O documento fornece uma introdução às ferramentas de auditoria de vulnerabilidades em aplicações web, explicando o que são, para que servem, como funcionam e como devem ser avaliadas. Discute os principais tipos de ferramentas, incluindo comerciais, open source e SaaS, e fornece exemplos de ferramentas populares como Netsparker e Nikto. Também aborda onde testar as ferramentas e as conclusões sobre seu uso.
Segurança em PHP: O que você precisa saberJota Júnior
O documento discute vários tópicos relacionados à segurança em PHP, incluindo SQL injection, XSS, CSRF, upload de arquivos e path traversal. Ele fornece explicações sobre esses riscos de segurança e sugere abordagens como usar prepared statements, htmlspecialchars, tokens CSRF e impor limites nos caminhos de arquivos para prevenir exploits.
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
O documento discute hackers e vulnerabilidades de segurança. Ele explica o que são hackers e como eles encontram falhas, incluindo comportamentos humanos como senhas fracas e vulnerabilidades técnicas como SQL injection e buffer overflows. O documento também fornece dicas sobre como se proteger melhor, como usar senhas fortes e manter sistemas atualizados.
Este documento fornece um guia passo a passo para desenvolver uma aplicação web Java do zero, incluindo a instalação do Java JDK, Apache Tomcat, criação de um projeto no Eclipse, e implementação de um servlet simples para exibir a hora atual.
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
O documento discute a detecção de vulnerabilidades de segurança na web usando software livre. Ele descreve ferramentas como nmap, OWASP DirBuster e w3af que podem ser usadas para descobrir vulnerabilidades e testá-las através de abordagens de caixa-branca e caixa-preta. O documento também discute a importância de relatórios e métricas de segurança e o processo de correção de vulnerabilidades encontradas.
O documento discute a ferramenta JUnit, um framework open-source para criação de testes automatizados em Java. Ele permite aos desenvolvedores criarem modelos de testes durante o desenvolvimento para testes de unidade e foi adaptado para outras linguagens. O documento também fornece exemplos de instalação e utilização da ferramenta.
Este documento fornece uma introdução ao Open Web Application Security Project (OWASP). Resume os objetivos e recursos da OWASP, incluindo publicações como o Guia para Desenvolvimento Seguro de Aplicações Web e ferramentas como WebGoat e WebScarab. Também descreve a delegação portuguesa da OWASP e eventos realizados no passado.
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
Este documento descreve um workshop sobre segurança de aplicações web realizado pela OWASP no ISCTE-IUL. O workshop abordou três tópicos principais: (1) a importância da segurança de aplicações web, (2) os principais tipos de ataques contra aplicações e como preveni-los, e (3) as melhores práticas de desenvolvimento seguro de aplicações web.
Segurança em PHP: O que você precisa saberJota Júnior
O documento discute vários tópicos relacionados à segurança em PHP, incluindo SQL injection, XSS, CSRF, upload de arquivos e path traversal. Ele fornece explicações sobre esses riscos de segurança e sugere abordagens como usar prepared statements, htmlspecialchars, tokens CSRF e impor limites nos caminhos de arquivos para prevenir exploits.
Palestra - FACSENAC - De Hacker e louco, todo mundo tem um poucoAs Zone
O documento discute hackers e vulnerabilidades de segurança. Ele explica o que são hackers e como eles encontram falhas, incluindo comportamentos humanos como senhas fracas e vulnerabilidades técnicas como SQL injection e buffer overflows. O documento também fornece dicas sobre como se proteger melhor, como usar senhas fortes e manter sistemas atualizados.
Este documento fornece um guia passo a passo para desenvolver uma aplicação web Java do zero, incluindo a instalação do Java JDK, Apache Tomcat, criação de um projeto no Eclipse, e implementação de um servlet simples para exibir a hora atual.
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
O documento discute a detecção de vulnerabilidades de segurança na web usando software livre. Ele descreve ferramentas como nmap, OWASP DirBuster e w3af que podem ser usadas para descobrir vulnerabilidades e testá-las através de abordagens de caixa-branca e caixa-preta. O documento também discute a importância de relatórios e métricas de segurança e o processo de correção de vulnerabilidades encontradas.
O documento discute a ferramenta JUnit, um framework open-source para criação de testes automatizados em Java. Ele permite aos desenvolvedores criarem modelos de testes durante o desenvolvimento para testes de unidade e foi adaptado para outras linguagens. O documento também fornece exemplos de instalação e utilização da ferramenta.
Este documento fornece uma introdução ao Open Web Application Security Project (OWASP). Resume os objetivos e recursos da OWASP, incluindo publicações como o Guia para Desenvolvimento Seguro de Aplicações Web e ferramentas como WebGoat e WebScarab. Também descreve a delegação portuguesa da OWASP e eventos realizados no passado.
