O documento descreve a solução Acunetix, um scanner de vulnerabilidades para aplicações web. Ele destaca que a Acunetix usa uma abordagem heurística e métodos dinâmicos para identificar vulnerabilidades de forma não destrutiva, e fornece relatórios detalhados. A tecnologia AcuSensor permite identificar novas vulnerabilidades indo além do escaneamento de caixa preta.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Título: OWASP Top 10
- Experiência e Cases com Auditorias Teste de Invasão em Aplicações Web
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em aplicações web já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionados:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Auditoria de Segurança em Aplicações Web
http://www.clavis.com.br/servico/servico-auditoria-seguranca-da-informacao-aplicacoes-web.php
Palestrante: Rafael Soares Ferreira
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
Wibinar E-commerce Brasil.
Este webinar tem o objetivo de compartilhar os principais pontos de segurança que um ecommerce deve considerar no momento do startup e na operação continuada do negócio na Internet.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Título: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em redes e sistemas já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionadas:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Solução em Auditoria Teste de Invasão em Redes e Sistemas
http://www.clavis.com.br/servico/solucao-auditoria-teste-de-invasao-produto-consultoria.php
Palestrante: Henrique Ribeiro dos Santos Soares
Sobre o Instrutor: Henrique Ribeiro dos Santos Soares graduou-se em Ciência da Computação (2010) pela UFRJ e está finalizando o seu Mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão e da redação de material utilizado na Academia Clavis.
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
A palestra visa demonstrar técnicas de varredura de aplicações web utilizando o Wmap, que é uma ferramenta de busca de vulnerabilidades em aplicações web totalmente integrada ao arcabouço de desenvolvimento de exploits Metasploit Framework.
A ferramenta funciona como um plugin para o arcabouço de desenvolvimento de exploits Metasploit Framework, organizando todos os módulos relacionados a aplicações web, catalogando informações sobre os alvos e disparando ataques ordenados.
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
Protegendo pdv de ameaças externas e garantindo conformidade
Por que um PDV é um alvo de Ataque?
-Os sistemas PDV são dispositivos de missão crítica para muitas empresas.
•Estes sistemas usualmente possuem pouca proteção contra ataques direcionados, que, através da execução de aplicativos não autorizados, podem começar a capturar e roubar dados de cartão de crédito.
•Soluções de segurança tradicionais, pode impactar negativamente o desempenho destes sistemas por contar com uma atualização de definição de vírus.
Entenda como a Symantec pode ajudar
No dia 16 de fevereiro de 2016 foi realizado um agradável almoço no, promovido pela Clavis e Cyberark, que teve objetivo apresentar as soluções ofertadas pela Clavis e Cyberark. O evento foi realizado foi realizado no Bistrô Panamera do Hotel Novo Mundo, no bairro do Flamengo, na cidade do Rio de Janeiro.
Foram apresentadas pela Cyberark soluções de Gestão de Credenciais Privilegiadas, Cofre de Senhas e Auditoria de Acesso. Foram também abordados exemplos e cases de como as soluções desenvolvidas pela Cyberark podem ajudar as empresas a mitigar ataques avançados persistentes e a responder de forma imediata a ameaças ativas em seu ambiente. Veja abaixo os slides apresentadas pela Cyberk, parceiro oficial da Clavis Segurança da Informação.
No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
Os 10 erros mais comuns de segurança na operação de um ecommerceE-Commerce Brasil
Wibinar E-commerce Brasil.
Este webinar tem o objetivo de compartilhar os principais pontos de segurança que um ecommerce deve considerar no momento do startup e na operação continuada do negócio na Internet.
Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.
Título: Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Proposta: Esta palestra visa apresentar exemplos de vulnerabilidades mais comumente encontradas e más práticas de segurança detectadas em auditorias teste de invasão em redes e sistemas já realizadas e medidas simples que podem aumentar consideravelmente o nível de segurança e evitar incidentes graves em ambientes deste tipo. Além disto, será apresentada também a experiência da Clavis Segurança da Informação enquanto empresa de consultoria especializada ao realizar auditorias desta espécie tanto in-company quanto remotamente.
