Este documento fornece instruções sobre como proteger sistemas disponibilizados na web. Ele descreve uma metodologia chamada PDHM (Planejar, Implantar, Fortalecer, Monitorar) para garantir a segurança dos sistemas, incluindo remover serviços desnecessários, usar senhas fortes, monitorar atividades e detectar intrusões. Ferramentas como Ossec HIDS, Munin e Nmap são recomendadas para monitoramento e detecção de ameaças.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
O documento discute boas práticas de segurança para aplicações web PHP, cobrindo tópicos como injeção de código, autenticação, sessões, XSS, CSRF e outras vulnerabilidades do OWASP Top 10. Ele também fornece exemplos de como implementar filtros, hashes de senha, verificação de tokens e outras técnicas para melhorar a segurança.
Entender como as falhas na arquitetura web ocorrem, pode lhe ajudar a construir um código melhor e também pode abrir um novo mundo pra você se aventurar em pentest.
O documento discute estratégias de hardening de segurança para proteger sistemas e servidores, incluindo atualizações de sistemas operacionais, controle de acesso, configuração de firewalls e balanceadores de carga, parametrização segura de servidores web Apache e Nginx, e monitoramento contínuo para detecção precoce de ameaças.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento fornece instruções sobre como proteger sistemas disponibilizados na web. Ele descreve uma metodologia chamada PDHM (Planejar, Implantar, Fortalecer, Monitorar) para garantir a segurança dos sistemas, incluindo remover serviços desnecessários, usar senhas fortes, monitorar atividades e detectar intrusões. Ferramentas como Ossec HIDS, Munin e Nmap são recomendadas para monitoramento e detecção de ameaças.
Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.
TDC2018SP | Trilha Arq PHP - Seguranca de aplicacoes web com o uso de Boas pr...tdc-globalcode
O documento discute boas práticas de segurança para aplicações web PHP, cobrindo tópicos como injeção de código, autenticação, sessões, XSS, CSRF e outras vulnerabilidades do OWASP Top 10. Ele também fornece exemplos de como implementar filtros, hashes de senha, verificação de tokens e outras técnicas para melhorar a segurança.
Entender como as falhas na arquitetura web ocorrem, pode lhe ajudar a construir um código melhor e também pode abrir um novo mundo pra você se aventurar em pentest.
O documento discute estratégias de hardening de segurança para proteger sistemas e servidores, incluindo atualizações de sistemas operacionais, controle de acesso, configuração de firewalls e balanceadores de carga, parametrização segura de servidores web Apache e Nginx, e monitoramento contínuo para detecção precoce de ameaças.
Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação...Jeronimo Zucco
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
Introdução a Web Applications Firewalls - Apresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - http://www.owasp.org/index.php/Porto_Alegre
Este documento apresenta uma palestra sobre intrusão de redes e teste de penetração (pentest). Ele discute os preparativos, a metodologia, vetores de ataque comuns e ferramentas usadas em pentests, incluindo exploração de vulnerabilidades em redes Wi-Fi, sistemas Windows e Linux, e captura de tráfego de rede. O documento também fornece referências e contatos do palestrante.
1) A palestra discute conceitos de segurança no Linux, abordando segurança física, de rede e de dados.
2) É destacado que, apesar de existirem vírus para Linux, eles requerem acesso de root para se propagar e não se disseminam facilmente.
3) Diversas dicas são fornecidas, como manter software atualizado, configurar firewall e senhas seguras, e desconfiar da própria segurança.
O documento apresenta o scanner de vulnerabilidades OpenVAS5, discutindo sua arquitetura, instalação e uso para testar vulnerabilidades em alvos como sistemas operacionais e serviços. Também descreve como criar novos plugins para o scanner e fornece contatos do apresentador.
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Bruno Alexandre
Este documento resume uma palestra sobre como fortalecer a segurança de servidores Linux. Ele discute a importância de proteger servidores, apresenta conceitos de segurança como confidencialidade, integridade e disponibilidade. Ele também fornece detalhes sobre como configurar ferramentas como SSH e OSSEC HIDS para monitoramento e detecção de intrusos.
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
O documento discute técnicas avançadas de pentest, incluindo: (1) evasão de antivírus usando técnicas como edição de binários e encoding, (2) exploração de LFI combinada com outras vulnerabilidades para escrever comandos arbitrários no disco, (3) uso de netcat sem a ferramenta netcat para transferência de arquivos e backdoors.
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
O documento discute como a gerência de configurações pode melhorar a segurança através da automação e padronização de configurações em servidores. Ele explica como ferramentas como Puppet podem garantir que as configurações sejam aplicadas de forma consistente, documentada e escalonável em múltiplas máquinas, prevenindo erros e garantindo a segurança das configurações. Um exemplo mostra como Puppet pode agilizar o processo de criação de contas de usuário em vários servidores de forma automatizada.
O documento discute estratégias de segurança para servidores Linux, abordando tópicos como: 1) Hardening da instalação, configurações pós-instalação e controle de acessos; 2) Ferramentas de firewall e filtragem de tráfego; 3) Auditoria de acessos e configurações de senhas. O objetivo é fornecer uma visão geral dos principais aspectos de segurança a serem considerados.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
O documento fornece diretrizes sobre segurança no WordPress, incluindo: 1) Realizar backups regularmente e manter todas as versões atualizadas; 2) Configurar senhas fortes e evitar listagens de nomes de usuários; 3) Proteger arquivos sensíveis como wp-config.php e remover arquivos desnecessários.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
Este documento apresenta um resumo sobre técnicas e ferramentas para testes de invasão (penetration tests). Ele discute conceitos como preparação para testes, varredura de redes e sistemas, testes em aplicações web e ferramentas comuns. O documento enfatiza a importância da ética ao realizar testes e conclui afirmando que segurança deve ser abordada de forma pró-ativa.
