O documento discute técnicas de desenvolvimento seguro com PHP, abordando tipos de ataques comuns como XSS, CSRF e SQL Injection. Ele fornece explicações sobre cada ataque e contramedidas como validação de entrada e saída de dados, limitação de recursos e uso de frameworks. O documento também apresenta configurações no php.ini para tornar o PHP mais seguro, desabilitando funções perigosas e exibição de erros.
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
Palestra apresentada por Rafael Jaques no FISL 11 [Porto Alegre] em 24/07/2010.
O foco da apresentação é atentar o desenvolvedor para brechas que comumente não são consideradas, lembradas ou não tem seu devido valor dado.
Mostra um leque variado de formas de ataque e como se defender destes modos de invasão.
O documento resume as 10 principais vulnerabilidades de segurança em aplicações web segundo o OWASP Top 10, fornecendo dicas para tratá-las em PHP. São elas: XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furo de autenticação, armazenamento criptográfico inseguro, comunicações inseguras e restrições de acesso a URLs. O documento incentiva o uso de bibliotecas e boas práticas de codificação para pre
O documento discute conceitos e práticas de desenvolvimento seguro com PHP, enfatizando a importância de filtrar todas as entradas para evitar ataques, tratar saídas para proteger usuários, e usar abordagens de lista branca ao invés de lista negra. Também cobre tópicos como SQL injection, cross-site scripting, session hijacking e fornecendo dicas como desativar magic_quotes_gpc e register_globals.
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
O documento fornece dicas para tornar aplicações web com PHP mais seguras, incluindo validar dados externos, limitar o tempo de vida das sessões, criptografar senhas, restringir permissões de pastas e controlar erros.
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
O documento discute segurança em aplicações ASP.NET, focando em ataques de Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF). Ele explica o que são esses ataques, como funcionam, exemplos de códigos maliciosos e técnicas para mitigá-los, como codificação de dados e uso de tokens anti-falsificação. Além disso, lista ferramentas para auditoria de segurança em navegadores.
O documento discute uma vulnerabilidade de injeção de código no sistema F-Secure AnTispam. O autor realiza um teste de segurança em um laboratório e demonstra como é possível explorar uma falha de injeção de scripting cross-site (XSS) na página de criação de novos usuários administrativos para executar JavaScript malicioso.
Construindo uma Aplicação PHP à Prova de Balas - 2010Rafael Jaques
Palestra apresentada por Rafael Jaques no FISL 11 [Porto Alegre] em 24/07/2010.
O foco da apresentação é atentar o desenvolvedor para brechas que comumente não são consideradas, lembradas ou não tem seu devido valor dado.
Mostra um leque variado de formas de ataque e como se defender destes modos de invasão.
O documento resume as 10 principais vulnerabilidades de segurança em aplicações web segundo o OWASP Top 10, fornecendo dicas para tratá-las em PHP. São elas: XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furo de autenticação, armazenamento criptográfico inseguro, comunicações inseguras e restrições de acesso a URLs. O documento incentiva o uso de bibliotecas e boas práticas de codificação para pre
O documento discute conceitos e práticas de desenvolvimento seguro com PHP, enfatizando a importância de filtrar todas as entradas para evitar ataques, tratar saídas para proteger usuários, e usar abordagens de lista branca ao invés de lista negra. Também cobre tópicos como SQL injection, cross-site scripting, session hijacking e fornecendo dicas como desativar magic_quotes_gpc e register_globals.
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
O documento fornece dicas para tornar aplicações web com PHP mais seguras, incluindo validar dados externos, limitar o tempo de vida das sessões, criptografar senhas, restringir permissões de pastas e controlar erros.
Construindo uma Aplicação PHP à Prova de BalasRafael Jaques
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de acesso ao banco de dados.
1) O documento apresenta uma palestra sobre as principais vulnerabilidades de segurança em aplicações web, focando no OWASP Top 10, e demonstra como explorá-las e protegê-las utilizando ferramentas e boas práticas de programação.
2) São discutidas vulnerabilidades como injeção de SQL, cross-site scripting, falhas na autenticação e controle de sessão e referências inseguras a objetos.
3) Também são apresentadas demonstrações práticas de como explorar essas vulnerabilidades e como evitá-
O documento discute segurança em aplicações ASP.NET, focando em ataques de Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF). Ele explica o que são esses ataques, como funcionam, exemplos de códigos maliciosos e técnicas para mitigá-los, como codificação de dados e uso de tokens anti-falsificação. Além disso, lista ferramentas para auditoria de segurança em navegadores.
O documento discute uma vulnerabilidade de injeção de código no sistema F-Secure AnTispam. O autor realiza um teste de segurança em um laboratório e demonstra como é possível explorar uma falha de injeção de scripting cross-site (XSS) na página de criação de novos usuários administrativos para executar JavaScript malicioso.
Este documento fornece instruções sobre como invadir sites e corrigir vulnerabilidades de segurança. Ele discute técnicas como varredura de portas, injeção de SQL, roubo de cookies e como manter sistemas atualizados e seguros.