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
Este documento descreve um workshop sobre segurança de aplicações web realizado pela OWASP no ISCTE-IUL. O workshop abordou três tópicos principais: (1) a importância da segurança de aplicações web, (2) os principais tipos de ataques contra aplicações e como preveni-los, e (3) as melhores práticas de desenvolvimento seguro de aplicações web.
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
O documento discute a importância da segurança aplicacional e o papel da OWASP em promover o desenvolvimento de software mais seguro. A OWASP é uma organização aberta dedicada a capacitar organizações a desenvolver, comprar e manter aplicações confiáveis, fornecendo recursos gratuitos à comunidade de desenvolvedores. Vulnerabilidades comuns em aplicações web continuam a permitir ataques cibernéticos devido à falta de percepção sobre segurança por parte de alguns programadores.
Workshop on Android Rom Creation - FISTA/ISCTE 2014Flávio Moringa
O documento fornece instruções sobre como criar e modificar ROMs (sistemas operacionais personalizados) para dispositivos Android. Explica os conceitos fundamentais como arquitetura Android, bootloader, recovery e como testar ROMs emuladores. Também fornece dicas sobre como extrair aplicações, alterar sistemas de arquivos e compilar ROMs personalizadas.
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
Este documento discute a segurança de software e aplicações web. Resume três pontos principais:
1) O software é onipresente em nossas vidas e muitas funções críticas de negócios dependem de software, tornando a segurança do software extremamente importante.
2) Aplicações web frequentemente contêm vulnerabilidades que permitem a injeção de código malicioso, como injeção SQL, o que pode comprometer a segurança e a privacidade dos usuários.
3) A OWASP fornece recursos gratuitos para ajudar
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
O documento discute a análise de vulnerabilidades em aplicações web nacionais. Apresenta o objetivo de conhecer o panorama de segurança aplicacional de sites web nacionais, especialmente da administração pública. Também descreve métodos de teste como scanners web e ferramentas de avaliação dessas ferramentas.
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
Ao longo desta apresentação será fundamentalmente abordada a questão da privacidade online, e dos principais desafios e ameaça que coloca aos utilizadores, hoje em dia. Numa altura em que a utilização de redes sociais e de dispositivos móveis não pára de aumentar, e em que novas vagas tecnológicas se aproximam (IoT, entre outros), os desafios à privacidade e confidencialidade dos utilizadores são cada vez maiores.
Pretende-se com a apresentação focar alguns destes desafios de segurança e alertar para a forma como os utilizadores hoje em dia não estão atentos aos atentados à sua própria privacidade!
O documento apresenta um treinamento sobre testes de intrusão em aplicações web ministrado por Allan Pitter. Ele descreve sua experiência profissional, objetivos do treinamento, principais vulnerabilidades e técnicas de ataque, ferramentas utilizadas e realiza uma demonstração prática de diferentes tipos de ataques como XSS, SQL injection e força bruta.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
1) O documento discute problemas de segurança em aplicações web, notando que a segurança costumava ser deixada de lado no início do desenvolvimento de aplicações web.
2) Atualmente, quase todas as aplicações web têm problemas de segurança e é difícil criar aplicações razoavelmente seguras, sendo a segurança dispendiosa.
3) O documento fornece conselhos sobre como melhorar a segurança em aplicações PHP, incluindo validar inputs de usuários, usar filtros, evitar inclusão remota de arquivos e spoofing de emails.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
Este documento fornece uma introdução a três projetos de código aberto para recuperação de informação: Nutch, Lucene e Solr. O Nutch é um sistema de busca na web que faz indexação e clustering de documentos. O Lucene é uma biblioteca de pesquisa de texto de alto desempenho. O Solr é um servidor de pesquisa empresarial que usa o Lucene como motor de pesquisa subjacente.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Este documento resume uma apresentação sobre a automatização da análise passiva de aplicações web. Ele discute como a automatização pode nivelar o conhecimento da equipe de testes e garantir a cobertura mínima, analisa os desafios da análise passiva manual e propõe usar ferramentas como o WebFight para parser logs do Burp e extrair informações para análise, melhorando a cobertura. Apresenta também exemplos de análises automatizadas e demonstra a interface de análise.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
Este documento apresenta as dez vulnerabilidades mais críticas em aplicações web de acordo com o OWASP Top 10 de 2007, fornecendo uma breve descrição de cada uma delas e dicas de como tratá-las em PHP. O palestrante discute XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furos de autenticação e outras ameaças comuns.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
O documento discute a importância da segurança aplicacional e o papel da OWASP em promover o desenvolvimento de software mais seguro. A OWASP é uma organização aberta dedicada a capacitar organizações a desenvolver, comprar e manter aplicações confiáveis, fornecendo recursos gratuitos à comunidade de desenvolvedores. Vulnerabilidades comuns em aplicações web continuam a permitir ataques cibernéticos devido à falta de percepção sobre segurança por parte de alguns programadores.