Rafael apresentou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Rafael falou também um pouco dos próximos cursos da Academia Clavis: Auditoria de Segurança em Aplicações Web EAD e Teste de Invasão em Redes e Sistemas EAD.
http://www.blog.clavis.com.br/webinar-sobre-ferramentas-e-tecnicas-para-auditorias-teste-de-invasao/index.html
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute tópicos relacionados à segurança da informação, incluindo ameaças cibernéticas comuns, como vazamentos de dados e ataques DDoS, além de ferramentas e técnicas para teste de invasão em redes, como Nmap e ARP spoofing. O documento também aborda princípios e modelos de segurança como confidencialidade, integridade e disponibilidade da informação, e os modelos Bell-LaPadula, Biba e Clark-Wilson.
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
Este documento discute a importância da segurança da informação para as empresas e como o Ansible pode ser usado para automatizar o processo de hardening de sistemas Linux. Ele explica principais ameaças de segurança, o crescimento da área de segurança da informação, técnicas comuns de hardening e como o Ansible permite configurar, gerenciar e automatizar tarefas em servidores Linux de forma declarativa usando módulos e playbooks.
O documento analisa vulnerabilidades de segurança em um site, incluindo uma página php que expõe informações de configuração do servidor, arquivos que permitem download através de argumentos, e injeção de SQL que permite acesso completo ao banco de dados. Ele também discute técnicas de firewall de aplicação web e o software livre OSSIM para gerenciamento de eventos e segurança.
Este documento fornece instruções sobre como configurar e usar o OpenVAS para varredura de vulnerabilidades em redes. Ele descreve como instalar e executar os principais componentes do OpenVAS, atualizar plugins, solucionar problemas e executar um teste de varredura básico.
O documento discute sobre penetration testing (testes de invasão), fornecendo detalhes sobre o que é, como aprender a praticar, e as etapas envolvidas, incluindo preparação, coleta de informações, análise de vulnerabilidades, invasão e relatório. O autor também discute sobre laboratórios, ferramentas, e dicas para aprender a área de forma autodidata.
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas.
Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança.
Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas!
Conhecer melhor o adversário permite avaliar nossas fragilidades.
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterDra. Camila Hamdan
O documento apresenta 10 modelos 3D de uma nave espacial e de uma lata da marca Monster criados pelo aluno Matheus Azevedo de Araujo para o curso de Jogos Digitais no primeiro semestre de 2014 sob a orientação da professora Camila Hamdan.
Realidade Aumentada para alunos de 2º grauBrenda Lucena
O documento discute exemplos de Harry Potter, Exterminador do Futuro, Star Wars e Word Lens, e explica que esses exemplos ilustram a realidade aumentada, que envolve elementos virtuais se sobrepondo ao mundo real em tempo real.
A Nave Escola foi construída em 2004 no Planetário do Rio de Janeiro para apresentar aspectos do Cosmo de forma interativa e imersiva para estudantes, utilizando recursos multimídia, sons, maquetes e mecanismos dentro de um cenário elaborado.
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Dra. Camila Hamdan
Here is a summary of the document in 3 sentences or less:
[SUMMARY]
1. This partial report describes the development of virtual and augmented reality prototypes of the UDF building including a virtual tour of the building created using Unity 3D and a model of the building for augmented reality.
2. The report provides details on the creation of the virtual reality prototype, participation in academic events to present the research, and collaboration on websites and projects related to virtual and augmented reality.
3. The goal of the research is to use virtual and augmented reality technologies to create immersive experiences of the university campus and establish new ways to interact with the academic environment.
Este documento apresenta uma palestra sobre intrusão de redes e teste de penetração (pentest). Ele discute os preparativos, a metodologia, vetores de ataque comuns e ferramentas usadas em pentests, incluindo exploração de vulnerabilidades em redes Wi-Fi, sistemas Windows e Linux, e captura de tráfego de rede. O documento também fornece referências e contatos do palestrante.
1) A palestra discute conceitos de segurança no Linux, abordando segurança física, de rede e de dados.
2) É destacado que, apesar de existirem vírus para Linux, eles requerem acesso de root para se propagar e não se disseminam facilmente.
3) Diversas dicas são fornecidas, como manter software atualizado, configurar firewall e senhas seguras, e desconfiar da própria segurança.
O documento apresenta o scanner de vulnerabilidades OpenVAS5, discutindo sua arquitetura, instalação e uso para testar vulnerabilidades em alvos como sistemas operacionais e serviços. Também descreve como criar novos plugins para o scanner e fornece contatos do apresentador.
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Bruno Alexandre
Este documento resume uma palestra sobre como fortalecer a segurança de servidores Linux. Ele discute a importância de proteger servidores, apresenta conceitos de segurança como confidencialidade, integridade e disponibilidade. Ele também fornece detalhes sobre como configurar ferramentas como SSH e OSSEC HIDS para monitoramento e detecção de intrusos.
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
O documento discute técnicas avançadas de pentest, incluindo: (1) evasão de antivírus usando técnicas como edição de binários e encoding, (2) exploração de LFI combinada com outras vulnerabilidades para escrever comandos arbitrários no disco, (3) uso de netcat sem a ferramenta netcat para transferência de arquivos e backdoors.
Segurança Através de Gerência de ConfiguraçõesJeronimo Zucco
O documento discute como a gerência de configurações pode melhorar a segurança através da automação e padronização de configurações em servidores. Ele explica como ferramentas como Puppet podem garantir que as configurações sejam aplicadas de forma consistente, documentada e escalonável em múltiplas máquinas, prevenindo erros e garantindo a segurança das configurações. Um exemplo mostra como Puppet pode agilizar o processo de criação de contas de usuário em vários servidores de forma automatizada.
