Este documento discute segurança de aplicações web, definindo o que são aplicações web e webservices, e abordando riscos, vulnerabilidades e exemplos comuns, como parâmetros inválidos, controle de acesso falho e injeção de comando/SQL. O foco é que a segurança começa com o código da aplicação e que a maioria das invasões ocorrem devido a vulnerabilidades na codificação.
Performance e disponibilidade ‐ Um estudo de caso: website dos CorreiosAlex Hübner
[1] O documento descreve uma estratégia implementada para melhorar o desempenho e disponibilidade de um site institucional dos Correios que rodava no ColdFusion. [2] A estratégia envolveu duplicar as instâncias do ColdFusion em cada servidor para melhor aproveitar os recursos, otimizar configurações do servidor e do banco de dados, e estabelecer rotinas de reciclagem noturna. [3] As mudanças permitiram dobrar a capacidade do ambiente existente sem necessidade de novos servidores.
This document provides tips to improve performance in Java applications. It discusses techniques and tools for diagnosing and solving performance problems in a Java environment, including understanding memory management, identifying issues related to memory, CPU usage, and I/O, and using monitoring tools, profilers, and other diagnostics.
Este documento fornece uma introdução ao framework Zend, ensinando como criar uma aplicação simples de gerenciamento de CDs utilizando o padrão MVC. Ele explica como configurar a estrutura de diretórios, o arquivo index.php de inicialização e a classe controller inicial IndexController com 4 ações.
Azure Functions e Java: Do Desenvolvimento a Produçãothomasdacosta
O documento discute o uso de Azure Functions com Java, abordando como lidar com desafios de desempenho e memória ao processar grandes volumes de dados. É explicado como dividir arquivos em lotes menores, usar bibliotecas eficientes e evitar frameworks que consomem muita memória podem ajudar a resolver esses problemas. Também são apresentadas vantagens como fácil integração entre serviços da Azure e fluxos de trabalho simples de desenvolvimento e streaming.
O documento descreve o Open-Audit, uma solução gratuita para realizar inventário de ativos de TI em redes locais. Ele explica como instalar e configurar o Open-Audit em um servidor web com PHP e MySQL, e como usar scripts para coletar informações de hardware e software de computadores Windows e Linux sem a necessidade de instalar agentes. O Open-Audit fornece relatórios e pesquisas sobre os ativos inventariados através de uma interface web.
ColdFusion é uma plataforma de desenvolvimento web que oferece uma linguagem de script chamada CFML e um servidor de aplicação. A versão 9 adicionou recursos como ORM e integração com Microsoft Office. O ColdFusion Builder 2 é uma IDE baseada no Eclipse para desenvolvimento em CFML.
Performance e disponibilidade ‐ Um estudo de caso: website dos CorreiosAlex Hübner
[1] O documento descreve uma estratégia implementada para melhorar o desempenho e disponibilidade de um site institucional dos Correios que rodava no ColdFusion. [2] A estratégia envolveu duplicar as instâncias do ColdFusion em cada servidor para melhor aproveitar os recursos, otimizar configurações do servidor e do banco de dados, e estabelecer rotinas de reciclagem noturna. [3] As mudanças permitiram dobrar a capacidade do ambiente existente sem necessidade de novos servidores.
This document provides tips to improve performance in Java applications. It discusses techniques and tools for diagnosing and solving performance problems in a Java environment, including understanding memory management, identifying issues related to memory, CPU usage, and I/O, and using monitoring tools, profilers, and other diagnostics.
Este documento fornece uma introdução ao framework Zend, ensinando como criar uma aplicação simples de gerenciamento de CDs utilizando o padrão MVC. Ele explica como configurar a estrutura de diretórios, o arquivo index.php de inicialização e a classe controller inicial IndexController com 4 ações.
Azure Functions e Java: Do Desenvolvimento a Produçãothomasdacosta
O documento discute o uso de Azure Functions com Java, abordando como lidar com desafios de desempenho e memória ao processar grandes volumes de dados. É explicado como dividir arquivos em lotes menores, usar bibliotecas eficientes e evitar frameworks que consomem muita memória podem ajudar a resolver esses problemas. Também são apresentadas vantagens como fácil integração entre serviços da Azure e fluxos de trabalho simples de desenvolvimento e streaming.
O documento descreve o Open-Audit, uma solução gratuita para realizar inventário de ativos de TI em redes locais. Ele explica como instalar e configurar o Open-Audit em um servidor web com PHP e MySQL, e como usar scripts para coletar informações de hardware e software de computadores Windows e Linux sem a necessidade de instalar agentes. O Open-Audit fornece relatórios e pesquisas sobre os ativos inventariados através de uma interface web.
