Técnicas e Ferramental paraTestes de Invasão (PenTests)Rafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.c...
$ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentest...
Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Definição• Preparação• Testando Red...
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.  ●   Testes de segurança  ●     A...
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Avaliar riscos e vulnerabilida...
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Metodologia e Documentação●   ...
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                   >> OSSTMM      ...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Detalhes da Infraestrutura• Aco...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Objetivo/Propósito●   Alvos● ...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> O que você sabe sobre o ambien...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Ponto de Partida       ●    Ataqu...
Preparação    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Tratamento de questões especia...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Limitações de Tempo       ●    Re...
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Vetores de Ataque      ●   Classi...
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Obtenção de Inform...
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Varreduras     ●  ...
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Invasão     ●   Sn...
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Pós-Invasão     ● ...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Principais Problemas...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções• Dados n...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Cl...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Cl...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL   ...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SO• Da...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Script...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Script...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Script...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Script...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Gerência de Sessõ...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Referência Direta...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Reques...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Reques...
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Canal Inseguro• A...
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Sondagem e Mapeamento >> Nmap >>...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria de Senhas >> John The...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Tráfego >> Wireshark...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Vulnerabilidades >> ...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Servidores Web >> ...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Redes sem Fio >> K...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Exploração de Vulnerabilidades ...
Ferramentas  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Manipulação de pacotes e artefa...
Conclusões    Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.●   Técnicas regem o ferrament...
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                                   ...
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                    Copyrig...
Próximos Eventos  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 08, 10, 15, 17, 22 ...
Próximos Eventos  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 26 de Março e 02, 0...
Próximos Eventos  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 14, 18, 19, 25, 26,...
Próximos Eventos  Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: Em Andamento. Aguar...
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Data: 12 e 13 de agosto de ...
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Profissionais renomados no ...
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                         Jo...
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.                          Muito Obrig...
Upcoming SlideShare
Loading in...5
×

Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão

2,019

Published on

Rafael apresentou algumas das principais técnicas e ferramentas para realização de auditoria do tipo teste de invasão, tanto em redes e sistemas quanto em aplicações web. Rafael falou também um pouco dos próximos cursos da Academia Clavis: Auditoria de Segurança em Aplicações Web EAD e Teste de Invasão em Redes e Sistemas EAD.

http://www.blog.clavis.com.br/webinar-sobre-ferramentas-e-tecnicas-para-auditorias-teste-de-invasao/index.html

Published in: Technology
0 Comments
8 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,019
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
8
Embeds 0
No embeds

No notes for slide

Transcript of "Webinar sobre-ferramentas-e-técnicas-para-auditorias-teste-de-invasão"

  1. 1. Técnicas e Ferramental paraTestes de Invasão (PenTests)Rafael Soares FerreiraClavis Segurança da Informaçãorafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  2. 2. $ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• CSO (Clavis & Green Hat)• Pentester• Investigador Forense• Incident Handler• Hacker Ético (CEHv6 – ecc943687)• Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  3. 3. Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Definição• Preparação• Testando Redes e Sistemas• Testando Aplicações Web• Ferramentas• Dúvidas• Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  4. 4. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  5. 5. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Avaliar riscos e vulnerabilidades• Determinar eficácia de investimentos• Conformidade• Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  6. 6. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Metodologia e Documentação● Limitações e Ética● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  7. 7. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  8. 8. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.• Detalhes da Infraestrutura• Acordo de confidencialidade (NDA)• Equipamento e recursos necessários• Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  9. 9. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Objetivo/Propósito● Alvos● Profundidade● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  10. 10. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca)>> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  11. 11. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  12. 12. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Tratamento de questões especiais● Falha no sistema alvo● Dados sensíveis encontrados● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  13. 13. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  14. 14. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  15. 15. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  16. 16. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  17. 17. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  18. 18. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  19. 19. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Principais Problemas• Não validação de dados externos• Não tratamento de erros• Falta de Canonicalização• Verificações Client-Side• Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  20. 20. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções• Dados não esperados (e não tratados!) enviadospara um interpretador• Interpretadores recebem strings e interpretamcomo comandos• SQL, Shell, LDAP, etc...• Injeção de SQL é disparado o mais comum!• Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  21. 21. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = $senha ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  22. 22. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL Client-Side: O Exploit! OR a=a Server-Side: SELECT id FROM usuarios WHERE nome = $nome AND senha = OR a=a ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  23. 23. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  24. 24. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Injeções - SO• Dados enviados pelo usuário geram um comandoque é passado ao sistema• Exemplo: DNS lookup em domínios passados pelousuário• Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  25. 25. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS)• Dados maliciosos enviados ao browser do usuário• Podem estar em posts, URLs, javascript, etc...• Todo Browser é “vulnerável”:javascript:alert(document.cookie)• Geralmente visa roubo (de sessão, de dados, ...)ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  26. 26. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  27. 27. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  28. 28. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  29. 29. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Gerência de Sessões e Autenticações• O protocolo HTTP é stateless• SESSION ID usado para gerir a “sessão”• A exposição do SESSION ID é tão perigosaquanto a de credenciais• Outras possibilidades são: Reset e/ou lembretede senha, Pergunta secreta, logout, etc...• Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  30. 30. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Referência Direta a Objetos Insegura• Não adianta esconder objetos• Controle de Acesso em camada de apresentaçãonão funciona!• Force restrições server-side!• Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  31. 31. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF)• O browser da vítima é induzido à executarrequisições• Analogia: Um atacante se apodera de seu mousee clica em links enquanto você usa seu internetbanking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  32. 32. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  33. 33. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.>> Canal Inseguro• A internet é pública e hostil!• Dados podem ser (e serão!) capturados• Utilize criptografia!• Atacantes podem visualizar e/ou modificarinformações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  34. 34. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  35. 35. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  36. 36. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  37. 37. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  38. 38. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  39. 39. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  40. 40. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  41. 41. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  42. 42. Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.● Técnicas regem o ferramental● A ética é muito importante (sempre!)● “Grandes poderes trazem grandesresponsabilidades”● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  43. 43. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  44. 44. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  45. 45. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 08, 10, 15, 17, 22 e 24 de Fevereiro de 2011; Carga horária: 18 horas;http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  46. 46. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 26 de Março e 02, 09, 16 de Abril de 2011; Carga horária: 24 horas;http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  47. 47. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 14, 18, 19, 25, 26, 27, 28 e 30 de abril de 2011 Carga Horária: 25 horas;http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  48. 48. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: Em Andamento. Aguarde Novas Turmas. Carga Horária: 25 horas;http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/ Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  49. 49. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Data: 12 e 13 de agosto de 2011(sexta e sábado)Local: Centro de Convenções da Bolsa de Valores doRio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  50. 50. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  51. 51. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  52. 52. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

×