Este documento fornece instruções sobre como proteger sistemas disponibilizados na web. Ele descreve uma metodologia chamada PDHM (Planejar, Implantar, Fortalecer, Monitorar) para garantir a segurança dos sistemas, incluindo remover serviços desnecessários, usar senhas fortes, monitorar atividades e detectar intrusões. Ferramentas como Ossec HIDS, Munin e Nmap são recomendadas para monitoramento e detecção de ameaças.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
O documento discute boas práticas de segurança para aplicações web PHP, cobrindo tópicos como injeção de código, autenticação, sessões, XSS, CSRF e outras vulnerabilidades do OWASP Top 10. Ele também fornece exemplos de como implementar filtros, hashes de senha, verificação de tokens e outras técnicas para melhorar a segurança.
Entender como as falhas na arquitetura web ocorrem, pode lhe ajudar a construir um código melhor e também pode abrir um novo mundo pra você se aventurar em pentest.
O documento discute estratégias de hardening de segurança para proteger sistemas e servidores, incluindo atualizações de sistemas operacionais, controle de acesso, configuração de firewalls e balanceadores de carga, parametrização segura de servidores web Apache e Nginx, e monitoramento contínuo para detecção precoce de ameaças.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento fornece instruções sobre como proteger sistemas disponibilizados na web. Ele descreve uma metodologia chamada PDHM (Planejar, Implantar, Fortalecer, Monitorar) para garantir a segurança dos sistemas, incluindo remover serviços desnecessários, usar senhas fortes, monitorar atividades e detectar intrusões. Ferramentas como Ossec HIDS, Munin e Nmap são recomendadas para monitoramento e detecção de ameaças.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
O documento discute boas práticas de segurança para aplicações web PHP, cobrindo tópicos como injeção de código, autenticação, sessões, XSS, CSRF e outras vulnerabilidades do OWASP Top 10. Ele também fornece exemplos de como implementar filtros, hashes de senha, verificação de tokens e outras técnicas para melhorar a segurança.
Entender como as falhas na arquitetura web ocorrem, pode lhe ajudar a construir um código melhor e também pode abrir um novo mundo pra você se aventurar em pentest.
O documento discute estratégias de hardening de segurança para proteger sistemas e servidores, incluindo atualizações de sistemas operacionais, controle de acesso, configuração de firewalls e balanceadores de carga, parametrização segura de servidores web Apache e Nginx, e monitoramento contínuo para detecção precoce de ameaças.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento apresenta uma palestra sobre intrusão de redes e teste de penetração (pentest). Ele discute os preparativos, a metodologia, vetores de ataque comuns e ferramentas usadas em pentests, incluindo exploração de vulnerabilidades em redes Wi-Fi, sistemas Windows e Linux, e captura de tráfego de rede. O documento também fornece referências e contatos do palestrante.
1) A palestra discute conceitos de segurança no Linux, abordando segurança física, de rede e de dados.
2) É destacado que, apesar de existirem vírus para Linux, eles requerem acesso de root para se propagar e não se disseminam facilmente.
3) Diversas dicas são fornecidas, como manter software atualizado, configurar firewall e senhas seguras, e desconfiar da própria segurança.
O documento apresenta o scanner de vulnerabilidades OpenVAS5, discutindo sua arquitetura, instalação e uso para testar vulnerabilidades em alvos como sistemas operacionais e serviços. Também descreve como criar novos plugins para o scanner e fornece contatos do apresentador.
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Bruno Alexandre
Este documento resume uma palestra sobre como fortalecer a segurança de servidores Linux. Ele discute a importância de proteger servidores, apresenta conceitos de segurança como confidencialidade, integridade e disponibilidade. Ele também fornece detalhes sobre como configurar ferramentas como SSH e OSSEC HIDS para monitoramento e detecção de intrusos.
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
O documento discute técnicas avançadas de pentest, incluindo: (1) evasão de antivírus usando técnicas como edição de binários e encoding, (2) exploração de LFI combinada com outras vulnerabilidades para escrever comandos arbitrários no disco, (3) uso de netcat sem a ferramenta netcat para transferência de arquivos e backdoors.
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
O documento discute como a gerência de configurações pode melhorar a segurança através da automação e padronização de configurações em servidores. Ele explica como ferramentas como Puppet podem garantir que as configurações sejam aplicadas de forma consistente, documentada e escalonável em múltiplas máquinas, prevenindo erros e garantindo a segurança das configurações. Um exemplo mostra como Puppet pode agilizar o processo de criação de contas de usuário em vários servidores de forma automatizada.
