Este documento apresenta um curso sobre testes de segurança de aplicações web. O curso ensina técnicas para encontrar e classificar falhas comuns em ambientes e aplicações web usando ferramentas como Kali Linux e Metasploitable VM. O objetivo é capacitar alunos a realizar varreduras de segurança e apresentar relatórios de vulnerabilidades para melhorar a segurança.
Palestra PHP Seguro em 2013 apresentada no evento PHPSC Conf 2013 dia 26.10.2013 em Chapecó (SC) pelo especialista em Segurança de Sistemas Patrick Kaminski http://patrickkaminski.com/
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
Teste de segurança
Roteiro de apresentação
- Introdução
- Problemas
- Principais Falhas
- Causas de invasões
- Open Source
Introdução
No inicio da internet, segurança não era preocupação.
Hoje a maioria dos sites é uma aplicação
Possuem muitas funcionalidades
Suportam login, transações comercias.
Conteúdo dinâmico.
Informações confidencias.
Por que fazer teste de segurança?
Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.
Aumento de incidentes de 61% de 2008 para 2009.
Aumento de 11530% de 1999 até 2009.
Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.
Site blindado 70% dos sites corporativo possuem falhas graves.
“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1
- Top 10 de falhas mais comuns
Falhas de injeção (SQL INJECTION)
Falhas de autenticação e de gerenciamento de sessão
Problemas de configuração
Falhas ao restringir o acesso a alguma URL
Redirecionamento inválidos Ex: Js.
Tecnologia Ex: Apache, php, asp.
Página de login sem critografia.
Proteção na camada de transporte de informação
Sem criptografia (MD5)
Certificados inválidos (E-commerce)
- Por que fazer teste de segurança?
- O usuário pode enviar QUALQUER dado
- Deve-se assumir que toda entrada pode ser maliciosa.
- Usuários não irão usar apenas o navegador para acessar a aplicação
- Exemplos de ataques (Sql injection)
- O que vai acontecer se eu clicar em ok?
- Teste de segurança X Vulnerabilidades
Palestra realizada na Secretaria Adjunta de Tecnologia da Informação do Estado do Maranhão para conhecimento do paradigma de APIs Web pelos desenvolvedores do instituição.
Palestra PHP Seguro em 2013 apresentada no evento PHPSC Conf 2013 dia 26.10.2013 em Chapecó (SC) pelo especialista em Segurança de Sistemas Patrick Kaminski http://patrickkaminski.com/
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Apesar disso, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida. Nessa palestra veremos quais as falhas de segurança são mais comuns em aplicações web, alguns exemplos de como testá-las e algumas ferramentas open source que auxiliam nesse tipo de teste.
Teste de segurança em aplicações web ( sites )Pablo Ribeiro
Teste de segurança
Roteiro de apresentação
- Introdução
- Problemas
- Principais Falhas
- Causas de invasões
- Open Source
Introdução
No inicio da internet, segurança não era preocupação.
Hoje a maioria dos sites é uma aplicação
Possuem muitas funcionalidades
Suportam login, transações comercias.
Conteúdo dinâmico.
Informações confidencias.
Por que fazer teste de segurança?
Apesar do aumento da preocupação, incidentes vêm aumentando ano a no.
Aumento de incidentes de 61% de 2008 para 2009.
Aumento de 11530% de 1999 até 2009.
Universidade de Michigan -> 75% dos sites de banco possuem alguma falha grave.
Site blindado 70% dos sites corporativo possuem falhas graves.
“Sites maliciosos aumentaram 240% em 2011 na web mundial, diz estudo.” G1
- Top 10 de falhas mais comuns
Falhas de injeção (SQL INJECTION)
Falhas de autenticação e de gerenciamento de sessão
Problemas de configuração
Falhas ao restringir o acesso a alguma URL
Redirecionamento inválidos Ex: Js.
Tecnologia Ex: Apache, php, asp.
Página de login sem critografia.
Proteção na camada de transporte de informação
Sem criptografia (MD5)
Certificados inválidos (E-commerce)
- Por que fazer teste de segurança?
- O usuário pode enviar QUALQUER dado
- Deve-se assumir que toda entrada pode ser maliciosa.