O documento discute estratégias de segurança para servidores Linux, abordando tópicos como: 1) Hardening da instalação, configurações pós-instalação e controle de acessos; 2) Ferramentas de firewall e filtragem de tráfego; 3) Auditoria de acessos e configurações de senhas. O objetivo é fornecer uma visão geral dos principais aspectos de segurança a serem considerados.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.Leandrinho Vieira
O documento fornece diretrizes sobre segurança no WordPress, incluindo: 1) Realizar backups regularmente e manter todas as versões atualizadas; 2) Configurar senhas fortes e evitar listagens de nomes de usuários; 3) Proteger arquivos sensíveis como wp-config.php e remover arquivos desnecessários.
O documento discute conceitos importantes de segurança como protocolo HTTP, criptografia, autenticação, autorização e vulnerabilidades como XSS e SQL injection. Ele também fornece orientações sobre desenvolvimento seguro, filtragem de dados, tokens, captchas e hardening.
Este documento apresenta um resumo sobre técnicas e ferramentas para testes de invasão (penetration tests). Ele discute conceitos como preparação para testes, varredura de redes e sistemas, testes em aplicações web e ferramentas comuns. O documento enfatiza a importância da ética ao realizar testes e conclui afirmando que segurança deve ser abordada de forma pró-ativa.
Rafael apresentou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Rafael falou também um pouco dos próximos cursos da Academia Clavis: Auditoria de Segurança em Aplicações Web EAD e Teste de Invasão em Redes e Sistemas EAD.
http://www.blog.clavis.com.br/webinar-sobre-ferramentas-e-tecnicas-para-auditorias-teste-de-invasao/index.html
Este documento apresenta um artigo sobre pentesting auto-ensinado. Ele discute as etapas de um pentest, incluindo preparação, coleta de informações, identificação de ameaças, análise de vulnerabilidades e invasão. Também aborda conceitos importantes, ferramentas e como construir um laboratório caseiro para praticar pentesting de forma ética.
O documento discute tópicos relacionados à segurança da informação, incluindo ameaças cibernéticas comuns, como vazamentos de dados e ataques DDoS, além de ferramentas e técnicas para teste de invasão em redes, como Nmap e ARP spoofing. O documento também aborda princípios e modelos de segurança como confidencialidade, integridade e disponibilidade da informação, e os modelos Bell-LaPadula, Biba e Clark-Wilson.
Automatizando seu hardening com o Ansible - Matheus GuizolfiTchelinux
Este documento discute a importância da segurança da informação para as empresas e como o Ansible pode ser usado para automatizar o processo de hardening de sistemas Linux. Ele explica principais ameaças de segurança, o crescimento da área de segurança da informação, técnicas comuns de hardening e como o Ansible permite configurar, gerenciar e automatizar tarefas em servidores Linux de forma declarativa usando módulos e playbooks.
O documento analisa vulnerabilidades de segurança em um site, incluindo uma página php que expõe informações de configuração do servidor, arquivos que permitem download através de argumentos, e injeção de SQL que permite acesso completo ao banco de dados. Ele também discute técnicas de firewall de aplicação web e o software livre OSSIM para gerenciamento de eventos e segurança.
Este documento fornece instruções sobre como configurar e usar o OpenVAS para varredura de vulnerabilidades em redes. Ele descreve como instalar e executar os principais componentes do OpenVAS, atualizar plugins, solucionar problemas e executar um teste de varredura básico.
O documento discute sobre penetration testing (testes de invasão), fornecendo detalhes sobre o que é, como aprender a praticar, e as etapas envolvidas, incluindo preparação, coleta de informações, análise de vulnerabilidades, invasão e relatório. O autor também discute sobre laboratórios, ferramentas, e dicas para aprender a área de forma autodidata.
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...Thiago Dieb
Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas.
Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança.
Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas!
Conhecer melhor o adversário permite avaliar nossas fragilidades.
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterDra. Camila Hamdan
O documento apresenta 10 modelos 3D de uma nave espacial e de uma lata da marca Monster criados pelo aluno Matheus Azevedo de Araujo para o curso de Jogos Digitais no primeiro semestre de 2014 sob a orientação da professora Camila Hamdan.
Realidade Aumentada para alunos de 2º grauBrenda Lucena
O documento discute exemplos de Harry Potter, Exterminador do Futuro, Star Wars e Word Lens, e explica que esses exemplos ilustram a realidade aumentada, que envolve elementos virtuais se sobrepondo ao mundo real em tempo real.
A Nave Escola foi construída em 2004 no Planetário do Rio de Janeiro para apresentar aspectos do Cosmo de forma interativa e imersiva para estudantes, utilizando recursos multimídia, sons, maquetes e mecanismos dentro de um cenário elaborado.
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Dra. Camila Hamdan
Here is a summary of the document in 3 sentences or less:
[SUMMARY]
1. This partial report describes the development of virtual and augmented reality prototypes of the UDF building including a virtual tour of the building created using Unity 3D and a model of the building for augmented reality.
2. The report provides details on the creation of the virtual reality prototype, participation in academic events to present the research, and collaboration on websites and projects related to virtual and augmented reality.
3. The goal of the research is to use virtual and augmented reality technologies to create immersive experiences of the university campus and establish new ways to interact with the academic environment.
A bandeira da África do Sul apresenta um "Y" deitado em seis cores que representam os diferentes grupos étnicos. O brasão de armas e o hino nacional foram modificados após o fim do apartheid para refletir a nova nação unificada. A gazela, o guindaste azul e o galjoen são respectivamente os animais nacional terrestre, voador e aquático da África do Sul.
