Pentest web
-
Upload
allan-piter-pressi -
Category
Internet
-
view
176 -
download
5
Transcript of Pentest web
![Page 1: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/1.jpg)
![Page 2: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/2.jpg)
Teste de Intrusão em Aplicações Web
![Page 3: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/3.jpg)
About Me Professor na BandTec Consultor e Especialista em Segurança da Informação 20 anos de experiência em TI Pentester CSO, LPI, CEH, DRI, CISSP, OSCP
@allanpitter
facebook.com/allanpitter
br.linkedin.com/in/allanpitter
![Page 4: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/4.jpg)
Gosta de:
Tecnologia, Sistemas Operacionais, Redes de Computadores, Programação, Escrever Artigos, Documentação, Gerenciar Equipes, Desafios, Aprender, Compartilhar.
Características:
Autodidata, Analítico, Crítico, Competitivo, Persistente, Decidido.
Quem é você?
![Page 5: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/5.jpg)
Antes de começar….
![Page 6: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/6.jpg)
18 meses
Esta é a duração média para descoberta de uma fraude, segundo pesquisa efetuada pela Association of Certified Fraud Examiners (ACFE). Report to Nations – On Occupational Fraud and abuses / 2014 - www.acfe.com
![Page 7: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/7.jpg)
US$ 445bilhões
Segundo o CSIS esse foi o valor do prejuízo na economia global com crimes eletrônicos no ano de 2014.
![Page 8: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/8.jpg)
US$ 100bilhões
Esse é o investimento previsto para 2015 em segurança da informação. (Gartner)
![Page 9: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/9.jpg)
US$ 5dolaresEsse é o retorno para cada dólar investido em segurança
para as empresas.
![Page 12: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/12.jpg)
Tecnologia
Desktop Firewall IDS/IPS Applications
SQL Injection
Cross Site Scripting
Pattern-based Attack
Web Server Known
Vulnerabilities
Parameter Tampering
Cookie Poisoning
Segurança da camada frontal não para todos os vetores de ataque
Hacker
Users
Anti-spoofing
DoS
Port Scanning
Privileged users (DBAs,developers)
Databases
Suspicious Activity
Sensitive Data Unauthorized
Access
![Page 13: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/13.jpg)
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)
Superfície de Ataque
![Page 14: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/14.jpg)
OWASP - TOP 10 Vulnerabilidades Web
Injeção de código
Quebra de Autenticação
XSS
Acesso Direto a Objetos
Segurança Configurações
Exposição de Dados Sensíveis
Controle de Acesso
CSRF 9-Falhas Conhecidas
Redirecionamentos
1
2
3
4
8
7
6
5
9
10
![Page 15: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/15.jpg)
Metodolodias de Pentest
Testes realizados com base nos 66 controles apresentados pelo OWASP
TESTING GUIDE (v3.0): Information Gathering
Configuration Management Testing Business Logic Testing Authentication Testing Authorization testing
Session Management Testing Data Validation Testing
Denial of Service Testing Web Services Testing
Ajax Testing
![Page 18: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/18.jpg)
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
![Page 19: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/19.jpg)
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
![Page 20: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/20.jpg)
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
![Page 22: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/22.jpg)
Princípios da Segurança Web
Todas as entradas são vulneráveis até prova em
contrário
Ter uma noção das falhas não é suficiente
![Page 23: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/23.jpg)
Todas as entradas são vulneráveis…..
FácilCampos texto
Variáveis de URL
MédioCampos ocultos
CookiesDemais inputs
DifícilCabeçalho HTTP
![Page 26: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/26.jpg)
O que eu devo Aprender/fazer?
Automatizar a procura de falhas;Cobrir a maior superficie possível;Ter uma metodologia;Auditar, auditar, auditar…Fazer verificações manuais;Conhecer as diversas técnicas;Saber escolher um bom fornecedor;Refazer tudo novamente.
![Page 27: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/27.jpg)
Demonstração
![Page 31: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/31.jpg)
http://demo.testfire.net/XSS SQL
INJECTION
Força Bruta
Erros de Configuraçã
o
![Page 36: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/36.jpg)
O que você vê?http://
demo.testfire.net/default.aspx?
content=personal.htm
![Page 37: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/37.jpg)
Erros de Confighttp://
demo.testfire.net/default.aspx?
content=../bank/main.aspx.cs
%00.txt
![Page 38: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/38.jpg)
Nossa proposta de Pós-graduação
![Page 39: Pentest web](https://reader031.fdocumentos.tips/reader031/viewer/2022012316/55d58f96bb61eb75498b4585/html5/thumbnails/39.jpg)
Obrigado | :-)