O documento discute estratégias de segurança para servidores Linux, abordando tópicos como: 1) Hardening da instalação, configurações pós-instalação e controle de acessos; 2) Ferramentas de firewall e filtragem de tráfego; 3) Auditoria de acessos e configurações de senhas. O objetivo é fornecer uma visão geral dos principais aspectos de segurança a serem considerados.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
O documento fornece diretrizes sobre segurança no WordPress, incluindo: 1) Realizar backups regularmente e manter todas as versões atualizadas; 2) Configurar senhas fortes e evitar listagens de nomes de usuários; 3) Proteger arquivos sensíveis como wp-config.php e remover arquivos desnecessários.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
Este documento apresenta um resumo sobre técnicas e ferramentas para testes de invasão (penetration tests). Ele discute conceitos como preparação para testes, varredura de redes e sistemas, testes em aplicações web e ferramentas comuns. O documento enfatiza a importância da ética ao realizar testes e conclui afirmando que segurança deve ser abordada de forma pró-ativa.
Rafael apresentou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Rafael falou também um pouco dos próximos cursos da Academia Clavis: Auditoria de Segurança em Aplicações Web EAD e Teste de Invasão em Redes e Sistemas EAD.
http://www.blog.clavis.com.br/webinar-sobre-ferramentas-e-tecnicas-para-auditorias-teste-de-invasao/index.html
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute tópicos relacionados à segurança da informação, incluindo ameaças cibernéticas comuns, como vazamentos de dados e ataques DDoS, além de ferramentas e técnicas para teste de invasão em redes, como Nmap e ARP spoofing. O documento também aborda princípios e modelos de segurança como confidencialidade, integridade e disponibilidade da informação, e os modelos Bell-LaPadula, Biba e Clark-Wilson.
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
Este documento discute a importância da segurança da informação para as empresas e como o Ansible pode ser usado para automatizar o processo de hardening de sistemas Linux. Ele explica principais ameaças de segurança, o crescimento da área de segurança da informação, técnicas comuns de hardening e como o Ansible permite configurar, gerenciar e automatizar tarefas em servidores Linux de forma declarativa usando módulos e playbooks.
O documento analisa vulnerabilidades de segurança em um site, incluindo uma página php que expõe informações de configuração do servidor, arquivos que permitem download através de argumentos, e injeção de SQL que permite acesso completo ao banco de dados. Ele também discute técnicas de firewall de aplicação web e o software livre OSSIM para gerenciamento de eventos e segurança.
Este documento fornece instruções sobre como configurar e usar o OpenVAS para varredura de vulnerabilidades em redes. Ele descreve como instalar e executar os principais componentes do OpenVAS, atualizar plugins, solucionar problemas e executar um teste de varredura básico.
O documento discute sobre penetration testing (testes de invasão), fornecendo detalhes sobre o que é, como aprender a praticar, e as etapas envolvidas, incluindo preparação, coleta de informações, análise de vulnerabilidades, invasão e relatório. O autor também discute sobre laboratórios, ferramentas, e dicas para aprender a área de forma autodidata.
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas.
Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança.
Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas!
Conhecer melhor o adversário permite avaliar nossas fragilidades.
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
O documento discute a importância de proteger sistemas disponibilizados na web para manter a integridade e disponibilidade dos dados da organização e evitar ataques. Ele apresenta a metodologia PDHM (Planejar, Deploy, Harden, Monitor) para fortalecer a segurança, incluindo ajustes de configuração e ferramentas como Ossec HIDS para monitoramento.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
O documento discute técnicas de virtual patching para manter queijos suíços seguros de ratos, mencionando que ferramentas como Nginx, Naxsi e Modsecurity podem ser usadas para mitigar riscos de vulnerabilidades, mas requerem esforço técnico e não substituem correções de vulnerabilidades. Conscientização, capacitação e processos são fundamentais para gestão de segurança da informação.
O documento discute oportunidades e riscos de segurança relacionados à computação em nuvem, definindo o que é computação em nuvem, destacando seus benefícios, abordando riscos como abuso e uso malicioso, e apresentando a Cloud Security Alliance e seus projetos de certificação e controles de segurança.
Este documento apresenta uma palestra sobre intrusão de redes e teste de penetração (pentest). Ele discute os preparativos, a metodologia, vetores de ataque comuns e ferramentas usadas em pentests, incluindo exploração de vulnerabilidades em redes Wi-Fi, sistemas Windows e Linux, e captura de tráfego de rede. O documento também fornece referências e contatos do palestrante.