Cursos e Soluções Relacionadas:
Formação de 100 horas – Auditor em Teste de Invasão – Pentest – Academia Clavis Segurança da Informação
http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao/
Solução em Auditoria Teste de Invasão em Redes e Sistemas
http://www.clavis.com.br/servico/solucao-auditoria-teste-de-invasao-produto-consultoria.php
Palestrante: Henrique Ribeiro dos Santos Soares
Sobre o Instrutor: Henrique Ribeiro dos Santos Soares graduou-se em Ciência da Computação (2010) pela UFRJ e está finalizando o seu Mestrado em Informática na área de Redes de Computadores e Sistemas Distribuídos no PPGI/UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO).Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão e da redação de material utilizado na Academia Clavis.
Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web
Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção.
Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão.
Palestrante: Henrique Ribeiro dos Santos Soares
Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.
A palestra visa demonstrar técnicas de varredura de aplicações web utilizando o Wmap, que é uma ferramenta de busca de vulnerabilidades em aplicações web totalmente integrada ao arcabouço de desenvolvimento de exploits Metasploit Framework.
A ferramenta funciona como um plugin para o arcabouço de desenvolvimento de exploits Metasploit Framework, organizando todos os módulos relacionados a aplicações web, catalogando informações sobre os alvos e disparando ataques ordenados.
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
Protegendo pdv de ameaças externas e garantindo conformidade
Por que um PDV é um alvo de Ataque?
-Os sistemas PDV são dispositivos de missão crítica para muitas empresas.
•Estes sistemas usualmente possuem pouca proteção contra ataques direcionados, que, através da execução de aplicativos não autorizados, podem começar a capturar e roubar dados de cartão de crédito.
•Soluções de segurança tradicionais, pode impactar negativamente o desempenho destes sistemas por contar com uma atualização de definição de vírus.
Entenda como a Symantec pode ajudar
No dia 16 de fevereiro de 2016 foi realizado um agradável almoço no, promovido pela Clavis e Cyberark, que teve objetivo apresentar as soluções ofertadas pela Clavis e Cyberark. O evento foi realizado foi realizado no Bistrô Panamera do Hotel Novo Mundo, no bairro do Flamengo, na cidade do Rio de Janeiro.
Foram apresentadas pela Cyberark soluções de Gestão de Credenciais Privilegiadas, Cofre de Senhas e Auditoria de Acesso. Foram também abordados exemplos e cases de como as soluções desenvolvidas pela Cyberark podem ajudar as empresas a mitigar ataques avançados persistentes e a responder de forma imediata a ameaças ativas em seu ambiente. Veja abaixo os slides apresentadas pela Cyberk, parceiro oficial da Clavis Segurança da Informação.
No dia 1 de dezembro de 2011 Rafael Soares, Diretor Técnico do Grupo Clavis, palestrou sobre o tema "Técnicas e Ferramentas para Auditorias Testes de Invasão" na UNICARIOCA. Rafael abordou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Uma série de estudos de casos relacionados com as atividades da auditoria tipo teste de invasão também foram apreciadas. Veja abaixo os slides da palestra apresentada na UNICARIOCA.
Apresentação explicando um pouco sobre:
- Testes de Segurança em Aplicações Web
- Análise de Segurança
- Engenharia Social
- Fiddler
- ZAP
- Top 10 OWASP
- Os maiores ataques Hackers
- Como realizar um ataque
- Metasploit
- Desenvolvimento Seguro
- Cross-site Scripting (XSS)
- SQL Injection
- DDOS
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
Gestão e gerenciamento de SGBD (Oracle, SQL, MySQL, PostgreSQL);
Elaboração, Implantação e Auditoria de Processos de Negócio;
Análise de Problemas, Gestão de Configuração e Mudanças;
Automação de rotinas e criação de dashboard;
Monitoração de aplicações e rede;
Gestão de Indicadores;
Business Intelligence;
Suporte nível 2 e 3;
Outsourcing de TI;
System Center
Segurança
Big Data.
