O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
O documento discute as principais ameaças à segurança da informação como injeções e cross-site scripting (XSS). Ele fornece exemplos de códigos vulneráveis e explorações, além de recomendações para prevenção como validação de entrada e saída. O documento também descreve o que são ambientes controlados como wargames e como eles podem ser usados para treinamento e pesquisa em segurança da informação.
No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento apresenta uma discussão sobre gerenciamento de vulnerabilidades em redes corporativas. Aborda tópicos como mapeamento de ativos, auditoria de redes automatizada, detecção e correção de vulnerabilidades, e a importância do monitoramento contínuo para identificar e mitigar riscos de segurança.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento descreve vários tipos de ataques à aplicações web, incluindo roubo de sessões, XSS, XSRF, SQL Injection, traversal de diretório e overflows. Ele fornece exemplos de como esses ataques funcionam na prática e como podem ser realizados usando a aplicação Google Gruyere, que foi propositalmente desenvolvida com vulnerabilidades para fins educacionais.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
O documento discute as principais ameaças à segurança da informação como injeções e cross-site scripting (XSS). Ele fornece exemplos de códigos vulneráveis e explorações, além de recomendações para prevenção como validação de entrada e saída. O documento também descreve o que são ambientes controlados como wargames e como eles podem ser usados para treinamento e pesquisa em segurança da informação.
No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.
1) O documento discute análise de código e segurança de software, incluindo inspeção de código, programação segura, e análise de vulnerabilidades como buffer overflows e injeção.
2) Também aborda proteção de software através de ofuscação, incorruptibilidade e marca d'água para dificultar engenharia reversa e modificações não autorizadas.
3) Conclui que as falhas de software em infraestruturas críticas aumentam a necessidade de novas regulamentações, serviços de avaliação de
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento apresenta uma discussão sobre gerenciamento de vulnerabilidades em redes corporativas. Aborda tópicos como mapeamento de ativos, auditoria de redes automatizada, detecção e correção de vulnerabilidades, e a importância do monitoramento contínuo para identificar e mitigar riscos de segurança.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
O documento descreve vários tipos de ataques à aplicações web, incluindo roubo de sessões, XSS, XSRF, SQL Injection, traversal de diretório e overflows. Ele fornece exemplos de como esses ataques funcionam na prática e como podem ser realizados usando a aplicação Google Gruyere, que foi propositalmente desenvolvida com vulnerabilidades para fins educacionais.
O documento discute a importância de testes de invasão para proteção de redes corporativas. Ele explica que tais testes simulam ataques para entender os reais riscos de segurança e ajudar a corrigir vulnerabilidades comuns como falta de atualizações, políticas de senha fracas e configurações inseguras de servidores. O documento também descreve problemas de segurança frequentes em cada uma dessas áreas e conclui que auditorias abrangentes são necessárias para identificar falhas básicas de segurança.
O documento discute técnicas de evasão para varreduras de rede com o scanner Nmap para evitar detecção por firewalls e sistemas de detecção de intrusão. Ele apresenta métodos como varreduras indiretas através de intermediários, contornando técnicas de detecção usando pacotes especiais e dificultando a identificação da origem com ruído de rede. O objetivo é testar a segurança da rede de forma ética sem ser detectado.
A apresentação descreve a ferramenta WMAP, um plugin para o Metasploit Framework que realiza varreduras de vulnerabilidades em aplicações web de forma automatizada. O WMAP interage com banco de dados, analisa tráfego de rede e lança módulos do Metasploit para identificar e explorar vulnerabilidades. A ferramenta é flexível mas requer suporte para ser utilizada corretamente.
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
Testes de segurança em aplicações web são importantes devido ao aumento de incidentes de segurança. As principais falhas incluem injeção de código, cross-site scripting e falhas na autenticação. Ferramentas open source como WebScarab e WebGoat podem ser usadas para mapear aplicações e testar vulnerabilidades comuns.
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
O documento apresenta uma palestra sobre segurança em aplicações web ministrada pelo professor Alex Camargo. A palestra aborda três principais tipos de ataques: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection. O professor demonstra como esses ataques funcionam e apresenta boas práticas de programação para preveni-los, como filtrar entradas e escapar saídas.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
O documento apresenta uma palestra sobre segurança na web e ferramentas de teste de vulnerabilidades. Resume as principais vulnerabilidades do OWASP Top 10, como injeção de SQL, XSS e falhas de autenticação. Demonstra exemplos e explica como evitar essas falhas. Também apresenta ferramentas open source como OWASP ZAP, Mantra e SQLmap para teste de aplicações.
1) O documento introduz conceitos e terminologia essenciais para testes de segurança de aplicações web, como vulnerabilidades, ameaças, abordagens de pentest e classificação de riscos.