- Usuários não irão usar apenas o navegador para acessar a aplicação
- Exemplos de ataques (Sql injection)
- O que vai acontecer se eu clicar em ok?
- Teste de segurança X Vulnerabilidades
Palestra realizada na Secretaria Adjunta de Tecnologia da Informação do Estado do Maranhão para conhecimento do paradigma de APIs Web pelos desenvolvedores do instituição.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosLuis Cipriani
Liberar uma API HTTP para seus usuários é a melhor forma de estimular ideias inovadoras baseadas no seu produto, porém para ser livre é necessário responsabilidade. Você já pensou qual o melhor método para garantir a segurança dos dados de seus usuários? Será que só basta implementar o melhor método de autenticação do mercado? Como balancear segurança com a queda de performance percebida pelo usuário, devido ao overhead do processo de autenticação? Devo me preocupar com rate-limiting?
Com foco nesses desafios, a palestra apresentará os métodos de autenticação de APIs, suas vantagens e desvantagens, quando utilizar cada uma e liberar os dados com cabeça tranquila.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
A palestra comenta desde problemas básicos a avançados discutindo conceitos de informação e segurança da informação para identificar pessoas envolvidas na tarefa de segurança de um sistemas Web, Também descreve como podemos evitar com que sistemas PHPs sejam invadidos e estejam sempre disponíveis para atender a usuários humanos.
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma MicrosoftDiego Nogare
Revele novas informações e tome decisões melhores com o HDInsight do Azure, uma solução de Big Data fornecida pela Apache Hadoop. Navegue nessas informações de todos os tipos de dados para usuários empresariais por meio de várias ferramentas.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosLuis Cipriani
Liberar uma API HTTP para seus usuários é a melhor forma de estimular ideias inovadoras baseadas no seu produto, porém para ser livre é necessário responsabilidade. Você já pensou qual o melhor método para garantir a segurança dos dados de seus usuários? Será que só basta implementar o melhor método de autenticação do mercado? Como balancear segurança com a queda de performance percebida pelo usuário, devido ao overhead do processo de autenticação? Devo me preocupar com rate-limiting?
Com foco nesses desafios, a palestra apresentará os métodos de autenticação de APIs, suas vantagens e desvantagens, quando utilizar cada uma e liberar os dados com cabeça tranquila.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
A palestra comenta desde problemas básicos a avançados discutindo conceitos de informação e segurança da informação para identificar pessoas envolvidas na tarefa de segurança de um sistemas Web, Também descreve como podemos evitar com que sistemas PHPs sejam invadidos e estejam sempre disponíveis para atender a usuários humanos.
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma MicrosoftDiego Nogare
Revele novas informações e tome decisões melhores com o HDInsight do Azure, uma solução de Big Data fornecida pela Apache Hadoop. Navegue nessas informações de todos os tipos de dados para usuários empresariais por meio de várias ferramentas.
EDITAL IFCE 01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2Francisco Luz
Abertura de inscrições para os cursos de Formação Inicial e Continuada (FIC) da unidade nas especialidades: Língua Inglesa - nível Básico (módulo I) CLIF, Iniciação ao documentário, Fundamentos em Petroquímica, Química para o ENEM, Didática e saberes da docência, Estratégias de ensino em ciências e biologia.
Concurso Público IFCE 2016 para a carreira técnico-administrativaFrancisco Luz
O Edital n.º 12/2016 abre inscrição para o Concurso Público de Provas visando ao provimento de cargos da Carreira dos Técnico-Administrativos em Educação.
As vagas serão para todos os Campi. Os aprovados escolherão as cidades de suas lotações funcionais por ordem de classificação e disponibilidade de vagas.
Apresentação Institucional Containers Fácil - Locação de ContainersFabrício Ottoni
Apresentação Institucional feita para nosso cliente Containers Fácil. Fornecedores para solução de armazenagem através da locação de containers! Facilidade, organização e segurança a um custo acessível para sua obra! Envie um e-mail para atendimento@containersfacil.com.br ou ligue (62) 3242-3587 e receba uma apresentação completa!
www.containersfacil.com.br
Facilidade para sua obra!