ColdFusion é uma plataforma de desenvolvimento web que oferece uma linguagem de script chamada CFML e um servidor de aplicação. A versão 9 adicionou recursos como ORM e integração com Microsoft Office. O ColdFusion Builder 2 é uma IDE baseada no Eclipse para desenvolvimento em CFML.
O documento discute técnicas para otimizar o desempenho de websites desenvolvidos em PHP. Ele aborda ajustes que podem ser feitos no servidor web e no banco de dados para melhorar a performance, como utilização de módulos do Apache, configuração do MySQL e uso de cache. Além disso, apresenta técnicas de profiling em PHP para identificar gargalos e otimizações como compactação de arquivos e static assets.
Este documento fornece instruções sobre como configurar um laboratório virtual completo utilizando o VMware Workstation e apresenta diagramas explicando a arquitetura do laboratório, incluindo hosts ESXi, VMs, switches virtuais, storage e rede. O autor também descreve cada etapa do processo de configuração e fornece especificações técnicas para ajudar o leitor a replicar o laboratório.
Avaliação de arquiteturas de uma solução de Backup na NuvemKleber Silva
Nessa apresentação iremos analisar a evolução e pré-requisitos dos Backups corporativos, avaliando as diferenças das arquiteturas disponíveis de Backup com armazenamento na Nuvem, para definir melhores práticas de desempenho e capacidade para a implementação de uma solução para empresas
O documento discute as arquiteturas de soluções de backup na nuvem, comparando as opções disponíveis e definindo melhores práticas. Apresenta técnicas como desduplicação de dados e otimização TCP para melhorar o desempenho, além de abordar questões de segurança e arquitetura de soluções de backup na nuvem.
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
O documento apresenta o sistema de monitoramento de rede Zabbix, descrevendo seus principais componentes e funcionalidades. Em 3 exemplos práticos, mostra como o Zabbix pode ser usado para monitorar disponibilidade de serviços de voz, temperatura de servidores e histórico de conexão à internet de clientes, enviando notificações por email quando problemas são detectados.
O documento discute o sistema de gerenciamento de rede Zabbix, incluindo sua história, características, componentes e como pode ser usado para monitorar redes, servidores e aplicações de forma distribuída.
O documento discute o monitoramento com o software Zabbix, incluindo como ele pode monitorar ativos de rede, serviços e web cenários, além de apresentar gráficos, mapas e dashboards. Exemplos de casos de sucesso com o Zabbix são fornecidos, como o monitoramento de portais e agências em três estados brasileiros.
O documento apresenta Diénert de Alencar Vieira e seu histórico profissional, além de um roteiro sobre sistemas web e tecnologias como JSP, Servlets, Facelets, JSF, JBoss Seam, RichFaces e padrões de projeto.
Este documento resume uma palestra sobre as novidades da versão 5.0 do JBoss Application Server. Apresenta as principais mudanças estruturais e de arquitetura com a introdução do JBoss MicroContainer. Destaca também melhorias em outros projetos do JBoss como JBossWS, JBoss Messaging e ferramentas de monitoramento.
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosKleber Silva
Neste artigo será apresentada uma comparação entre filesystems em ambientes virtualizados. O objetivo é avaliar seus resultados de desempenho na máquina virtual, a utilização de recursos de storage e características de provisionamento e backup em fita, para auxiliar na melhor escolha para uma implementação de consolidação de servidores e ambientes de computação em nuvem (cloud computing).
O documento fornece recomendações de configuração de segurança para ambientes de hospedagem compartilhada do ColdFusion, incluindo:
1) Habilitar sandboxes de segurança para isolar cada usuário e limitar acesso a arquivos e diretórios;
2) Criar uma sandbox para cada usuário com permissão apenas para sua pasta raiz;
3) Nas configurações da sandbox, habilitar apenas a data source do banco de dados do usuário.
Uma introdução a Resiliência em Sistemas Distribuídos bem como o uso de padrões e políticas de resiliência com o Polly.
Código fonte e animações em:
https://github.com/maiconcp/polly-meetup
Apresentação realizada no evento:
https://www.meetup.com/pt-BR/qualyteam/events/258072791/
A solução Zerto Virtual Replication permite replicar máquinas virtuais de forma ágil e sem impacto na performance, sendo agnóstica em relação ao hypervisor e storage utilizados. Ela automatiza processos como failover e failback entre sites para recuperação de desastres de forma rápida.
O documento discute Active Server Pages (ASP) com os seguintes pontos:
1) Definir os objetivos e a arquitetura de ASP;
2) Especificar as plataformas mínima e ideal para uso de ASP;
3) Introduzir a programação em ASP usando scripts, objetos internos e bancos de dados.