2) É explicada a importância de aplicações seguras devido ao alto número de ataques na camada de aplicação e vulnerabilidades encontradas.
3) São descritas as principais fases e considerações para a elaboração de um plano de teste de segurança, incluindo escopo, objetivos e permissões necessárias.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
O documento fornece uma introdução sobre técnicas de teste de segurança, incluindo falsos positivos e negativos, camadas indetectáveis, análise de resultados com foco em riscos, criticidade e impacto. Também resume as principais fases de um pentest, como modelagem de ameaças, coleta de informações e exploração.
O documento apresenta um webinar sobre análise forense em redes de computadores com as seguintes informações essenciais:
1) Apresenta o palestrante Ricardo Kléber e suas credenciais na área.
2) Explica os conceitos básicos de análise forense em redes incluindo a captura de pacotes, análise de dados e técnicas complementares.
3) Destaca a importância da capacitação e certificação nessa área emergente para o mercado de trabalho.
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
A apresentação discute a importância de testes de segurança em sites e aplicações, destacando que: (1) incidentes de segurança vêm aumentando ano a ano, com aumentos significativos no número de ataques; (2) as principais falhas incluem injeções de SQL, autenticação e sessão, e configurações incorretas; (3) testes de segurança são necessários para identificar vulnerabilidades e proteger usuários e sistemas.
O documento discute a importância da segurança no desenvolvimento de software. Apresenta estatísticas mostrando que a maioria das vulnerabilidades estão em software e levam meses para serem corrigidas. Também descreve o Ciclo de Vida de Desenvolvimento Seguro (SDL) da Microsoft, um framework para integrar práticas de segurança ao longo do ciclo de vida do software.
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
1) O documento discute testes de segurança de software, abordagens como white-box e black-box, e a importância da modelagem de ameaças para planejar testes.
2) É explicado que testes de segurança buscam garantir não repúdio, controle de acesso e privacidade de dados.
3) A modelagem de ameaças mapeia riscos e ajuda a definir requisitos de segurança.
O documento discute as 10 principais vulnerabilidades em aplicações web, como injeção, quebra de autenticação, cross-site scripting e configuração insegura. Também fornece definições de termos como vulnerabilidade e ameaça, e aborda como projetar aplicações web de forma segura usando padrões como o ASVS.
Este documento fornece uma introdução ao Snort, um sistema de detecção de intrusão de rede open source. Ele discute o objetivo do Snort de monitorar tráfego de rede em busca de ataques e ameaças à segurança, bem como seu plano de ensino para configurar e usar corretamente o Snort.
O documento descreve a arquitetura TCP/IP, começando com seu histórico no projeto Arpanet do departamento de defesa dos EUA. Detalha as camadas da arquitetura TCP/IP e do modelo OSI, incluindo os protocolos de aplicação, transporte, rede e enlace, além de explicar conceitos como capacidade de transmissão, modulação e codificação de sinais.
O documento discute a importância de testes de invasão para proteção de redes corporativas. Ele explica que tais testes simulam ataques para entender os reais riscos de segurança e ajudar a corrigir vulnerabilidades comuns como falta de atualizações, políticas de senha fracas e configurações inseguras de servidores. O documento também descreve problemas de segurança frequentes em cada uma dessas áreas e conclui que auditorias abrangentes são necessárias para identificar falhas básicas de segurança.
O documento discute técnicas de evasão para varreduras de rede com o scanner Nmap para evitar detecção por firewalls e sistemas de detecção de intrusão. Ele apresenta métodos como varreduras indiretas através de intermediários, contornando técnicas de detecção usando pacotes especiais e dificultando a identificação da origem com ruído de rede. O objetivo é testar a segurança da rede de forma ética sem ser detectado.
A apresentação descreve a ferramenta WMAP, um plugin para o Metasploit Framework que realiza varreduras de vulnerabilidades em aplicações web de forma automatizada. O WMAP interage com banco de dados, analisa tráfego de rede e lança módulos do Metasploit para identificar e explorar vulnerabilidades. A ferramenta é flexível mas requer suporte para ser utilizada corretamente.
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
Testes de segurança em aplicações web são importantes devido ao aumento de incidentes de segurança. As principais falhas incluem injeção de código, cross-site scripting e falhas na autenticação. Ferramentas open source como WebScarab e WebGoat podem ser usadas para mapear aplicações e testar vulnerabilidades comuns.
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
O documento apresenta uma palestra sobre segurança em aplicações web ministrada pelo professor Alex Camargo. A palestra aborda três principais tipos de ataques: Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e SQL Injection. O professor demonstra como esses ataques funcionam e apresenta boas práticas de programação para preveni-los, como filtrar entradas e escapar saídas.
