Clavis Segurança da Informação, profile picture
Carregado porClavis Segurança da Informação
1,004 visualizações

Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão

O documento aborda técnicas e ferramentas para testes de invasão (pentests), incluindo definições, metodologia e procedimentos de preparação. Ele detalha a importância de identificar riscos, testar redes e aplicações web, e descreve várias vulnerabilidades comuns e seus impactos. Além disso, apresenta uma lista de ferramentas essenciais para auditorias e testes de segurança.

Incorporar apresentação

Técnicas e Ferramental para Testes de Invasão (PenTests) Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
$ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • CSO (Clavis & Green Hat) • Pentester • Investigador Forense • Incident Handler • Hacker Ético (CEHv6 – ecc943687) • Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Definição • Preparação • Testando Redes e Sistemas • Testando Aplicações Web • Ferramentas • Dúvidas • Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Avaliar riscos e vulnerabilidades • Determinar eficácia de investimentos • Conformidade • Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Metodologia e Documentação ● Limitações e Ética ● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Detalhes da Infraestrutura • Acordo de confidencialidade (NDA) • Equipamento e recursos necessários • Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Objetivo/Propósito ● Alvos ● Profundidade ● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca) >> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Tratamento de questões especiais ● Falha no sistema alvo ● Dados sensíveis encontrados ● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Problemas • Não validação de dados externos • Não tratamento de erros • Falta de Canonicalização • Verificações Client-Side • Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções • Dados não esperados (e não tratados!) enviados para um interpretador • Interpretadores recebem strings e interpretam como comandos • SQL, Shell, LDAP, etc... • Injeção de SQL é disparado o mais comum! • Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SO • Dados enviados pelo usuário geram um comando que é passado ao sistema • Exemplo: DNS lookup em domínios passados pelo usuário • Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) • Dados maliciosos enviados ao browser do usuário • Podem estar em posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Gerência de Sessões e Autenticações • O protocolo HTTP é stateless • SESSION ID usado para gerir a “sessão” • A exposição do SESSION ID é tão perigosa quanto a de credenciais • Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc... • Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Referência Direta a Objetos Insegura • Não adianta esconder objetos • Controle de Acesso em camada de apresentação não funciona! • Force restrições server-side! • Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) • O browser da vítima é induzido à executar requisições • Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Canal Inseguro • A internet é pública e hostil! • Dados podem ser (e serão!) capturados • Utilize criptografia! • Atacantes podem visualizar e/ou modificar informações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Técnicas regem o ferramental ● A ética é muito importante (sempre!) ● “Grandes poderes trazem grandes responsabilidades” ● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 08, 10, 15, 17, 22 e 24 de Fevereiro de 2011; Carga horária: 18 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 26 de Março e 02, 09, 16 de Abril de 2011; Carga horária: 24 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 14, 18, 19, 25, 26, 27, 28 e 30 de abril de 2011 Carga Horária: 25 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: Em Andamento. Aguarde Novas Turmas. Carga Horária: 25 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 12 e 13 de agosto de 2011(sexta e sábado) Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Mais conteúdo relacionado

PDF
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
porSegInfo
 
PDF
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
porClavis Segurança da Informação
 
PDF
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
PDF
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
porSegInfo
 
PDF
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
porClavis Segurança da Informação
 
PDF
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
PDF
Webinar # 21 – Análise Forense de Redes
porClavis Segurança da Informação
 
ODP
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
porClavis Segurança da Informação
 
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
porSegInfo
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
porClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
porSegInfo
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
porClavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
porClavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
porClavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
porClavis Segurança da Informação
 

Mais procurados

PPT
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
porClavis Segurança da Informação
 
PDF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
porClavis Segurança da Informação
 
PDF
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
porVale Security Conference
 
PPTX
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
PDF
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
porClavis Segurança da Informação
 
PDF
Webinar Metasploit Framework - Academia Clavis
porClavis Segurança da Informação
 
PDF
Palestra Auditoria de Segurança em Redes sem Fio
porClavis Segurança da Informação
 
PDF
Palestra Clavis - Octopus
porClavis Segurança da Informação
 
PDF
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
porClavis Segurança da Informação
 
PDF
V SEGINFO - “Auditoria de Aplicações Web”
porClavis Segurança da Informação
 
PPT
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
porClavis Segurança da Informação
 
PDF
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
porClavis Segurança da Informação
 
PDF
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
porfgsl
 
PDF
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
PPTX
SQL Server ES - Visão geral sobre segurança
porDirceu Resende
 