Desenvolvendo sistemas seguros com PHPFlavio Souza
Nesta palestra, abordo as principais formas de ataque, assim como diversas dicas de programação com PHP para tornar o seu sistema cada vez mais seguro, assim como também dicas de configurações do php.ini.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
No link http://goo.gl/31uVaD você consegue acessar esse curso GRATUITO EAD de Desenvolvimento Seguro de Software com Professor Alcyon Junior. Você irá desenvolver suas aplicações com mais segurança no código, mitigando risco de possíveis invasores explorarem vulnerabilidades, se tornando um profissional muito mais capacitado.
Palestra sobre Desenvolvimento seguro realizada no WorkSec 2019 ministrado pelo professor Alcyon Junior https://worksec.congressodeti.com.br/ A maior imersão em segurança totalmente digital
O AWS WAF (Web Application Firewall), provê uma camada adicional de segurança para sua aplicação web. Essa sessão terá o intuito de expor, formas de utilização do serviço, arquiteturas, como também, automações de bloqueios.
Uma palestra prática mostrando as principais falhas em arquiteturas web e como desenvolver projetos com segurança. São exibidos também recursos do Azure para fortalecer tecnologias.
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
Visão geral dos novos produtos da CloudflareCloudflare
Estamos trabalhando muito no desenvolvimento de novos recursos e produtos que podem melhorar a segurança e o desempenho de suas aplicações. Um de nossos especialistas apresentará uma visão geral dos produtos enquanto compartilha casos de uso e melhores práticas.
Apresentação explicando um pouco sobre:
- Testes de Segurança em Aplicações Web
- Análise de Segurança
- Engenharia Social
- Fiddler
- ZAP
- Top 10 OWASP
- Os maiores ataques Hackers
- Como realizar um ataque
- Metasploit
- Desenvolvimento Seguro
- Cross-site Scripting (XSS)
- SQL Injection
- DDOS
Minha apresentação oficial da IBM sobre Linux e Padrões Abertos. Como pode-se economizar com esse elementos, etc. Inclui alguns exemplos de arquiteturas não convencionais de custo muito baixo, como alta disponibilidade por replicação, PC multiusuário, etc.
Slides da palestra sobre serviços da Amazon e Hands On realizado na Superlogica Labs no dia 04/01/2017
Link com os códigos e exemplos: https://github.com/msfidelis/AulaAWS-Superlogica/
Apresentação de Docker para Maiores realizado na Superlogica Tecnologias.
Link dos exemplos: https://github.com/msfidelis/DockerParaMaioresSuperlogica/
2. $whoami
Matheus Fidelis
Especialista em Sistemas e Segurança Linux
Experiência em projetos e soluções Open Source
Experiência em Controle e Segurança de Servidores e
Ambientes Linux
CEO Fundador do Proj. Nanoshots Open Source Security
3. Ementa do Curso:
NÃO É O OBJETIVO
Formar Hackers Éticos e apresentar roteiros de
testes de instrusão.
OBJETIVO:
O objetivo do curso é apresentar para
desenvolvedores, analistas, profissionais e
estudantes de segurança da informação uma
bateria de testes afim de encontrar, classificar e
explorar falhas mais comuns recorrentes em
ambientes e aplicações web.
Após este curso o alunosegurança estará apto
a realizar varreduras, análises e apresentar
relatórios com vulnerabilidades do servidor afim
de apresentar e propor melhorias e correções
de falhas de sua própria aplicação, para a
equipe ou clientes.
25 Horas
CURSO PRATICO!!!
4. Material do Curso:
Virtualbox 4.3 + - https://www.virtualbox.org/
Kali Linux 2.0 - https://www.kali.org/
Metasploitable VM -
SQLi VM -
5. Hackers e Motivações
Hacker - Pessoas que utilizam seu conhecimento para explorar
e modificar a favor das pessoas
Cracker - Pessoas que utilizam seu conhecimento para tirar
proveito ou prejudicar
Script Kiddie - Normalmente pessoas que não possuem muito
conhecimento e passam a procurar soluções prontas para
exploits
6. tipos de pentest
Black Box - Tem o objetivo de simular a visão real de um hacker
malicioso, onde o atacante não possui nenhuma informação
sobre o sistema e a infraestrutura.
Gray Box - Este teste funciona com um grau intermediário de
informações disponibilizadas. Como rotinas, sistemas a serem
testados, horários e gargalos visando não comprometer o
funcionamento do sistema durante horários de pico e gargalo.