Workshop on Android Rom Creation - FISTA/ISCTE 2014Flávio Moringa
O documento fornece instruções sobre como criar e modificar ROMs (sistemas operacionais personalizados) para dispositivos Android. Explica os conceitos fundamentais como arquitetura Android, bootloader, recovery e como testar ROMs emuladores. Também fornece dicas sobre como extrair aplicações, alterar sistemas de arquivos e compilar ROMs personalizadas.
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
Este documento discute a segurança de software e aplicações web. Resume três pontos principais:
1) O software é onipresente em nossas vidas e muitas funções críticas de negócios dependem de software, tornando a segurança do software extremamente importante.
2) Aplicações web frequentemente contêm vulnerabilidades que permitem a injeção de código malicioso, como injeção SQL, o que pode comprometer a segurança e a privacidade dos usuários.
3) A OWASP fornece recursos gratuitos para ajudar
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
O documento discute a análise de vulnerabilidades em aplicações web nacionais. Apresenta o objetivo de conhecer o panorama de segurança aplicacional de sites web nacionais, especialmente da administração pública. Também descreve métodos de teste como scanners web e ferramentas de avaliação dessas ferramentas.
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
Ao longo desta apresentação será fundamentalmente abordada a questão da privacidade online, e dos principais desafios e ameaça que coloca aos utilizadores, hoje em dia. Numa altura em que a utilização de redes sociais e de dispositivos móveis não pára de aumentar, e em que novas vagas tecnológicas se aproximam (IoT, entre outros), os desafios à privacidade e confidencialidade dos utilizadores são cada vez maiores.
Pretende-se com a apresentação focar alguns destes desafios de segurança e alertar para a forma como os utilizadores hoje em dia não estão atentos aos atentados à sua própria privacidade!
O documento apresenta um treinamento sobre testes de intrusão em aplicações web ministrado por Allan Pitter. Ele descreve sua experiência profissional, objetivos do treinamento, principais vulnerabilidades e técnicas de ataque, ferramentas utilizadas e realiza uma demonstração prática de diferentes tipos de ataques como XSS, SQL injection e força bruta.
Este documento resume o que é OWASP (Open Web Application Security Project), incluindo suas publicações e softwares como o WebGoat, que é uma ferramenta educacional para ensinar sobre segurança de aplicações web através de lições sobre ataques como SQL Injection e XSS.
1) O documento discute problemas de segurança em aplicações web, notando que a segurança costumava ser deixada de lado no início do desenvolvimento de aplicações web.
2) Atualmente, quase todas as aplicações web têm problemas de segurança e é difícil criar aplicações razoavelmente seguras, sendo a segurança dispendiosa.
3) O documento fornece conselhos sobre como melhorar a segurança em aplicações PHP, incluindo validar inputs de usuários, usar filtros, evitar inclusão remota de arquivos e spoofing de emails.
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...Magno Logan
O documento discute o uso da biblioteca OWASP ESAPI para fornecer segurança em aplicações web. Apresenta os objetivos e roteiro do curso, que inclui uma introdução às vulnerabilidades comuns e à arquitetura da ESAPI, com exemplos em Java. Também aborda conceitos como injeção de código e OWASP Top 10.
1. O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações WEB para 2007 de acordo com a OWASP.
2. A metodologia utilizada foi analisar os dados de vulnerabilidades do MITRE para 2006 e selecionar as 10 principais vulnerabilidades relacionadas a aplicações WEB.
3. As 10 vulnerabilidades listadas são: Cross Site Scripting, Falhas de Injeção, Execução Maliciosa de Arquivos, Referência Insegura Direta a Objetos, Cross Site Request Forgery, Vazamento de Informações, Furos de Autent
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP (Open Web Application Security Project) para verificação e auditoria de segurança de aplicações web, desenvolvimento seguro de código e educação em segurança de aplicações. As categorias cobertas incluem verificação automática e manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações e educação em segurança de aplicações.
O documento fornece uma introdução sobre o OWASP (Open Web Application Security Project), descrevendo sua estrutura, projetos, ferramentas, conferências e como contribuir. O OWASP é uma organização internacional sem fins lucrativos que promove a segurança de aplicações web por meio de projetos open source e uma comunidade global de voluntários.