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
Este documento fornece dicas sobre como tornar aplicações PHP mais seguras, abordando tópicos como: 1) filtrar todas as entradas para evitar SQL injection e outros ataques; 2) escapar todas as saídas para evitar erros de renderização; 3) usar criptografia forte para dados sensíveis. O objetivo é ajudar desenvolvedores a corrigirem vulnerabilidades comuns e blindarem seu código.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
O documento discute os dez principais riscos de segurança em aplicações web (OWASP Top 10) e como preveni-los, incluindo injeção, cross-site scripting, autenticação falha e gerenciamento de sessão, referências diretas a objetos inseguros, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e redirecionamentos e encaminhamentos não validados.
O documento fornece uma introdução básica ao Cross Site Scripting (XSS), incluindo como encontrar vulnerabilidades XSS em sites, diferentes técnicas para executar XSS, e como roubar cookies usando XSS.
Desenvolvimento web seguro cookies - Rodolfo StangherlinTchelinux
O documento apresenta Rodolfo Stangherlin e discute desenvolvimento web seguro, cookies, riscos à segurança, como JavaScript pode explorar cookies, a flag Httponly para minimizar riscos, a flag Secure para cookies só via HTTPS e a importância destas técnicas para segurança.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
O documento explica como manipular tokens JWT em APIs Laravel. Primeiro discute os processos de autenticação e autorização e introduz o JWT. Em seguida, detalha como implementar autenticação baseada em JWT no Laravel usando o pacote JWT-Auth, incluindo publicação de configurações, criação de modelo de usuário, controller e rotas. Por último, mostra como gerar e manipular tokens, definir claims e tempo de expiração.
O documento discute princípios e boas práticas de segurança em PHP, incluindo aplicar camadas de segurança, classificar e restringir acesso a informações confidenciais, escapar inputs e outputs, configurar corretamente o servidor PHP e evitar vulnerabilidades como SQL injection, XSS e CSRF.
O documento discute o desenvolvimento de software seguro, destacando que a maioria das vulnerabilidades são resultados de má codificação. Apresenta a injeção de código como a principal causa de vulnerabilidades e exemplifica um ataque de SQL injection. Reforça a importância de usar boas práticas de programação segura, como tratar todas as entradas de usuário como parâmetros e usar privilégios mínimos.
A vulnerabilidade de Cross-Site Scripting (XSS) permite que atacantes executem códigos maliciosos nos navegadores da vítimas. Os ataques de XSS mais comuns roubam cookies para sequestrar sessões ou desfigurar sites. É importante validar todos os dados de entrada para prevenir esses ataques.
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
Palestra apresentada por Rafael Jaques no FISL 12 [Porto Alegre] em 01/07/2011.
A apresentação visa mostrar ao desenvolvedor que o foco dos crackers não é mais a aplicação e sim os usuários da mesma.
Fornece um bom panorama, fala um pouco sobre engenharia social e técnicas para evitar o caos.
1. O documento fornece uma visão geral do framework Ajax para Java chamado DWR;
2. DWR permite integrar código Java com funções JavaScript de forma transparente;
3. O framework é open source, possui vasta documentação e facilita o desenvolvimento Ajax.
O documento descreve o que é COMET e como ele pode ser usado para fornecer atualizações em tempo real de um servidor para um cliente web mantendo uma conexão persistente. Ele discute como COMET funciona, exemplos de implementação e como frameworks como CometD e DWR facilitam seu uso.
O documento apresenta Handerson Frota e seu histórico como programador desde os 13 anos, envolvido principalmente com Java e Ajax. Também discute o que é Ajax, suas vantagens, como funciona e frameworks para desenvolvimento cross-browser, recomendando especialmente o framework DWR para Java.
O documento discute técnicas de segurança PHP, incluindo XSS, sessões (fixação e sequestro), inclusão de arquivos (local e remoto), configurações PHP.ini e injeção SQL. Ele fornece exemplos de ataques e métodos de proteção como htmlspecialchars(), regeneração de IDs de sessão, expressões regulares e escapamento de strings.
O documento discute práticas seguras e corretas para programação em PHP. Em particular, cobre tópicos como: 1) boas práticas para iniciantes em PHP, 2) técnicas para segurança como prevenção de SQL injection e XSS, e 3) formas comuns de ataques e como proteger aplicações PHP.
1) O documento discute técnicas de comunicação assíncrona entre cliente e servidor, como polling, piggyback e comet.
2) Apresenta o framework DWR, que permite comunicação assíncrona em Java de forma simples e robusta.
3) Explica como configurar o DWR para usar diferentes modos de comet, como streaming e long polling.
O documento descreve o Projeto BoletoPHP, um sistema de código aberto para geração de boletos bancários para diversos bancos brasileiros utilizando PHP. O projeto tem como objetivo fornecer uma solução para geração de boletos dentro da programação PHP e conta com uma comunidade de voluntários que desenvolvem novos módulos de bancos.
O documento apresenta uma introdução sobre PHP, incluindo sua história, sintaxe básica, variáveis, arrays, estruturas de controle, formulários, métodos GET e POST, includes, cookies, sessões e envio de email. É apresentado um exemplo completo de um sistema de login utilizando sessões em PHP.
