SlideShare uma empresa Scribd logo
12 e 13 de agosto 2011 – Rio de janeiro/RJ
Proteja sua Hovercraft:
Mantendo sua nave livre dos
         sentinelas
           Alexandro Silva
         alexos@alexos.org
          http://alexos.org
          @alexandrosilva
• Analista de segurança;

• Professor na Pós-graduação
  em Segurança da
  Informação;

• Consultor independente em
  Segurança da Informação
  com expertise em tecnologias
  Open-Source.
Porque proteger seus sistemas
              disponibilizados na Web?
• Para manter a integridade e disponibilidade
  dos dados da sua organização;
• Para evitar que ataques como SQLi ,XSS entre
  outros* afetem seus sistemas e a
  imagem/produto da sua empresa.

* OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
E agora?!?! O que fazer??
Segurança coorporativa:
✔   Política de segurança:
    ●   Normatização, Conscientização.
✔   Proteção de borda:
    ●   Firewall ( IPS, Webanalyzer, AV, Antispam, etc).
✔   Proteção em profundidade:
    ●   Antivírus, HIDS.
    ●   E…
… Mão de obra especializada!!
Metodologia PDHM

• Plan - Planejar
• Deploy - Implantar
• Harden - Fortalecer
• Monitor - Monitorar
Implantar ( Deploy )
O dilema da atualização:
●

● “Requisitos” da aplicação;

● Confiança na plataforma:

  ● Ex: FreeBSD, OpenBSD, Solaris

● MEDO!!!
Fortalecer ( Harden )

• Hardening
   • Remoção dos serviços desnecessários;
   • Política de senhas;
   • Antivírus;
   • Camadas extras de segurança ( e.g. SELinux ).
Fortalecer ( Harden )
                 Checklist Linux
●   Hntool - http://migre.me/3SQHQ

●   Linux Sec. Checklist Tool -
http://migre.me/3SQFY

●   Bastille Linux - http://migre.me/3SRm3
Fortalecer ( Harden )
                Checklist Windows
• Security Configuration Wizard - Incluído no
 W2k3 e W2k8


• Harden-It - http://migre.me/3SQJR
Hands On
●   Vulnerabilidades na infraestrutura:
    ●   Falhas na configuração dos serviços ( Apache
        e PHP )
●   Vulnerabilidades no desenvolvimento:
    ●   SQLi, XSS, RFI, LFI
Exploração - Hands On

• Vulnerabilidades no Apache e PHP

  o nikto   -h hackme

      – Infos do Apache e PHP;
         » Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9
      – Vulnerabilidade do Xmlrpc;
         » /xmlrpc.php: xmlrpc.php was found.
Exploração - Hands On

●   Remote Code Execution Exploitation PoC
    ●   php wpx.php -h http://hackme -c 'system("id;uname -a");
    ●   php wpx.php -h http://hackme -c 'system("cat wp-config.php");
Harden - Hands On
• Ajustes no servidor Web

  o Editar   o /etc/apache2/conf.d/security

      ServerTokens Prod

      ServerSignature Off

      TraceEnable Off
Harden - Hands On

• Ajustes no PHP

allow_url_fopen = Off # Impede RFI e LFI

display_errors = Off # Impede a exibição das mensagens de erros

magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege
contra ataques de SQLi

allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de
código malicioso.

expose_php = Off # Impede a exibição das informações sobre o PHP

register_globals = Off # Impede a execução de string maliciosas devido a falhas no
desenvolvimento.
Exploração - Hands On

●   Testando:
    ●       nikto -h hackme
    ●       Remote Code Execution Exploitation PoC
        ●   php wpx.php -h http://hackme -c 'system("id;uname -a");
Exploração - Hands On

●
    Vulnerabilidades no desenvolvimento:

●
    Vitima: http://hackme

●
    SQLi teste: http://hackme/index.php?cat=1'
Harden - Hands On

• Camada extra de segurança

 o Ossec   Hids

   Projeto do brasileiro Daniel Cid que integra
   análise de log, checagem de integridade de
   arquivos, monitoramento do registro do Windows,
   politica centralizada, detecção de rootkit, alerta
   em tempo real e resposta automática.
Monitorar
• Acompanhar desempenho e a
  segurança é muito importante.

