pentest web
TRANSCRIPT
Teste de Intrusão em Aplicações Web
About Me Professor na BandTec Consultor e Especialista em Segurança da Informação 20 anos de experiência em TI Pentester CSO, LPI, CEH, DRI, CISSP, OSCP
@allanpitter
facebook.com/allanpitter
br.linkedin.com/in/allanpitter
Gosta de:
Tecnologia, Sistemas Operacionais, Redes de Computadores, Programação, Escrever Artigos, Documentação, Gerenciar Equipes, Desafios, Aprender, Compartilhar.
Características:
Autodidata, Analítico, Crítico, Competitivo, Persistente, Decidido.
Quem é você?
Antes de começar….
18 meses
Esta é a duração média para descoberta de uma fraude, segundo pesquisa efetuada pela Association of Certified Fraud Examiners (ACFE). Report to Nations – On Occupational Fraud and abuses / 2014 - www.acfe.com
US$ 445bilhões
Segundo o CSIS esse foi o valor do prejuízo na economia global com crimes eletrônicos no ano de 2014.
US$ 100bilhões
Esse é o investimento previsto para 2015 em segurança da informação. (Gartner)
US$ 5dolaresEsse é o retorno para cada dólar investido em segurança
para as empresas.
Tecnologia
Desktop Firewall IDS/IPS Applications
SQL Injection
Cross Site Scripting
Pattern-based Attack
Web Server Known
Vulnerabilities
Parameter Tampering
Cookie Poisoning
Segurança da camada frontal não para todos os vetores de ataque
Hacker
Users
Anti-spoofing
DoS
Port Scanning
Privileged users (DBAs,developers)
Databases
Suspicious Activity
Sensitive Data Unauthorized
Access
Contas de E-mails (spammers)
E-commerce (cartões de créditos)
Base de Clientes (informações cadastrais)
Visibilidade e Abrangência (volume de acesso)
Hospedagem (fake pages)
Superfície de Ataque
OWASP - TOP 10 Vulnerabilidades Web
Injeção de código
Quebra de Autenticação
XSS
Acesso Direto a Objetos
Segurança Configurações
Exposição de Dados Sensíveis
Controle de Acesso
CSRF 9-Falhas Conhecidas
Redirecionamentos
1
2
3
4
8
7
6
5
9
10
Metodolodias de Pentest
Testes realizados com base nos 66 controles apresentados pelo OWASP
TESTING GUIDE (v3.0): Information Gathering
Configuration Management Testing Business Logic Testing Authentication Testing Authorization testing
Session Management Testing Data Validation Testing
Denial of Service Testing Web Services Testing
Ajax Testing
Projeto de Pentest
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
Open your mind
Objetivo:
• 1 minuto para isso;• Ligar os 9 pontos;• 4 linhas retas;• Sem retirar a
caneta.
Open your mind
Princípios da Segurança Web
Todas as entradas são vulneráveis até prova em
contrário
Ter uma noção das falhas não é suficiente
Todas as entradas são vulneráveis…..
FácilCampos texto
Variáveis de URL
MédioCampos ocultos
CookiesDemais inputs
DifícilCabeçalho HTTP
Recursos
Ferramentas
O que eu devo Aprender/fazer?
Automatizar a procura de falhas;Cobrir a maior superficie possível;Ter uma metodologia;Auditar, auditar, auditar…Fazer verificações manuais;Conhecer as diversas técnicas;Saber escolher um bom fornecedor;Refazer tudo novamente.
Demonstração
Como as coisas acontecem…
Como tudo as começa…
Como tudo as começa…
http://demo.testfire.net/XSS SQL
INJECTION
Força Bruta
Erros de Configuraçã
o
O que você vê?http://
demo.testfire.net/default.aspx?
content=personal.htm
Erros de Confighttp://
demo.testfire.net/default.aspx?
content=../bank/main.aspx.cs
%00.txt
Nossa proposta de Pós-graduação
Obrigado | :-)