O documento fornece informações sobre os serviços de uma empresa de testes e qualidade de software chamada Qualister, incluindo terceirização de profissionais, consultoria, treinamentos, testes de segurança, usabilidade e performance. O documento também lista vulnerabilidades comuns em aplicações web e explica brevemente os riscos de segurança na internet.
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
O documento apresenta uma palestra sobre segurança na web e ferramentas de teste de vulnerabilidades. Resume as principais vulnerabilidades do OWASP Top 10, como injeção de SQL, XSS e falhas de autenticação. Demonstra exemplos e explica como evitar essas falhas. Também apresenta ferramentas open source como OWASP ZAP, Mantra e SQLmap para teste de aplicações.
1) O documento introduz conceitos e terminologia essenciais para testes de segurança de aplicações web, como vulnerabilidades, ameaças, abordagens de pentest e classificação de riscos.
2) É explicada a importância de aplicações seguras devido ao alto número de ataques na camada de aplicação e vulnerabilidades encontradas.
3) São descritas as principais fases e considerações para a elaboração de um plano de teste de segurança, incluindo escopo, objetivos e permissões necessárias.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
O documento fornece uma introdução sobre técnicas de teste de segurança, incluindo falsos positivos e negativos, camadas indetectáveis, análise de resultados com foco em riscos, criticidade e impacto. Também resume as principais fases de um pentest, como modelagem de ameaças, coleta de informações e exploração.
O documento apresenta um webinar sobre análise forense em redes de computadores com as seguintes informações essenciais:
1) Apresenta o palestrante Ricardo Kléber e suas credenciais na área.
2) Explica os conceitos básicos de análise forense em redes incluindo a captura de pacotes, análise de dados e técnicas complementares.
3) Destaca a importância da capacitação e certificação nessa área emergente para o mercado de trabalho.
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
A apresentação discute a importância de testes de segurança em sites e aplicações, destacando que: (1) incidentes de segurança vêm aumentando ano a ano, com aumentos significativos no número de ataques; (2) as principais falhas incluem injeções de SQL, autenticação e sessão, e configurações incorretas; (3) testes de segurança são necessários para identificar vulnerabilidades e proteger usuários e sistemas.
O documento discute a importância da segurança no desenvolvimento de software. Apresenta estatísticas mostrando que a maioria das vulnerabilidades estão em software e levam meses para serem corrigidas. Também descreve o Ciclo de Vida de Desenvolvimento Seguro (SDL) da Microsoft, um framework para integrar práticas de segurança ao longo do ciclo de vida do software.
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
1) O documento discute testes de segurança de software, abordagens como white-box e black-box, e a importância da modelagem de ameaças para planejar testes.
2) É explicado que testes de segurança buscam garantir não repúdio, controle de acesso e privacidade de dados.
3) A modelagem de ameaças mapeia riscos e ajuda a definir requisitos de segurança.
O documento discute as 10 principais vulnerabilidades em aplicações web, como injeção, quebra de autenticação, cross-site scripting e configuração insegura. Também fornece definições de termos como vulnerabilidade e ameaça, e aborda como projetar aplicações web de forma segura usando padrões como o ASVS.
Este documento fornece uma introdução ao Snort, um sistema de detecção de intrusão de rede open source. Ele discute o objetivo do Snort de monitorar tráfego de rede em busca de ataques e ameaças à segurança, bem como seu plano de ensino para configurar e usar corretamente o Snort.
O documento descreve a arquitetura TCP/IP, começando com seu histórico no projeto Arpanet do departamento de defesa dos EUA. Detalha as camadas da arquitetura TCP/IP e do modelo OSI, incluindo os protocolos de aplicação, transporte, rede e enlace, além de explicar conceitos como capacidade de transmissão, modulação e codificação de sinais.
This document is a tutorial on fishing called "Pescaria". It contains basic information about fishing and an overview of fishing techniques. The document is released under the GNU Free Documentation License, which allows copying and redistribution so long as any copies maintain the same license.
O documento apresenta um resumo sobre o Snort, um sistema de detecção de intrusos (IDS), descrevendo seu funcionamento, modos de operação e como pode ser usado para mitigar ataques de rede. Também discute sobre a comunidade Snort-BR e a ONG Hacker Construindo Futuros.
Este documento fornece uma introdução ao Iptables, o firewall do kernel Linux. Ele explica o que é o Iptables, seu objetivo de controlar o tráfego de rede e fornecer segurança, e como ele funciona usando regras para filtrar pacotes de rede de entrada e saída.
O documento descreve o que é um firewall e como configurar e usar o firewall padrão do Ubuntu chamado UFW (Uncomplicated Firewall). Explica que o UFW permite bloquear e permitir portas de rede para controle de tráfego e pode ser ativado ou desativado via terminal ou interface gráfica. Também mostra como verificar as regras do firewall e lista comandos para checar portas abertas.