White Box - Esta modalidade mais rápida que visa testar as
vulnerabilidades junto a equipe de infraestrutura e
desenvolvimento que irá colaborar com as informações dos
sistemas e disponibilizando dados que necessitar
8. O QUE EU DEVO SABER SOBRE O HTTP?
É o processo utilizado para realizar
comunicações com o servidor Web
Baseado totalmente em texto
Trabalha com Requests e Responses
entre o cliente e servidor
Protocolo totalmente sem estados
(Cada solicitação corresponde a um evento
totalmente novo e independente do anterior
“Hyper Text Transfer Protocol”
9. O QUE EU DEVO SABER SOBRE O HTTP?
Ainda assim, como ela mantém o
controle da sessão e das solicitações
anteriores?
Cookies e Sessões
Menos praticidade
Inumeras solicitações de Login
10. O QUE EU DEVO SABER SOBRE O HTTP?
Gera enormes vetores de ataque
PORÉM…. Interceptação de Tráfego
Exposição a Sniffers de Rede
Session Hijacking (Roubo de Sessão)
Captura de Cookies
11. USO DO HTTPS
“Hyper Text Transfer Protocol Secure”
O HTTPS é a versão Criptografada do HTTP
HTTP rodando sobre o protocolo SSL/TLS
(Secure Socket Layer/Transport Layer Security)
Dificulta ataques MITM - “Man in the middle”
Cria um “Canal Privado” entre o cliente e o servidor
Não impede que ataques sejam realizados sobre a aplicação
12. CICLOS DO HTTP
Navegador envia a solicitação com todas as
variáveis, cookies, headers,
O Servidor interpreta a solicitação e responde a
solicitação baseado nos parâmetros enviados,
enviando respostas determinadas pelas
solicitações.
request
response
13. COOKIE - Esse cabeçalho mostra o cookie que pode estar servindo como
identificador de sessão do usuário. É possível roubar essa sessão com uso de
Sniffers como Wireshark e Ettercap
HTTP
READERS
INFORMAÇÕES UTEIS ENCONTRADAS NOS
CABEÇALHOS HTTP
Content-Length - É o tamanho em bytes da resposta. Utilizado para analise de
força bruta.
Location - É usado quando é necessário fazer o
redirecionamento de um usuário para alguma outra
página.
Referrer - Este dado mostra onde o navegador do usuário
estava anteriormente. Pode ser manipulado para quebrar
14. ✘ 100’s : São respostas adicionais do servidor, raramente são utilizadas.
✘ 200’s: Indicam que nossas solicitações foram aceitas e processadas pelo
servidor
✘ 300’s: São respostas que indicam redirecionamento. Como ao tentar
acessar um painel administrativo sem sessão válida, mandando o cliente
para alguma página index ou login.
✘ 400’s: Representam erros na solicitação. As mais comuns são “404: Not
Found” e “403: Forbidden”
✘ 500’s: São utilizados para apresentar erros no lado do servidor, como “500:
Internal Server Error”
https status
As respostas do servidor incluem códigos de
status para indicar o tipo de resposta que ele deu
para nossa solicitação. Eles são classificados em 5
grupos.
16. APLICAÇÃO WEB
CODIGO FONTE QUE ESTÁ SENDO
EXECUTADO NO SERVIDOR WEB QUE
PROVÊ AS FUNCIONALIDADES QUE
OS USUÁRIOS PODEM UTILIZAR.
EX: PHP, JAVA, PYTHON, RUBY E ETC
17. 1º - SQL Injection
OWASP TOP 10
2013
2º - Quebra de autenticação e Sessão
3 º - Cross-Site Scripting (XSS)
4º - Referência Insegura e Direta a Objeto
5º -Configuração incorreta
6º - Exposição de Dados Sensíveis
7º - Falta de Controle do Nível de Acesso 8º - Cross-Site Request Forgery (CSRF)
9º - Utilização de Componentes Vulneráveis
Conhecidos
10º - – Redirecionamentos e
Encaminhamentos Inválidos
19. Credits
Special thanks to all the people who made and released
these awesome resources for free:
✘Presentation template by SlidesCarnival
✘Photographs by Unsplash