PDF
Minicurso – Forense computacional “Análise de redes”
porJefferson Costa
 
PDF
Infosec e pentesting - Escolha o seu lado!
porLeandro Magnabosco
 
PPT
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
PPT
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
porClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
porClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
porClavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
porVale Security Conference
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
porClavis Segurança da Informação
 
Webinar Metasploit Framework - Academia Clavis
porClavis Segurança da Informação
 
Palestra Auditoria de Segurança em Redes sem Fio
porClavis Segurança da Informação
 
Palestra Clavis - Octopus
porClavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
porClavis Segurança da Informação
 
V SEGINFO - “Auditoria de Aplicações Web”
porClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
porClavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
porClavis Segurança da Informação
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
porfgsl
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
porLuiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
SQL Server ES - Visão geral sobre segurança
porDirceu Resende
 
Minicurso – Forense computacional “Análise de redes”
porJefferson Costa
 
Infosec e pentesting - Escolha o seu lado!
porLeandro Magnabosco
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
porClavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
porClavis Segurança da Informação
 

Semelhante a Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão

PDF
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
porClavis Segurança da Informação
 
PDF
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
PDF
2011 01-18.campus party 2011
porCampus Party Brasil
 
PDF
Soluções de Segurança da Informação para o mundo corporativo (Atualidade e pr...
porClavis Segurança da Informação
 
PDF
teste de invasão
porClaudio Francisco Joaquim Joaquim
 
PDF
"War Games – O que aprender com eles?" por @rafaelsferreira
porSegInfo
 
PDF
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
PDF
Palestra @hacknrio : City Tour Geek: a Wardriving day
porClavis Segurança da Informação
 
ODP
Seguranca 2011 uva
porClavis Segurança da Informação
 
PDF
Introdução de teste de segurança app web
porKleitor Franklint Correa Araujo
 
PDF
Pentest Auto-Ensinado
porLeandro Magnabosco
 
PPTX
ANÁLISE DE RISCOS E VULNERABILIDADES EBD 2.pptx
porssuserc3cd74
 
PDF
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
PDF
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
porGUTS-RS
 
PPTX
OWASP - Ferramentas
porCarlos Serrao
 
PPTX
Workshop - Fundamentos de Ethical Hacking
porKaique Bonato
 
PPTX
H2HC University 2014
porJoaquim Espinhara
 
PDF
Vale Security Conference - 2011 - 5 - Luiz Eduardo
porVale Security Conference
 
PPTX
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
PDF
Pentest cool
porAdilson Da Rocha
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
porClavis Segurança da Informação
 
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
porClavis Segurança da Informação
 
2011 01-18.campus party 2011
porCampus Party Brasil
 
Soluções de Segurança da Informação para o mundo corporativo (Atualidade e pr...
porClavis Segurança da Informação
 
teste de invasão
porClaudio Francisco Joaquim Joaquim
 
"War Games – O que aprender com eles?" por @rafaelsferreira
porSegInfo
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
porClavis Segurança da Informação
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
porClavis Segurança da Informação
 
Seguranca 2011 uva
porClavis Segurança da Informação
 
Introdução de teste de segurança app web
porKleitor Franklint Correa Araujo
 
Pentest Auto-Ensinado
porLeandro Magnabosco
 
ANÁLISE DE RISCOS E VULNERABILIDADES EBD 2.pptx
porssuserc3cd74
 
Testes de segurança em aplicações web
porSynergia - Engenharia de Software e Sistemas
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
porGUTS-RS
 
OWASP - Ferramentas
porCarlos Serrao
 
Workshop - Fundamentos de Ethical Hacking
porKaique Bonato
 
H2HC University 2014
porJoaquim Espinhara
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
porVale Security Conference
 
Teste de segurança em aplicações web ( sites )
porPablo Ribeiro
 
Pentest cool
porAdilson Da Rocha
 

Mais de Clavis Segurança da Informação

PPTX
Bsides SP 2022 - EPSS - Final.pptx
porClavis Segurança da Informação
 
PDF
Cloud Summit Canada com Rodrigo Montoro
porClavis Segurança da Informação
 
PDF
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
porClavis Segurança da Informação
 
PDF
A maldição do local admin - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
PDF
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
PDF
Palestra GlobalSign
porClavis Segurança da Informação
 
PDF
Palestra Exceda - Clavis 2016
porClavis Segurança da Informação
 
PDF
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
porClavis Segurança da Informação
 
