SlideShare uma empresa Scribd logo
Curso:
Testando a
Segurança de sua
Aplicação Web
Matheus Fidelis - @fidelissauro
$whoami
Matheus Fidelis
Especialista em Sistemas e Segurança Linux
Experiência em projetos e soluções Open Source
Experiência em Controle e Segurança de Servidores e
Ambientes Linux
CEO Fundador do Proj. Nanoshots Open Source Security
Ementa do Curso:
NÃO É O OBJETIVO
Formar Hackers Éticos e apresentar roteiros de
testes de instrusão.
OBJETIVO:
O objetivo do curso é apresentar para
desenvolvedores, analistas, profissionais e
estudantes de segurança da informação uma
bateria de testes afim de encontrar, classificar e
explorar falhas mais comuns recorrentes em
ambientes e aplicações web.
Após este curso o alunosegurança estará apto
a realizar varreduras, análises e apresentar
relatórios com vulnerabilidades do servidor afim
de apresentar e propor melhorias e correções
de falhas de sua própria aplicação, para a
equipe ou clientes.
25 Horas
CURSO PRATICO!!!
Material do Curso:
Virtualbox 4.3 + - https://www.virtualbox.org/
Kali Linux 2.0 - https://www.kali.org/
Metasploitable VM -
SQLi VM -
Hackers e Motivações
Hacker - Pessoas que utilizam seu conhecimento para explorar
e modificar a favor das pessoas
Cracker - Pessoas que utilizam seu conhecimento para tirar
proveito ou prejudicar
Script Kiddie - Normalmente pessoas que não possuem muito
conhecimento e passam a procurar soluções prontas para
exploits
tipos de pentest
Black Box - Tem o objetivo de simular a visão real de um hacker
malicioso, onde o atacante não possui nenhuma informação
sobre o sistema e a infraestrutura.
Gray Box - Este teste funciona com um grau intermediário de
informações disponibilizadas. Como rotinas, sistemas a serem
testados, horários e gargalos visando não comprometer o
funcionamento do sistema durante horários de pico e gargalo.
White Box - Esta modalidade mais rápida que visa testar as
vulnerabilidades junto a equipe de infraestrutura e
desenvolvimento que irá colaborar com as informações dos
sistemas e disponibilizando dados que necessitar
acordos de contrato
GrayWhite Black
O QUE EU DEVO SABER SOBRE O HTTP?
É o processo utilizado para realizar
comunicações com o servidor Web
Baseado totalmente em texto
Trabalha com Requests e Responses
entre o cliente e servidor
Protocolo totalmente sem estados
(Cada solicitação corresponde a um evento
totalmente novo e independente do anterior
“Hyper Text Transfer Protocol”
O QUE EU DEVO SABER SOBRE O HTTP?
Ainda assim, como ela mantém o
controle da sessão e das solicitações
anteriores?
Cookies e Sessões
Menos praticidade
Inumeras solicitações de Login
O QUE EU DEVO SABER SOBRE O HTTP?
Gera enormes vetores de ataque
PORÉM…. Interceptação de Tráfego
Exposição a Sniffers de Rede
Session Hijacking (Roubo de Sessão)
Captura de Cookies
USO DO HTTPS
“Hyper Text Transfer Protocol Secure”
O HTTPS é a versão Criptografada do HTTP
HTTP rodando sobre o protocolo SSL/TLS
(Secure Socket Layer/Transport Layer Security)
Dificulta ataques MITM - “Man in the middle”
Cria um “Canal Privado” entre o cliente e o servidor
Não impede que ataques sejam realizados sobre a aplicação
CICLOS DO HTTP
Navegador envia a solicitação com todas as
variáveis, cookies, headers,
O Servidor interpreta a solicitação e responde a
solicitação baseado nos parâmetros enviados,
enviando respostas determinadas pelas
solicitações.
request
response
COOKIE - Esse cabeçalho mostra o cookie que pode estar servindo como
identificador de sessão do usuário. É possível roubar essa sessão com uso de
Sniffers como Wireshark e Ettercap
HTTP
READERS
INFORMAÇÕES UTEIS ENCONTRADAS NOS
CABEÇALHOS HTTP
Content-Length - É o tamanho em bytes da resposta. Utilizado para analise de
força bruta.
Location - É usado quando é necessário fazer o
redirecionamento de um usuário para alguma outra
página.
Referrer - Este dado mostra onde o navegador do usuário
estava anteriormente. Pode ser manipulado para quebrar
✘ 100’s : São respostas adicionais do servidor, raramente são utilizadas.
✘ 200’s: Indicam que nossas solicitações foram aceitas e processadas pelo
servidor
✘ 300’s: São respostas que indicam redirecionamento. Como ao tentar
acessar um painel administrativo sem sessão válida, mandando o cliente
para alguma página index ou login.
✘ 400’s: Representam erros na solicitação. As mais comuns são “404: Not
Found” e “403: Forbidden”
✘ 500’s: São utilizados para apresentar erros no lado do servidor, como “500:
Internal Server Error”
https status
As respostas do servidor incluem códigos de
status para indicar o tipo de resposta que ele deu
para nossa solicitação. Eles são classificados em 5
grupos.
SERVIDOR WEB
HARDWARE
SERVIÇOS QUE ESTÃO SENDO
EXECUTADOS NAS PORTAS DO
SERVIDOR QUE PERMITAM QUE A
APLICAÇÃO SEJA ACESSADA.
APLICAÇÃO WEB
CODIGO FONTE QUE ESTÁ SENDO
EXECUTADO NO SERVIDOR WEB QUE
PROVÊ AS FUNCIONALIDADES QUE
OS USUÁRIOS PODEM UTILIZAR.
EX: PHP, JAVA, PYTHON, RUBY E ETC
1º - SQL Injection
OWASP TOP 10
2013
2º - Quebra de autenticação e Sessão
3 º - Cross-Site Scripting (XSS)
4º - Referência Insegura e Direta a Objeto
5º -Configuração incorreta
6º - Exposição de Dados Sensíveis
7º - Falta de Controle do Nível de Acesso 8º - Cross-Site Request Forgery (CSRF)
9º - Utilização de Componentes Vulneráveis
Conhecidos
10º - – Redirecionamentos e
Encaminhamentos Inválidos
Obrigado!
Perguntas?
Twitter: @fidelissauro
msfidelis01@gmail.com
www.nanoshots.com.br
Credits
Special thanks to all the people who made and released
these awesome resources for free:
✘Presentation template by SlidesCarnival
✘Photographs by Unsplash

