O documento discute o desenvolvimento de sistemas web e web spiders. Ele apresenta o que é um web spider, casos de uso, como minerar dados da web, APIs para desenvolvimento, trabalhar com formulários e cookies, spoofing de user agent, autenticação, passagem de certificados SSL e uso de proxys. O documento também discute scanners, fuzzers e hacks relacionados à automação na web.
Identifique brechas, proteja sua aplicação | Php avenger e octopusLeonn Leite
Apresentação ministrada no PHP Community Summit, em São Paulo, promovido pela Locaweb, no dia 01/09/2017.
O PHP Avenger e Octopus são ferramentas criadas para auxiliar segurança nas suas aplicações.
Identifique brechas, proteja sua aplicação | Php avenger e octopusLeonn Leite
Apresentação ministrada no PHP Community Summit, em São Paulo, promovido pela Locaweb, no dia 01/09/2017.
O PHP Avenger e Octopus são ferramentas criadas para auxiliar segurança nas suas aplicações.
Neste talk você vai aprender alguns hacks de JavaScript úteis na prática. Entendendo quando e como usá-las de forma que torne suas aplicações JavaScript/Meteor/Node.js mais rápidas.
Ph pn rio 2012 - conheça seu primeiro banco de dados orientado a grafosSuissa
Palestra apresentada no PHPnRIo 2013.
Pequena introdução sobre NoSQL e o modelo de grafos. Explicação de como o Neo4J funciona e exemplificação utilizando códigos. Finalizando com um pequeno exemplo de rede social com Neo4J e PHP.
Lightning talk apresentada no MeetUp PHPRS subseção Canela/Gramado no dia 26/11/2016 - hotel Klein Ville de Canela (RS):
http://www.meetup.com/pt-BR/PHP-RS/events/234978772/
Palestra da phpx2016 que fala sobre como utilizar certificados no lado do cliente. Exemplo de aplicação em Mobile e os benefícios que o certificado provê.
Conhecimento compartilhado no PGDay PR 2015 em Curitiba, UTFPR. Falamos sobre como usar a extensibilidade do PostgreSQL para torná-lo um servidor WEB. Passeamos sobre temas como Javascript, Websockets, plv8, background workers e outras coisas.
Zabbix Conference LatAm 2016 - Andre Deo - SNMP and ZabbixZabbix
The aim of the lecture is to discuss the main questions people have when using SNMP with Zabbix. Will present an overview of SNMP, MIBs, Net-SNMP and items used in Zabbix templates.
Neste talk você vai aprender alguns hacks de JavaScript úteis na prática. Entendendo quando e como usá-las de forma que torne suas aplicações JavaScript/Meteor/Node.js mais rápidas.
Ph pn rio 2012 - conheça seu primeiro banco de dados orientado a grafosSuissa
Palestra apresentada no PHPnRIo 2013.
Pequena introdução sobre NoSQL e o modelo de grafos. Explicação de como o Neo4J funciona e exemplificação utilizando códigos. Finalizando com um pequeno exemplo de rede social com Neo4J e PHP.
Lightning talk apresentada no MeetUp PHPRS subseção Canela/Gramado no dia 26/11/2016 - hotel Klein Ville de Canela (RS):
http://www.meetup.com/pt-BR/PHP-RS/events/234978772/
Palestra da phpx2016 que fala sobre como utilizar certificados no lado do cliente. Exemplo de aplicação em Mobile e os benefícios que o certificado provê.
Conhecimento compartilhado no PGDay PR 2015 em Curitiba, UTFPR. Falamos sobre como usar a extensibilidade do PostgreSQL para torná-lo um servidor WEB. Passeamos sobre temas como Javascript, Websockets, plv8, background workers e outras coisas.
Zabbix Conference LatAm 2016 - Andre Deo - SNMP and ZabbixZabbix
The aim of the lecture is to discuss the main questions people have when using SNMP with Zabbix. Will present an overview of SNMP, MIBs, Net-SNMP and items used in Zabbix templates.
Talk presented at Meetup Laravel SP #3 about docker from basics to docker orchestration.
Presented in 2015-05-07
Video da apresentação:
https://youtu.be/mR2px-mKjd0
Palestra aplicada no Serpro BH cobrindo uma introdução ao Rails e ao Ruby em conjunto com seu ecosistema.
Obrigado Fábio Akita por ceder vários slides (http://www.slideshare.net/akitaonrails)
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
A palestra tem como objetivo mostrar os conceitos e funcionamento de algumas funcionalidades que foram adicionadas ao HTML5, levando em consideração os aspectos de segurança do client-side. Para as funcionalidades destacadas, foram criados cenários de ataques visando ilustrar a obtenção de informações sensíves armazenadas no browser ou até mesmo usar o browser da vítima para lançar ataques contra outros sistemas. Através da exploração das funcionalidades existentes no HTML5, técnicas de exploração como XSS e CSRF, tornam-se mais poderosas e eficientes, sendo possível em alguns casos contornar algumas restrições do Same Origin Policiy (SOP).