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21Instituto_Arquitetos
Apresentação do arquiteto Tiago Holzmann, presidente do IAB-RS, feita no painel "Projeto - Todos os Mundos", realizado no dia 28 de março, no Instituto de Ensino Superior da Paraíba (IESP). Evento, promovido pelo IAB-PB, contou ainda com as participações de Pedro da Luz Moreira, presidente do IAB-RJ, e José Armênio de Brito Cruz, presidente do IAB-SP.
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)Dra. Camila Hamdan
Este formulário de inscrição descreve uma proposta de negócio para uma oficina mecânica que funcionaria durante a madrugada para realizar serviços em frotas de veículos empresariais. A inovação proposta é o horário de funcionamento para aproveitar o período de desuso das frotas. São fornecidos detalhes sobre os empreendedores, recursos humanos, produtos/serviços, análise de mercado, necessidades dos clientes, concorrência e recursos financeiros e estruturais necessários.
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MGMaria Emília
O documento descreve o Jardim Canadá, um espaço urbano em São Paulo, e analisa sua percepção e características. O jardim é um ponto de encontro para a comunidade local e possui áreas verdes que melhoram a qualidade de vida dos moradores, porém carece de manutenção adequada e sofre com a falta de segurança à noite.
O documento discute como a arquitetura e os materiais de construção afetam a acústica em edifícios para apresentações musicais. Ele explica como materiais absorventes e isolantes melhoram a qualidade do som e a inteligibilidade, e fornece exemplos de como igrejas e coretos antigos foram projetados para boa acústica sem esses materiais. O documento também destaca a Casa da Música no Porto como um exemplo moderno de projeto arquitetônico e de escolha de materiais focados na acústica.
Este documento discute conceitos de acústica como ondas estacionárias, modos, isolamento de vibração e ruído, e amortecedores de vibração. Ele também fornece detalhes sobre como medir e caracterizar ruído, tempos de reverberação, e respostas impulsivas. O documento é parte de um curso sobre acústica e fornece informações técnicas sobre o assunto.
O documento apresenta os detalhes de projeto de uma igreja, incluindo sua área total construída de 331,64m2 distribuída em dois pavimentos. A taxa de ocupação do terreno de 229,05m2 é de 72,3%. As vistas incluem detalhes da fachada, estrutura interna com púlpito, batistério e salas no primeiro e segundo pavimento.
O documento discute a importância da acústica para salas de cinema. Explica que a acústica estuda o som e as ondas sonoras, e que é crucial para garantir a correta propagação do áudio no ambiente da sala. Também descreve fenômenos como reflexão, reverberação, difração e refração das ondas sonoras, e como o tratamento acústico da sala, levando esses fatores em conta, é essencial para proporcionar uma boa qualidade de som.
O documento discute a visão de Anísio Teixeira sobre a educação ideal. Ele acreditava que a educação deveria se concentrar no desenvolvimento intelectual e capacidade de julgamento dos estudantes, em vez de memorização. Anísio Teixeira foi uma figura central na educação brasileira nas décadas de 1920 e 1930 e ajudou a difundir os princípios da Escola Nova.
Este documento discute conceitos relacionados a paisagismo, espaços de lazer e áreas livres públicas. Define paisagismo como a arte e ciência de ordenar o espaço exterior de acordo com as necessidades humanas e desejos estéticos. Explora como as áreas livres públicas, como praças e parques, desempenham papéis importantes na qualidade de vida urbana e no lazer da população. Apresenta diferentes classificações e tipos de áreas livres públicas.
O documento discute os conceitos de isolamento acústico e isolamento térmico. O isolamento acústico depende do peso e espessura do material, enquanto o isolamento térmico depende da quantidade de ar no material. O documento também lista os isolamentos acústicos de alguns materiais comuns e fornece referências bibliográficas.
O documento discute acústica, especificamente sobre a produção, transmissão e propriedades do som. O som é definido como uma onda mecânica longitudinal que requer um meio material para se propagar. A velocidade do som varia de acordo com o meio, sendo mais rápida em sólidos e mais lenta em gases. O som humanamente audível possui frequências entre 20-20.000 Hz.
El documento resume los conceptos básicos de la acústica. Explica que la acústica estudia el comportamiento del sonido y sus aplicaciones. Describe los efectos del ruido en la salud humana como interferencia en la comunicación, pérdida de audición temporal o permanente, perturbación del sueño y estrés. También define conceptos como amplitud, ciclo, frecuencia, ondas sonoras puras y compuestas, y la propagación y comportamiento del sonido al encontrarse con obstáculos.
O documento discute a humanização no ambiente hospitalar, definindo-a como um processo pessoal, interpessoal e institucional que prioriza a dignidade do profissional de saúde e do paciente. Ele aborda princípios humanitários como o ambiente físico e emocional do paciente, a comunicação com o paciente e familiares, e as relações na equipe de saúde.
O documento discute como empresas podem usar o Twitter para potencializar seus negócios. Ele explica que o Twitter pode ser usado para divulgação de marcas, monitoramento de imagem, gerenciamento de crises e relacionamento com clientes. Detalha a estratégia da Dell no Twitter de oferecer informações, cupons e links para vendas, o que resultou em milhões de dólares em vendas nos EUA e Brasil.
O documento discute a importância da humanização na saúde no Brasil. Apresenta os desafios do SUS em lidar com a dimensão subjetiva dos pacientes e a necessidade de melhorar a interação nas equipes de saúde. Defende que a humanização é fundamental para a produção de saúde, por meio do acolhimento e do protagonismo dos usuários na sua própria assistência.
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasAlexandro Silva
O documento discute a importância de proteger sistemas disponibilizados na web para manter a integridade e disponibilidade dos dados da organização e evitar ataques. Ele apresenta a metodologia PDHM (Planejar, Deploy, Harden, Monitor) para fortalecer a segurança, incluindo ajustes de configuração e ferramentas como Ossec HIDS para monitoramento.