Mais conteúdo relacionado

Mais procurados

apache+ssl+Jserv
apache+ssl+Jservapache+ssl+Jserv
apache+ssl+Jserv
elliando dias
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
Conviso Application Security
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
Sergio Henrique
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
Qualister
 
Mister Way Tarifa: muito mais que um tarifador
Mister Way Tarifa: muito mais que um tarifadorMister Way Tarifa: muito mais que um tarifador
Mister Way Tarifa: muito mais que um tarifador
Sonia Fernandes Bogo
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
Jeronimo Zucco
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
Conviso Application Security
 
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosSegurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Luis Cipriani
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
Giovani Decusati
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Jeronimo Zucco
 
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
Sonia Fernandes Bogo
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendado
ricardophp
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!
ricardophp
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Conviso Application Security
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
Marcio Roberto de Souza Godoi
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
Magno Logan
 

Mais procurados (17)

apache+ssl+Jserv
apache+ssl+Jservapache+ssl+Jserv
apache+ssl+Jserv
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)Testes de Segurança de Software (tech-ed 2008)
Testes de Segurança de Software (tech-ed 2008)
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Mister Way Tarifa: muito mais que um tarifador
Mister Way Tarifa: muito mais que um tarifadorMister Way Tarifa: muito mais que um tarifador
Mister Way Tarifa: muito mais que um tarifador
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007OWASP Top 10 e aplicações .Net - Tech-Ed 2007
OWASP Top 10 e aplicações .Net - Tech-Ed 2007
 
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupadosSegurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
Segurança de APIs HTTP, um guia sensato para desenvolvedores preocupados
 
OWASP Top Ten
OWASP Top TenOWASP Top Ten
OWASP Top Ten
 
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...
 
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
Visys Chat: comunicação rápida e eficaz com sua equipe e seus clientes.
 
XSS Desvendado
XSS DesvendadoXSS Desvendado
XSS Desvendado
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!
 