O documento apresenta um sistema de monitoramento chamado Prometheus. Ele discute a arquitetura do Prometheus, incluindo o servidor Prometheus, exportadores, AlertManager e Grafana. Também aborda conceitos como métricas, bancos de dados timeseries, instrumentação de código, push gateway e alertas.
Apresentação realizada no dia 13/04/2013, no 29º Guru-SP: gurusp.org/encontros/vigesimo-nono-encontro-do-guru-sp
Versão original em js: https://github.com/nuxlli/12factor-openruko
O documento fornece detalhes sobre a integração entre o SharePoint Server 2007 e o SQL Server. Ele discute como o SharePoint armazena dados no SQL Server, melhores práticas para manutenção do SQL Server e recursos do SQL Server 2008.
1) O documento discute estratégias de backup do banco de dados Oracle utilizando a ferramenta RMAN.
2) Apresenta a arquitetura e componentes do RMAN, incluindo catálogo de recuperação e políticas de retenção.
3) Explica como realizar backups em modo NOARCHIVELOG e ARCHIVELOG, incluindo backups incrementais e o uso da área de recuperação de flash.
O documento discute a importância da segurança de aplicações web ao longo do ciclo de desenvolvimento de software. Apresenta os principais vetores de ataque a aplicações web, como injeção de código e cross-site scripting. Defende a necessidade de testes de segurança desde as primeiras fases do desenvolvimento para identificar e corrigir vulnerabilidades.
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
1) Os 10 erros mais comuns de segurança na operação de um ecommerce incluem armazenar dados de clientes e cartões de crédito sem criptografia, não avaliar recorrentemente a segurança da aplicação e não usar autenticação forte.
Este documento discute métodos para aumentar a segurança de sites, incluindo manter softwares atualizados, usar senhas complexas, validar código, e proteger contra ataques de cross-site scripting (XSS).
O documento discute técnicas para otimizar o desempenho de websites desenvolvidos em PHP. Ele aborda ajustes que podem ser feitos no servidor web e no banco de dados para melhorar a performance, como utilização de módulos do Apache, configuração do MySQL e uso de cache. Além disso, apresenta técnicas de profiling em PHP para identificar gargalos e otimizações como compactação de arquivos e static assets.
Este documento fornece instruções sobre como configurar um laboratório virtual completo utilizando o VMware Workstation e apresenta diagramas explicando a arquitetura do laboratório, incluindo hosts ESXi, VMs, switches virtuais, storage e rede. O autor também descreve cada etapa do processo de configuração e fornece especificações técnicas para ajudar o leitor a replicar o laboratório.
Avaliação de arquiteturas de uma solução de Backup na NuvemKleber Silva
Nessa apresentação iremos analisar a evolução e pré-requisitos dos Backups corporativos, avaliando as diferenças das arquiteturas disponíveis de Backup com armazenamento na Nuvem, para definir melhores práticas de desempenho e capacidade para a implementação de uma solução para empresas
O documento discute as arquiteturas de soluções de backup na nuvem, comparando as opções disponíveis e definindo melhores práticas. Apresenta técnicas como desduplicação de dados e otimização TCP para melhorar o desempenho, além de abordar questões de segurança e arquitetura de soluções de backup na nuvem.
Monitoramento da rede de A a ZABBIX - Daniel BauermannTchelinux
O documento apresenta o sistema de monitoramento de rede Zabbix, descrevendo seus principais componentes e funcionalidades. Em 3 exemplos práticos, mostra como o Zabbix pode ser usado para monitorar disponibilidade de serviços de voz, temperatura de servidores e histórico de conexão à internet de clientes, enviando notificações por email quando problemas são detectados.
O documento discute o sistema de gerenciamento de rede Zabbix, incluindo sua história, características, componentes e como pode ser usado para monitorar redes, servidores e aplicações de forma distribuída.
O documento discute o monitoramento com o software Zabbix, incluindo como ele pode monitorar ativos de rede, serviços e web cenários, além de apresentar gráficos, mapas e dashboards. Exemplos de casos de sucesso com o Zabbix são fornecidos, como o monitoramento de portais e agências em três estados brasileiros.
O documento apresenta Diénert de Alencar Vieira e seu histórico profissional, além de um roteiro sobre sistemas web e tecnologias como JSP, Servlets, Facelets, JSF, JBoss Seam, RichFaces e padrões de projeto.
Este documento resume uma palestra sobre as novidades da versão 5.0 do JBoss Application Server. Apresenta as principais mudanças estruturais e de arquitetura com a introdução do JBoss MicroContainer. Destaca também melhorias em outros projetos do JBoss como JBossWS, JBoss Messaging e ferramentas de monitoramento.