Este documento fornece informações sobre acessibilidade. Ele discute o que é acessibilidade e por que é importante, além de apresentar um plano de ensino para tornar sites e conteúdos mais acessíveis a pessoas com deficiência.
Esta apostila ensina a instalação e configuração do sistema operacional Debian, dividida em três seções principais: 1) Sobre a apostila, 2) Informações básicas sobre o Debian, 3) Passo-a-passo detalhado para instalação e configuração do Debian.
Este documento fornece um resumo sobre cactos. Ele discute informações básicas sobre cactos e seu plano de ensino, incluindo seu objetivo de fornecer conhecimentos sobre a biologia e cultivo de cactos.
Netfilter e Iptables são ferramentas de firewall para Linux que permitem filtrar pacotes de rede, mascarar endereços e redirecionar portas. Iptables fornece uma interface para configurar as regras de filtragem implementadas pelo kernel Linux através do módulo Netfilter. O documento explica como essas ferramentas funcionam e como podem ser usadas para proteger redes e aplicar políticas de segurança.
O documento discute criptografia on-the-fly e segurança em tempo real, apresentando conceitos de criptografia, técnicas como SSL e IPSec, ferramentas livres como GPG e TrueCrypt, e soluções oferecidas pela 4Linux como auditoria de aplicações web e investigação forense digital.
Este documento fornece informações sobre segurança em servidores Linux de acordo com a norma ISO 27002. Resume as principais técnicas para garantir a segurança dos servidores, incluindo hardening do sistema, políticas de acesso, monitoramento e logs.
O documento descreve o iptables, um firewall para Linux que substitui o ipchains. Ele explica os principais componentes do iptables, como as tabelas filter, nat e mangle; as cadeias INPUT, OUTPUT e FORWARD; e como configurar regras básicas de filtragem de pacotes e masquerading.
1) A palestra discute conceitos de segurança no Linux, abordando segurança física, de rede e de dados.
2) É destacado que, apesar de existirem vírus para Linux, eles requerem acesso de root para se propagar e não se disseminam facilmente.
3) Diversas dicas são fornecidas, como manter software atualizado, configurar firewall e senhas seguras, e desconfiar da própria segurança.
O documento discute conceitos de firewall, incluindo firewall de software, gratuitos e pagos, e firewall de hardware. Também aborda sistemas gratuitos para criar appliances de firewall, como PFsense e Endian Firewall, e discute Unified Threat Management.
1) Um firewall é uma barreira de proteção que controla o tráfego de dados entre um computador e a internet ou entre redes, permitindo apenas dados autorizados.
2) Firewalls funcionam filtrado pacotes ou controlando aplicações para proteger contra acessos não autorizados, vírus e ver o que usuários fazem na rede.
3) Alguns produtos monitoram intrusões conhecidas e o firewall do Windows protege apenas contra dados de entrada, enquanto o Kerio WinRoute oferece mais funcionalidades para redes corporativas.
O documento discute os conceitos e evolução dos firewalls. Em três frases: Firewalls são dispositivos de segurança que controlam o tráfego entre redes, filtrando pacotes de acordo com regras de segurança. Eles evoluíram de simples filtros de pacotes para sistemas híbridos e adaptativos que combinam várias técnicas como proxy, filtragem de estado e detecção de intrusão. Firewalls modernos oferecem funcionalidades adicionais como tradução de endereços de rede, redes privadas virtuais e balanceamento de carga para
O documento discute o iptables, um firewall nativo do Linux. Explica que o iptables faz parte do kernel e é mais rápido do que firewalls instalados como aplicações. Descreve as tabelas básicas do iptables (INPUT, OUTPUT, FORWARD) e comandos como -A, -P e -L para adicionar, definir políticas e listar regras.
1) O documento discute estratégias de segurança em desktops, redes e armazenamento de dados usando software livre.
2) É apresentado um esquema básico de rede com DMZ e firewalls como Pfsense e iptables.
3) São listados softwares para testes de segurança como Snort, John the Ripper e Nmap.
O documento resume o projeto OWASP (Open Web Application Security Project) e sua lista de vulnerabilidades mais críticas, o OWASP Top 10. O projeto é uma comunidade aberta que promove a segurança de aplicações web através de publicações, ferramentas de teste e treinamento disponíveis gratuitamente. A lista Top 10 destaca as 10 vulnerabilidades mais comuns em aplicações web, como injeções, XSS e falhas de autenticação.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
O documento discute testes de segurança de software, enfatizando:
A importância de testes de segurança para garantir confidencialidade, integridade, disponibilidade, autenticidade e não-repúdio;
As abordagens de teste de segurança, incluindo white box, black box e fuzzing.