Este documento fornece instruções sobre como invadir sites e corrigir vulnerabilidades de segurança. Ele discute técnicas como varredura de portas, injeção de SQL, roubo de cookies e como manter sistemas atualizados e seguros.
Segurança em PHP - Blinde seu código de você mesmo!Gustavo Neves
Este documento fornece dicas sobre como tornar aplicações PHP mais seguras, abordando tópicos como: 1) filtrar todas as entradas para evitar SQL injection e outros ataques; 2) escapar todas as saídas para evitar erros de renderização; 3) usar criptografia forte para dados sensíveis. O objetivo é ajudar desenvolvedores a corrigirem vulnerabilidades comuns e blindarem seu código.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
O documento discute os dez principais riscos de segurança em aplicações web (OWASP Top 10) e como preveni-los, incluindo injeção, cross-site scripting, autenticação falha e gerenciamento de sessão, referências diretas a objetos inseguros, falsificação de solicitação entre sites, configuração insegura, armazenamento criptográfico inseguro, falha em restringir acesso a URLs, proteção insuficiente na camada de transporte e redirecionamentos e encaminhamentos não validados.
O documento fornece uma introdução básica ao Cross Site Scripting (XSS), incluindo como encontrar vulnerabilidades XSS em sites, diferentes técnicas para executar XSS, e como roubar cookies usando XSS.
Desenvolvimento web seguro cookies - Rodolfo StangherlinTchelinux
O documento apresenta Rodolfo Stangherlin e discute desenvolvimento web seguro, cookies, riscos à segurança, como JavaScript pode explorar cookies, a flag Httponly para minimizar riscos, a flag Secure para cookies só via HTTPS e a importância destas técnicas para segurança.
Os serviços prestados via aplicações web são cada vez mais críticos. Esse serviços na maioria das vezes envolvem pagamentos de mensalidades e até mesmo ganho de créditos que podem ser revertidos em produtos posteriormente. A segurança deve ser estudada com muita atenção e calma para minimizar as chances de invasão, prestando assim, um serviço de melhor qualidade para o cliente final.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
O documento explica como manipular tokens JWT em APIs Laravel. Primeiro discute os processos de autenticação e autorização e introduz o JWT. Em seguida, detalha como implementar autenticação baseada em JWT no Laravel usando o pacote JWT-Auth, incluindo publicação de configurações, criação de modelo de usuário, controller e rotas. Por último, mostra como gerar e manipular tokens, definir claims e tempo de expiração.
O documento discute princípios e boas práticas de segurança em PHP, incluindo aplicar camadas de segurança, classificar e restringir acesso a informações confidenciais, escapar inputs e outputs, configurar corretamente o servidor PHP e evitar vulnerabilidades como SQL injection, XSS e CSRF.
O documento discute o desenvolvimento de software seguro, destacando que a maioria das vulnerabilidades são resultados de má codificação. Apresenta a injeção de código como a principal causa de vulnerabilidades e exemplifica um ataque de SQL injection. Reforça a importância de usar boas práticas de programação segura, como tratar todas as entradas de usuário como parâmetros e usar privilégios mínimos.
A vulnerabilidade de Cross-Site Scripting (XSS) permite que atacantes executem códigos maliciosos nos navegadores da vítimas. Os ataques de XSS mais comuns roubam cookies para sequestrar sessões ou desfigurar sites. É importante validar todos os dados de entrada para prevenir esses ataques.
PHP Sob Ataque - Técnicas de Programação Defensiva - FISL 12 - Rafael JaquesRafael Jaques
Palestra apresentada por Rafael Jaques no FISL 12 [Porto Alegre] em 01/07/2011.
A apresentação visa mostrar ao desenvolvedor que o foco dos crackers não é mais a aplicação e sim os usuários da mesma.
Fornece um bom panorama, fala um pouco sobre engenharia social e técnicas para evitar o caos.
1. O documento fornece uma visão geral do framework Ajax para Java chamado DWR;
2. DWR permite integrar código Java com funções JavaScript de forma transparente;
3. O framework é open source, possui vasta documentação e facilita o desenvolvimento Ajax.
O documento descreve o que é COMET e como ele pode ser usado para fornecer atualizações em tempo real de um servidor para um cliente web mantendo uma conexão persistente. Ele discute como COMET funciona, exemplos de implementação e como frameworks como CometD e DWR facilitam seu uso.
O documento apresenta Handerson Frota e seu histórico como programador desde os 13 anos, envolvido principalmente com Java e Ajax. Também discute o que é Ajax, suas vantagens, como funciona e frameworks para desenvolvimento cross-browser, recomendando especialmente o framework DWR para Java.
O documento discute técnicas de segurança PHP, incluindo XSS, sessões (fixação e sequestro), inclusão de arquivos (local e remoto), configurações PHP.ini e injeção SQL. Ele fornece exemplos de ataques e métodos de proteção como htmlspecialchars(), regeneração de IDs de sessão, expressões regulares e escapamento de strings.