O documento discute análise de vulnerabilidades em aplicações web, abordando princípios de sistemas web, ataques web, princípios de segurança web, OWASP, ferramentas de análise e auditoria, vulnerabilidades web e oportunidades. O documento também apresenta uma demonstração da ferramenta WebGoat para ensinar sobre segurança em aplicações web.
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...Thiago Dieb
No desenvolvimento de uma aplicação PHP, o procedimento adotado pela maioria, ainda continua sendo a pesquisa na internet para achar exemplos de códigos, utilizando o google, bing, e os diversos motores de busca.
O fator preocupante relaciona-se as buscas a respeito de desenvolvimento seguro, muito programados não sabem como criar seus código com segurança e consequentemente recorrerem à internet. A grande questão está voltada para a confiabilidade das informações publicadas nesses sites.
O objetivo da palestra é apresentar diversos códigos que estão predominantemente entre os primeiros resultados das pesquisas sobre desenvolvimento seguro e dentre os quais existem vulnerabilidades e problemas nas dicas e tutoriais descritos.
Além de demonstrar e explorar as vulnerabilidades dos códigos publicados, também será apresentado as correções e os procedimentos de teste.
Este documento fornece informações sobre segurança em servidores Linux de acordo com a norma ISO 27002. Resume as principais técnicas para garantir a segurança dos servidores, incluindo hardening do sistema, políticas de acesso, monitoramento e logs.
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Thiago Dieb
Palestra demonstrou como é possível encontrar tutorias e dicas em sites conhecidos e famosos trazendo informações incompletas e algumas incoerentes sobre desenvolvimento seguro, influenciando desenvolvedores na criação de códigos vulneráveis. A partir desses exemplos será possível indicar as correções e provar como é fácil criar um código com falhas e se tornar mais uma vítima.
OpenShift: NoSQL "a la carte" num PaaS 100% Open SourceEdgar Silva
A cada dia mais e mais necessidades para soluções que envolvem tecnologias NoSQL surgem nas empresas, na verdade, novas maneiras de pensar em topologias e arquiteturas de sistemas vêm fazendo com que novas demandas e desafios sejam solucionados.
Com o novo hype de Cloud, várias soluções de PaaS vem surgindo como alternativa a empreendedores e pequenos investidores tornarem reais suas idéias, além de tirá-las do papel, muitos destas idéias são grandes casos de sucesso, e até novos gigantes da nova ordem da economia digital. Entretanto, vários movimentos como : Dados Públicos, Jogos Online em HTML5 para dispositivos móveis(Tablets, SmartPhones), Geolocalização, preferências etc, são casos de usos candidatos para começarem a serem desenvolvidos nestas infraestruturas, até gratuitas como o OpenShift.
Nesta apresentação, mostraremos como você pode utilizar o Openshift, o PaaS da Red Hat, em conjunto com tecnologias como MongoDB e Infinispan para atuarem como seu recurso de armazenamento de aplicações, aplicações estas que podem ser escritas em diversas linguagens, entre elas: Python, PHP, Java e Ruby.
Por muito tempo desenvolvedores e administradores de infraestrutura tentam fazer integrações para que a implantação (deployment) seja mais efetiva, com menos sofrimento ao portar do ambiente de desenvolvimento para homologação/produção.
Essa apresentação introduz ao movimento DevOps, que aproxima desenvolvedores e administradores de sistema (sysadmin), para que trabalhem em maior sinergia.
A proposta é ilustrar os pilares da cultura DevOps, bem como os softwares que a permeia, focada em ferramentas e práticas reais, com exemplos do ecossistema PHP.
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Thiago Dieb
Evento: 16º Fórum Internacional de Software Livre – Fisl 16
Data: 09/07/2015
Quando se está desenvolvendo, desde do Junior ao Sênior, se você não sabe, não lembra, então qual é a primeira ideia que lhe vem a cabeça?!
Os novos detentores do conhecimento, também denominados, buscados da internet possibilitam uma enorme quantidade de acesso a informações.
Diante disso, podemos afirmar que muito destes informações não estão corretas por completo, especificamente voltadas para o desenvolvimento de software.
Temos diversos exemplos, como tutorias de sites conhecidos e famosos, que por um motivo ou outro deixam de lado um teste de segurança ante de postar, pois eles ensinam aplicar uma camada de segurança que muitas vezes não fazem o que realmente pretendem.
Nosso objetivo é expor quais são as falhas, as principais recomendações de correção propostas nos diversos sites, e provar que sua grande maioria não estão totalmente corretos.
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...As Zone
O documento fornece dicas sobre desenvolvimento seguro, discutindo três vulnerabilidades comuns: injeção SQL, upload de arquivos e download/divulgação de arquivos locais. Ele alerta que artigos online sobre essas questões nem sempre são seguros e oferece conselhos como validação de entrada de dados e configurações de permissão para ajudar a evitar esses problemas.
O documento apresenta uma agenda para uma palestra sobre introdução a pentests e a era atual. A agenda inclui tópicos como quem são os palestrantes, mercado de trabalho para pentesters, tipos de pentests, demonstrações de pentests e desafios atuais como bypass de WAFs e evasão de sandboxs.
Uma abordagem sobre técnicas de segurança para aplicações desenvolvidas em PHP, necessárias a qualquer um que tenha interesse em montar um software confiável. Irei abordar maneiras de reduzir os riscos de ataques, maneiras de proteger os usuários da sua aplicação e apresentar algumas bibliotecas e ferramentas Open Source para ajudar neste processo.