O documento discute tópicos sobre segurança na plataforma Java, abordando a metodologia SD3 de desenvolvimento seguro, categorias de ameaças como STRIDE e OWASP Top 10, e implementações e ferramentas de segurança como autenticação, criptografia, certificados digitais e mecanismos de autorização.
O documento discute a importância da segurança de aplicações web ao longo do ciclo de desenvolvimento de software. Apresenta os principais vetores de ataque a aplicações web, como injeção de código e cross-site scripting. Defende a necessidade de testes de segurança desde as primeiras fases do desenvolvimento para identificar e corrigir vulnerabilidades.
Este documento discute segurança de aplicações web, definindo o que são aplicações web e webservices, e abordando riscos, vulnerabilidades e exemplos comuns, como parâmetros inválidos, controle de acesso falho e injeção de comando/SQL. O foco é que a segurança começa com o código da aplicação e que a maioria das invasões ocorrem devido a vulnerabilidades na codificação.
Vulnerabilidades Comuns em Aplicações Web - RoadSec 2023 EMERSON EDUARDO RODR...EMERSON EDUARDO RODRIGUES
Os ataques mais comuns em aplicações web incluem técnicas como injeção de código malicioso no navegador do usuário (XSS), fazer com que o usuário execute ações sem consentimento (CSRF), enviar arquivos maliciosos para o servidor (upload arbitrário de arquivos), assumir o controle de subdomínios desprotegidos e obter acesso à conta de usuários (account takeover). A segurança de aplicações é essencial para proteger dados, prevenir ataques, manter a continuidade dos negócios e a
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
1) Os 10 erros mais comuns de segurança na operação de um ecommerce incluem armazenar dados de clientes e cartões de crédito sem criptografia, não avaliar recorrentemente a segurança da aplicação e não usar autenticação forte.
Ferramentas livres para teste de invasao gleydsonslim
O documento lista diversas ferramentas para realização de testes de invasão ética, divididas nas seguintes categorias: ferramentas de varredura de rede, ferramentas de escaneamento de vulnerabilidades, ferramentas para ataques a aplicações web, ferramentas para quebra de senhas, ferramentas de auditoria de bancos de dados e ferramentas para testes em sistemas de telefonia.
Este documento apresenta uma palestra sobre intrusão de redes e teste de penetração (pentest). Ele discute os preparativos, a metodologia, vetores de ataque comuns e ferramentas usadas em pentests, incluindo exploração de vulnerabilidades em redes Wi-Fi, sistemas Windows e Linux, e captura de tráfego de rede. O documento também fornece referências e contatos do palestrante.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
API - Security and speed at layer 7 integrated in zabbix.Thomás Capiotti
Lançamento da nossa API no maior evento de infraestrutura de TI e Zabbix da América Latina! Agora os setores de tecnologia e segurança tem acesso a análises externas de vulnerabilidades dos seus sistemas e plataformas, dentro do seu próprio painel integrado. Assim teremos ambientes mais seguros, com menos invasões e ataques cibernéticos.
O documento discute testes de invasão em aplicações web, abordando: 1) as principais vulnerabilidades em software, como injeção de código e falhas no gerenciamento de sessões; 2) a metodologia de teste, incluindo reconhecimento, mapeamento e exploração de vulnerabilidades; 3) técnicas como varredura de portas e fuzzing para descoberta de vulnerabilidades.
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
O documento discute a detecção de vulnerabilidades de segurança na web usando software livre. Ele descreve ferramentas como nmap, OWASP DirBuster e w3af que podem ser usadas para descobrir vulnerabilidades e testá-las através de abordagens de caixa-branca e caixa-preta. O documento também discute a importância de relatórios e métricas de segurança e o processo de correção de vulnerabilidades encontradas.
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuLuis Asensio
As 5 principais vulnerabilidades em aplicações web e seus riscos são: 1) Injeção de código, 2) Cross-site scripting, 3) Falhas na autenticação e gerenciamento de sessão, 4) Referências inseguras a objetos, 5) Vazamento de informações e tratamento inadequado de erros.
Como invadir uma exchange - Um relatório geral de segurança de corretoras de ...LeandroTrindade19
O documento discute estratégias de segurança cibernética, incluindo:
1) Realizar testes de penetração em corretoras de criptomoedas brasileiras para descobrir vulnerabilidades e melhorar a segurança;
2) Divulgar os resultados dos testes para educar o público e incentivar as corretoras a melhorarem suas defesas;
3) Defender que a segurança deve ser a principal prioridade das corretoras e do setor de criptomoedas no Brasil.
Semelhante a Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010 (20)
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
O documento apresenta uma palestra sobre lockpicking, começando com uma introdução sobre o palestrante Luiz Vieira. Em seguida, discute a importância da segurança física, os tipos mais comuns de fechaduras e cadeados, como funcionam as fechaduras, ferramentas e técnicas de lockpicking, legislação sobre o tema e links relacionados. Por fim, fornece contatos do palestrante.
