra Infografia e Visualização de dados
Palestra Infografia e Visualização de dadosPalestra Infografia e Visualização de dados
Palestra Infografia e Visualização de dados
 
Tempestades solares: mitos e verdades
Tempestades solares: mitos e verdadesTempestades solares: mitos e verdades
Tempestades solares: mitos e verdades
 
Flash mobile
Flash mobileFlash mobile
Flash mobile
 
Uso do GPS para fazer música
Uso do GPS para fazer músicaUso do GPS para fazer música
Uso do GPS para fazer música
 
8 d iniciando_iphone_ios4
8 d iniciando_iphone_ios48 d iniciando_iphone_ios4
8 d iniciando_iphone_ios4
 
Social interface
Social interfaceSocial interface
Social interface
 
Certbr campus-party2011-1
Certbr campus-party2011-1Certbr campus-party2011-1
Certbr campus-party2011-1
 
Momento telefonica
Momento telefonicaMomento telefonica
Momento telefonica
 
Opendatabr rc2
Opendatabr rc2Opendatabr rc2
Opendatabr rc2
 
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer PresentationPerspectives On Microsoft And Open Source F Y 10 Customer Presentation
Perspectives On Microsoft And Open Source F Y 10 Customer Presentation
 
Gestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software LivreGestão e monitoramento de redes e dispositivos com Software Livre
Gestão e monitoramento de redes e dispositivos com Software Livre
 
Certbr pragas
Certbr pragasCertbr pragas
Certbr pragas
 
Astrofotografia simples campus party 2011
Astrofotografia simples campus party 2011Astrofotografia simples campus party 2011
Astrofotografia simples campus party 2011
 
Amd future of gp us - campus party
Amd future of gp us - campus partyAmd future of gp us - campus party
Amd future of gp us - campus party
 

Semelhante a Pentest em aplicações web

Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webLuis Asensio
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuLuis Asensio
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...SUNLIT Technologies
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao gleydsonslim
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIMessias Dias Teixeira
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de VulnerabilidadeCassio Ramos
 

Semelhante a Pentest em aplicações web (20)

Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibili...
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Analise de Vulnerabilidade
Analise de VulnerabilidadeAnalise de Vulnerabilidade
Analise de Vulnerabilidade
 
Exploits
ExploitsExploits
Exploits
 
Java security
Java securityJava security
Java security
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 

Mais de Campus Party Brasil

Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineCampus Party Brasil
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosCampus Party Brasil
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Campus Party Brasil
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solarCampus Party Brasil
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custoCampus Party Brasil
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXCampus Party Brasil
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusivaCampus Party Brasil
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito ImpressoCampus Party Brasil
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasCampus Party Brasil
 

Mais de Campus Party Brasil (20)

Wordpress
WordpressWordpress
Wordpress
 
Buracos negros
Buracos negrosBuracos negros
Buracos negros
 
Programação para Atari 2600
Programação para Atari 2600Programação para Atari 2600
Programação para Atari 2600
 
Desenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App EngineDesenvolvimento de aplicações para o Google App Engine
Desenvolvimento de aplicações para o Google App Engine
 
Técnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivosTécnicas forenses para a recuperação de arquivos
Técnicas forenses para a recuperação de arquivos
 
Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?Como ganhar dinheiro no mundo mobile?
Como ganhar dinheiro no mundo mobile?
 
A busca por planetas além do sistema solar
A busca por planetas além do sistema solarA busca por planetas além do sistema solar
A busca por planetas além do sistema solar
 
Passeio virtual pelo LHC
Passeio virtual pelo LHCPasseio virtual pelo LHC
Passeio virtual pelo LHC
 
Construção de uma luneta a baixo custo
Construção de uma luneta a baixo custoConstrução de uma luneta a baixo custo
Construção de uma luneta a baixo custo
 
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livresHardware livre Arduino: eletrônica e robótica com hardware e software livres
Hardware livre Arduino: eletrônica e robótica com hardware e software livres
 
Robótica e educação inclusiva
Robótica e educação inclusivaRobótica e educação inclusiva
Robótica e educação inclusiva
 
Fazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectXFazendo do jeito certo: criando jogos sofisticados com DirectX
Fazendo do jeito certo: criando jogos sofisticados com DirectX
 
Blue Via
Blue ViaBlue Via
Blue Via
 
Linux para iniciantes
Linux para iniciantesLinux para iniciantes
Linux para iniciantes
 
Robótica e educação inclusiva
Robótica e educação inclusiva Robótica e educação inclusiva
Robótica e educação inclusiva
 
Confecção de Circuito Impresso
Confecção de Circuito ImpressoConfecção de Circuito Impresso
Confecção de Circuito Impresso
 
Vida de Programador
Vida de Programador Vida de Programador
Vida de Programador
 
Virtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendenciasVirtualização, cloud computig e suas tendencias
Virtualização, cloud computig e suas tendencias
 
Desafio Robótica Livre
Desafio Robótica LivreDesafio Robótica Livre
Desafio Robótica Livre
 