Este documento fornece uma introdução a três projetos de código aberto para recuperação de informação: Nutch, Lucene e Solr. O Nutch é um sistema de busca na web que faz indexação e clustering de documentos. O Lucene é uma biblioteca de pesquisa de texto de alto desempenho. O Solr é um servidor de pesquisa empresarial que usa o Lucene como motor de pesquisa subjacente.
OWASP Top 10 2010 para JavaEE (pt-BR)
Versão traduzida e atualizada do OWASP Top 10 2007 for JavaEE
Traduzida por: Magno Logan (OWASP Paraíba Chapter Leader)
Este documento resume uma apresentação sobre a automatização da análise passiva de aplicações web. Ele discute como a automatização pode nivelar o conhecimento da equipe de testes e garantir a cobertura mínima, analisa os desafios da análise passiva manual e propõe usar ferramentas como o WebFight para parser logs do Burp e extrair informações para análise, melhorando a cobertura. Apresenta também exemplos de análises automatizadas e demonstra a interface de análise.
O documento fornece um resumo das principais ferramentas e tecnologias da OWASP para automação e verificação manual de segurança, arquitetura de segurança, codificação segura, gestão de segurança de aplicações, educação em segurança de aplicações.
Tratando as vulnerabilidades do Top 10 do OWASP by Wagner EliasMagno Logan
Este documento apresenta as dez vulnerabilidades mais críticas em aplicações web de acordo com o OWASP Top 10 de 2007, fornecendo uma breve descrição de cada uma delas e dicas de como tratá-las em PHP. O palestrante discute XSS, falhas de injeção, execução maliciosa de arquivos, referência direta a objetos, CSRF, vazamento de informações, furos de autenticação e outras ameaças comuns.
O documento discute a importância da segurança de aplicações web, mencionando que 75% dos ataques acontecem na camada da aplicação e que 90% dos sites são vulneráveis a ataques. Também aborda causas comuns de vulnerabilidades, como dados de entrada não validados, e recomendações para desenvolvedores, como validação de dados, testes de segurança e uso de guias como OWASP.
Este documento fornece um resumo sobre o ModSecurity, um firewall de aplicação web (WAF) open source. Ele discute como o ModSecurity funciona, como ele é implantado e como ele analisa solicitações e respostas para detectar ataques. O documento também aborda o conjunto de regras principais do ModSecurity e ferramentas como o WAF-FLE para visualização de logs.
1) O documento apresenta a versão em português do OWASP Top 10 e fornece informações sobre sua tradução e participantes.
2) É descrito o projeto OWASP em língua portuguesa e como acessar informações sobre eventos dos capítulos brasileiro e português.
3) São listados os voluntários que participaram da tradução do documento para português.
Desenvolvimento web com python e web2pyRelsi Maron
Este documento apresenta uma oficina sobre desenvolvimento web com Python e o framework Web2py. Apresenta breve introdução ao Python e suas funcionalidades, seguido de explicação sobre o Web2py, seu modelo MVC e ferramentas como DAL, SQLFORM e SQLFORM.grid. Por fim, aborda tópicos como autenticação, mapeamento de URL e deploy da aplicação.
O documento descreve um planejamento de segurança para um website, incluindo testes de vulnerabilidade e desempenho, além de detalhes sobre o sistema operacional, serviços, frameworks e ferramentas que serão utilizados, como OpenBSD, PHP, Apache, MySQL, Joomla e adequações para acessibilidade e padrões e-GOV.
O documento discute o Apache Tajo, um sistema de armazenamento de dados relacional e distribuído para Hadoop. Ele descreve as características do Apache Tajo, incluindo ser rápido, escalável, compatível e fácil de usar, e fornece instruções sobre como instalá-lo. O documento também apresenta demonstrações do Apache Tajo usando uma base de dados de saúde brasileira.
Semelhante a Owasp@iscte iul ferramentas-analise_vulnerabilidades (20)
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
[1] O documento fornece um guia sobre como prevenir ataques de ransomware. [2] Ele discute várias categorias de mitigações como defesa do perímetro, da rede, no terminal e no servidor. [3] O guia enfatiza a importância de manter sistemas atualizados e com poucos privilégios, usar antivírus e backups, e segmentar a rede para limitar a propagação de ransomware.
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
O documento discute os 10 principais riscos no desenvolvimento seguro de aplicações móveis de acordo com a OWASP Mobile Top 10. Estes riscos incluem controlos fracos no servidor, armazenamento inseguro de dados, segurança insuficiente na camada de transporte e autenticação e autorização fracas. O documento fornece exemplos e recomendações para prevenir cada risco.