1) A palestra discute conceitos de segurança no Linux, abordando segurança física, de rede e de dados.
2) É destacado que, apesar de existirem vírus para Linux, eles requerem acesso de root para se propagar e não se disseminam facilmente.
3) Diversas dicas são fornecidas, como manter software atualizado, configurar firewall e senhas seguras, e desconfiar da própria segurança.
O documento apresenta o scanner de vulnerabilidades OpenVAS5, discutindo sua arquitetura, instalação e uso para testar vulnerabilidades em alvos como sistemas operacionais e serviços. Também descreve como criar novos plugins para o scanner e fornece contatos do apresentador.
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Bruno Alexandre
Este documento resume uma palestra sobre como fortalecer a segurança de servidores Linux. Ele discute a importância de proteger servidores, apresenta conceitos de segurança como confidencialidade, integridade e disponibilidade. Ele também fornece detalhes sobre como configurar ferramentas como SSH e OSSEC HIDS para monitoramento e detecção de intrusos.
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
O documento discute técnicas avançadas de pentest, incluindo: (1) evasão de antivírus usando técnicas como edição de binários e encoding, (2) exploração de LFI combinada com outras vulnerabilidades para escrever comandos arbitrários no disco, (3) uso de netcat sem a ferramenta netcat para transferência de arquivos e backdoors.
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
O documento discute como a gerência de configurações pode melhorar a segurança através da automação e padronização de configurações em servidores. Ele explica como ferramentas como Puppet podem garantir que as configurações sejam aplicadas de forma consistente, documentada e escalonável em múltiplas máquinas, prevenindo erros e garantindo a segurança das configurações. Um exemplo mostra como Puppet pode agilizar o processo de criação de contas de usuário em vários servidores de forma automatizada.
O documento discute estratégias de segurança para servidores Linux, abordando tópicos como: 1) Hardening da instalação, configurações pós-instalação e controle de acessos; 2) Ferramentas de firewall e filtragem de tráfego; 3) Auditoria de acessos e configurações de senhas. O objetivo é fornecer uma visão geral dos principais aspectos de segurança a serem considerados.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
O documento fornece diretrizes sobre segurança no WordPress, incluindo: 1) Realizar backups regularmente e manter todas as versões atualizadas; 2) Configurar senhas fortes e evitar listagens de nomes de usuários; 3) Proteger arquivos sensíveis como wp-config.php e remover arquivos desnecessários.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
Este documento apresenta um resumo sobre técnicas e ferramentas para testes de invasão (penetration tests). Ele discute conceitos como preparação para testes, varredura de redes e sistemas, testes em aplicações web e ferramentas comuns. O documento enfatiza a importância da ética ao realizar testes e conclui afirmando que segurança deve ser abordada de forma pró-ativa.
Rafael apresentou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Rafael falou também um pouco dos próximos cursos da Academia Clavis: Auditoria de Segurança em Aplicações Web EAD e Teste de Invasão em Redes e Sistemas EAD.
http://www.blog.clavis.com.br/webinar-sobre-ferramentas-e-tecnicas-para-auditorias-teste-de-invasao/index.html
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute tópicos relacionados à segurança da informação, incluindo ameaças cibernéticas comuns, como vazamentos de dados e ataques DDoS, além de ferramentas e técnicas para teste de invasão em redes, como Nmap e ARP spoofing. O documento também aborda princípios e modelos de segurança como confidencialidade, integridade e disponibilidade da informação, e os modelos Bell-LaPadula, Biba e Clark-Wilson.
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
Este documento discute a importância da segurança da informação para as empresas e como o Ansible pode ser usado para automatizar o processo de hardening de sistemas Linux. Ele explica principais ameaças de segurança, o crescimento da área de segurança da informação, técnicas comuns de hardening e como o Ansible permite configurar, gerenciar e automatizar tarefas em servidores Linux de forma declarativa usando módulos e playbooks.
O documento analisa vulnerabilidades de segurança em um site, incluindo uma página php que expõe informações de configuração do servidor, arquivos que permitem download através de argumentos, e injeção de SQL que permite acesso completo ao banco de dados. Ele também discute técnicas de firewall de aplicação web e o software livre OSSIM para gerenciamento de eventos e segurança.
Este documento fornece instruções sobre como configurar e usar o OpenVAS para varredura de vulnerabilidades em redes. Ele descreve como instalar e executar os principais componentes do OpenVAS, atualizar plugins, solucionar problemas e executar um teste de varredura básico.