O documento discute práticas seguras e corretas para programação em PHP. Em particular, cobre tópicos como: 1) boas práticas para iniciantes em PHP, 2) técnicas para segurança como prevenção de SQL injection e XSS, e 3) formas comuns de ataques e como proteger aplicações PHP.
1) O documento discute técnicas de comunicação assíncrona entre cliente e servidor, como polling, piggyback e comet.
2) Apresenta o framework DWR, que permite comunicação assíncrona em Java de forma simples e robusta.
3) Explica como configurar o DWR para usar diferentes modos de comet, como streaming e long polling.
O documento descreve o Projeto BoletoPHP, um sistema de código aberto para geração de boletos bancários para diversos bancos brasileiros utilizando PHP. O projeto tem como objetivo fornecer uma solução para geração de boletos dentro da programação PHP e conta com uma comunidade de voluntários que desenvolvem novos módulos de bancos.
O documento apresenta uma introdução sobre PHP, incluindo sua história, sintaxe básica, variáveis, arrays, estruturas de controle, formulários, métodos GET e POST, includes, cookies, sessões e envio de email. É apresentado um exemplo completo de um sistema de login utilizando sessões em PHP.
The document introduces Joomla, an open-source content management system (CMS). It discusses how to install and configure Joomla, including templates, menus, articles, extensions and more. The goal is to help users develop websites using this CMS.
O documento fornece uma introdução às principais novidades da versão PHP7, incluindo melhorias de desempenho, novos operadores e declarações de tipo, além de recursos removidos como o mysql_.
A evolução da segurança PHP em 2016 se resume a:
- Melhorias nos algoritmos de hashing de senhas;
- Nova função de números aleatórios e geração de bytes aleatórios;
- Suporte a criptografia simétrica com libsodium e OpenSSL;
- Uso obrigatório do PDO para acesso a bancos de dados.
As principais notícias do mês estão agora na nossa capa! Jornal Atual Notícias, TVNITGLOBAL e Rádio NITGLOBAL a fonte de informação mais completa do Brasil.
Edição de Páscoa do Jornal Universo Gastronômico, com receitas, informações, dicas e sugestões para degustar um dos mais importantes momentos da gastronomia.
1) A revista traz uma entrevista com Adrian Henke, criador do game AssaultCube, um jogo de tiro em primeira pessoa de código aberto. 2) Há também artigos sobre diversão através de conteúdos Creative Commons e softwares livres, além de colunas e dicas sobre Ubuntu, smartphones e outros temas. 3) A edição conta ainda com seções sobre comunidade, educação, eventos e quadrinhos.
A Prefeitura está realizando obras de revitalização em mais três importantes vias de Guarujá, incluindo a Avenida Manoel Alves de Moraes na Enseada e a Avenida Ariovaldo Reis no Guaiúba, que nunca receberam pavimentação antes. Os moradores aprovam as melhorias nas ruas.
Este documento é uma cartilha orientativa sobre ética e segurança digital para famílias. Apresenta recomendações sobre o uso correto das novas tecnologias e situações ilustrativas para demonstrar conceitos como proteção de senhas, downloads seguros, direitos autorais e cyberbullying. A cartilha é dividida em duas partes, uma para alunos e outra para educadores.
O documento apresenta as seguintes notícias: 1) A Oracle afirmou que continuará investindo no MySQL, OpenOffice.org, Solaris e Java; 2) A Nova Zelândia testará a substituição de softwares proprietários por Linux em agências governamentais; 3) Foi lançada uma nova versão do Noosfero, plataforma de software social brasileiro.
Guia do Direito Eleitoral para Campanhas na Internet 2012Chico Macena
1.a) O documento apresenta um guia sobre direito eleitoral para campanhas na internet com respostas para 100 perguntas mais comuns. 1.b) O guia foi produzido pela Medialogue Comunicação Digital e revisado por Leandro Bissoli para as eleições municipais de 2012. 1.c) O guia orienta candidatos e eleitores sobre o que pode e não pode ser feito na internet durante a campanha eleitoral.
O documento discute as melhores práticas e aspectos legais da comunicação digital, incluindo a necessidade de atualizar códigos de ética e criar novos códigos para terceirizados e TI. Também aborda os riscos legais do excesso de exposição online de executivos e os cuidados para proteger a marca e a comunicação das empresas na internet.
INTRODUÇÃO A PROGRAMAÇÃO DE APLICAÇÕES WEB DE CONTEÚDOS DINÂMICOS COM PHP
Sintaxe básica
• Tipos de dados
• Variáveis
• Constantes
• Expressões e operadores
• Estruturas de controle
O relatório apresenta documentos apreendidos com Pietro Giavina Bianchi durante investigação sobre esquema de caixa 2 e lavagem de dinheiro na Camargo Corrêa. Os documentos incluem uma tabela com siglas referentes a obras e beneficiários do esquema e registros de doações a políticos que podem estar ligadas a apoio em licitações. As investigações continuam para esclarecer os possíveis crimes.
