ulbra teste de intrusao
TRANSCRIPT
![Page 1: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/1.jpg)
1
Testes de Intrusão
Douglas S. dos Santos@dogasantoshttp://www.linkedin.com/in/dsecco
21/10/2013
![Page 2: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/2.jpg)
2
BIO
Consultor – PentesterSegurança da Informação – UnisinosMembro do grupo POASEC – poasec.org
![Page 3: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/3.jpg)
3
O QUE É PENTEST?
Teste de Intrusão / Teste de Invasão / Teste de Penetração / PenTest / Penetration Test
Realizar as mesmas investidas de um hacker Identificar os problemas de segurança Identificar quais informações podem ser acessadas
![Page 4: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/4.jpg)
4
O QUE É PENTEST?
Confusões do mercado:Análise de vulnerabilidadesAvaliação de vulnerabilidadesScan de vulnerabilidades
![Page 5: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/5.jpg)
5
ANÁLISE DE VULNERABILIDADES?
![Page 6: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/6.jpg)
6
ALGUMAS ATIVIDADES
Buscar informaçõesTodo tipo de informação sobre a organização (linkedin, forums, prestadores de serviços)
Identificar serviços acessíveis (FTP, SSH, WEBSERVER...)
Checar versões vulneráveis (manualmente ou de forma automatizada)
![Page 7: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/7.jpg)
7
ALGUMAS ATIVIDADES
Testar mecanismos de autenticação
Analisar as aplicações web com muita atenção
Identificar possíveis vetores de ataque
Testar os vetores identificados
![Page 8: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/8.jpg)
8
ALGUMAS ATIVIDADES
Obter acesso indevido ao sistema
Elevar/escalar privilégios Mais investigaçãoMais testes
Coletar evidências do acesso
Relatórios, registros, documentações
![Page 9: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/9.jpg)
9
METODOLOGIAS
NIST SP 800-115 http://csrc.nist.gov/publications/
OSSTMM http://www.isecom.org/research/osstmm.html
ISSAF http://www.oissg.org/issaf
Pentest Standard pentest-standard.org
![Page 10: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/10.jpg)
10
BIO
Vulnerabilidades Comuns
![Page 11: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/11.jpg)
11
PROBLEMAS COMUNS
Senhas dentro de aplicações, configurações e até na internet, google groups, yahoo groups
![Page 12: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/12.jpg)
12
PROBLEMAS COMUNS
Falha em restrição de acesso a páginas internas de aplicações ou a recursos sensíveis
![Page 13: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/13.jpg)
13
PROBLEMAS COMUNS
Injeção de SQL e Cross-site Scripting
![Page 14: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/14.jpg)
14
PROBLEMAS COMUNS
$sql = 'select dado from tabela where id = ' . $_GET['id'];
http://www.site.com/informacao.php?id=-1 UNION SELECT usuario,senha from usuarios
![Page 15: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/15.jpg)
15
PROBLEMAS COMUNS
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value)VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
![Page 16: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/16.jpg)
16
PROBLEMAS COMUNS
Permissões erradas para o usuário de uma base SQL ou em arquivos no sistema.
![Page 17: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/17.jpg)
17
CURSOS
RNP - esr.rnp.br/cursos CLAVIS - clavis.comOFFENSIVE SECURITY – offensive-security.comELEARNSECURITY - elearnsecurity.com
![Page 18: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/18.jpg)
18
CERTIFICAÇÕES
OFFENSIVE SECURITY – OSCP, OSCE, OSWPEC-COUNCIL – CEH, LPTSANS – GPEN, GXPN
![Page 19: Ulbra teste de intrusao](https://reader036.vdocuments.mx/reader036/viewer/2022062308/55b29592bb61eb524b8b45cd/html5/thumbnails/19.jpg)
19
BOA LEITURA
OWASP – www.owasp.org CWE TOP 25 – cwe.mitre.org/top25/ NIST PUBLICATIONS – csrc.nist.gov/publications/blog.andradesoto.com.br