• Ferramentas:
  o Munin
  o Zabbix ou Nagios
  o Ossec HIDS
Contatos
Email: alexos@alexos.org
Site: http://alexos.org
Twitter:@alexandrosilva

Mais conteúdo relacionado

Mais procurados

Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
Bruno Alexandre
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
Juliana Félix
 
2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam
Mauro Risonho de Paula Assumpcao
 
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Bruno Alexandre
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
SegInfo
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
Jeronimo Zucco
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
SoftD Abreu
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
Leandrinho Vieira
 
Desenvolvimento seguro
Desenvolvimento seguroDesenvolvimento seguro
Desenvolvimento seguro
Marcelo Fleury
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Clavis Segurança da Informação
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Clavis Segurança da Informação
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
Leandro Magnabosco
 
Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes Corporativas
Higor Diego
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Tchelinux
 
Site invadido
Site invadidoSite invadido
Site invadido
Edilson Feitoza
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Mauro Risonho de Paula Assumpcao
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
Leandro Magnabosco
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Thiago Dieb
 

Mais procurados (18)

Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Segurança no Linux
Segurança no LinuxSegurança no Linux
Segurança no Linux
 
2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam2013 - 4 Google Open Source Jam
2013 - 4 Google Open Source Jam
 
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
Fortalecendo seus Servidores em Linux(Hardening) - Minimizando os ataques - S...
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Segurança Através de Gerência de Configurações
Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações
Segurança Através de Gerência de Configurações
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
WordCamp Porto Alegre - O WordPress é seguro. Inseguro é você.
 
Desenvolvimento seguro
Desenvolvimento seguroDesenvolvimento seguro
Desenvolvimento seguro
 
Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)Workshop Riosoft Auditoria Teste de Invasão(pentest)
Workshop Riosoft Auditoria Teste de Invasão(pentest)
 
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasãoWebinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
 
Segurança em Redes Corporativas
Segurança em Redes CorporativasSegurança em Redes Corporativas
Segurança em Redes Corporativas
 
Automatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus GuizolfiAutomatizando seu hardening com o Ansible - Matheus Guizolfi
Automatizando seu hardening com o Ansible - Matheus Guizolfi
 
Site invadido
Site invadidoSite invadido
Site invadido
 
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHCOficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
Oficina de Análise em Vulnerabilidades - Openvas4 - GaroaHC
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...Palestra DFJUG #java20 anos  - Web Hacking - desenvolva na defesa, jogando no...
Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...
 

Destaque

Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterModelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Dra. Camila Hamdan
 
Realidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grauRealidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grau
Brenda Lucena
 
Nave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de JaneiroNave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de Janeiro
maurizio zelada
 
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Dra. Camila Hamdan
 
áFrica do sul.
áFrica do sul.áFrica do sul.
áFrica do sul.
rosaband
 
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Instituto_Arquitetos
 
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
Dra. Camila Hamdan
 
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MGPercepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Maria Emília
 
Arquitectura e acustica
Arquitectura e acusticaArquitectura e acustica
Arquitectura e acustica
BLACKDUCK Company
 
He 2015-04 - acústica
He 2015-04 - acústicaHe 2015-04 - acústica
He 2015-04 - acústica
FlavioCLima
 
Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta
NetKids
 
Acustica da sala de cinema
Acustica da sala de cinemaAcustica da sala de cinema
Acustica da sala de cinema
Marco Aurélio Aurélio
 
Slide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susanaSlide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susana
Pet Mata Atlântica : Conservação e Desenvolvimento
 
Apostila formatada paisagismo
Apostila formatada paisagismoApostila formatada paisagismo
Apostila formatada paisagismo
Beatriz Goulart
 
Acustica isolamento
Acustica isolamentoAcustica isolamento
Acustica isolamento
Carlos Elson Cunha
 
Acústica
AcústicaAcústica
Acústica
AcústicaAcústica
A humanização do ambiente hospitalar
A humanização do ambiente hospitalarA humanização do ambiente hospitalar
A humanização do ambiente hospitalar
Eugenio Rocha
 
Slides artigo científico
Slides artigo científicoSlides artigo científico
Slides artigo científico
Tania Regina Leite
 
Humanização na saúde
Humanização na saúdeHumanização na saúde
Humanização na saúde
Humaniza Brasil
 

Destaque (20)

Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante MonsterModelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
Modelagem Digital UDF Projeto Nave e Lata de refrigerante Monster
 
Realidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grauRealidade Aumentada para alunos de 2º grau
Realidade Aumentada para alunos de 2º grau
 
Nave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de JaneiroNave Escola Planetário Rio de Janeiro
Nave Escola Planetário Rio de Janeiro
 
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
Maquete Virtual - UDF/4R (Tour Virtual) - Jogos em Realidade Virtual e Aument...
 