Análise comparativa de desempenho de FileSystems em ambientes virtualizadosKleber Silva
Neste artigo será apresentada uma comparação entre filesystems em ambientes virtualizados. O objetivo é avaliar seus resultados de desempenho na máquina virtual, a utilização de recursos de storage e características de provisionamento e backup em fita, para auxiliar na melhor escolha para uma implementação de consolidação de servidores e ambientes de computação em nuvem (cloud computing).
O documento fornece recomendações de configuração de segurança para ambientes de hospedagem compartilhada do ColdFusion, incluindo:
1) Habilitar sandboxes de segurança para isolar cada usuário e limitar acesso a arquivos e diretórios;
2) Criar uma sandbox para cada usuário com permissão apenas para sua pasta raiz;
3) Nas configurações da sandbox, habilitar apenas a data source do banco de dados do usuário.
Uma introdução a Resiliência em Sistemas Distribuídos bem como o uso de padrões e políticas de resiliência com o Polly.
Código fonte e animações em:
https://github.com/maiconcp/polly-meetup
Apresentação realizada no evento:
https://www.meetup.com/pt-BR/qualyteam/events/258072791/
A solução Zerto Virtual Replication permite replicar máquinas virtuais de forma ágil e sem impacto na performance, sendo agnóstica em relação ao hypervisor e storage utilizados. Ela automatiza processos como failover e failback entre sites para recuperação de desastres de forma rápida.
O documento discute Active Server Pages (ASP) com os seguintes pontos:
1) Definir os objetivos e a arquitetura de ASP;
2) Especificar as plataformas mínima e ideal para uso de ASP;
3) Introduzir a programação em ASP usando scripts, objetos internos e bancos de dados.
O documento apresenta um sistema de monitoramento chamado Prometheus. Ele discute a arquitetura do Prometheus, incluindo o servidor Prometheus, exportadores, AlertManager e Grafana. Também aborda conceitos como métricas, bancos de dados timeseries, instrumentação de código, push gateway e alertas.
Apresentação realizada no dia 13/04/2013, no 29º Guru-SP: gurusp.org/encontros/vigesimo-nono-encontro-do-guru-sp
Versão original em js: https://github.com/nuxlli/12factor-openruko
O documento fornece detalhes sobre a integração entre o SharePoint Server 2007 e o SQL Server. Ele discute como o SharePoint armazena dados no SQL Server, melhores práticas para manutenção do SQL Server e recursos do SQL Server 2008.
1) O documento discute estratégias de backup do banco de dados Oracle utilizando a ferramenta RMAN.
2) Apresenta a arquitetura e componentes do RMAN, incluindo catálogo de recuperação e políticas de retenção.
3) Explica como realizar backups em modo NOARCHIVELOG e ARCHIVELOG, incluindo backups incrementais e o uso da área de recuperação de flash.
O documento discute a importância da segurança de aplicações web ao longo do ciclo de desenvolvimento de software. Apresenta os principais vetores de ataque a aplicações web, como injeção de código e cross-site scripting. Defende a necessidade de testes de segurança desde as primeiras fases do desenvolvimento para identificar e corrigir vulnerabilidades.
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
1) Os 10 erros mais comuns de segurança na operação de um ecommerce incluem armazenar dados de clientes e cartões de crédito sem criptografia, não avaliar recorrentemente a segurança da aplicação e não usar autenticação forte.
Este documento discute métodos para aumentar a segurança de sites, incluindo manter softwares atualizados, usar senhas complexas, validar código, e proteger contra ataques de cross-site scripting (XSS).
O documento fornece 10 dicas de segurança para desenvolvedores, incluindo a importância de um arquiteto de segurança, validação de dados de entrada, criptografia, logs e proteção de comunicações.
O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
O documento apresenta a biografia e experiência da autora Edlaine Zamora, introduz conceitos de segurança da informação e lista as 10 vulnerabilidades mais críticas em aplicações web segundo a OWASP. É demonstrado como o Kali Linux pode ser usado para analisar vulnerabilidades, com foco em injeção SQL usando a ferramenta SQLMap em um site de teste.
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
O documento apresenta uma palestra sobre segurança na web e ferramentas de teste de vulnerabilidades. Resume as principais vulnerabilidades do OWASP Top 10, como injeção de SQL, XSS e falhas de autenticação. Demonstra exemplos e explica como evitar essas falhas. Também apresenta ferramentas open source como OWASP ZAP, Mantra e SQLmap para teste de aplicações.
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
O documento discute a importância da gestão de vulnerabilidades em aplicações web e apresenta o sistema N-Stalker da empresa RedeSegura para testes automatizados de segurança. O sistema permite definir, executar e analisar testes de vulnerabilidade de forma padronizada e contínua para múltiplas aplicações.