O documento discute sobre penetration testing (testes de invasão), fornecendo detalhes sobre o que é, como aprender a praticar, e as etapas envolvidas, incluindo preparação, coleta de informações, análise de vulnerabilidades, invasão e relatório. O autor também discute sobre laboratórios, ferramentas, e dicas para aprender a área de forma autodidata.
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas.
Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança.
Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas!
Conhecer melhor o adversário permite avaliar nossas fragilidades.
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
O documento discute a importância de proteger sistemas disponibilizados na web para manter a integridade e disponibilidade dos dados da organização e evitar ataques. Ele apresenta a metodologia PDHM (Planejar, Deploy, Harden, Monitor) para fortalecer a segurança, incluindo ajustes de configuração e ferramentas como Ossec HIDS para monitoramento.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
O documento discute técnicas de virtual patching para manter queijos suíços seguros de ratos, mencionando que ferramentas como Nginx, Naxsi e Modsecurity podem ser usadas para mitigar riscos de vulnerabilidades, mas requerem esforço técnico e não substituem correções de vulnerabilidades. Conscientização, capacitação e processos são fundamentais para gestão de segurança da informação.
O documento discute oportunidades e riscos de segurança relacionados à computação em nuvem, definindo o que é computação em nuvem, destacando seus benefícios, abordando riscos como abuso e uso malicioso, e apresentando a Cloud Security Alliance e seus projetos de certificação e controles de segurança.
The EVL series right-angle gearboxes from Nidec-Shimpo provide a compact, space-saving solution for applications where space is limited. They use a 1:1 spiral bevel gear to achieve a right-angle connection with up to 6 arc-min of backlash. The EVL series is available in a variety of frame sizes, ratios, and configurations to handle loads up to 600 nM. They are suitable for conveyor, packaging, and assembly automation equipment requiring sorting or multi-speed positioning.
TOR - Navegando na internet sem ser rastreadoAlexandro Silva
O documento descreve o que é o projeto TOR, como funciona e suas vantagens e desvantagens. O TOR (The Onion Router) é um software que permite navegar na internet de forma anônima, sendo desenvolvido originalmente pela Marinha dos EUA e atualmente mantido pela Electronic Frontier Foundation. Ele funciona encaminhando o tráfego da internet através de vários nós, ocultando a origem do usuário. As vantagens são o anonimato e proteção da privacidade, enquanto as desvantagens são a latência e bloque
1) O documento descreve uma vulnerabilidade de autenticação no JBoss que permite o acesso não autorizado à console de gerenciamento.
2) Foi identificado um worm que explora esta vulnerabilidade para infectar servidores JBoss e executar processos maliciosos.
3) As contramedidas incluem remover arquivos e diretórios suspeitos, matar processos indesejados, atualizar o JBoss e monitorar tentativas de intrusão.
O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
Este documento fornece informações sobre segurança em servidores Linux de acordo com a norma ISO 27002. Resume as principais técnicas para garantir a segurança dos servidores, incluindo hardening do sistema, políticas de acesso, monitoramento e logs.
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Thiago Dieb
Palestra demonstrou como é possível encontrar tutorias e dicas em sites conhecidos e famosos trazendo informações incompletas e algumas incoerentes sobre desenvolvimento seguro, influenciando desenvolvedores na criação de códigos vulneráveis. A partir desses exemplos será possível indicar as correções e provar como é fácil criar um código com falhas e se tornar mais uma vítima.
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceEdgar Silva
A cada dia mais e mais necessidades para soluções que envolvem tecnologias NoSQL surgem nas empresas, na verdade, novas maneiras de pensar em topologias e arquiteturas de sistemas vêm fazendo com que novas demandas e desafios sejam solucionados.
Com o novo hype de Cloud, várias soluções de PaaS vem surgindo como alternativa a empreendedores e pequenos investidores tornarem reais suas idéias, além de tirá-las do papel, muitos destas idéias são grandes casos de sucesso, e até novos gigantes da nova ordem da economia digital. Entretanto, vários movimentos como : Dados Públicos, Jogos Online em HTML5 para dispositivos móveis(Tablets, SmartPhones), Geolocalização, preferências etc, são casos de usos candidatos para começarem a serem desenvolvidos nestas infraestruturas, até gratuitas como o OpenShift.