See project - Segurança em Cloud Computing v2 FISL 11 2010Marcelo Fleury
O documento apresenta o See Project, uma plataforma open source para gerenciamento de ativos de segurança na nuvem. O See Project fornece ferramentas como firewall, webfilter, VPN e monitoramento para proteger ativos distribuídos na nuvem de forma centralizada. O documento também discute os desafios de segurança na nuvem e como o See Project aborda esses desafios por meio de arquitetura modular e funcionalidades como autenticação e criptografia.
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLfgsl
O documento fornece uma introdução ao Security Enhanced Linux (SELinux), descrevendo seus principais conceitos como o controle de acesso obrigatório, confinamento de processos em "sandboxs" e políticas de segurança focadas. Explica como o SELinux implementa controles de acesso mais finos do que o padrão Discretionary Access Control (DAC) do Linux e como foi desenvolvido originalmente pela NSA para aumentar a segurança do sistema.
A Tenchi Security tem o prazer de convidá-lo para um evento da série de Security and Cloud. O formato é uma sequência de webinars para profissionais de operações, desenvolvimento, tecnologia e segurança da informação, dependendo do tema do webinar.
Nesta 1ª edição temos apoio da Aqua Security e iremos tratar do tema segurança de DevOps em ambientes de nuvem. Serão discutidos o uso de alta freqüência de deployment, pipelines de CI/CD, e o uso de containers ou adoção de aplicações serverless no contexto corporativo. Em especial, quais os benefícios para o negócio, os riscos à segurança da informação e os controles que o mercado tem adotado para mitigá-los.
O evento terá duração de 1 hora, sendo:
* 25 min - Apresentação de Segurança de DevOps por Alexandre Sieira, Fundador da da Tenchi Security;
* 25 min - Apresentação de Soluções de Segurança de Aplicativos Cloud Native por Carolina Bozza, Regional Sales Director da Aqua Security; e
* 10 min – Dúvidas e respostas.
Gravação do webinar pode ser assistida em https://youtu.be/ac339gAqtj4
1. O documento descreve os produtos e serviços da empresa Eleven Paths, especializada em segurança cibernética. 2. Um de seus principais produtos é o Latch, uma plataforma que fornece um segundo fator de autenticação baseado no bloqueio e desbloqueio remoto de identidades digitais. 3. O Latch permite controlar o acesso a aplicativos e serviços online de forma granular, aumentando a segurança ao reduzir a exposição causada pelo acesso 24 horas por dia.
1) O documento discute vários tópicos relacionados à segurança em servidores Linux, incluindo hardening da instalação, controle de acesso, firewalls, auditoria e autenticação.
2) A agenda inclui tópicos como hardening da instalação, mecanismos de proteção, controle de acessos, fortalecimento de serviços, soluções de segurança, planejamento do ambiente seguro e certificações.
3) O documento fornece dicas sobre como melhorar a segurança na instalação do Linux, como desat
O documento discute o framework JavaScript ExtJS para desenvolvimento de aplicações web ricas. Apresenta os conceitos de Rich Internet Application e frameworks para RIA, e explica porque ExtJS é um poderoso framework JavaScript, permitindo desenvolvimento de interfaces com componentes reutilizáveis de forma independente de linguagem de programação no backend. Demonstra exemplos básicos de uso de ExtJS, como criação de janelas, abas, grids e funcionalidades CRUD.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Alexandro Silva
O documento discute técnicas de virtual patching para manter queijos suíços seguros de ratos, mencionando que ferramentas como Nginx, Naxsi e Modsecurity podem ser usadas para mitigar riscos de vulnerabilidades, mas requerem esforço técnico e não substituem correções de vulnerabilidades. Conscientização, capacitação e processos são fundamentais para gestão de segurança da informação.
O documento fornece uma introdução sobre técnicas de teste de segurança, incluindo falsos positivos e negativos, camadas indetectáveis, análise de resultados com foco em riscos, criticidade e impacto. Também resume as principais fases de um pentest, como modelagem de ameaças, coleta de informações e exploração.
Semelhante a Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas (20)
O documento resume o Workshop SegInfo, um dos principais eventos de segurança da informação do Brasil. Ele descreve que o evento está em sua décima edição e promove a integração entre pesquisa, inovação e mercado. Além disso, lista palestrantes convidados e informações sobre datas, localização e público-alvo do evento.
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference)
Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana)
Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade.
A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBSegInfo
Temos a satisfação de anunciar que o IX SEGINFO está próximo. Amadurecido e com apelo nacional, a edição desse ano acontece tradicionalmente no Rio de Janeiro-RJ no dia 11 abril, no Centro de Convenções da Bolsa do Rio e pela primeira vez fora de sua cidade natal, no dia 14 agosto no Hotel Naoum Plaza em Brasília-DF.
Com o tema de SEGURANÇA OFENSIVA, o evento está estruturado para atendimento de um público executivo que está atento às novas preocupações de segurança e com poder de tomada de decisão para resolução das questões estratégicas de suas corporações.
A organização está preparando um conjunto de palestrantes e convidados que proporcionarão um espaço para apresentações de palestras, discussões e debates sobre assuntos como espionagem, proteção e defesa em ambientes críticos, cyber attacks e soluções evasivas de defesa, dentre outros.
Reserve sua agenda e acompanhe as próximas novidades no site do evento em http://www.seginfo.com.br/workshop/
Convite de Patrocinio Workshop Seginfo 2013SegInfo
O documento convida empresas a patrocinarem o VIII Workshop SEGINFO sobre Segurança da Informação, que ocorrerá em 29 de agosto de 2013 no Centro de Convenções da Bolsa do Rio. O evento contará com palestras, debates e cursos sobre novas ferramentas e soluções de segurança, e é uma oportunidade para networking entre executivos. Haverá opções de patrocínio Ouro, Prata e Bronze, com benefícios como sugestão de palestrantes, stand e divulgação.