Testes de segurança em aplicações web são importantes devido ao aumento de incidentes de segurança. As principais falhas incluem injeção de código, cross-site scripting e falhas na autenticação. Ferramentas open source como WebScarab e WebGoat podem ser usadas para mapear aplicações e testar vulnerabilidades comuns.
Uma palestra prática mostrando as principais falhas em arquiteturas web e como desenvolver projetos com segurança. São exibidos também recursos do Azure para fortalecer tecnologias.
O documento discute análise de segurança em aplicações web, mencionando os 10 riscos mais críticos identificados pela OWASP, como injeção, XSS e falhas de configuração. Também fornece links sobre ferramentas e passo-a-passo para testes de segurança.
O documento discute os dez riscos de segurança mais críticos em aplicações web segundo o Projeto Top 10 da OWASP. Ele explica cada risco, incluindo seus elementos como agentes de ameaça, explorabilidade, prevalência, detectabilidade e impactos. Os riscos incluem injeção, falhas de autenticação, cross-site scripting, referências diretas a objetos, configurações inseguras e exposição de dados.
O documento lista os 10 erros mais comuns de segurança em ecommerces e fornece recomendações para corrigi-los. Os erros incluem armazenar dados de clientes sem criptografia, não testar frequentemente a segurança da aplicação, e não utilizar autenticação forte. As recomendações envolvem criptografar dados, realizar testes de vulnerabilidade, implantar selos de credibilidade e autenticação de dois fatores.
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação para as empresas;
(3) É necessário incorporar requisitos de segurança desde o desenvolvimento de aplicações.
(1) Por que Seguranca de Aplicacoes Web?Eduardo Lanna
O documento discute a importância da segurança de aplicações web, destacando que:
(1) Sistemas web sustentam operações de negócios e estão cada vez mais expostos;
(2) Falhas de segurança em aplicações web representam grandes riscos financeiros e de reputação;
(3) Ataques se concentram em aplicações web, onde estão as maiores vulnerabilidades.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
Folder Site Blindado - Aumente a conversão das vendas onlineSite Blindado S.A.
1) O documento descreve um teste A/B realizado por uma empresa de segurança cibernética para medir o impacto de um selo de certificação de segurança em um site de e-commerce.
2) Metade dos visitantes viu o selo e metade não, e o grupo que viu o selo teve taxas de conversão e vendas maiores.
3) A empresa oferece serviços como varredura automatizada de vulnerabilidades, auditoria de aplicações web, certificação e selo de segurança para aumentar a credibilidade e taxas de conversão de sites.
O documento apresenta Alcyon Junior, um especialista em segurança cibernética com diversas graduações e certificações na área. Ele atua como consultor de segurança cibernética para as Nações Unidas e professor na Universidade Católica de Brasília. O texto também descreve os passos de um teste de penetração, incluindo a coleta de informações, mapeamento da rede, busca por vulnerabilidades e formas de prevenção.
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
O documento fornece informações sobre a empresa Astaro e suas soluções de segurança de rede. Em menos de 3 frases:
A Astaro é uma empresa de segurança cibernética fundada em 2000 com sedes na Alemanha e EUA, que oferece soluções de segurança de rede completas como firewalls, detecção e prevenção de intrusão, filtragem de conteúdo e controle de aplicações. A Astaro protege mais de 70.000 redes ativas em mais de 60 países com seus produtos de hardware, software e virtualização. Sua solução de
Semelhante a Aplicações Web ‐ Seu site está seguro? (20)
O documento discute os desafios e oportunidades da adoção de estratégias multi-cloud pelas empresas. Apresenta dados que mostram o crescimento do uso de múltiplas plataformas de nuvem e a tendência de combinar nuvens públicas, privadas e híbridas. Também destaca os principais desafios dessa abordagem, como riscos, complexidade e custos. Por fim, descreve a oferta da Embratel para apoiar empresas nessa jornada, incluindo serviços profissionais, gerenciamento e conectividade entre
1) The document provides tips for securing a shared ColdFusion hosting environment, including enabling sandbox security and configuring individual sandboxes for each user.
2) It recommends disabling certain tags and functions like CFExecute, CFOBJECT, and CreateObject that could allow users to access system resources or other users' data.
3) The document explains that while sandboxes isolate users, shared hosting can never be 100% secure due to the possibility of users interfering with each other through things like denial of service attacks.