OpenKinect, o Kinect para todos
OpenKinect, o Kinect para todosOpenKinect, o Kinect para todos
OpenKinect, o Kinect para todos
 

Pentest em aplicações web

  • 2. Agenda Motivação. (In)segurança de software. Metodologia de testes de invasão. Reconhecimento. Mapeamento. Descoberta e exploração de vulnerabilidades.
  • 3. Importante NUNCA procure vulnerabilidades em sistemas, quaisquer que sejam, sem a devida autorização!!!
  • 5. Motivação “any program, no matter how innocuous it seems, can harbor security holes” Cheswick e Bellovin, 1994.
  • 7. Distribuição de vulnerabilidades Aplicações Sistema Operacional Rede Fonte: SANS
  • 9. Segurança de software Trindade de problemas [McGraw]: Complexidade; Conectividade; Extensibilidade. Embutir segurança quando o SW já estiver pronto? Segurança deve ser considerada em todo o ciclo de desenvolvimento de software!!
  • 10. Vulnerabilidades por fase do SDLC Fase Vulnerabilidade Especificação Microsoft Bob Arquitetura e projeto Topologia de rede Escolha de algoritmos criptográficos fracos Codificação Tratamento inadequado de erros Implantação Infraestrutura subjacente vulnerável Gerenciamento inadequado de chaves
  • 11. OWASP Top Ten 2010 (1) A1 – Injeção A2 – Cross-site Scripting (XSS) A3 – Falhas em autenticação e gerenciamento de sessões A4 – Referência direta a objetos insegura A5 – Cross-site Request Forgery (CSRF)
  • 12. OWASP Top Ten (2) A6 – Falhas na configuração de segurança A7 – Armazenamento criptográfico inseguro A8 – Acesso irrestrito a URLs A9 – Proteção inadequada no transporte de informações A10 – Redirecionamentos não validados
  • 13. Teste de invasão em aplicações web O que é um teste de invasão? Tipos de teste: Caixa preta; Caixa branca; Caixa cinza.
  • 15. Ferramentas básicas Navegadores web. Proxies de interceptação. Web spiders. Fuzzers. Varredores de portas e serviços. Varredores de vulnerabilidades.
  • 16. Reconhecimento Informações interessantes Informações: Nomes de funcionários e informações sobre eles. Identificadores de usuários. Tecnologias empregadas. Servidores e topologia de rede. Configurações dos componentes. Recursos disponibilizados pelos servidores.
  • 17. Reconhecimento Levantamento de infos em fontes públicas Redes sociais. Grupos de discussão. Anúncios de emprego. WHOIS. DNS.
  • 18. Reconhecimento Google Hacking Técnica que utiliza mecanismos de busca para identificar vulnerabilidades de software e de configuração em sistemas acessíveis pela Internet. Aplicável não somente ao Google Search. Exemplo: site:<domínio> login OR logon site:<domínio> "This file was generated by Nessus".
  • 19. Reconhecimento Informações sobre infraestrutura Identificação de SOs, portas e serviços. Identificação de servidores web. Métodos suportados pelo servidor web. Detecção de hosts virtuais. Descoberta de arquivos e diretórios.
  • 20. Mapeamento Deve resultar em um mapa da aplicação. Passos: Cópia das páginas e recursos da aplicação. Identificação dos pontos de entrada de informação. Relacionamento com as informações de reconhecimento.
  • 21. Descoberta e exploração de vulnerabilidades Validação no lado cliente da aplicação Validações no lado cliente devem ser realizadas apenas como uma pré-filtragem. Muito fácil de serem burladas. Muito comum em sistemas Web.
  • 22. Descoberta e exploração de vulnerabilidades XSS (1) Um dos problemas mais populares. Permite transportar código malicioso até o navegador de outros usuários. Código é executado no contexto da aplicação vulnerável.
  • 23. Descoberta e exploração de vulnerabilidades XSS (2) – Exemplo
  • 24. Descoberta e exploração de vulnerabilidades XSS (3) – Armazenado
  • 25. Descoberta e exploração de vulnerabilidades XSS (4) – Cenários Sequestro de sessão. Escravização de navegador web. Varredura de redes.
  • 26. Descoberta e exploração de vulnerabilidades Injeção de SQL (1) Usuário injeta código SQL em campos da interface. Aplicação não trata a entrada corretamente e executa o código injetado.
  • 27. Descoberta e exploração de vulnerabilidades Injeção de SQL (2) Interface da Campo: Blah aplicação Aplicação SELECT * FROM TABELA WHERE COLUNA = ´Blah´
  • 28. Descoberta e exploração de vulnerabilidades Injeção de SQL (3) Interface da Campo: ´ or 1 = 1;-- aplicação Aplicação SELECT * FROM TABELA WHERE COLUNA = ´´ or 1 = 1;--’
  • 29. Descoberta e exploração de vulnerabilidades Falhas no ger. de sessões e autenticação São falhas comuns em aplicações web. Permitem acesso ilegítimo.
  • 30. Nelson Uto, nelson_uto (at) yahoo.com.br Dúvidas?