M1 - Weak Server-Side Controls, M3 - Insufficient Transport Layer Security, and M5 - Poor Authorization and Authentication pose the greatest risks to mobile application security by allowing unauthorized access to sensitive data and systems. Proper controls and authentication methods must be implemented on both the client and server sides.
Segurança e Privacidade em Redes SociaisCarlos Serrao
O documento discute a privacidade e segurança em redes sociais. Aborda tópicos como a evolução da Web 2.0 e aplicações sociais, como o Facebook, e os riscos à privacidade que essas plataformas apresentam, como a exposição excessiva de informações pessoais. O documento fornece recomendações sobre como melhor gerir a privacidade e segurança no uso de redes sociais.
Segurança e Privacidade em Redes SociaisCarlos Serrao
Este documento discute questões de privacidade e segurança em redes sociais. Resume a evolução da Web de 1.0 para 2.0 e apresenta exemplos de aplicações Web 2.0 como YouTube, LinkedIn e Facebook. Discute riscos de segurança como spam, malware e phishing em redes sociais e como as pessoas são frequentemente o elo mais fraco. Apresenta recomendações para proteger a privacidade, como configurações de privacidade, senhas seguras e manter sistemas atualizados.
Principios básicos de segurança on-lineCarlos Serrao
- O documento discute princípios básicos de segurança online, incluindo segurança física, senhas, phishing, vírus, engenharia social, confidencialidade, privacidade e autenticação, e redes sociais.
- A segurança é um processo holístico e contínuo, não um produto. Deve incluir proteção contra acesso físico não autorizado, backups regulares, e uso de senhas fortes e únicas.
- Os usuários precisam tomar cuidado com phishing, vírus e malware, revelar pouca informação
The document discusses whether or not to use digital rights management (DRM) systems. It begins by outlining some key concepts around intellectual property, copyright, and digital content. It then discusses the challenges of piracy and uncontrolled distribution that DRM aims to address. However, early DRM systems faced issues like limited availability, lack of interoperability and restrictions on user experience. The document argues that future DRM systems need to solve these problems and proposes approaches like open standards and interoperability between systems.
Este documento descreve as atividades e objetivos da comunidade OWASP Portugal. Resume que a OWASP é uma comunidade aberta dedicada a melhorar a segurança de software; que o capítulo português tem cerca de 90 membros e realiza eventos regulares como conferências e workshops sobre segurança de aplicações web; e que a OWASP recomenda que universidades e instituições incluam práticas de segurança de software nos currículos e financiem mais investigação sobre o tema.
Segurança e Privacidade em Redes SociaisCarlos Serrao
Este documento apresenta uma aula sobre privacidade e segurança em redes sociais. Resume a evolução da Web 1.0 para a Web 2.0, focando-se nas aplicações sociais como o Facebook. Discute os riscos de segurança e privacidade nestas plataformas, incluindo ataques como phishing. Fornece recomendações para proteger a privacidade dos usuários.
Este documento descreve um workshop sobre segurança de aplicações web realizado pela OWASP no ISCTE-IUL. O workshop abordou três tópicos principais: (1) a importância da segurança de aplicações web, (2) os principais tipos de ataques contra aplicações e como preveni-los, e (3) as melhores práticas de desenvolvimento seguro de aplicações web.
O documento discute criptografia em PHP, começando com uma introdução à criptografia em aplicações web e criptografia básica. É apresentada uma visão geral de como criptografar dados em trânsito e armazenamento, bem como criptografar senhas. O documento então explora vários tópicos de criptografia em PHP, incluindo funções hash, criptografia simétrica e assimétrica, e certificados digitais.
ï€1⁄4 O documento apresenta o Open Web Application Security Project (OWASP), um projeto aberto dedicado à segurança de aplicações web.
ï€1⁄4 O OWASP fornece publicações, ferramentas e software livres para auxiliar na criação de aplicações web seguras, como o guia OWASP Top 10 e as ferramentas WebGoat e WebScarab.
ï€1⁄4 O documento também descreve o funcionamento do OWASP Portugal e suas atividades, como o capítulo local e participação em eventos para promover a segurança de aplicações web
cTIC2009 - Segurança em Aplicações Web-based e RIACarlos Serrao
O documento discute segurança em aplicações web e Rich Internet Applications. Apresenta o contexto de desenvolvimento destas aplicações e arquiteturas cliente-servidor, vetores de ataque, vulnerabilidades comuns e frameworks populares para desenvolvimento como Java Applet, Adobe Flash, Google Web Toolkit e Microsoft Silverlight.