O Papel do OpenStack na Transformação Digital das Teles/TelcosAlex Hübner
O documento discute como o OpenStack pode ajudar as operadoras de telecomunicações na transformação digital, permitindo a adoção de nuvem, SDN e NFV. O autor argumenta que o software livre e hardware de código aberto, como o projeto OpenStack, podem ajudar as teles a lidar com os desafios trazidos pelos serviços over-the-top e o crescimento explosivo da demanda por dados a um custo menor.
Slides do treinamento técnico da força de vendas sobre a nova plataforma de IaaS da Embratel. Conheça: http://portal.embratel.com.br/cloud/cloud-server/
Data Center Virtual Embratel - Plataforma VCEAlex Hübner
O documento fornece uma capacitação técnica sobre Infraestrutura como Serviço (IaaS) e a Plataforma VCE - Data Center Virtual (DCV). A agenda inclui tópicos como mercado de hosting e cloud no Brasil, princípios de data center e virtualização, ofertas de IaaS da Embratel e casos de uso, ferramenta de precificação, contratos e modalidades. O objetivo é apresentar os principais conceitos e serviços de nuvem da Embratel de forma rápida e interativa.
O documento discute as oportunidades do e-commerce para pequenas e médias empresas, desmistifica algumas ideias sobre os desafios de ter um site de vendas online e apresenta casos de sucesso de lojas virtuais hospedadas na UOL Host.
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
2. 2
O que são aplicações web?
Softwares (sites) na arquitetura
cliente/servidor em protocolo HTTP
Cliente universal: o browser (IE/Netscape)
Servidor: vários sabores e soluções
Dividido em 3 camadas:
Apresentação
Aplicação
Dados e armazenamento
3. 3
O que são aplicações web?
Fonte: The Open Web Applications Security Project – http://www.owasp.org
4. 4
O que são aplicações web?
Exemplos de aplicações web:
CNN.com, Internet Banking, Previsão do
Tempo, Google e Yahoo!, Intranets,
extranets, invente uma!
Não confunda aplicações web com
produtos específicos (ex: Apache, IIS, JSP,
PHP, ColdFusion, Windows 2000 Server,
SQL Server, MySQL etc).
5. 5
O que são webservices?
Softwares arquitetura aplicação/aplicação
em protocolo SOAP (XML sobre HTTP)
Cliente: outras aplicações web
Servidor: vários sabores e soluções
Apenas duas camadas:
Aplicação
Dados e armazenamento
6. 6
Segurança de aplicações web
Algumas afirmações paradoxais tiradas de
listas de discussão na web:
“Não existe sistema operacional ou
aplicação insegura, existem administradores
inseguros...”
“Os bons admistradores são bons pois
precisam lidar com aplicações e sistemas
que se parecem com queijos suíços...”
Má notícia: ambas são verdadeiras!
7. 7
Risco, ameaça e vulnerabilidade
Vulnerabilidade → Ameaça → Risco
Risco:
“A possibilidade de sofrer dano, perda”
Ameaça:
“Um risco eminente, provável, factível”
Vulnerabilidade:
“Estar suscetível a uma ameaça”
8. 8
Avaliando os Riscos
Não existe uma métrica quantitativa exata
Quanto a Microsoft perderia com o site
invadido?
Quanto o “Toninho’s Armazém Online”
perderia com o site invadido?
Conheça o negócio do cliente
Avalie as vulnerabilidades, ameaças e
riscos inerentes
9. 9
Avaliando os Riscos
Pergunte-se:
As ameaças são internas (funcionários) ou externas
(visitantes)? Cuidado, o mordomo é sempre
suspeito!
Quais são as motivações para um ataque ao
site/aplicação (pessoais, financeiras, diversão)?
Qual será o impacto financeiro se o site/aplicação
estiver fora do ar em conseqüência destes ataques
(ex: loja virtual)?
Qual será o impacto na imagem e reputação do
negócio como um todo?
Você é odiado por alguém?
10. 10
Avaliando os Riscos
Decida-se e defina:
Quanto gastar com a proteção?
Provedor de hospedagem de qualidade
comprovada (+ caro), arquitetura utilizada, firewall,
IDS, logs detalhados, código meticulosamente
preparado e testado (+ tempo de codificação) etc.
Quem são os responsáveis pela proteção?
O desenvolvedor/programador (webmaster)?
O provedor de hospedagem?
O cliente?
11. 11
Avaliando os Riscos
Avaliar riscos é uma arte, consultores
abastados que o digam!
Use o bom senso na sua avaliação
Não gaste milhões para proteger centavos
Uma aplicação 100% segura é 100%
impraticável
O segredo é ser paranóico na medida
certa, comece com o seu próprio código
12. 12
Onde usar a paranóia?
Onde uma aplicação web é mais
vulnerável?
Camada de Apresentação
HTML/formulários/input e output de dados de e
para o cliente. Servidores web IIS, Apache.