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009Protegendo Aplicações Php com PHPIDS - Php Conference 2009
Protegendo Aplicações Php com PHPIDS - Php Conference 2009
 
Teste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações WebTeste de Segurança: Vulnerabilidade de Aplicações Web
Teste de Segurança: Vulnerabilidade de Aplicações Web
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 

Destaque

Introdução a Containers Docker
Introdução a Containers DockerIntrodução a Containers Docker
Introdução a Containers Docker
Matheus Fidelis
 
Slide Questões norteadoras
Slide Questões norteadorasSlide Questões norteadoras
Slide Questões norteadoras
Naysa Taboada
 
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma MicrosoftMVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
Diego Nogare
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug hunting
Kirill Ermakov
 
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
Positive Hack Days
 
Com 364 - Episode
Com 364 - EpisodeCom 364 - Episode
Com 364 - Episode
Matthew Gocken
 
Plano de negócio - um ensaio
Plano de negócio - um ensaioPlano de negócio - um ensaio
Plano de negócio - um ensaio
Mario Smynniuk
 
Workshop Marketing Digital para o Turismo 4 - TripAdvisor
Workshop Marketing Digital para o Turismo 4 - TripAdvisorWorkshop Marketing Digital para o Turismo 4 - TripAdvisor
Workshop Marketing Digital para o Turismo 4 - TripAdvisor
Renata Robazza
 
Tarea
TareaTarea
EDITAL IFCE 01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
EDITAL IFCE  01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2EDITAL IFCE  01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
EDITAL IFCE 01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
Francisco Luz
 
Prof. Emanuel Cohen, Technion
Prof. Emanuel Cohen, TechnionProf. Emanuel Cohen, Technion
Prof. Emanuel Cohen, Technion
chiportal
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
navajanegra
 
Fila de prioridades
Fila de prioridadesFila de prioridades
Fila de prioridades
Marcos Castro
 
Concurso Público IFCE 2016 para a carreira técnico-administrativa
Concurso Público IFCE 2016 para a carreira técnico-administrativaConcurso Público IFCE 2016 para a carreira técnico-administrativa
Concurso Público IFCE 2016 para a carreira técnico-administrativa
Francisco Luz
 
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
Francisco Luz
 
Fuzz.txt
Fuzz.txtFuzz.txt
1.plano de negócio1
1.plano de negócio11.plano de negócio1
1.plano de negócio1
Robervan Alves
 
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
Naysa Taboada
 
Apresentação Institucional Containers Fácil - Locação de Containers
Apresentação Institucional Containers Fácil - Locação de ContainersApresentação Institucional Containers Fácil - Locação de Containers
Apresentação Institucional Containers Fácil - Locação de Containers
Fabrício Ottoni
 

Destaque (20)

Introdução a Containers Docker
Introdução a Containers DockerIntrodução a Containers Docker
Introdução a Containers Docker
 
Slide Questões norteadoras
Slide Questões norteadorasSlide Questões norteadoras
Slide Questões norteadoras
 
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma MicrosoftMVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
MVP ShowCast 2014 - Entendendo Big Data Através da Plataforma Microsoft
 
Lets talk about bug hunting
Lets talk about bug huntingLets talk about bug hunting
Lets talk about bug hunting
 
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
24may 1000 valday sergey shekyan artem harutyunyan 'to watch or to be watched'
 
Com 364 - Episode
Com 364 - EpisodeCom 364 - Episode
Com 364 - Episode
 
Plano de negócio - um ensaio
Plano de negócio - um ensaioPlano de negócio - um ensaio
Plano de negócio - um ensaio
 
Workshop Marketing Digital para o Turismo 4 - TripAdvisor
Workshop Marketing Digital para o Turismo 4 - TripAdvisorWorkshop Marketing Digital para o Turismo 4 - TripAdvisor
Workshop Marketing Digital para o Turismo 4 - TripAdvisor
 
Conv11
Conv11Conv11
Conv11
 
Tarea
TareaTarea
Tarea
 
EDITAL IFCE 01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
EDITAL IFCE  01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2EDITAL IFCE  01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
EDITAL IFCE 01/2016 CURSOS DE FORMAÇÃO INICIAL E CONTINUADA-2016.2
 
Prof. Emanuel Cohen, Technion
Prof. Emanuel Cohen, TechnionProf. Emanuel Cohen, Technion
Prof. Emanuel Cohen, Technion
 
A brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other toolsA brief introduction to reversing code with OllyDbg and other tools
A brief introduction to reversing code with OllyDbg and other tools
 
Fila de prioridades
Fila de prioridadesFila de prioridades
Fila de prioridades
 
Concurso Público IFCE 2016 para a carreira técnico-administrativa
Concurso Público IFCE 2016 para a carreira técnico-administrativaConcurso Público IFCE 2016 para a carreira técnico-administrativa
Concurso Público IFCE 2016 para a carreira técnico-administrativa
 
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
EMENDA À CONSTITUIÇÃO DO ESTADO DO CEARÁ 87, de 21/12/2016
 
Fuzz.txt
Fuzz.txtFuzz.txt
Fuzz.txt
 
1.plano de negócio1
1.plano de negócio11.plano de negócio1
1.plano de negócio1
 
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
Como fazer-fichamento-de-texto-ou-livro-1211754577301157-9
 
Apresentação Institucional Containers Fácil - Locação de Containers
Apresentação Institucional Containers Fácil - Locação de ContainersApresentação Institucional Containers Fácil - Locação de Containers
Apresentação Institucional Containers Fácil - Locação de Containers
 

Semelhante a Aula 1 - Testando a Segurança de Sua Aplicação Web

Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
Flavio Souza
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheiras
Bruno Luiz Pereira da Silva
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Alcyon Ferreira de Souza Junior, MSc
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
Alcyon Ferreira de Souza Junior, MSc
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
Amazon Web Services LATAM
 
Web service
Web serviceWeb service
Web service
Junior Moraes
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Rubens Guimarães - MTAC MVP
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Testes de segurança
Testes de segurançaTestes de segurança
Testes de segurança
Qualister
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Caipira agil automacao front end selenium
Caipira agil automacao front end seleniumCaipira agil automacao front end selenium
Caipira agil automacao front end selenium
Qualister
 
Lm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openauditLm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openaudit
Luciano Silva de Souza
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows Azure
Giovanni Bassi
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da Cloudflare
Cloudflare
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
Alan Carlos
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
Augusto Pascutti
 
Pense Aberto, Pense Linux
Pense Aberto, Pense LinuxPense Aberto, Pense Linux
Pense Aberto, Pense Linux
aviram
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
Augusto Lüdtke
 

Semelhante a Aula 1 - Testando a Segurança de Sua Aplicação Web (20)

Desenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHPDesenvolvendo sistemas seguros com PHP
Desenvolvendo sistemas seguros com PHP
 
Segurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheirasSegurança e automação na Amazon: Lições das trincheiras
Segurança e automação na Amazon: Lições das trincheiras
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 01 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019Desenvolvimento seguro - WorkSec 2019
Desenvolvimento seguro - WorkSec 2019
 
Adicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAFAdicionando segurança web: AWS WAF
Adicionando segurança web: AWS WAF
 
Web service
Web serviceWeb service
Web service
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Testes de segurança
Testes de segurançaTestes de segurança
Testes de segurança
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Caipira agil automacao front end selenium
Caipira agil automacao front end seleniumCaipira agil automacao front end selenium
Caipira agil automacao front end selenium
 
Lm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openauditLm 71 64_67_04_tut_openaudit
Lm 71 64_67_04_tut_openaudit
 
Introdução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows AzureIntrodução à computação na nuvem e Windows Azure
Introdução à computação na nuvem e Windows Azure
 
Visão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da CloudflareVisão geral dos novos produtos da Cloudflare
Visão geral dos novos produtos da Cloudflare
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 
Pense Aberto, Pense Linux
Pense Aberto, Pense LinuxPense Aberto, Pense Linux
Pense Aberto, Pense Linux
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Desenvolvimento de Software Seguro
Desenvolvimento de Software SeguroDesenvolvimento de Software Seguro
Desenvolvimento de Software Seguro
 

Mais de Matheus Fidelis

Road to serverless
Road to serverlessRoad to serverless
Road to serverless
Matheus Fidelis
 
Criando API's com HapiJS
Criando API's com HapiJSCriando API's com HapiJS
Criando API's com HapiJS
Matheus Fidelis
 
Desbravando o REST com Python
Desbravando o REST com PythonDesbravando o REST com Python
Desbravando o REST com Python
Matheus Fidelis
 
Web scraping com python
Web scraping com pythonWeb scraping com python
Web scraping com python
Matheus Fidelis
 