Nesta apresentação, mostraremos como você pode utilizar o Openshift, o PaaS da Red Hat, em conjunto com tecnologias como MongoDB e Infinispan para atuarem como seu recurso de armazenamento de aplicações, aplicações estas que podem ser escritas em diversas linguagens, entre elas: Python, PHP, Java e Ruby.
Por muito tempo desenvolvedores e administradores de infraestrutura tentam fazer integrações para que a implantação (deployment) seja mais efetiva, com menos sofrimento ao portar do ambiente de desenvolvimento para homologação/produção.
Essa apresentação introduz ao movimento DevOps, que aproxima desenvolvedores e administradores de sistema (sysadmin), para que trabalhem em maior sinergia.
A proposta é ilustrar os pilares da cultura DevOps, bem como os softwares que a permeia, focada em ferramentas e práticas reais, com exemplos do ecossistema PHP.
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Thiago Dieb
Evento: 16º Fórum Internacional de Software Livre – Fisl 16
Data: 09/07/2015
Quando se está desenvolvendo, desde do Junior ao Sênior, se você não sabe, não lembra, então qual é a primeira ideia que lhe vem a cabeça?!
Os novos detentores do conhecimento, também denominados, buscados da internet possibilitam uma enorme quantidade de acesso a informações.
Diante disso, podemos afirmar que muito destes informações não estão corretas por completo, especificamente voltadas para o desenvolvimento de software.
Temos diversos exemplos, como tutorias de sites conhecidos e famosos, que por um motivo ou outro deixam de lado um teste de segurança ante de postar, pois eles ensinam aplicar uma camada de segurança que muitas vezes não fazem o que realmente pretendem.
Nosso objetivo é expor quais são as falhas, as principais recomendações de correção propostas nos diversos sites, e provar que sua grande maioria não estão totalmente corretos.
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...As Zone
O documento fornece dicas sobre desenvolvimento seguro, discutindo três vulnerabilidades comuns: injeção SQL, upload de arquivos e download/divulgação de arquivos locais. Ele alerta que artigos online sobre essas questões nem sempre são seguros e oferece conselhos como validação de entrada de dados e configurações de permissão para ajudar a evitar esses problemas.
O documento apresenta uma agenda para uma palestra sobre introdução a pentests e a era atual. A agenda inclui tópicos como quem são os palestrantes, mercado de trabalho para pentesters, tipos de pentests, demonstrações de pentests e desafios atuais como bypass de WAFs e evasão de sandboxs.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
See project - Segurança em Cloud Computing v2 FISL 11 2010Marcelo Fleury
O documento apresenta o See Project, uma plataforma open source para gerenciamento de ativos de segurança na nuvem. O See Project fornece ferramentas como firewall, webfilter, VPN e monitoramento para proteger ativos distribuídos na nuvem de forma centralizada. O documento também discute os desafios de segurança na nuvem e como o See Project aborda esses desafios por meio de arquitetura modular e funcionalidades como autenticação e criptografia.
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLfgsl
O documento fornece uma introdução ao Security Enhanced Linux (SELinux), descrevendo seus principais conceitos como o controle de acesso obrigatório, confinamento de processos em "sandboxs" e políticas de segurança focadas. Explica como o SELinux implementa controles de acesso mais finos do que o padrão Discretionary Access Control (DAC) do Linux e como foi desenvolvido originalmente pela NSA para aumentar a segurança do sistema.
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
1. O documento descreve os produtos e serviços da empresa Eleven Paths, especializada em segurança cibernética. 2. Um de seus principais produtos é o Latch, uma plataforma que fornece um segundo fator de autenticação baseado no bloqueio e desbloqueio remoto de identidades digitais. 3. O Latch permite controlar o acesso a aplicativos e serviços online de forma granular, aumentando a segurança ao reduzir a exposição causada pelo acesso 24 horas por dia.
1) O documento discute vários tópicos relacionados à segurança em servidores Linux, incluindo hardening da instalação, controle de acesso, firewalls, auditoria e autenticação.
2) A agenda inclui tópicos como hardening da instalação, mecanismos de proteção, controle de acessos, fortalecimento de serviços, soluções de segurança, planejamento do ambiente seguro e certificações.
3) O documento fornece dicas sobre como melhorar a segurança na instalação do Linux, como desat
O documento discute o framework JavaScript ExtJS para desenvolvimento de aplicações web ricas. Apresenta os conceitos de Rich Internet Application e frameworks para RIA, e explica porque ExtJS é um poderoso framework JavaScript, permitindo desenvolvimento de interfaces com componentes reutilizáveis de forma independente de linguagem de programação no backend. Demonstra exemplos básicos de uso de ExtJS, como criação de janelas, abas, grids e funcionalidades CRUD.