Browsers, pluggins, seu código
Camada de Aplicação
Sevidores de aplicação ASP, TomCat, IBM
WebSphere, ColdFusion, seu código
Ambas são responsabilidades do
desenvolvedor
13. 13
Aplicações web: riscos e vulnerabilidades
“Optei por um plano de hospedagem
Linux com PHP e MySQL porque é bem
mais seguro que hospedar num plano
Windows com ASP e SQL Server...”
Historinha para boi dormir...
14. 14
Aplicações web: riscos e vulnerabilidades
“Agora posso dormir tranqüilo, meu site
está rodando atrás de um firewall muito
potente e calibrado. Atrás dele eu ainda
tenho um IDS (intrusion detection
system) de última geração, que custou
30 mil dolares...”
Cliente satisfeito é outra coisa...
15. 15
Aplicações web: riscos e vulnerabilidades
Para quê firewall e IDS mais moderno e eficiente
do mercado? O seu site roda na porta 1589?
Esqueça aquela “distro” Linux ultra segura e
complicada que você comprou na banca de jornal.
Não sabendo usá-la, ela será mais perigosa que o
Windows 95 como servidor de hospedagem
“Ignore” os patches do Windows 2000 Server. Sua
aplicação vai ser mais segura só por que a
Microsoft corrigiu a rebinboca da parafuseta do
sistema de autenticação XYZ do protocolo IPXext?
16. 16
Aplicações web: riscos e vulnerabilidades
Preocupe-se primeiro com o código de sua
aplicação. Ele é, em última instância, o que você
expõe ao público geral e também às figurinhas do
mundo underground da internet (script kiddies)
Enquanto você perde seu tempo olhando os
fundos da casa, o ladrão está entrando pela porta
da frente (vamos chamá-la de porta 80), que ficou
aberta e desprotegida
Um número absurdo de aplicações e sites na web
possuem algum tipo de vulnerabilidade
relacionadas à má codificação ou arquitetura ruim,
não seja o criador de um deles
17. 17
Aplicações web: riscos e vulnerabilidades
Como vão os formulários, parâmetros URL,
queries SQL e cookies do seu site?
Você sabia que sua base de dados pode
ser totalmente deletada ou alterada (o que
é pior), através de um simples campo de
“preencha seu nome”?
Sabia que usuários malandros podem se
passar por usuários legítimos apenas
colocando um cookie editado no browser
deles?
18. 18
Aplicações web: riscos e vulnerabilidades
70%* das invasões de sites e aplicações web
começam ou se dão totalmente através da
má codificação das mesmas
* The Open Web Applications Security Project – http://www.owasp.org
19. 19
Aplicações web: riscos e vulnerabilidades
“Este site é 100% seguro, usamos
criptografia de 128 bits, você pode
perceber isso clicando no “cadeado
fechado” na barra de status do seu
browser...”
Onze entre dez sites de comércio eletrônico...
20. 20
Alguns exemplos
Parâmetros inválidos | teoria
Informações enviadas pelo usuário não
são devidamente validadas e checadas
quando recebidas e tratadas pela
aplicação/site
Manipulação de campos de FORM
Manipulação de cookies
Manipulação de parâmetros URL
Manipulação de headers HTTP
21. 21
Alguns exemplos
Parâmetros inválidos | exemplo
http://www.site.com.br/cesta/fecha_pedido.php?IDprodu
to=12&valor=7763 (o produto custa isso mesmo?)
<form action=“fecha_pedido.php” method=“post”>
<input type=“hidden” name=“IDproduto” value=“12”>
<input type=“hidden” name=“valor” value=“7763”>
</form>
Cookie: lang=pt-br; ADMIN=no; y=1 ; time=10:30GMT
Cookie: lang=pt-br; ADMIN=yes; y=1 ; time=12:30GMT
(o usuário é mesmo um administrador?)
22. 22
Alguns exemplos
Controle de acesso falho | teoria
Controle de acesso a uma aplicação/site
ruim e falho e pode ser burlado
Profusão de sistemas e métodos de autenticação
facilitam muito
Inconsistent and Past Control Checks: pastas
internas não protegidas como deveriam
Inconsistência de credenciais/IDs inseguros
Path traversal
Permissão de arquivos
Cache de browser não limpo
24. 24
Alguns exemplos
Quebra de autenticação | teoria
O usuário é capaz de burlar o sistema de
autenticação do site/aplicação
Esqueceu a senha?