Solução adaptável e integrável para a automatização dos processos de análise de vulnerabilidades em código fonte de
várias linguagens, baseada em cloud computing.
Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade]
1. ACUNETIX
Scanner para Identificar Vulnerabilidades em
Aplicações WEB
Março 2012
SUNLIT TECHNOLOGIES
Representante Acunetix no Brasil
Combating the web vulnerability threat www.acunetix.com
2. GARTNER GROUP aponta a solução ACUNETIX como
um dos líderes em ANÁLISE DE VULNERABILIDADE DE
APLICAÇÕES
Confira a posição de destaque ocupada pela solução ACUNETIX no
QUADRANTE MÁGICO do GARTNER GROUP (dezembro de 2011) em referencia ao tema
DAST (Dynamic Application Security Testing) ou Análise de Vulnerabilidades em Aplicações.
Combating the web vulnerability threat www.acunetix.com
3. Por que sua empresa pode se tornar alvo de
hackers ?
Porque voce disponibiliza seu website 7x24 para atender seus clientes
e…os hackers sabem disso !
Além disso….os hackers gostam bastante de se divertir…e aproveitam
o tempo livre para :
. – Obter acesso a dados sensitivos (de sua empresa, de seus
fornecedores e de …seus clientes…..)
– Descaracterizar websites
– Lhe ´presentear´ com mensagens PHISHING para obter seus dados
bancários
– ´Entupir´ seus links de acesso pela distribuição de conteúdo ilegal
– Manipular de forma maliciosa seus aplicativos WEB
Combating the web vulnerability threat www.acunetix.com
4. O que sua empresa perde sendo ´hackeada´ ?
• Confidencialidade de informações relativas ao negócio
• Perda de confiança e reputação perante seus clientes e
fornecedores
• Imagem da sua empresa é ´arranhada´
• Suas operações podem ficar ´fora-do-ar´
• Perda de faturamento e receitas
• Implicações legais e multas
Combating the web vulnerability threat www.acunetix.com
5. Porque escolher um scanner ambiente WEB ?
• Voce pode manter aberta a Port 80
• Um firewall de aplicação WEB não é suficiente para barrar intrusos
• Firewalls, IDS and IPS não tem proteção suficiente
• Acesso direto a servidores corporativos
• Aplicações feitas in-house não são auditadas
Combating the web vulnerability threat www.acunetix.com
6. Como o Scanner-Acunetix funciona…..
• Detecta SQL Injection e XSS – entre outras vulnerabilidades..
• Audita websites de forma manual e automatica
• Estado da arte na tecnologia de rastreamento de vulnerabilidades
– Utiliza Engine (CSA) Client Script Analyzer
• Suporte a Web 2.0, JavaScript / Ajax, JQuery com engine CSA
• Abordagem com métodos Heuristicos
• Relatórios detalhados
• Suporte a linha de comando
Combating the web vulnerability threat www.acunetix.com
7. Diferenciais técnicos da solução ACUNETIX
• Detecção de erro 404
• Manipula formulários CAPTCHA
• Suporta single-sign-on e mecanismos de tokens
• Suporta múltiplos SCANS a partir de mesma máquina (versão 8 – fev 2012)
• Permite a manipulação de parametros da URL (versão 8 – fev 2012)
• Identifica uma nova classe de vulnerabilidade: HTTP PARAMETER
POLLUTION (versão 8 – fev 2012)
• Permite acesso direto ao código das aplicações WEB através da
tecnologia ACUSENSOR
Combating the web vulnerability threat www.acunetix.com
8. O que é a funcionalidade ACUSENSOR ?
• Vai além do escaneamento CAIXA-PRETA
• Verifica a configuração da tecnologia WEB
• Menor número de falso-positivos
• Sem regras de regravação Url
Combating the web vulnerability threat www.acunetix.com
9. A tecnologia AcuSensor gera informações
avançadas para ´debug´ de vulnerabilidades
Mostra qual a query QL vulnerável ao
SQL Injection
E indica exatamente a linha de
Código onde a vulnerabilidade está
Localizada. ….