Docker Para Maiores - GDG Cabreúva
Docker Para Maiores - GDG CabreúvaDocker Para Maiores - GDG Cabreúva
Docker Para Maiores - GDG Cabreúva
Matheus Fidelis
 
Escalando API's com NodeJS, Docker e RabbitMQ
Escalando API's com NodeJS, Docker e RabbitMQEscalando API's com NodeJS, Docker e RabbitMQ
Escalando API's com NodeJS, Docker e RabbitMQ
Matheus Fidelis
 
Desmistificando a Amazon AWS
Desmistificando a Amazon AWSDesmistificando a Amazon AWS
Desmistificando a Amazon AWS
Matheus Fidelis
 
Docker para maiores
Docker para maioresDocker para maiores
Docker para maiores
Matheus Fidelis
 
O Fantástico Mundo de Git
O Fantástico Mundo de GitO Fantástico Mundo de Git
O Fantástico Mundo de Git
Matheus Fidelis
 

Mais de Matheus Fidelis (9)

Road to serverless
Road to serverlessRoad to serverless
Road to serverless
 
Criando API's com HapiJS
Criando API's com HapiJSCriando API's com HapiJS
Criando API's com HapiJS
 
Desbravando o REST com Python
Desbravando o REST com PythonDesbravando o REST com Python
Desbravando o REST com Python
 
Web scraping com python
Web scraping com pythonWeb scraping com python
Web scraping com python
 
Docker Para Maiores - GDG Cabreúva
Docker Para Maiores - GDG CabreúvaDocker Para Maiores - GDG Cabreúva
Docker Para Maiores - GDG Cabreúva
 
Escalando API's com NodeJS, Docker e RabbitMQ
Escalando API's com NodeJS, Docker e RabbitMQEscalando API's com NodeJS, Docker e RabbitMQ
Escalando API's com NodeJS, Docker e RabbitMQ
 
Desmistificando a Amazon AWS
Desmistificando a Amazon AWSDesmistificando a Amazon AWS
Desmistificando a Amazon AWS
 
Docker para maiores
Docker para maioresDocker para maiores
Docker para maiores
 
O Fantástico Mundo de Git
O Fantástico Mundo de GitO Fantástico Mundo de Git
O Fantástico Mundo de Git
 