Redefinição de senha
Sequestro de sessão (tokens e cookies)
Relações de confiança entre o front-end e o back-
end (banco de dados, LDAP, email etc) muito alta
comprometendo todas as outras aplicações do
servidor
25. 25
Alguns exemplos
Quebra de autenticação | exemplo
SELECT username, senha
FROM tb_usuarios
WHERE usuario=‘$INPUT[usr]’
AND senha=‘$INPUT[pwd]’
26. 26
Alguns exemplos
Cross-site Scripting | teoria
Ataque que usa uma aplicação web para
atingir um outro visitante/usuário
Stored
Reflected
É uma das vulnerabilidades mais
exploradas em aplicações web
27. 27
Alguns exemplos
Cross-site Scripting | exemplo
Campo de
comentário (stored)
Campo “envie esta
notícia por e-mail”
(reflected)
28. 28
Alguns exemplos
Buffer Overflows | teoria
Depentendes do servidor de aplicação
Difíceis de explorar, porém muito
divulgados
Podem ser evitados ou minimizados com
o auxílio de filtragem de dados inseridos
pelo usuário
30. 30
Alguns exemplos
Command/SQL Injection | teoria
Informações (parâmetros dinâmicos)
enviadas para construção de queries e
interações com o banco de dados não são
devidamente validadas e checadas
quando recebidas e tratadas pela
aplicação/site ou pelo banco de dados
Bastante comum
Muitos programadores a ignoram completamente
Grande risco
31. 31
Alguns exemplos
Command/SQL Injection | exemplo
http://www.site.com/noticia.cfm?id=122
<cfquery name=“qNoticias”
datasource=“bancoDeNoticias”>
SELECT * FROM noticias
WHERE id=#url.id#
</cfquery>
http://www.site.com.br/noticias.cfm?id=122
;DROP TABLE noticias
(tem certeza de que quer deletar a tabela de notícias?)
32. 32
Alguns exemplos
Tratamento de erros | teoria
Informações ou operações que gerem
erros no site/aplicação não são
devidamente tratados e informados ao
usuário de forma crua e sem cuidado
Muitos servidores de aplicação (ASP, PHP,
ColdFusion) possuem mensagens de erro
em formato debug, “informando” muita
coisa útil para quem tem más intenções
Desabilite-as, trate os erros (try/catch)!
34. 34
Alguns exemplos
Erro no uso de criptografia | teoria
Ocorre quando o webmaster/programador
não entende onde e como deve fazer uso
de criptografia (SSL, por exemplo) em
suas aplicações
Envio de senha e informações sensíveis para só
depois criptografar a página/resultado
Forwards estúpidos
Acreditar que usando 128bits está “protegido”,
lembre-se de todos os outros exemplos!
35. 35
Alguns exemplos
Erro no uso de criptografia | exemplo
HTTP HTTP HTTPS
(login) (autenticação) (aplicação)
“Este site é 100% seguro, usamos
criptografia de 128 bits, você pode
perceber isso clicando no “cadeado
fechado” na barra de status do seu
browser...”
36. 36
Alguns exemplos
Administração remota | teoria
Quanto menor o número de “ferramentas”
disponíveis para uma invasão, melhor
Não deixe o IISAdmin, ColdFusion Administrator,
MyPHPAdmin etc disponíveis nas suas posições
padrões. Proteja-os!
Remova qualquer aplicação de exemplos ou
documentação sobre o que você têm instalado
Limite ao máximo quem e como as interfaces de
administração remota são acessíveis (IPs
autorizados, por exemplo)
37. 37
Alguns exemplos
Administração remota | exemplo
Um prato cheio...
Com 5 horas de brute-
force foi possível
invadir uma interface
de administração
remota como esta
Estamos apenas a um
mísero “password
field” de distância de
obter controle total do
servidor e aplicações
contidas nele
Esconda tudo que
puder!
38. 38
Alguns exemplos
Má configuração do servidor | teoria
Quando um servidor ou software necessário para
rodar uma aplicação é mal administrado ou mal
configurado
IIS sem patches de correção
Apache 1.3 em Windows (inseguro)
Sistema Operacional “caixa preta”
Etc!
Responsabilidade do administrador de sistemas e do
programador em conhecer o ambiente em que
trabalha e certificar-se de que ele está devidamente
configurado para uma maior segurança
39. 39
Moral da história
Conheça, planeje e controle os riscos de manter sua
aplicação pública (disponível na web)
Cuide primeiro da porta de entrada, depois dos
fundos
Ao revisar seu código, use o boné do vândalo, e
tente quebrar sua aplicação pela porta da frente
Sempre valide toda e qualquer entrada e saída de
dados da sua aplicação (forms, url, etc)
Use e abuse de soluções/scripts prontos
Use a cabeça e seja malvado na hora de escrever
códigos
Estude e participe de listas de discussão sobre o
assunto