Introdução ao ERP Microsiga Protheus da TotvsEdilberto Souza
Resumo desta apresentação:
Introdução a alguns conceitos de ERP;
Noções sobre o mercado de ERP;
Arquitetura do Microsiga Protheus;
Visão geral do ambiente Configurador;
Introdução a linguagem AdvPL;
Construindo uma aplicação PHP à Prova de Balas - Rafael JaquesTchelinux
O documento discute vários tipos de ataques cibernéticos e como construir aplicações PHP seguras. Ele explica ameaças como XSS, SQL injection e session hijacking, além de dicas como filtrar dados de entrada, usar criptografia e limitar privilégios de banco de dados.
Testes de segurança em aplicações web são importantes devido ao aumento de incidentes de segurança. As principais falhas incluem injeção de código, cross-site scripting e falhas na autenticação. Ferramentas open source como WebScarab e WebGoat podem ser usadas para mapear aplicações e testar vulnerabilidades comuns.
SQL injection é uma vulnerabilidade comum em aplicações web que permite a manipulação maliciosa de queries de banco de dados por meio de inputs de usuário. Ao não validar adequadamente os dados de entrada, um atacante pode executar queries arbitrárias e comprometer a confidencialidade, integridade e disponibilidade de dados.
O documento discute os 10 principais riscos de segurança em aplicações web de acordo com a OWASP, fornecendo exemplos de cenários de ataque e dicas para evitá-los, como validação de entrada de dados, uso de tokens CSRF e atualização de componentes.
Aula 1 - Testando a Segurança de Sua Aplicação WebMatheus Fidelis
Este documento apresenta um curso sobre testes de segurança de aplicações web. O curso ensina técnicas para encontrar e classificar falhas comuns em ambientes e aplicações web usando ferramentas como Kali Linux e Metasploitable VM. O objetivo é capacitar alunos a realizar varreduras de segurança e apresentar relatórios de vulnerabilidades para melhorar a segurança.
O documento discute os 10 principais riscos de segurança da web segundo a OWASP de 2013. São eles: 1) Injeção, 2) Autenticação/sessão incorreta, 3) Cross-site scripting (XSS), 4) Referências diretas não protegidas, 5) Configuração incorreta de segurança, 6) Exposição de dados confidenciais, 7) Falta de verificação de acesso, 8) Cross-site request forgery (CSRF), 9) Uso de componentes com falhas conhecidas e 10) Redirects e forwards não validados. Para
O documento descreve como realizar ataques de força bruta usando a ferramenta Hydra e como se proteger desses ataques. Ele explica o que é um ataque de força bruta, apresenta a ferramenta Hydra e demonstra como configurar e executar ataques com ela. Também fornece dicas sobre como criar senhas seguras e proteger serviços para evitar esses ataques.
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
A Clavis Segurança da Informação tem o prazer de informar que, através do Grupo de Pesquisa em Computação Aplicada, fechou parceria com o CEFET-RJ para ministrar uma palestra aberta e gratuita sobre o tema “Teste de Invasão em Aplicações – principais técnicas, exploração e formas de prevenção” no dia 25/04, as 20:30, no Auditório 3 do CEFET, no endereço Rua General Canabarro, 485 – Maracanã, na cidade do Rio de Janeiro – RJ.
A palestra será ministrada pelo Diretor Técnico da Clavis, Rafael Soares Ferreira, e terá como objetivo demonstrar algumas das mais críticas ameaças a aplicações web. Serão demonstradas maneiras de identificar, explorar e mitigar cada uma das ameaças.
Top Plugins de Segurança para WordPressTales Augusto
Este documento fornece uma lista de plugins de segurança recomendados para WordPress, juntamente com dicas sobre como melhorar a segurança de um site WordPress. A lista inclui plugins como Limit Login Attempts, Limit Login Countries e Wordfence Security. O documento também dá conselhos como manter WordPress atualizado, limitar tentativas de login e fazer backups regulares.
Aprendendo a criar plugins para o Wordpress - Richard BarrosRichard Barros
O documento apresenta os principais pontos para aprender a criar plugins para WordPress: o WordPress é fácil de usar, há milhares de plugins existentes e uma forte comunidade; para começar é necessário ter um site WordPress, conhecimento básico de PHP e um servidor para testes; os plugins interagem com o WordPress por meio de hooks, actions e filtros; é apresentado um pouco de código para exemplificar o uso dessas ferramentas; é importante seguir as boas práticas de segurança e documentação.
O documento fornece uma introdução à linguagem PHP, descrevendo suas características, sintaxe, variáveis, métodos de envio de dados, cookies, sessões, frameworks, sistemas de gerenciamento de conteúdo e referências.
O documento discute vários tópicos relacionados à segurança em aplicações Ruby on Rails, incluindo sessões, roubo de sessão, ataques de replay, session fixation, armazenamento de sessões, CSRF, injeções, XSS e dicas para interface administrativa.
Palestra sobre Desenvolvimento seguro realizada no WorkSec 2019 ministrado pelo professor Alcyon Junior https://worksec.congressodeti.com.br/ A maior imersão em segurança totalmente digital
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferreira.