PDF
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
porClavis Segurança da Informação
 
PDF
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
porClavis Segurança da Informação
 
PDF
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
porClavis Segurança da Informação
 
PDF
Webinar #18 – A Nova Lei de Cibercrimes
porClavis Segurança da Informação
 
PDF
Webinar # 17 – Análise de Malware em Forense Computacional
porClavis Segurança da Informação
 
PDF
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
porClavis Segurança da Informação
 
PDF
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
porClavis Segurança da Informação
 
Bsides SP 2022 - EPSS - Final.pptx
porClavis Segurança da Informação
 
Cloud Summit Canada com Rodrigo Montoro
porClavis Segurança da Informação
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
porClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
porClavis Segurança da Informação
 
Palestra GlobalSign
porClavis Segurança da Informação
 
Palestra Exceda - Clavis 2016
porClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
porClavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
porClavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
porClavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
porClavis Segurança da Informação
 
Webinar #18 – A Nova Lei de Cibercrimes
porClavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
porClavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
porClavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
porClavis Segurança da Informação
 

Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão

  • 1.
    Técnicas e Ferramentalpara Testes de Invasão (PenTests) Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2.
    $ whoami Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. • CSO (Clavis & Green Hat) • Pentester • Investigador Forense • Incident Handler • Hacker Ético (CEHv6 – ecc943687) • Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3.
    Agenda Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. • Definição • Preparação • Testando Redes e Sistemas • Testando Aplicações Web • Ferramentas • Dúvidas • Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4.
    Definição Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5.
    Definição Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Avaliar riscos e vulnerabilidades • Determinar eficácia de investimentos • Conformidade • Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6.
    Definição Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Metodologia e Documentação ● Limitações e Ética ● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7.
    Definição Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. • Detalhes da Infraestrutura • Acordo de confidencialidade (NDA) • Equipamento e recursos necessários • Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Objetivo/Propósito ● Alvos ● Profundidade ● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. >> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca) >> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12.
    Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Tratamento de questões especiais ● Falha no sistema alvo ● Dados sensíveis encontrados ● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14.
    Preparação Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15.
    Testando Redes eSistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16.
    Testando Redes eSistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17.
    Testando Redes eSistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18.
    Testando Redes eSistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Problemas • Não validação de dados externos • Não tratamento de erros • Falta de Canonicalização • Verificações Client-Side • Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções • Dados não esperados (e não tratados!) enviados para um interpretador • Interpretadores recebem strings e interpretam como comandos • SQL, Shell, LDAP, etc... • Injeção de SQL é disparado o mais comum! • Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SO • Dados enviados pelo usuário geram um comando que é passado ao sistema • Exemplo: DNS lookup em domínios passados pelo usuário • Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) • Dados maliciosos enviados ao browser do usuário • Podem estar em posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 27.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 28.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 29.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Gerência de Sessões e Autenticações • O protocolo HTTP é stateless • SESSION ID usado para gerir a “sessão” • A exposição do SESSION ID é tão perigosa quanto a de credenciais • Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc... • Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 30.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Referência Direta a Objetos Insegura • Não adianta esconder objetos • Controle de Acesso em camada de apresentação não funciona! • Force restrições server-side! • Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 31.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) • O browser da vítima é induzido à executar requisições • Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 32.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 33.
    Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Canal Inseguro • A internet é pública e hostil! • Dados podem ser (e serão!) capturados • Utilize criptografia! • Atacantes podem visualizar e/ou modificar informações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 34.
    Ferramentas Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 35.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 36.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 37.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 38.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 39.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 40.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 41.
    Ferramentas Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 42.
    Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Técnicas regem o ferramental ● A ética é muito importante (sempre!) ● “Grandes poderes trazem grandes responsabilidades” ● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 43.
    Dúvidas? Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 44.
    Próximos Eventos Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 45.
    Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 08, 10, 15, 17, 22 e 24 de Fevereiro de 2011; Carga horária: 18 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 46.
    Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 26 de Março e 02, 09, 16 de Abril de 2011; Carga horária: 24 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 47.
    Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 14, 18, 19, 25, 26, 27, 28 e 30 de abril de 2011 Carga Horária: 25 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 48.
    Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: Em Andamento. Aguarde Novas Turmas. Carga Horária: 25 horas; http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 49.
    Próximos Eventos Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 12 e 13 de agosto de 2011(sexta e sábado) Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 50.
    Próximos Eventos Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 51.
    Próximos Eventos Copyright© 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 52.
    Fim... Copyright ©2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.