Combating the web vulnerability threat www.acunetix.com
10. Interface amigável
Facilidade no acompanhamento de status das vulnerabilidades
Combating the web vulnerability threat www.acunetix.com
11. Testes de penetração avançados em ambiente WEB
• Testes de penetração avançados incluem :
– HTTP Editor
– HTTP Sniffer
– HTTP Fuzzer
– Blind SQL injector
– Authentication Tester
Combating the web vulnerability threat www.acunetix.com
12. Uma solução de segurança completa
• Acunetix verifica :
– Configuração do Web server
– Configuração da tecnologia Web (.NET, PHP etc)
– Port scanner & Network Alerts
Combating the web vulnerability threat www.acunetix.com
13. Geração de Relatórios
• Relatórios de compliance e
auditoria
- OWASP-Top 10
- PCI-DSS entre outros
• Relatórios para o desenvolvedor
• Relatórios comparativos
• Exporta relatórios para PDF ,
HTML, etc
Combating the web vulnerability threat www.acunetix.com
14. Apresentação Técnica
• Como agem os hackers? • Configuração - Acunetix WVS
• O que é um Scanner de ambiente Web ? – Application Settings
• Acunetix WVS – Perfis para escaneamento
– Scan Wizard
– Resultados do Escaneamento
– Relatórios do Escanemanto
• Funcionalidades - Acunetix WVS
– Target Finder
– Site Crawler
– Tecnologia AcuSensor
– Port Scanner & Network Alerts
– HTTP Editor
– HTTP Fuzzer
– HTTP Sniffer
– Blind SQL Injector
– Authentication Tester
– Compare os resultados
Combating the web vulnerability threat www.acunetix.com
15. Como agem os hackers ?
• Hackers usam um plano sistemático de ação :
1. Estudam a infraestrutura operacional (sistema operacional e
tipos de servidores) .
2. Pesquisam o website/ aplicação WEB
3. Identificam a presença de vulnerabilidades
4. Planejam e executam o ataque
• Acunetix WVS atua de forma contínua na identificação de
vulnerabilidades na aplicação WEB e/ou na tecnologia WEB (PHP,
Apache,etc) e/ou um determinado servidor WEB e/ou ainda qualquer
serviço de rede (DNS, FTP, etc) que roda no servidor WEB.
Combating the web vulnerability threat www.acunetix.com
16. Como os hackers planejam seus ataques....
Combating the web vulnerability threat www.acunetix.com
17. Técnicas de hacking mais ativas
• Métodos estáticos conhecidos: • Métodos dinamicos desconhecidos :
– Explorar vulnerabilidades em – SQL Injection
aplicações Web – Cross-site Scripting
– Directory & Link Traversal
– Enurmeração de diretórios – File Inclusion
– Exposição de código-fonte
– Explorar vulnerabilidades em – Execução de código
servidores Web – Common File Checks
– Manipulação de parametros
– Explorar vulnerabilidades em – Criação ou deleção de arquivos de
tecnologia Web (ex : PHP) forma arbitrária
– CRLF Injection
– Explorar vulnerabilidades em serviços – Path Truncation
de rede (ex: DNS, FTP, SMTP)
– Engenharia reversa de Java Applet
– Session Hijacking
– Ataques de autenticação
– Google Hacking Database
A solução Acunetix WVS identifica todos os
métodos acima descritos e muito mais....
Combating the web vulnerability threat www.acunetix.com
18. O que é um Scanner de ambiente Web ?
• Hacking são formas de ataques maliciosos contra aplicações-Web.
Qualquer usuário visitando um website pode ser um hacker em potencial ...
Por isso, uma abordagem de prevenção é a primeira linha de defesa.
• Um Scanner de ambiente WEB é uma ferramenta automática de
segurança que identifica vulnerabilidades em aplicações WEB ou
tecnologias WEB ou servidores-WEB.