O documento apresenta o capítulo português da OWASP (Organização para Segurança de Aplicações Web), descrevendo seus objetivos de participar em projetos, promover discussões e organizar conferências para promover a segurança de aplicações web. Resume alguns dados sobre o capítulo português, como número de membros e liderança, e apresenta ideias para projetos futuros como tradução de documentos, novas conferências e estreitamento de laços com a comunidade hispânica.
This document outlines the agenda for an OWASP Kick-Off Meeting in Portugal. The agenda includes introductions, presentations on OWASP projects and objectives, a presentation from IEEE, a discussion of the OWASP Top Ten security risks, a presentation on OWASP tools, and a conclusion and debate session. The meeting is organized by Carlos Serrao of OWASP Portugal at ISCTE and will cover introducing participants to OWASP and engaging in discussions around ongoing and future projects.
O documento apresenta as 10 vulnerabilidades de segurança mais críticas em aplicações web, discutindo cada uma em detalhe e fornecendo recomendações de como abordá-las. As vulnerabilidades incluem parâmetros não validados, quebras nos controles de acesso, falhas na gestão de sessões, cross-site scripting, buffer overflows, injeções de comandos, problemas na gestão de erros, uso inseguro de criptografia, falhas na administração remota e configurações inseguras de servidores. O documento defende a import
O documento fornece uma introdução ao Open Web Application Security Project (OWASP). Em três frases: O OWASP é um projeto de código aberto que promove o desenvolvimento seguro de aplicações web, oferecendo publicações, ferramentas, e suporte à comunidade de segurança de aplicações. O documento descreve os objetivos, estrutura organizacional, recursos e publicações do OWASP, incluindo o Guia de Desenvolvimento Seguro de Aplicações Web e a lista OWASP Top 10 de vulnerabilidades mais críticas.
A importância das Infra-estruturas de Chave Pública no Comércio Electrónico d...Carlos Serrao
Este documento discute a importância das infraestruturas de chave pública (PKI) no comércio eletrônico de conteúdos digitais. O autor propõe um sistema chamado OpenSDRM que integra funcionalidades de gestão de direitos digitais (DRM) e PKI para fornecer uma solução global para a proteção e comercialização segura de conteúdos digitais. O sistema permite a identificação, autenticação e estabelecimento de confiança entre compradores e vendedores, além de garantir a segurança
1. OWASP @ ISCTE-IUL
Ferramentas de Auditoria de Vulnerabilidades em
Aplicações Web
ISCTE-IUL/DCTI Nuno Teodoro
Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com
Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM)
Departamento de Ciências e Tecnologias de Informação
http://pt.linkedin.com/in/nunoteodoro
http://www.facebook.com/nuno.teodoro
2. Um pouco sobre mim...
2
Licenciado em Engenharia Informática (ISCTE)
Mestrando em Engenharia Informática – SIGC (ISCTE)
Consultor na área de SCCM – Noesis
Colaborador NetMuST
Tese de Mestrado em Segurança Aplicacional – Ethical
Hacking
OWASP @ ISCTE-IUL Abril 2010
3. O que são e para que servem?
3
Ferramentas que automatizam testes nas aplicações web
Testes geralmente concentram-se mas vulnerabilidades
mais comuns
XSS
SQL Injection
Buffer Overflow
...
Geralmente utilizadas no fim do CVDS
OWASP @ ISCTE-IUL Abril 2010
4. O que são e para que servem?
4
CVDS
OWASP @ ISCTE-IUL Abril 2010
5. Motivação – Os mitos
5
Está numa rede Usamos
com firewalls protocolos
proprietários
Temos anti-vírus O nosso SO é
“seguro”
A nossa
aplicação
Usamos Usamos
está segura
passwords encriptação de
“seguras” dados
Usamos SSL ........
OWASP @ ISCTE-IUL Abril 2010
6. Motivação – A realidade
6
Software bug bites U.S.
Military
— BBC, Mar 18,2003
OWASP @ ISCTE-IUL Abril 2010
7. Motivação – A realidade
7
OWASP @ ISCTE-IUL Abril 2010
8. Motivação
8
E se fosse possível
carregar num botão e
ver que
vulnerabilidades
eliminar?
Scan
Vulnerabilities
OWASP @ ISCTE-IUL Abril 2010
9. Antes dos Web Scanners
9
Um pouco de história
Achilles proxy (2000)
Robert Cardona
Proxy que exibia todos os pedidos e respostas e permitia a sua edição
Era complicado
Tinha muitos bugs
Permitia comprometer muitas aplicações naquela altura
OWASP @ ISCTE-IUL Abril 2010
10. Modo Geral de Funcionamento
10
Efectuam crawling numa aplicação web
OWASP @ ISCTE-IUL Abril 2010
11. Modo Geral de Funcionamento
11
Localizam vulnerabilidades na camada aplicacional
Realizam testes de penetração – análise activa através da
simulação de ataques
Manipulam mensagens HTTP
Inspeccionam mensagens HTTP
Detectam atributos suspeitos
Efectuam fuzzing
Inpecção de código
...