O documento fornece uma introdução sobre registradores em sistemas x86, descrevendo os principais registradores de uso geral e especiais, como EAX, EBX, EIP e EFLAGS. Explica a organização dos registradores e diferenças entre as sintaxes AT&T e Intel.
O documento discute técnicas forenses em dispositivos Android, incluindo a identificação do aparelho, aquisição de imagens lógicas e físicas, e localização de dados como contatos, SMS e cache de geolocalização. Ele também apresenta ferramentas como FTK Imager, DD e ADB para aquisição de imagens e acesso root ao dispositivo.
A vulnerabilidade de buffer overflow na aplicação Easy RM to MP3 Converter permite sobrescrever o registro EIP. Após determinar o tamanho exato do buffer, o palestrante mostra como direcionar o fluxo de execução para seu código malicioso ("shellcode") colocado na pilha. Ele então explica como encontrar um local seguro na memória para armazenar o shellcode e faz com que o EIP pule para lá através do opcode "jmp esp".
Engenharia social é a arte de manipular pessoas para obter informações ou acesso sem seu consentimento através de enganos. A PNL ensina técnicas para alterar a percepção das pessoas e o SET fornece ferramentas para criar sites falsos e explorar vulnerabilidades para fins de engenharia social.
O documento discute abordagens para segurança em desenvolvimento de software. Ele descreve as principais falhas de adotar apenas normas, testes ou documentação. Recomenda o uso do Software Assurance Maturity Model (SAMM) e do Comprehensive, Lightweight Application Security Process (CLASP) para fornecer uma estrutura para implementar segurança ao longo do ciclo de vida do software.
Este documento discute conceitos de segurança de sistemas operacionais como formatos de arquivos binários, layout de memória, pilha, buffer overflows e técnicas de exploração de vulnerabilidades como smashing the stack. O objetivo é controlar o fluxo de execução de um programa através de um buffer overflow para executar código malicioso, como um shellcode, que concede acesso root ao atacante.
O documento discute auditoria em sistemas Linux, mencionando ferramentas para análise de vulnerabilidades, logs e boas práticas de segurança. Normas como ISO 27001 e 27002 estabelecem padrões para gestão e boas práticas de segurança da informação. Auditorias internas, externas ou articuladas podem ser realizadas para examinar a segurança do sistema.
O documento resume uma palestra sobre forense computacional com ferramentas de software livre. O palestrante discute os desafios da área, as etapas de uma investigação digital, distribuições Linux para forense, ferramentas abertas e demonstra análises de memória e tráfego de rede.
O documento apresenta o Metasploit Framework, um software livre para prova de conceito de vulnerabilidades. Ele discute o que é o Metasploit, como utilizá-lo para prova de conceito e desenvolver exploits, e as principais características do Meterpreter. Além disso, apresenta módulos auxiliares e o uso do Metasploit para testes web.
O documento descreve a história e características da linguagem de programação Python, desde sua criação por Guido van Rossum até versões atuais. Python tem tipagem dinâmica, sintaxe simples e é interpretada, possibilitando programação em diversas plataformas. Existem várias ferramentas para desenvolvimento com Python.
1) O documento discute o Trusted Computing e como softwares livres podem contornar as limitações de privacidade impostas pelo Trusted Computing.
2) O Trusted Computing Group promove padrões para computadores "mais seguros" através do Trusted Platform Module, mas críticos apontam riscos à privacidade do usuário.
3) Softwares livres como o OpenTC Project oferecem alternativas baseadas em código aberto para contornar limitações de privacidade do Trusted Computing.
Mais de Luiz Vieira .´. CISSP, OSCE, GXPN, CEH (14)
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
2. 2/2
Quem sou eu?
Luiz Vieira
● Construtor 4Linux
● Analista e Consultor de Segurança
● 15 anos de experiência em TI
● Pen-Tester
● Articulista sobre Segurança de vários
sites: VivaOLinux, SegurançaLinux,
Imasters, HackProofing e etc
● Entusiasta do Software Livre
● Filósofo e Psicoterapeuta
3. Tópicos de hoje
●
Princípios de Sistemas Web
●
Ataques Web: Origem e Motivação
●
Princípios da Segurança Web
●
“all input is evil until proven otherwise”
●
OWASP
●
Ferramentas para Análise e Auditoria
●
Prós e Contras das Ferramentas
●
Vulnerabilidades Web
●
Oportunidades
●
WebGoat
●
Demo
4. Princípios de Sistemas Web
• Ótima escolha para mudança de plataforma das
aplicações(?)