O blog SegInfo publica conteúdo sobre segurança da informação desde 2010, com mais de 1.500 posts e milhares de seguidores nas redes sociais. Oferece anúncios e projetos como podcasts, workshops e campanhas para divulgar empresas do setor.
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...SegInfo
- O documento discute os desafios da segurança cibernética para o governo brasileiro, incluindo a proteção de informações, redes e sistemas governamentais contra ameaças cibernéticas em expansão.
- É destacada a necessidade de aprimorar as metodologias e cultura de segurança da informação, construir um marco legal contra ataques cibernéticos e atualizar normas de acordo com as novas tecnologias.
- O Gabinete de Segurança Institucional da Presidência da República é apontado
"ENG++: Permutation Oriented Programming" por Nelson BritoSegInfo
- Permutation Oriented Programming (POP) is a technique that aims to circumvent pattern-matching security solutions by analyzing vulnerabilities in depth to find alternatives and variants, intending to change the behavior of exploit developers and provide unpredictable payloads through randomness.
- POP focuses on manipulating the vulnerable ecosystem and memory rather than shellcode execution, aiming to exploit older vulnerabilities even when only mitigated instead of patched.
- By generating diverse variants, POP treats old exploits as new vulnerabilities not matched by signatures according to pattern-matching approaches.
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de PaulaSegInfo
O documento discute a guerra cibernética e o hacktivismo, destacando o vírus Stuxnet de 2010 e as ações do grupo Anonymous entre 2010-2011, como ataques DDoS contra empresas que se opunham ao Wikileaks. O documento também analisa as motivações por trás da guerra cibernética e do hacktivismo e suas implicações para o setor privado.
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...SegInfo
This document discusses automated malware analysis techniques used by Dissect || PE. It describes the challenges of processing large volumes of samples from different sources. The system uses a feed server, scheduler, unpackers, dissectors, and kernel driver. Samples are run in virtual machines and real machines. Plugins allow custom analysis. The architecture is scalable and supports community research through shared samples and results.
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...SegInfo
O documento apresenta o projeto MUFFIN, uma proposta de toolkit para resposta a incidentes que visa resolver as fraquezas das ferramentas atuais. O projeto sugere a criação de uma estrutura de diretórios para armazenar ferramentas homologadas para diferentes sistemas operacionais e automatizar a coleta de dados voláteis usando WFT ou batch scripts. Além disso, propõe redirecionar as saídas das ferramentas para hash ou rede criptografada para evitar alterações nos dados coletados.
"Cenário de Ameaças em 2011" por Mariano MirandaSegInfo
O documento discute as principais ameaças de segurança cibernética no segundo trimestre de 2011, incluindo a prevalência de falsos antivírus e exploit toolkits, em particular o Blackhole. Também destaca o crescimento de malwares assinados com certificados falsos, ameaças para dispositivos móveis como smartphones, e riscos crescentes associados a mídias sociais.
Jordan Bonagura apresenta sobre segurança da informação e como as empresas podem melhorar seus processos de segurança. Ele destaca problemas comuns como visão "inbox" em vez de "outbox", pseudo-segurança e falhas no processo construtivo. Bonagura fornece exemplos de vulnerabilidades encontradas em diversos setores e conclui destacando a necessidade de melhor integração com hackers e visão "outbox" para políticas de segurança.
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
O documento discute jogos de guerra e como eles podem ser usados para pesquisa, treinamento e avaliações de segurança da informação. Exemplos como capture a bandeira, fortalecimento de servidores e análise forense são apresentados, assim como casos de sucesso como o I SegInfo Wargames. Jogos de guerra podem testar novas vulnerabilidades e treinar equipes de resposta a incidentes, desde que realizados em ambientes controlados.
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por SegInfo
The document discusses various intrusion techniques used in hacking, including fingerprinting, web vulnerabilities, exploiting default passwords, brute force attacks, exploits, backdoors and rootkits, scanning and fuzzing tools, sniffers, Metasploit, and hardening systems. It provides examples of commands and tools for each technique to gather information and gain unauthorized access to systems, including Nmap, Cross-Site Scripting, SQL injection, command injection exploits, John the Ripper, Netcat, rootkits, Nessus, Wireshark, and HnTool. The presentation aims to demonstrate these hacking methods to attendees.
"Segurança na web: uma janela de oportunidades" por Lucas FerreiraSegInfo
O documento discute ações que podem ser tomadas para melhorar a segurança na web, incluindo por legisladores, órgãos de defesa do consumidor, órgãos de controle, instituições de ensino e pesquisa e órgãos governamentais. Essas ações incluem exigir requisitos de segurança em contratos governamentais, responsabilizar organizações por falhas de segurança e promover educação e pesquisa sobre segurança de aplicações.
"How to track people using social media sites" por Thiago BordiniSegInfo
O documento discute como as pessoas expõem muitas informações pessoais em mídias sociais e como isso pode ser usado para fins maliciosos. Ele resume os principais problemas com a exposição excessiva de dados, apresenta casos reais de como dados foram usados indevidamente e dá dicas sobre como se proteger melhor online.
As classes de modelagem podem ser comparadas a moldes ou
formas que definem as características e os comportamentos dos
objetos criados a partir delas. Vale traçar um paralelo com o projeto de
um automóvel. Os engenheiros definem as medidas, a quantidade de
portas, a potência do motor, a localização do estepe, dentre outras
descrições necessárias para a fabricação de um veículo
Em um mundo cada vez mais digital, a segurança da informação tornou-se essencial para proteger dados pessoais e empresariais contra ameaças cibernéticas. Nesta apresentação, abordaremos os principais conceitos e práticas de segurança digital, incluindo o reconhecimento de ameaças comuns, como malware e phishing, e a implementação de medidas de proteção e mitigação para vazamento de senhas.