Aula 1 - Testando a Segurança de Sua Aplicação Web

  • 1. Curso: Testando a Segurança de sua Aplicação Web Matheus Fidelis - @fidelissauro
  • 2. $whoami Matheus Fidelis Especialista em Sistemas e Segurança Linux Experiência em projetos e soluções Open Source Experiência em Controle e Segurança de Servidores e Ambientes Linux CEO Fundador do Proj. Nanoshots Open Source Security
  • 3. Ementa do Curso: NÃO É O OBJETIVO Formar Hackers Éticos e apresentar roteiros de testes de instrusão. OBJETIVO: O objetivo do curso é apresentar para desenvolvedores, analistas, profissionais e estudantes de segurança da informação uma bateria de testes afim de encontrar, classificar e explorar falhas mais comuns recorrentes em ambientes e aplicações web. Após este curso o alunosegurança estará apto a realizar varreduras, análises e apresentar relatórios com vulnerabilidades do servidor afim de apresentar e propor melhorias e correções de falhas de sua própria aplicação, para a equipe ou clientes. 25 Horas CURSO PRATICO!!!
  • 4. Material do Curso: Virtualbox 4.3 + - https://www.virtualbox.org/ Kali Linux 2.0 - https://www.kali.org/ Metasploitable VM - SQLi VM -
  • 5. Hackers e Motivações Hacker - Pessoas que utilizam seu conhecimento para explorar e modificar a favor das pessoas Cracker - Pessoas que utilizam seu conhecimento para tirar proveito ou prejudicar Script Kiddie - Normalmente pessoas que não possuem muito conhecimento e passam a procurar soluções prontas para exploits
  • 6. tipos de pentest Black Box - Tem o objetivo de simular a visão real de um hacker malicioso, onde o atacante não possui nenhuma informação sobre o sistema e a infraestrutura. Gray Box - Este teste funciona com um grau intermediário de informações disponibilizadas. Como rotinas, sistemas a serem testados, horários e gargalos visando não comprometer o funcionamento do sistema durante horários de pico e gargalo. White Box - Esta modalidade mais rápida que visa testar as vulnerabilidades junto a equipe de infraestrutura e desenvolvimento que irá colaborar com as informações dos sistemas e disponibilizando dados que necessitar
  • 8. O QUE EU DEVO SABER SOBRE O HTTP? É o processo utilizado para realizar comunicações com o servidor Web Baseado totalmente em texto Trabalha com Requests e Responses entre o cliente e servidor Protocolo totalmente sem estados (Cada solicitação corresponde a um evento totalmente novo e independente do anterior “Hyper Text Transfer Protocol”
  • 9. O QUE EU DEVO SABER SOBRE O HTTP? Ainda assim, como ela mantém o controle da sessão e das solicitações anteriores? Cookies e Sessões Menos praticidade Inumeras solicitações de Login
  • 10. O QUE EU DEVO SABER SOBRE O HTTP? Gera enormes vetores de ataque PORÉM…. Interceptação de Tráfego Exposição a Sniffers de Rede Session Hijacking (Roubo de Sessão) Captura de Cookies
  • 11. USO DO HTTPS “Hyper Text Transfer Protocol Secure” O HTTPS é a versão Criptografada do HTTP HTTP rodando sobre o protocolo SSL/TLS (Secure Socket Layer/Transport Layer Security) Dificulta ataques MITM - “Man in the middle” Cria um “Canal Privado” entre o cliente e o servidor Não impede que ataques sejam realizados sobre a aplicação
  • 12. CICLOS DO HTTP Navegador envia a solicitação com todas as variáveis, cookies, headers, O Servidor interpreta a solicitação e responde a solicitação baseado nos parâmetros enviados, enviando respostas determinadas pelas solicitações. request response
  • 13. COOKIE - Esse cabeçalho mostra o cookie que pode estar servindo como identificador de sessão do usuário. É possível roubar essa sessão com uso de Sniffers como Wireshark e Ettercap HTTP READERS INFORMAÇÕES UTEIS ENCONTRADAS NOS CABEÇALHOS HTTP Content-Length - É o tamanho em bytes da resposta. Utilizado para analise de força bruta. Location - É usado quando é necessário fazer o redirecionamento de um usuário para alguma outra página. Referrer - Este dado mostra onde o navegador do usuário estava anteriormente. Pode ser manipulado para quebrar
  • 14. ✘ 100’s : São respostas adicionais do servidor, raramente são utilizadas. ✘ 200’s: Indicam que nossas solicitações foram aceitas e processadas pelo servidor ✘ 300’s: São respostas que indicam redirecionamento. Como ao tentar acessar um painel administrativo sem sessão válida, mandando o cliente para alguma página index ou login. ✘ 400’s: Representam erros na solicitação. As mais comuns são “404: Not Found” e “403: Forbidden” ✘ 500’s: São utilizados para apresentar erros no lado do servidor, como “500: Internal Server Error” https status As respostas do servidor incluem códigos de status para indicar o tipo de resposta que ele deu para nossa solicitação. Eles são classificados em 5 grupos.
  • 15. SERVIDOR WEB HARDWARE SERVIÇOS QUE ESTÃO SENDO EXECUTADOS NAS PORTAS DO SERVIDOR QUE PERMITAM QUE A APLICAÇÃO SEJA ACESSADA.
  • 16. APLICAÇÃO WEB CODIGO FONTE QUE ESTÁ SENDO EXECUTADO NO SERVIDOR WEB QUE PROVÊ AS FUNCIONALIDADES QUE OS USUÁRIOS PODEM UTILIZAR. EX: PHP, JAVA, PYTHON, RUBY E ETC
  • 17. 1º - SQL Injection OWASP TOP 10 2013 2º - Quebra de autenticação e Sessão 3 º - Cross-Site Scripting (XSS) 4º - Referência Insegura e Direta a Objeto 5º -Configuração incorreta 6º - Exposição de Dados Sensíveis 7º - Falta de Controle do Nível de Acesso 8º - Cross-Site Request Forgery (CSRF) 9º - Utilização de Componentes Vulneráveis Conhecidos 10º - – Redirecionamentos e Encaminhamentos Inválidos
  • 19. Credits Special thanks to all the people who made and released these awesome resources for free: ✘Presentation template by SlidesCarnival ✘Photographs by Unsplash