• A Internet não foi criada visando segurança
• Atualmente é considerada uma selva
5. Ataques Web: Origem e Motivação
●
Roubo de informações
– Benefício Próprio
– Espionagem Industrial
●
Defacement
– Mass scaning/defacing
●
(Ex-)Funcionários Insatisfeitos
– Salários baixos ou demissões injustas
●
Worms
6. Princípios da Segurança Web
●
“all input is evil until proven otherwise”.
●
Ter uma noção das falhas não é suficiente.
●
White List vs Black List
7. “all input is evil until proven
otherwise”
●
Entradas visíveis e de fácil manipulação
– Campos texto
– Variáveis de URL
●
Entradas de manipulação intermediária
– Campos hidden
– Valores de cookies
– Demais inputs (select, checkbox, radio etc)
●
Entradas de difícil manipulação
– Campos de cabeçalhos HTTP
8. OWASP
●
Significado:
– Open Web Application Security Project
●
Missão:
●
Promove o desenvolvimento seguro de software
●
Orientado para o desenvolvimento de serviços baseados na
web
●
Focado mais em aspectos de desenvolvimento do que em web-
design
●
Um fórum aberto para discussão
●
Um recurso gratuito e livre para qualquer equipe de
desenvolvimento
●
http://www.owasp.org
9. OWASP Top 10
●
Top 10 Web Application Security
Vulnerabilities
●
Uma lista dos 10 aspectos de segurança mais
críticos
●
Atualizado periodicamente
●
Crescente aceitação pela indústria
●
Federal Trade Commission (US Gov)
●
US Defense Information Systems Agency
●
VISA (Cardholder Information Security Program)
●
Está sendo adotado como um padrão de
segurança para aplicações web
10. OWASP Guide
Guia para o Desenvolvimento Seguro de Web
Apps
●
Oferece um conjunto de linhas gerais para o
desenvolvimento de software seguro
●
Introdução à segurança em geral
●
Introdução à segurança aplicacional
●
Discute áreas-chave de implementação
- Arquitetura
- Autenticação
- Gestão de Sessões
- Controle de Acesso e Autorização
- Registro de Eventos
- Validação de Dados
●
Em contínuo desenvolvimento
11. Ferramentas para Análise e Auditoria
●
Distribuições
- Backtrack 4
- OWASP Live CD
●
Ferramentas
- WebScarab
- Paros Proxy
- Firebug
- Muitas outras...
●
Plugins
- Firecat (para Firefox) http://migre.me/RyHN
●
Wargames
- Webgoat
- Série HACME, da Foundstone
- www.hackerskills.com
http://projects.webappsec.org/Web-Application-Security-Scanner-List
12. Prós e Contras das Ferramentas
Prós Contras
Recursos temporais limitados Confiabilidade das
Podem poupar muito ferramentas
tempo em vulnerabilidades Não são “A” solução
facilmente detectáveis Não significa que não
pelas ferramentas existam falhas se estas não
Boas soluções custo/eficácia forem encontradas
Recursos humanos limitados Têm limitações
Exige pouco conhecimento Custo
técnico Tempo de scanning
Automatização de testes Dependendo da aplicação,
frequentes o próprio crawling pode
demorar dias
13. Vulnerabilidades Web
●
Caminho mais fácil de expor informação.
●
Internet não é somente a Web
●
Preocupação com vulnerabilidades
– Dados valiosos?
– E em outro host do mesmo servidor?
15. O código faz parte do perímetro de
segurança
Não é possível usar proteção ao nível da camada de rede (firewall, SSL, IDS,
hardening) para parar ou detectar ataques ao nível aplicacional
16. Isto é preocupante?
●
Qual a probabilidade de sucesso de um ataque
contra uma aplicação web?
➢
Probabilidade elevada
➢
Fácil de explorar sem conhecimento e ferramentas especiais
➢
Quase indetectável
➢
Existem milhares de programadores web, pouco preocupados
com segurança
●
Consequências?
➢
Corrupção de dados ou destruição de BD
➢
Acesso root a servidores web ou aplicacionais
➢
Perda de autenticação e de controle de acesso de usuários
➢
Defacement
➢
Ataques secundários a partir da própria aplicação web
18. Principais Vulnerabilidades – OWASP
Top 10 2010
●
A1: Injeção
●
A2: Cross Site Scripting (XSS)
●
A3: Quebra de Autenticação e da Gestão de
Sessões
●
A4: Referência Insegura Direta a Objetos
●
A5: Cross Site Request Forgery (CSRF)
●
A6: Configuração de Segurança Incorreta
●
A7: Falhas na Restrição de Acesso a URL
●
A8: Redirecionamentos e Encaminhamentos não-
validados
●
A9: Armazenamento Criptográfico Inseguro
●
A10: Proteção Insuficiente da Camada de
Transporte
19. Cross-Site-Scripting (XSS)
●
Alta ocorrência
●
Baixo impacto (?)