áFrica do sul.
áFrica do sul.áFrica do sul.
áFrica do sul.
 
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
Arquitetura e Projeto - Todos os mundos: um só mundo, arquitetura 21
 
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
GT 7_Car Tech_Inovação e Tecnologia UDF 1°/2013 (FORMULÁRIO)
 
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MGPercepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
Percepção e análise do espaço urbano - Jardim Canadá/Nova Lima MG
 
Arquitectura e acustica
Arquitectura e acusticaArquitectura e acustica
Arquitectura e acustica
 
He 2015-04 - acústica
He 2015-04 - acústicaHe 2015-04 - acústica
He 2015-04 - acústica
 
Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta Apresentação Projeto IASD Cidade Alta
Apresentação Projeto IASD Cidade Alta
 
Acustica da sala de cinema
Acustica da sala de cinemaAcustica da sala de cinema
Acustica da sala de cinema
 
Slide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susanaSlide de anisio pronto para apresentação de susana
Slide de anisio pronto para apresentação de susana
 
Apostila formatada paisagismo
Apostila formatada paisagismoApostila formatada paisagismo
Apostila formatada paisagismo
 
Acustica isolamento
Acustica isolamentoAcustica isolamento
Acustica isolamento
 
Acústica
AcústicaAcústica
Acústica
 
Acústica
AcústicaAcústica
Acústica
 
A humanização do ambiente hospitalar
A humanização do ambiente hospitalarA humanização do ambiente hospitalar
A humanização do ambiente hospitalar
 
Slides artigo científico
Slides artigo científicoSlides artigo científico
Slides artigo científico
 
Humanização na saúde
Humanização na saúdeHumanização na saúde
Humanização na saúde
 

Semelhante a Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Alexandro Silva
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Thiago Dieb
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
Impacta Eventos
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Thiago Dieb
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL  "a la carte"  num PaaS 100% Open SourceOpenShift: NoSQL  "a la carte"  num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
Edgar Silva
 
DevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na práticaDevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na prática
Ari Stopassola Junior
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Thiago Dieb
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
As Zone
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
Joaquim Espinhara
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
Leandro Lugaresi
 
See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010
Marcelo Fleury
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
fgsl
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
Marcelo Fleury
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
Tenchi Security
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton
Leandro Bennaton
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
Alessandro Silva
 
Hands-On – ExtJS
Hands-On – ExtJSHands-On – ExtJS
Hands-On – ExtJS
Fernando de Assis Rodrigues
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Alexandro Silva
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
Kleitor Franklint Correa Araujo
 

Semelhante a Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas (20)

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...Palestra - Darkmira Tour PHP 2016  - A ilusão das referências sobre desenvolv...
Palestra - Darkmira Tour PHP 2016 - A ilusão das referências sobre desenvolv...
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...
 
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
OpenShift: NoSQL  "a la carte"  num PaaS 100% Open SourceOpenShift: NoSQL  "a la carte"  num PaaS 100% Open Source
OpenShift: NoSQL "a la carte" num PaaS 100% Open Source
 
DevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na práticaDevOps: desenvolvedores e sysadmins cooperando na prática
DevOps: desenvolvedores e sysadmins cooperando na prática
 
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...
 
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
Fisl 16 - Nem tudo o que reluz é ouro. hackeando as principais dicas de dese...
 
H2HC University 2014
H2HC University 2014H2HC University 2014
H2HC University 2014
 
Palestra criando aplicações seguras com php (2)
Palestra  criando aplicações seguras com php (2)Palestra  criando aplicações seguras com php (2)
Palestra criando aplicações seguras com php (2)
 
See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010See project - Segurança em Cloud Computing v2 FISL 11 2010
See project - Segurança em Cloud Computing v2 FISL 11 2010
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
 
See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010See Project - Segurança em Cloud Computing FLISOL GO 2010
See Project - Segurança em Cloud Computing FLISOL GO 2010
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOps
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Hands-On – ExtJS
Hands-On – ExtJSHands-On – ExtJS
Hands-On – ExtJS
 
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
Mantendo o queijo-suíco seguro dos ratos através de virtual patching.
 
Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1Teste de segurança do lado servidor - Nível 1
Teste de segurança do lado servidor - Nível 1
 

Mais de SegInfo

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
SegInfo
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
SegInfo
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
SegInfo
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
SegInfo
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
SegInfo
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
SegInfo
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
SegInfo
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
SegInfo
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
SegInfo
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
SegInfo
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
SegInfo
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
SegInfo
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
SegInfo
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
SegInfo
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
SegInfo
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
SegInfo
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
SegInfo
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
SegInfo
 

Mais de SegInfo (19)

Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição Plano de captação SegInfo - 10a edição
Plano de captação SegInfo - 10a edição
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
 
Midiakit SegInfo 2015
Midiakit SegInfo 2015Midiakit SegInfo 2015
Midiakit SegInfo 2015
 
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSBConvite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
Convite de Patrocinio Workshop Seginfo 2014 - RJ e BSB
 
Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013Convite de Patrocinio Workshop Seginfo 2013
Convite de Patrocinio Workshop Seginfo 2013
 
Midiakit seginfo v05
Midiakit seginfo v05Midiakit seginfo v05
Midiakit seginfo v05
 
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
Segurança Cibernética – Oportunidades e Desafios na Administração Pública Fed...
 
"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito"ENG++: Permutation Oriented Programming" por Nelson Brito
"ENG++: Permutation Oriented Programming" por Nelson Brito
 
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
"A Guerra Cibernética e o novo Hacktivismo" por Anchises M. G. de Paula
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
 
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an..."Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
"Automated Malware Analysis" de Gabriel Negreira Barbosa, Malware Research an...
 
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão..."Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
"Projeto MUFFIN de Resposta a Incidentes – Uma receita para causar indigestão...
 
"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda"Cenário de Ameaças em 2011" por Mariano Miranda
"Cenário de Ameaças em 2011" por Mariano Miranda
 
A Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan BonaguraA Miopia do CSO por Jordan Bonagura
A Miopia do CSO por Jordan Bonagura
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por "Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
"Intrusion Techniques (Open Source Tools)" por Ewerson Guimarães por
 
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
"Segurança na web: uma janela de oportunidades" por Lucas Ferreira
 
"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini"How to track people using social media sites" por Thiago Bordini
"How to track people using social media sites" por Thiago Bordini
 
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
"Desafios em Computação Forense e Resposta a Incidentes de Segurança"?
 

Último

Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
Rafael Santos
 
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Annelise Gripp
 
Por que escolhi o Flutter - Campus Party Piauí.pdf
Por que escolhi o Flutter - Campus Party Piauí.pdfPor que escolhi o Flutter - Campus Party Piauí.pdf
Por que escolhi o Flutter - Campus Party Piauí.pdf
Ian Oliveira
 
Orientações para utilizar Drone no espaço Brasil
Orientações para utilizar Drone no espaço BrasilOrientações para utilizar Drone no espaço Brasil
Orientações para utilizar Drone no espaço Brasil
EliakimArajo2
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
anpproferick
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
tnrlucas
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
anpproferick
 

Último (7)

Gestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefíciosGestão de dados: sua importância e benefícios
Gestão de dados: sua importância e benefícios
 
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
Ferramentas e Técnicas para aplicar no seu dia a dia numa Transformação Digital!
 
Por que escolhi o Flutter - Campus Party Piauí.pdf
Por que escolhi o Flutter - Campus Party Piauí.pdfPor que escolhi o Flutter - Campus Party Piauí.pdf
Por que escolhi o Flutter - Campus Party Piauí.pdf
 
Orientações para utilizar Drone no espaço Brasil
Orientações para utilizar Drone no espaço BrasilOrientações para utilizar Drone no espaço Brasil
Orientações para utilizar Drone no espaço Brasil
 
PRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product ownerPRATICANDO O SCRUM Scrum team, product owner
PRATICANDO O SCRUM Scrum team, product owner
 
Como fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptxComo fui de 0 a lead na gringa em 3 anos.pptx
Como fui de 0 a lead na gringa em 3 anos.pptx
 
Teoria de redes de computadores redes .doc
Teoria de redes de computadores redes .docTeoria de redes de computadores redes .doc
Teoria de redes de computadores redes .doc
 

Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas

  • 1. 12 e 13 de agosto 2011 – Rio de janeiro/RJ
  • 2. Proteja sua Hovercraft: Mantendo sua nave livre dos sentinelas Alexandro Silva alexos@alexos.org http://alexos.org @alexandrosilva
  • 3. • Analista de segurança; • Professor na Pós-graduação em Segurança da Informação; • Consultor independente em Segurança da Informação com expertise em tecnologias Open-Source.
  • 4. Porque proteger seus sistemas disponibilizados na Web? • Para manter a integridade e disponibilidade dos dados da sua organização; • Para evitar que ataques como SQLi ,XSS entre outros* afetem seus sistemas e a imagem/produto da sua empresa. * OWASP Top Ten - http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
  • 5.
  • 6. E agora?!?! O que fazer??
  • 7. Segurança coorporativa: ✔ Política de segurança: ● Normatização, Conscientização. ✔ Proteção de borda: ● Firewall ( IPS, Webanalyzer, AV, Antispam, etc). ✔ Proteção em profundidade: ● Antivírus, HIDS. ● E…
  • 8. … Mão de obra especializada!!
  • 9. Metodologia PDHM • Plan - Planejar • Deploy - Implantar • Harden - Fortalecer • Monitor - Monitorar
  • 10. Implantar ( Deploy ) O dilema da atualização: ● ● “Requisitos” da aplicação; ● Confiança na plataforma: ● Ex: FreeBSD, OpenBSD, Solaris ● MEDO!!!
  • 11. Fortalecer ( Harden ) • Hardening • Remoção dos serviços desnecessários; • Política de senhas; • Antivírus; • Camadas extras de segurança ( e.g. SELinux ).
  • 12. Fortalecer ( Harden ) Checklist Linux ● Hntool - http://migre.me/3SQHQ ● Linux Sec. Checklist Tool - http://migre.me/3SQFY ● Bastille Linux - http://migre.me/3SRm3
  • 13. Fortalecer ( Harden ) Checklist Windows • Security Configuration Wizard - Incluído no W2k3 e W2k8 • Harden-It - http://migre.me/3SQJR
  • 14. Hands On ● Vulnerabilidades na infraestrutura: ● Falhas na configuração dos serviços ( Apache e PHP ) ● Vulnerabilidades no desenvolvimento: ● SQLi, XSS, RFI, LFI
  • 15. Exploração - Hands On • Vulnerabilidades no Apache e PHP o nikto -h hackme – Infos do Apache e PHP; » Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny9 – Vulnerabilidade do Xmlrpc; » /xmlrpc.php: xmlrpc.php was found.
  • 16. Exploração - Hands On ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a"); ● php wpx.php -h http://hackme -c 'system("cat wp-config.php");
  • 17. Harden - Hands On • Ajustes no servidor Web o Editar o /etc/apache2/conf.d/security ServerTokens Prod ServerSignature Off TraceEnable Off
  • 18. Harden - Hands On • Ajustes no PHP allow_url_fopen = Off # Impede RFI e LFI display_errors = Off # Impede a exibição das mensagens de erros magic_quotes_gpc = Off # Impede a execução de caracteres especiais Protege contra ataques de SQLi allow_url_include = Off # Impede o acesso a arquivos remotos, evitando injeção de código malicioso. expose_php = Off # Impede a exibição das informações sobre o PHP register_globals = Off # Impede a execução de string maliciosas devido a falhas no desenvolvimento.
  • 19. Exploração - Hands On ● Testando: ● nikto -h hackme ● Remote Code Execution Exploitation PoC ● php wpx.php -h http://hackme -c 'system("id;uname -a");
  • 20. Exploração - Hands On ● Vulnerabilidades no desenvolvimento: ● Vitima: http://hackme ● SQLi teste: http://hackme/index.php?cat=1'
  • 21. Harden - Hands On • Camada extra de segurança o Ossec Hids Projeto do brasileiro Daniel Cid que integra análise de log, checagem de integridade de arquivos, monitoramento do registro do Windows, politica centralizada, detecção de rootkit, alerta em tempo real e resposta automática.
  • 22.
  • 23. Monitorar • Acompanhar desempenho e a segurança é muito importante. • Ferramentas: o Munin o Zabbix ou Nagios o Ossec HIDS
  • 24.