Webinar sobre este assunto também disponível em http://www.blog.clavis.com.br/webinar-20-as-principais-vulnerabilidades-em-aplicacoes-web-owasp-top-10-2013/
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
Este documento apresenta as dez vulnerabilidades mais críticas em aplicações web de acordo com o OWASP Top 10 de 2007, fornecendo uma breve descrição de cada uma delas e dicas de como tratá-las em PHP. O palestrante discute XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furos de autenticação e outras ameaças comuns.
[1] O documento fornece instruções sobre como invadir e corrigir vulnerabilidades em sites, incluindo passos como descobrir falhas, explorar SQL injection e cross-site scripting, e usar ferramentas como scanners e backdoors.
[2] Também discute como corrigir essas vulnerabilidades, mantendo programas atualizados e validando parâmetros de usuários.
[3] O objetivo é fornecer conhecimento sobre invasão e prevenção/correção de falhas em sites da internet.
O documento apresenta uma palestra sobre segurança da informação. Em três frases:
Apresenta conceitos básicos de segurança da informação, como os pilares da confidencialidade, integridade e disponibilidade. Discute vulnerabilidades comuns em aplicações web, como SQL injection, XSS e execução maliciosa de arquivos. Fornece dicas para prevenir esses riscos, como validação de entrada e saída e armazenamento seguro de senhas.
1) Cross-site scripting (XSS) é um tipo de ataque que permite a execução de scripts maliciosos nos navegadores da vítimas. Isso pode permitir o roubo de cookies e sessões, permitindo ao atacante se passar pela vítima.
2) Roubo de sessão refere-se à possibilidade de um atacante interceptar a comunicação entre dois computadores e roubar o identificador de sessão, permitindo-o se passar pelo usuário naquela sessão.
3) Ataques de negação de serviço não buscam roubar dados,
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Thiago Dieb
Palestra demonstrou como é possível encontrar tutorias e dicas em sites conhecidos e famosos trazendo informações incompletas e algumas incoerentes sobre desenvolvimento seguro, influenciando desenvolvedores na criação de códigos vulneráveis. A partir desses exemplos será possível indicar as correções e provar como é fácil criar um código com falhas e se tornar mais uma vítima.
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
Palestra realizada no 7º GUTS-SC.
Esta apresentação tem como objetivo explanar o básico de segurança em aplicações web, tendo como base o OWASP Top 10.
Semelhante a Desenvolvendo sistemas seguros com PHP (20)
A linguagem C# aproveita conceitos de muitas outras linguagens,
mas especialmente de C++ e Java. Sua sintaxe é relativamente fácil, o que
diminui o tempo de aprendizado. Todos os programas desenvolvidos devem
ser compilados, gerando um arquivo com a extensão DLL ou EXE. Isso torna a
execução dos programas mais rápida se comparados com as linguagens de
script (VBScript , JavaScript) que atualmente utilizamos na internet
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
2. Flávio M. Souza
Graduado em Análise e Desenvolvimento de Sistemas, vivencia esse submundo da
programação desde 2008 tendo o seu primeiro contato através da linguagem JAVA.
Seu Know-how é em automação de processos de empresas, tendo em seu currívulos
diversos segmentos como mercantil, imobiliária, construtora, cartório, clínica
odontológica entre outros.
Atuamente é Sócio DIretor e Analista de Sistemas da empresa inGETI (Provedora de
soluções do SEBRAE/PI), trabalhando no projeto inSySALI (Sistema de gestão do
SEBRAE para o programa Agente Local de Inovação), Analista de Sistemas da
empresa Aura Consultoria, trabalhando no projeto DiagonalWEB (Sistema comercial
na plataforma WEB da construtora Diagonal) e Professor da FATENE.
Possui conhecimento nas tecnologias JAVA SE, PHP, JAVASCRIPT, JQUERY, HTML, CSS,
BOOTSTRAP, MYSQL e POSTGRESQL.
3. Porque os sistemas são vulneráveis
Erros de programação
Erros de configuração
Mudanças não autorizadas
Uso impróprio
4. O PHP é inseguro
Não, pelo contrário, o PHP sendo utilizado de forma correta é bastante seguro, não é a toa
que grandes frameworks utiliza-o como linguagem base.
O PHP por ser uma linguagem de fácil aprendizagem acaba sendo a primeira linguagem de
programação para muitos, o que acaba disponibilizando no mercado diversos profissionais
inexperientes e imaturos.
Essa imaturidade causa desconhecimento das mais diversas falhas que citaremos neste
material.
5. O PHP é inseguro
Ranking das linguagens
de programação mais
Utilizadas no mundo.
7. XSS - Cross-Site Scripting
Permite a injeção de scripts no site atacado,
Em geral por meio de algum campo de input do usuário.
É um ataque ao usuário do site e não ao sistema servidor em si. Isso porque o script injetado
nunca será executado no servidor, mas sim nos navegadores dos clientes que visitarem a
página infectada.
Essas informações nos dão a primeira dica, JAMAIS DEVEMOS CONFIAR NAQUILO QUE O
USUÁRIO DIGITA.
8. XSS - Cross-Site Scripting
A Solução para este tipo de ataque é escapar as entradas e saídas, dessa forma o texto
aparecerá como ele realmente é
9. CSRF - Cross-Site Request Forgery
Comandos não autorizados são transmitidos de um usuário que confia no website.