- Sequestro de sessão
- Alteração de fluxo de dados
- Defacement
- Vetor para diversos outros ataques
●
Execução arbitrária de códigos Javascript
●
Má (ou falta de) filtragem dos dados que podem ser
manipulados pelo usuário.
●
Permite a criação de worms:
– Vírus do Orkut (2007)
21. Localização da Vulnerabilidade
Vulnerabilidade de XSS:
A variável "buscar" pode ser facilmente manipulada
pelo usuário
A variável é repassada para o navegador sem
qualquer tipo de filtro
22. Exploração da Vulnerabilidade
●
Induzir a vítima a acessar o endereço:
- http://localhost/AtaquesWeb/xss_exemplo1.php?
busca=<script>alert('Vulneravel+a+XSS')</script>
24. Métodos de Ataque
●
Procurar esconder (camuflar) a tentativa de ataque:
http://localhost/AtaquesWeb/xss_exemplo1.php?busca=
%3c%73%63%72%69%70%74%3e%61%6c
%65%72%74%28%27%56%75%6c%6e
%65%72%61%76%65%6c%20%61%20%58%53
%53%27%29%3c%2f%73%63%72%69%70%74%3e
●
http://localhost/AtaquesWeb/xss_exemplo1.php?busca=<script>alert('Vulneravel a XSS')</script>
OU
●
– http://localhost/AtaquesWeb/xss_exemplo1.php?
busca=“+onmouseover="javascript:alert('XSS')
25. Soluções
●
Criar uma whitelist ao invés de uma blacklist
●
Utilizar funções de tratamento de caracteres que
possuem significado no HTML
– PHP: htmlspecialchars()
$txtbuscar = htmlspecialchars($_GET['buscar']);
26. Cross Site Request Forgery
●
Semelhante a XSS
●
Qualquer sistema vulnerável a XSS está
vulnerável a XSRF
●
Nem toda aplicação vulnerável a XSRF está
também vulnerável a XSS
●
Permite alterar as informações enviadas ao
navegados.
●
Ataque client-side
●
Não se baseia em executar código JS
●
Se baseia em enviar requisições com as
credenciais do usuário para o servidor.
27. Soluções
●
Ineficientes:
– Blacklist
– addslashes() é ineficiente para XSRF
●
Eficientes:
– Evitar falhas de XSS
– Controle próprio de tokens
29. Armazenamento Criptográfico Inseguro
RainbowCrack
●
Brute-force Normal:
– 350 milhões de senhas (texto puro) por segundo.
●
Rainbow:
– 62.223 milhões de senhas em texto puro por
segundo
●
http://www.md5crack.com/
30. Proteção de dados
●
Armazenamento de Senha?
●
Dados a serem recuperados?
●
Hash puro?
●
E criptografia? Proteja bem a chave.
31. Execução Remota de Arquivos
Características:
●
Diversas proteções por configuração
●
Alto Impacto
●
Execução de Comandos no Servidor
Possibilidades:
●
Apagar Arquivos
●
Instalar Programas (keyloggers, sniffers)
●
Acessar Outras Páginas
●
Repositório de Arquivos (virus?)
●
Utilizar o servidor como zumbi (DDoS ?)
●
O que a imaginação permitir...
32. Execução Remota de Arquivos –
Exemplos de PHP
●
include()
●
require()
●
include_once()
●
require_once()
●
include → Em caso de erro continua
●
require → Em caso de erro crash!
●
_once() → Apenas uma vez
E daí?
●
Se o arquivo a ser incluído contiver códigos PHP
os mesmos serão executados.
34. Execução Remota de Arquivos –
Exemplo: Formulário de Acesso
●
É possível notar a utilização das funções
citadas.
●
Sistema com alta produtividade
- Ex: Adicionar um novo item de menu
●
O parâmetro de uma das funções include()
pode ser manipulada pelo usuário.
36. Execução Remota de Arquivos –
Arquivos Maléficos Famosos
●
Explorer de Arquivos, bypass de
segurança, etc
- c99.txt
- r57.txt
- Safe0ver.txt
●
Atenção: Cuidado com trapdoors.
37. Execução Remota de Arquivos –
Solução Eficiente
●
Criar whitelist, permitindo somente caracteres válidos:
38. 38/2
Oportunidades
● Necessidade de maior nível de segurança
● Previnir X Remediar
● Compliance com normas e metodologias
● Testes automatizados X Testes personalizados
● Funcionário X Consultor
39. 39/2
WebGoat
● WebGoat é uma aplicação web J2EE
deliberadamente vulnerável, mantida pelo
OWASP e desenvolvida para ensinar lições de
segurança em aplicações web.
● http://www.owasp.org/index.php/Category:OWASP
_WebGoat_Project