Combating the web vulnerability threat www.acunetix.com
19. A que se propõem a solução
WVS-ACUNETIX ?
• Acunetix WVS é um Scanner-WEB que possibilita efetuar checagens
automáticas e manuais na identificação de vulnerabilidades .
• Acunetix WVS usa métodos dinamicos para replicar ataques de
hackers utilizando maneiras não-destrutivas. Acunetix WVS é uma
ferramenta essencial para identificar vulnerabilidades em suas
aplicações Web e servidores-Web.
Combating the web vulnerability threat www.acunetix.com
20. Acunetix WVS
Acunetix WVS é um Scanner
que utiliza metodologia
heurística permitindo
escaneamento & auditoria
de forma automática e
manual.
Pela replicação de ataques
hackers de forma não-
não-
destrutiva - Acunetix-WVS
Acunetix-
é uma ferramenta essencial
para manter seu ambiente
livres de hackers & pragas
digitais.
digitais.
Combating the web vulnerability threat www.acunetix.com
21. Como o Acunetix-WVS efetua a
busca por vulnerabilidades
• Fase 1 - Processo de ´rastejamento´ para descobrir
vulnerabilidades
• Fase 2 - Escaneamento Automático
• Fase 3 - (opcional) – Testes manuais específicos
• Fase 4 - Geração Relatórios
Combating the web vulnerability threat www.acunetix.com
22. ACUNETIX – WVS
Resumo das principais funcionalidades
- AcuSensor Technology
- Port Scanner & Network Alerts
- Blind SQL Injector
Combating the web vulnerability threat www.acunetix.com
23. Tecnologia AcuSensor
• Nova tecnologia que permite a
identificação de novas
vulnerabilidades em aplicações que
vai além do tradicional escaneamento
´caixa-preta´ enquanto gera menos
´falso-positivos´.
• ACUSENSOR indica exatamente
onde está a vulnerabilidade no código
e lhe mostra informações relevantes
tais como – Stack-Trace
(acompanhamento linha-a-linha do
código), linha do código com problema
e nome do arquivo.
Combating the web vulnerability threat www.acunetix.com
24. Port Scanner & Network Alerts
• Executa scan de portas no servidor
Web – e testes de segurança nos
serviços que rodam nessas portas –
tais como : DNS open recursion
tests, configuração incorreta em
proxy-servers, open relay SMTP
servers - e muito mais...
• Escreva o seu próprio teste de
segurança usando a tecnologia
Microsoft Active Scripting e use o
nosso script como referencia.
Combating the web vulnerability threat www.acunetix.com
25. Blind SQL Injector
• Ideal para testes de
penetração , o Blind SQL
injector é uma ferramenta de
extração de dados
automatizada para realização
de testes manuais e melhor
depuramento da
vulnerabilidade SQL-Injection
Combating the web vulnerability threat www.acunetix.com
26. Funcionalidades adicionais …
• Funcionalidade de Pausa e
Recomeço do Escaneamento
• Opção para marcar alertas como
falso-positivo
• Suporte ao NTLM V2
• Scanner agora pode agregar a
lista de erros incomuns
• Possibilidade para localizar
rapidamente uma vulnerabilidade
pelo uso de filtros
• Todas opções de escaneamento
estão agora disponiveis em
Scheduler
Combating the web vulnerability threat www.acunetix.com
27. Alguns de nossos clientes no BRASIL
Combating the web vulnerability threat www.acunetix.com
28. Muito obrigado pela sua atenção !
Referencias adicionais :
Acunetix Blog
http://www.acunetix.com/blog
Faça um tour para conhecer o WVS-Acunetix
http://www.acunetix.com/vulnerability-scanner/features.htm
Lista de verificações feitas pelo WVS-Acunetix
http://www.acunetix.com/support/vulnerability-checks.htm
Entre em contato conosco
Sunlit Advanced Technology
www.sunlit.com.br
11-91362957 - Antonio Carlos Scola
acscola@sunlit.com.br
Combating the web vulnerability threat www.acunetix.com