Este certificado confirma que Gabriel de Mattos Faustino concluiu com sucesso um curso de 42 horas de Gestão Estratégica de TI - ITIL na Escola Virtual entre 19 de fevereiro de 2014 a 20 de fevereiro de 2014.
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...Faga1939
Este artigo tem por objetivo apresentar como ocorreu a evolução do consumo e da produção de energia desde a pré-história até os tempos atuais, bem como propor o futuro da energia requerido para o mundo. Da pré-história até o século XVIII predominou o uso de fontes renováveis de energia como a madeira, o vento e a energia hidráulica. Do século XVIII até a era contemporânea, os combustíveis fósseis predominaram com o carvão e o petróleo, mas seu uso chegará ao fim provavelmente a partir do século XXI para evitar a mudança climática catastrófica global resultante de sua utilização ao emitir gases do efeito estufa responsáveis pelo aquecimento global. Com o fim da era dos combustíveis fósseis virá a era das fontes renováveis de energia quando prevalecerá a utilização da energia hidrelétrica, energia solar, energia eólica, energia das marés, energia das ondas, energia geotérmica, energia da biomassa e energia do hidrogênio. Não existem dúvidas de que as atividades humanas sobre a Terra provocam alterações no meio ambiente em que vivemos. Muitos destes impactos ambientais são provenientes da geração, manuseio e uso da energia com o uso de combustíveis fósseis. A principal razão para a existência desses impactos ambientais reside no fato de que o consumo mundial de energia primária proveniente de fontes não renováveis (petróleo, carvão, gás natural e nuclear) corresponde a aproximadamente 88% do total, cabendo apenas 12% às fontes renováveis. Independentemente das várias soluções que venham a ser adotadas para eliminar ou mitigar as causas do efeito estufa, a mais importante ação é, sem dúvidas, a adoção de medidas que contribuam para a eliminação ou redução do consumo de combustíveis fósseis na produção de energia, bem como para seu uso mais eficiente nos transportes, na indústria, na agropecuária e nas cidades (residências e comércio), haja vista que o uso e a produção de energia são responsáveis por 57% dos gases de estufa emitidos pela atividade humana. Neste sentido, é imprescindível a implantação de um sistema de energia sustentável no mundo. Em um sistema de energia sustentável, a matriz energética mundial só deveria contar com fontes de energia limpa e renováveis (hidroelétrica, solar, eólica, hidrogênio, geotérmica, das marés, das ondas e biomassa), não devendo contar, portanto, com o uso dos combustíveis fósseis (petróleo, carvão e gás natural).
2. Proteja sua Hovercraft:
Mantendo sua nave livre dos
sentinelas
Alexandro Silva
alexos@alexos.org
http://alexos.org
@alexandrosilva
3. • Analista de segurança;
• Professor na Pós-graduação
em Segurança da
Informação;
• Consultor independente em
Segurança da Informação
com expertise em tecnologias
Open-Source.
4. Porque proteger seus sistemas
disponibilizados na Web?
• Para manter a integridade e disponibilidade
dos dados da sua organização;
• Para evitar que ataques como SQLi ,XSS entre
outros* afetem seus sistemas e a
imagem/produto da sua empresa.
* OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
10. Implantar ( Deploy )
O dilema da atualização:
●
● “Requisitos” da aplicação;
● Confiança na plataforma:
● Ex: FreeBSD, OpenBSD, Solaris
● MEDO!!!
11. Fortalecer ( Harden )
• Hardening
• Remoção dos serviços desnecessários;
• Política de senhas;
• Antivírus;
• Camadas extras de segurança ( e.g. SELinux ).
12. Fortalecer ( Harden )
Checklist Linux
● Hntool - http://migre.me/3SQHQ
● Linux Sec. Checklist Tool -
http://migre.me/3SQFY
● Bastille Linux - http://migre.me/3SRm3
13. Fortalecer ( Harden )
Checklist Windows
• Security Configuration Wizard - Incluído no
W2k3 e W2k8
• Harden-It - http://migre.me/3SQJR
14. Hands On
● Vulnerabilidades na infraestrutura:
● Falhas na configuração dos serviços ( Apache
e PHP )
● Vulnerabilidades no desenvolvimento:
● SQLi, XSS, RFI, LFI
15. Exploração - Hands On
• Vulnerabilidades no Apache e PHP
o nikto -h hackme
– Infos do Apache e PHP;
» Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9
– Vulnerabilidade do Xmlrpc;
» /xmlrpc.php: xmlrpc.php was found.
17. Harden - Hands On
• Ajustes no servidor Web
o Editar o /etc/apache2/conf.d/security
ServerTokens Prod
ServerSignature Off
TraceEnable Off
18. Harden - Hands On
• Ajustes no PHP
allow_url_fopen = Off # Impede RFI e LFI
display_errors = Off # Impede a exibição das mensagens de erros
magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege
contra ataques de SQLi
allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de
código malicioso.
expose_php = Off # Impede a exibição das informações sobre o PHP
register_globals = Off # Impede a execução de string maliciosas devido a falhas no
desenvolvimento.
20. Exploração - Hands On
●
Vulnerabilidades no desenvolvimento:
●
Vitima: http://hackme
●
SQLi teste: http://hackme/index.php?cat=1'
21. Harden - Hands On
• Camada extra de segurança
o Ossec Hids
Projeto do brasileiro Daniel Cid que integra
análise de log, checagem de integridade de
arquivos, monitoramento do registro do Windows,
politica centralizada, detecção de rootkit, alerta
em tempo real e resposta automática.