Palestra ministrada no OWASP Floripa Day - Florianópolis - SC |
Programadores desenvolvem código como se não houvesse amanhã e pouco se investe na validação de segurança de código. A palestra aborda práticas de revisão de segurança de código e como deve ser adotado a prática em um processo de desenvolvimento de software.
Apresentação feita no Rochester Security Summit 2010 sobre o incremento do cyber crime nos países em desenvolvimento e como os projetos do OWASP podem ser utilizados para mudar esta realidade.
2. Coolers-lab $ whoami
Antonio Costa “Cooler_”
• Experiência de 4 anos com desenvolvimento de sistemas web
e web spiders em geral,soluções para problemas em unix...
• Desenvolvedor e pesquisador .
• Faço parte do grupo de pesquisa BugSec.
• Fundador da E-zine Cogumelo Binario.
• Programador em ASM,C,C++,Common Lisp,Perl,PHP...
• Trabalho atualmente na CONVISO.
https://github.com/CoolerVoid/
Http://www.bugsec.com.br
@Cooler_freenode
3. Agenda
• O que é um Web Spider ?
• Casos de uso
• Minerando dados
• APIs para ajudar no desenvolvimento
• Trabalhando com formulários e cookies
• Spoofing de user agent
• Autenticação,captcha e OAUTH
• Passando certificados com SSL
• Uso de proxys
• Scanners,fuzzers, Hacks...
4. O que é um Web Spider ?
Códigos exemplos da apresentação !
code.google.com/p/bugsec/
downloads/list
• owasp_cooler.zip
5. O que é um Web Spider ?
• Geralmente trabalha nos protocolos
• HTTP e HTTPs
6. O que é um Web Spider ?
• E agora como fazer abstração do conteúdo ?
7. O que é um Web Spider ?
• Exemplo usando sockets
simples
• arquivo ex1.c
• Leia
rfc2616
8. O que é um Web Spider ?
• send()
“GET /index.php
HTTP/1.1nHost: localhost t n
“
• Então para pegar a resposta
um read()
• Como resultado temos o source da página :-)
10. O que é um Web Spider ?
• Exemplo
• servidor HTTP
• Arquivo ex2.c
11. O que é um Web Spider ?
• Exemplo
• servidor HTTP programa ex2.c
• Se receber qualquer dado então
• String para write() vai ser
• "HTTP/1.1 200
Oknn<html>codigo em
html<br><b>BUGSEC</b></htm
l>n"
23. APIs para ajudar no
desenvolvimento
• Ruby a gem Mechanize,curl...
• Perl no CPAN temos
LWP,WWW::Mechanize,curl...
• Python requests...
• Java,PHP,Common Lisp,C++...
• Não precisa recriar a roda com sockets!
26. Trabalhando com
formulários e cookies
• Sempre que temos input no protocolo
HTTP temos como os mais populares
métodos POST e GET.
• Em RestFul temos outros como
Delete,Put...
• Outras entradas também “User Agent”
28. POST e GET com libcurl
POST:
curl_easy_setopt(curl,
CURLOPT_POSTFIELDS,
"bugsec=1&floripa=praia");
GET:
curl_easy_setopt(curl, CURLOPT_URL,
"http://www.bugsec.com.br/site.jsp?var=1");
29. POST e GET com libcurl
Vide ex3.c
COOKIE:
res = curl_easy_setopt(curl,
CURLOPT_COOKIELIST,
"Set-Cookie: quem=nozes");
curl_easy_setopt(curl,
CURLOPT_COOKIEJAR,
"cookie.txt");
31. Spoofing de User Agent
• Como mudar o User Agent ?
• curl_setopt (curl, CURLOPT_USERAGENT,
"Mozilla/5.0 NetBSD 4.1");
• Analisar como a aplicação se comporta com
diferentes User Agent.
• Enganar sistemas anti-bots que usam
blacklists.
36. Autenticação,
captcha e OAUTH
• HTTP AUTH , o mais fácil de brutar :-)
37. Autenticação,
captcha e OAUTH
• Green Fairy – Programa para brute force de auth HTTP
• https://github.com/CoolerVoid/Fairy
• Fácil para entender
• curl_easy_setopt(curl_handle,
CURLOPT_HTTPAUTH, CURLAUTH_ANY);
• curl_easy_setopt(curl_handle,
CURLOPT_USERPWD, auth);
• auth==”admin:password”
38. Autenticação,
captcha e OAUTH
• Captcha o que é ?
• Como quebrar um captcha ?
39. Autenticação,
captcha e OAUTH
• OAUTH o que é ?
• Facebook
• twitter
• APIs
• Tokens
• http://oauth.net
40. Automação no web
browser
• PTC ( Paid to Click) ,Pagam por Cliques !
• AdSense como google ,
buscapé,submarino,zura...
• Neobux , adbux ,landbux...
irc.makecash.org
42. Scanners,fuzzers, hacks...
• Um Scanner
• Site.com/index.jsp?var=!&x=0!
• Onde temos “!” será trocado
por um PAYLOAD, então enviamos
“Request”.
• Logo depois será feito uma busca por
strings suspeitas na “Response”.