O documento fornece uma introdução sobre técnicas de teste de segurança, incluindo falsos positivos e negativos, camadas indetectáveis, análise de resultados com foco em riscos, criticidade e impacto. Também resume as principais fases de um pentest, como modelagem de ameaças, coleta de informações e exploração.
FLISOL 2011 Novo Hamburgo - Detectando falhas de segurança na Web com Softwar...Rafael Brinhosa
O documento discute a detecção de vulnerabilidades de segurança na web usando software livre. Ele descreve ferramentas como nmap, OWASP DirBuster e w3af que podem ser usadas para descobrir vulnerabilidades e testá-las através de abordagens de caixa-branca e caixa-preta. O documento também discute a importância de relatórios e métricas de segurança e o processo de correção de vulnerabilidades encontradas.
Detectando e Respondendo Incidentes de Segurança em Frontends Nginx utilizand...Jeronimo Zucco
O documento descreve como a UCS implementou a pilha ELK (Elasticsearch, Logstash, Kibana) para centralizar logs, criar dashboards de monitoramento e detectar incidentes de segurança nos frontends Nginx. Ele detalha a estrutura de rede da UCS, a rotina inicial de notificação de incidentes, a centralização de logs com ELK e como configurar o Nginx para bloquear ataques e extrair logs para notificação via Kibana.
Semelhante a Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Seginfo ) (20)
2. Proteja sua Hovercraft:
Mantendo sua nave livre dos
sentinelas
Alexandro Silva
alexos@alexos.org
http://alexos.org
@alexandrosilva
3. • Analista de segurança;
• Professor na Pós-graduação
em Segurança da
Informação;
• Consultor independente em
Segurança da Informação
com expertise em tecnologias
Open-Source.
4. Porque proteger seus sistemas
disponibilizados na Web?
• Para manter a integridade e disponibilidade
dos dados da sua organização;
• Para evitar que ataques como SQLi ,XSS entre
outros* afetem seus sistemas e a
imagem/produto da sua empresa.
* OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
10. Implantar ( Deploy )
O dilema da atualização:
●
● “Requisitos” da aplicação;
● Confiança na plataforma:
● Ex: FreeBSD, OpenBSD, Solaris
● MEDO!!!
11. Fortalecer ( Harden )
• Hardening
• Remoção dos serviços desnecessários;
• Política de senhas;
• Antivírus;
• Camadas extras de segurança ( e.g. SELinux ).
12. Fortalecer ( Harden )
Checklist Linux
● Hntool - http://migre.me/3SQHQ
● Linux Sec. Checklist Tool -
http://migre.me/3SQFY
● Bastille Linux - http://migre.me/3SRm3
13. Fortalecer ( Harden )
Checklist Windows
• Security Configuration Wizard - Incluído no
W2k3 e W2k8
• Harden-It - http://migre.me/3SQJR
14. Hands On
● Vulnerabilidades na infraestrutura:
● Falhas na configuração dos serviços ( Apache
e PHP )
● Vulnerabilidades no desenvolvimento:
● SQLi, XSS, RFI, LFI
15. Exploração - Hands On
• Vulnerabilidades no Apache e PHP
o nikto -h hackme
– Infos do Apache e PHP;
» Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9
– Vulnerabilidade do Xmlrpc;
» /xmlrpc.php: xmlrpc.php was found.
17. Harden - Hands On
• Ajustes no servidor Web
o Editar o /etc/apache2/conf.d/security
ServerTokens Prod
ServerSignature Off
TraceEnable Off
18. Harden - Hands On
• Ajustes no PHP
allow_url_fopen = Off # Impede RFI e LFI
display_errors = Off # Impede a exibição das mensagens de erros
magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege
contra ataques de SQLi
allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de
código malicioso.
expose_php = Off # Impede a exibição das informações sobre o PHP
register_globals = Off # Impede a execução de string maliciosas devido a falhas no
desenvolvimento.
20. Exploração - Hands On
●
Vulnerabilidades no desenvolvimento:
●
Vitima: http://hackme
●
SQLi teste: http://hackme/index.php?cat=1'
21. Harden - Hands On
• Camada extra de segurança
o Ossec Hids
Projeto do brasileiro Daniel Cid que integra
análise de log, checagem de integridade de
arquivos, monitoramento do registro do Windows,
politica centralizada, detecção de rootkit, alerta
em tempo real e resposta automática.