Ele executa scripts que copiam informações de cookies armazenados do usuário de outros
sites para executar ações como postagens, requisições, executar login, etc.
10. CSRF - Cross-Site Request Forgery
Como prevenção podemos:
Trabalhar com token nos formulários.
Limitar tempo de vida dos cookies e sessões.
Etc.
11. SQL Injection
Consiste na inserção de instruções SQL dentro de uma consulta através da manipulação das
entradas de dados de uma aplicação.
12. SQL Injection
Vamos imaginar uma aplicação com um formulário que recebe um nome de usuário, e
depois faz uma consulta ao banco de dados:
$sql = "select * from usuarios where nome = '" . $_POST['txt_nome'] . "'";
13. SQL Injection
O comando SQL é montado a partir de componentes numéricos. Exemplo: pesquisa por uma
chave primária de um registro. Neste caso, o atacante também pode tentar manipular o
conteúdo de forma a injetar código adicional na string SQL.
$sql = "select * from usuarios where codigo = " . $cod ;
14. SQL Injection
O PHP fornece uma série de funções para este tratamento, são as funções de escape de
caracteres. A maioria dos bancos suportados pelo PHP tem esta função.
MySQLi - mysqli::real_escape_string
MySQL - mysql_escape_string
Postgre - pg_escape_string
SQLite - sqlite_escape_string
15. SQL Injection – Simulando um ataque
Primeiro passo - Número de campos da tabela atual
1 ORDER BY 1,2,3...
Segundo passo - Descobrir nomes das tabelas
null union all select 1,2,group_concat(table_name) from information_schema.tables where
table_schema=database()--
Terceiro passo - Descobrir nomes dos campos
null union all select 1,2,group_concat(column_name) from information_schema.columns where
table_schema=database()--
Quarto passo - Descobrir nomes dos usuários
null union all select 1,2,usu_login FROM usuarios--
Quarto passo - Descobrir senhas dos usuários
null union all select 1,2,usu_senha FROM usuarios--
16. File Upload
Permite que o usuário possa subir qualquer tipo de arquivo para o seu servidor, possibilitando
assim a exclusão de arquivos, captura de dados entre uma série de possíveis problemas que
você pode ter.
17. File Upload
Para prevenir, se faz necessário a validação não somente da extensão do arquivo, como
também o seu conteúdo.
18. PHP Injection
Permite a inclusão (include) de arquivos remotos diretamente em seus sistemas, dessa forma
ele conseguirá executar scripts dentro de seu servidor.
19. PHP Injection
Para prevenir você poderá bloquear o include através de URLs no arquivo php.ini, para isso
basta configurar a seguinte opção allow_url_include = Off.
20. Boas práticas de
programação para
tornar o seu sistema mais
seguro
21. Não passar informações pela URL
Um erro comum de programadores iniciantes é enviar informações através da url utilizando o
método GET.
Por padrão, o formulário utiliza o método GET, é preciso configurá-lo através do atributo
method=“POST”.
22. Validações do lado do servidor ou do
lado do cliente?
Validação do lado do cliente.
O usuário pode interferir nas validações.
Valida em tempo real.
Alguns navegadores não suportam
JavaScript.
Validação do lado do servidor.
O usuário não consegue interferir nas
validações.
Só valida após enviar os dados do formulário.
Funciona em todos os navegadores já que a
validação ocorrerá no servidor independente
de navegador.
23. Spoofing de formulários
O Spoofing ocorre quando alguém faz uma postagem de um de seus formulários de algum
local inesperado.
Técnica mais utilizada para a prevenção do ataque é o uso de um token.
No momento que é exibido o formulário, um token é gerado e armazenado na sessão, quando
o formulário é enviado, é confirmada se a chave enviada é a mesma gravada na sessão.
24. Mudar o nome da sessão
Quando não informado o nome da sessão, o PHP cria automaticamente com o nome
PHPSESSID
Esse nome padrão torna a sessão do usuário vulnerável.
O ideal é que se altere o nome para características próprias de cada usuário como por
exemplo Código + Nome + Data d
25. Verificar origem dos dados
Caso você utilize uma versão mais antiga do PHP, de quando o register_globals ainda
funcionava.
O register_globals criava variáveis automaticamente a partir dos arrays superglobais $_GET,
$_POST, $_SESSION, $_COOKIE, $_SERVER.
26. Limitar o tempo da sessão
Embora o usuário tenha saído do site ou até mesmo fechado o navegador, dependendo da
forma como está configurada, a sessão permanecerá ativa no servidor.
O ideal é que se limite o tempo da sessão.
O ideal também é que você trate através de eventos para que ao usuário sair do site, aquela
sessão automaticamente seja excluída.
27. Validar upload de arquivos
Usuários maliciosos podem subir arquivos que podem ser executados no servidor e trazer algum
dano.
Para evitar esse tipo de ataque, você precisa validar não somente a extensão do arquivo, mas
também o conteúdo do mesmo.