OWASP @ ISCTE-IUL Abril 2010
12. Modo Geral de Funcionamento
12
Crawling
Inicializar lista
com URLs
Wanderers, robots, InfoSpiders [Fim]
spiders, fish, Procurar fim
worms...
Focused Crawler
[Sem URLs]
Escolher URL
da lista
Web Context Focused
Crawler
crawlers Ir para o URL
Naive Best-First
Crawler
Efectuar parsing
SharkSearch da página
Adicionar URLs
à lista
OWASP @ ISCTE-IUL Abril 2010
13. Que ferramentas usar e porquê?
13
A escolha das ferramentas a usar é muito complicada
Existem muitas ferramentas comerciais e Open Source
Nem todas devolvem os mesmos resultados
Não sabemos até que ponto os resultados são fiáveis
OWASP @ ISCTE-IUL Abril 2010
14. Escolha da ferramenta - WASSEC
14
Web Application Security Scanner Evaluation Criteria
Secção 1 - Protocol Support
Secção 2 - Authentication
Secção 3 - Session Management
Secção 4 - Crawling
Secção 5 - Parsing
Secção 6 - Testing
Secção 7 - Command and Control
Secção 8 - Reporting
OWASP @ ISCTE-IUL Abril 2010
15. Escolha da ferramenta - WASSEC
15
Secção 1 - Protocol Support
Devem ser suportados todos os protocolos mais usados pelas
aplicações web
HTTP 1.0
HTTP 1.1
SSL / TLS
HTTP Keep Alice
....
OWASP @ ISCTE-IUL Abril 2010
16. Escolha da ferramenta - WASSEC
16
Secção 2 - Authentication
Deve suportar as autenticações mais utilizadas, de modo a ser
capaz de testar aplicações que requiram essa autenticação
Basic
Digest
HTTP Form-based
...
OWASP @ ISCTE-IUL Abril 2010
17. Escolha da ferramenta - WASSEC
17
Secção 3 - Session Management
Durante os testes a uma aplicação web, é essencial que a
ferramenta consiga manter uma sessão aberta e válida durante os
testes
Este cenário é necessário para:
Web crawiling
Fases de testes
Criar manter uma sessão
OWASP @ ISCTE-IUL Abril 2010
18. Escolha da ferramenta - WASSEC
18
Secção 4 – Crawling
Esta função é fundamental pois permite que a ferramenta esteja
“consciente” de todos os caminhos dentro de uma aplicação web
Definir um URL de início
Definir extensões para exclusão
Definir um máximo de profundidade de crawling
Detectar páginas de erro
OWASP @ ISCTE-IUL Abril 2010
19. Escolha da ferramenta - WASSEC
19
Secção 5 – Parsing
O processo de mapeamento do crawler é feito através do parsing
de diferentes tipos de conteúdos para extrair informações
Esta informação é de elevada importância e refere-se a:
HTML
JavaScript
VBScript XML
....
OWASP @ ISCTE-IUL Abril 2010
20. Escolha da ferramenta - WASSEC
20
Secção 6 – Testing
Esta é a funcionalidade mais relevante numa ferramentas de
auditoria
Configuração de testes
Nome do Host ou IP
Extensões de ficheiros
Cookies
...
Capacidades de testes
Autenticação
Autorização
Ataques do lado do cliente
OWASP @ ISCTE-IUL
... Abril 2010
21. Escolha da ferramenta - WASSEC
21
Secção 7 - Command and Control
Têm bastante influência na usabilidade por isso deve ser
considerado um critério importante
Controlo das capacidades de scan
Calendarização
Pause e Resume
Real-time scans
...
Interfaces fornecidas
Extensão e interoperabilidade
Existência de APIs
Conjugação com outras ferramentas
OWASP @ ISCTE-IUL Abril 2010
22. Escolha da ferramenta - WASSEC
22
Secção 8 - Reporting
As ferramentas deverão ser capazes de produzir relatórios e de
suportar costumização dos mesmos
Tipos de relatórios
Sumário executivo
Relatório técnico detalhado
Informação sobre cada vulnerabilidade e medidas de mitigação
Costumização
Formato
PDF
XML
OWASP @ ISCTE-IUL Abril 2010
27. Ferramentas de Auditoria
27
RSS Database security HTTP general
HTTP proxying / extensions
editing assessment testing /
and fingerprinting
caching
Browser-based SQL
HTTP tampering injection
/ editing / scanning
replaying
Web services
enumeration /
Ajax and scanning /
XHR fuzzing
scanning
Cookie editing / Web application security
poisoning malware, backdoors, and
evil code
OWASP @ ISCTE-IUL Abril 2010
28. Ferramentas de Auditoria - SECTOOLS
28
Top 10 - sectools
1 2 3 4
Nikto WebScarab
5 6 7 8
libwhisker Wikto
9 10
OWASP @ ISCTE-IUL Abril 2010
29. Ferramentas de Auditoria - Avaliação
29
Preparação
Testes
Comparação de resultados
OWASP @ ISCTE-IUL Abril 2010
30. Ferramentas de Auditoria - Avaliação
30
Preparação
Determinar quais os pontos do WASSEC são mais importante
Cada utilizador tem as suas necessidades e preferências pessoais
Avaliar um conjunto de características adicionais
Custo de aquisição
Custos de suporte
Custos adicionais (e.g. hardware)
Facilidade de utilização
Qualidade da documentação
Disponibilidade de suporte (telefone, web, e-mail, etc)
Disponibilidade de formação
Capacidades de update das capacidades do produto
Restrições de licença
OWASP @ ISCTE-IUL Abril 2010
31. Ferramentas de Auditoria - Avaliação
31
Preparação
Decidir que ferramentas serão alvo da avaliação
Obter a última versão de cada ferramenta
Efectuar uma lista das aplicações web que serão testadas
Consumo de tempo!
Escolher mais que uma tecnologia
Autorizações para efectuar os testes
Documentar as características das aplicações caso os resultados
sejam para ser tornados públicos
OWASP @ ISCTE-IUL Abril 2010
32. Ferramentas de Auditoria - Avaliação
32
Testes
As ferramentas permitem várias configurações para efectuar os
testes
Devem ser usadas essas várias configurações
Maior cobertura de vulnerabilidades
Configurar vários níveis de defesa
Nível 0 – sem defesas
Nível 1 – nível 0 + filtros
Nível 2 – nível 1 + funções especiais
…
OWASP @ ISCTE-IUL Abril 2010
34. Ferramentas de Auditoria - Avaliação
34
Comparação de resultados
Para cada teste avaliar os pesos dados segundo as nossas
preferências da WASSEC
Próximo documento WASSEC já prevê os pesos mais comuns dos
utilizadores
Avaliar características extra definidas por nós
OWASP @ ISCTE-IUL Abril 2010
35. Prós e Contras
35
Prós
Recursos temporais limitados
Podem poupar muito tempo em vulnerabilidades facilmente
detectáveis pelas ferramentas
Boas soluções custo/eficácia
Soluções PaS
Recursos humanos limitados
Exige pouco conhecimento técnico
Boa solução para as fases finais do CVDS
Automatização de testes frequentes
OWASP @ ISCTE-IUL Abril 2010
36. Prós e Contras
36
Contras
Fiabilidade das ferramentas
Não são A solução
Não significa que não existam falhas se estas não forem contradas
Têm limitações
Custos
Tempo de scanning
Dependendo da aplicação, o próprio crawling pode demorar dias
OWASP @ ISCTE-IUL Abril 2010
37. Web Application Attack and Audit
37
Framework
Web Application Attack and Audit Framework
http://w3af.sourceforge.net/
Autor: Andres Riancho
“w3af is a Web Application Attack and Audit Framework. The
project's goal is to create a framework to find and exploit
web application vulnerabilities that is easy to use and extend.”
OWASP @ ISCTE-IUL Abril 2010
44. Onde Testar?
44
Importante pedir autorizações para testar aplicações
web reais
Problemas legais caso contrário
Lei do cibercrime
Permite perceber até que ponto as ferramentas são
eficazes a descobrir quais vulnerabilidades
Diferentes configurações para a mesma vulnerabilidade
OWASP @ ISCTE-IUL Abril 2010
45. Conclusões
45
O que sao web scanners
Para que servem
Como funcionam
Como devem ser avaliados
OWASP @ ISCTE-IUL Abril 2010
46. Conclusões
46
Pros
Contras
Onde Testar
OWASP @ ISCTE-IUL Abril 2010
47. OWASP @ ISCTE-IUL
Ferramentas de Auditoria de Vulnerabilidades em
Aplicações Web
ISCTE-IUL/DCTI Nuno Teodoro
Instituto Superior de Ciências do Trabalho e da Empresa nuno.filipe.teodoro@gmail.com
Instituto Universitário de Lisboa nfteodoro@hotmail.com (IM)
Departamento de Ciências e Tecnologias de Informação
http://pt.linkedin.com/in/nunoteodoro
http://www.facebook.com/nuno.teodoro