28. Use require ao invés de include
O include, como o próprio nome diz inclui um arquivo dentro de uma página, mas isso não
torna obrigatória a presença do mesmo, ou seja, se por algum motivo o arquivo não exista, ele
continua com a execução do script.
Já o Require, torna obrigatória a inclusão do arquivo, assim, se por algum motivo o arquivo não
existir, ele bloqueia a execução do script.
29. Verificar nível de acesso em
funcionalidades
Não adianta em um sistema usar milhões de ifs e tratar apenas os menus.
O usuário conseguirá acessar qualquer página através do link direto.
Forma correta de se validar nível de acesso é bloquear todas as funcionalidades para todos os
usuários e só liberá-las apenas para os usuários autorizados.
Forma errada de se validar nível de acesso, liberar todas as funcionalidades para todo mundo
e bloqueá-las apenas para os usuários não autorizados.
30. Filtrar todas as entradas de dados
Nunca confie no usuário.
Filtre todas as entradas de dados para saber se realmente é o que o seu sistema espera.
O PHP disponibiliza uma função interessante para fazer essa validação ou saneamento, essa
função é a filter_input();
31. Filtrar todas as saídas de dados
Sempre quando for exibir dados, converta os caracteres para realidade HTML.
32. Monitore os erros de senha
Em caso de mais de três tentativas de senha incorreta, bloqueie o IP de origem, adicione um
Captcha como validação adicional, isso dificulta ataques de forca bruta.
33. Trabalhe formulários com Captcha
Adicione um Captcha como validação adicional, isso dificulta ataques de forca bruta.
34. Permissões em pasta
Restrinja o acesso às pastas do servidor, ou seja,
permissões de execução e escrita somente em pastas
apropriadas.
35. Não armazenar senha em texto puro
na sessão
Senhas não devem ser armazenadas sem “cifragem”, sempre armazene senhas
criptografadas, assim estaremos protegendo também nossos usuários, numa eventual
invasão ao banco de dados.
36. Não armazenar senha em texto puro
no banco de dados
Hackers conseguem senhas (em texto puro!) da Microsoft Store indiana
http://www.gemind.com.br/11654/microsoft-store-india-senhas-hackers/
37. PHP Injection
Muitas vezes quando se faz include de forma dinâmica, ou seja, com a página sendo
passada através de variáveis, abre-se uma brecha enorme para ataques, pois o usuário mal
intencionado pode alterar o valor dessa variável para um arquivo externo que poderá ser
executado dentro de seu servidor.
Como prevenção podemos desabilitar no arquivo php.ini o include de arquivos através de
url allow_url_include ou simplesmente validar se o arquivo existe is_file em nosso servidor.
38. Requisições JSON
Requisições que retornam JSON são ótimas de ser utilizadas em nossos sistemas, porém, é de
extrema importância que haja uma validação de onde vem essa requisição.
Como se trata de uma requisição, eu não preciso está dentro do servidor para executar a
mesma e isso juntamente com um arquivo mal configurado pode permitir que sejam
roubadas informações de seus sistemas.
39. Use Framework
Por fim, é altamente recomendável que você utilize frameworks para desenvolvimento, pois,
estes possuem equipes de programadores altamente experientes que já pensaram nisso tudo
para você.
41. Não exiba erros
No ambiente de produção trabalhe com erros na forma de logs.
Mostrar erros na t
ela pode revelar informações importantes do teu sistema.
display_errors=Off
log_errors=On
error_log=/var/log/httpd/php_scripts_error.log
42. register_globals
Cria variáveis automaticamente a partir dos arrays superglobais $_GET, $_POST, $_SESSION,
$_COOKIE, $_SERVER
43. register_globals
Desabilitada por padrão a partir da versão 4.2.0 do PHP
Considerada obsoleta a partir da versão 5.3
Não está mais presente a partir da versão 5.4
Register_globals=Off
44. Desabilite o upload de arquivos
Caso seu sistema não tenha upload de arquivos, desabilite a funcionalidade para que
nenhum mal intencionado possa estar subindo arquivos indevidos para o seu servidor.
file_uploads=Off
45. Desabilite a execução remota de
códigos
Dessa forma seu sistema não permite que sejam incluídos arquivos externos.
allow_url_fopen=Off
allow_url_include=Off
46. Controle o tamanho das requisições
POST
Caso seu sistema não trabalhe com muita transferência de dados, não tem necessidade de
ter um tamanho alto para a transferência dos mesmos.
post_max_size=1K
47. Controle os recursos que um script
pode consumir
Dessa forma você evita o estouro de memória em seu servidor, caso um usuário descubra
que existe algum script causando estouro de memória ele pode se aproveitar dessa falha
para deixar seu servidor indisponível.
max_execution_time = 30
max_input_time = 30
memory_limit = 40M
48. Desabilitando funções perigosas do
PHP
Existem algumas funções que se você não for utilizá-las em seu servidor você deveria
desabilitá-las, como é o caso do exec que permite que você execute comandos
diretamente para o sistema operacional.
disable_functions =exec,passthru,shell_exec,system,proc_open,
popen,curl_exec,curl_multi_exec,parse_ini_file,show_source