SlideShare a Scribd company logo

Técnicas PenTests

Clavis Segurança da Informação
Clavis Segurança da Informação

Este documento apresenta um resumo sobre técnicas e ferramentas para testes de invasão (penetration tests). Ele discute conceitos como preparação para testes, varredura de redes e sistemas, testes em aplicações web e ferramentas comuns. O documento enfatiza a importância da ética ao realizar testes e conclui afirmando que segurança deve ser abordada de forma pró-ativa.

Technology
1 of 48
Download to read offline
Técnicas e Ferramental para Testes de Invasão (PenTests) Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
$ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • CSO (Clavis & Green Hat) • Pentester • Investigador Forense • Incident Handler • Hacker Ético (CEHv6 – ecc943687) • Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Definição • Preparação • Testando Redes e Sistemas • Testando Aplicações Web • Ferramentas • Dúvidas • Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Avaliar riscos e vulnerabilidades • Determinar eficácia de investimentos • Conformidade • Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Metodologia e Documentação ● Limitações e Ética ● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Detalhes da Infraestrutura • Acordo de confidencialidade (NDA) • Equipamento e recursos necessários • Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Objetivo/Propósito ● Alvos ● Profundidade ● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca) >> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Tratamento de questões especiais ● Falha no sistema alvo ● Dados sensíveis encontrados ● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Problemas • Não validação de dados externos • Não tratamento de erros • Falta de Canonicalização • Verificações Client-Side • Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções • Dados não esperados (e não tratados!) enviados para um interpretador • Interpretadores recebem strings e interpretam como comandos • SQL, Shell, LDAP, etc... • Injeção de SQL é disparado o mais comum! • Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SO • Dados enviados pelo usuário geram um comando que é passado ao sistema • Exemplo: DNS lookup em domínios passados pelo usuário • Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) • Dados maliciosos enviados ao browser do usuário • Podem estar em posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Gerência de Sessões e Autenticações • O protocolo HTTP é stateless • SESSION ID usado para gerir a “sessão” • A exposição do SESSION ID é tão perigosa quanto a de credenciais • Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc... • Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Referência Direta a Objetos Insegura • Não adianta esconder objetos • Controle de Acesso em camada de apresentação não funciona! • Force restrições server-side! • Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) • O browser da vítima é induzido à executar requisições • Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Canal Inseguro • A internet é pública e hostil! • Dados podem ser (e serão!) capturados • Utilize criptografia! • Atacantes podem visualizar e/ou modificar informações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Técnicas regem o ferramental ● A ética é muito importante (sempre!) ● “Grandes poderes trazem grandes responsabilidades” ● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 12 e 13 de agosto de 2011(sexta e sábado) Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Recommended

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 

Recommended

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire..."Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...
"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...SegInfo
 
Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapManobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap
Manobras Evasivas: Técnicas de Evasão para Varreduras com o NmapClavis Segurança da Informação
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Analisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKAnalisando eventos de forma inteligente para detecção de intrusos usando ELK
Analisando eventos de forma inteligente para detecção de intrusos usando ELKSegInfo
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Clavis Segurança da Informação
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisClavis Segurança da Informação
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioClavis Segurança da Informação
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - OctopusClavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLfgsl
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Luiz Vieira .´. CISSP, OSCE, GXPN, CEH
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no AndroidEuler Neto
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações MóveisConviso Application Security
 
Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1Carlos Melo
 

More Related Content

What's hot

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFClavis Segurança da Informação
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Clavis Segurança da Informação
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoClavis Segurança da Informação
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLfgsl
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Jefferson Costa
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 

What's hot (19)

Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DFGerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF
 
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares FerreiraVale Security Conference - 2011 - 12 - Rafael Soares Ferreira
Vale Security Conference - 2011 - 12 - Rafael Soares Ferreira
 
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - ApresentaçãoBig Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação
 
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!
 
Webinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia ClavisWebinar Metasploit Framework - Academia Clavis
Webinar Metasploit Framework - Academia Clavis
 
Palestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem FioPalestra Auditoria de Segurança em Redes sem Fio
Palestra Auditoria de Segurança em Redes sem Fio
 
Palestra Clavis - Octopus
Palestra Clavis - OctopusPalestra Clavis - Octopus
Palestra Clavis - Octopus
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”V SEGINFO - “Auditoria de Aplicações Web”
V SEGINFO - “Auditoria de Aplicações Web”
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da InformaçãoTestes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação
 
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSLPalestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
Palestra Selinux - Por Ulisses Castro - V FGSL e I SGSL
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 

Viewers also liked

Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no AndroidEuler Neto
 
Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1Carlos Melo
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Thiago Dieb
 
Construindo uma arquitetura com REST, HTML 5 e JSF 2
Construindo uma arquitetura com REST, HTML 5 e JSF 2Construindo uma arquitetura com REST, HTML 5 e JSF 2
Construindo uma arquitetura com REST, HTML 5 e JSF 2Raphael Adrien
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com NmapDaniel Marques
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1ponto hacker
 
1008 ProgramaçãO C Completo
1008 ProgramaçãO C Completo1008 ProgramaçãO C Completo
1008 ProgramaçãO C CompletoFxx
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015C H
 
Livro Aberto Aprendendo a Programar na Linguagem C
Livro Aberto Aprendendo a Programar na Linguagem CLivro Aberto Aprendendo a Programar na Linguagem C
Livro Aberto Aprendendo a Programar na Linguagem CMarcos Quinho
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univemevandrovv
 
Livro Linguagem C - Completo
Livro Linguagem C - CompletoLivro Linguagem C - Completo
Livro Linguagem C - CompletoMarcos Quinho
 
Redes e Servidores Linux - Guia Prático - Carlos E. Morimoto
Redes e Servidores Linux - Guia Prático - Carlos E. MorimotoRedes e Servidores Linux - Guia Prático - Carlos E. Morimoto
Redes e Servidores Linux - Guia Prático - Carlos E. MorimotoHeber Gutenberg
 

Viewers also liked (20)

Segurança no Android
Segurança no AndroidSegurança no Android
Segurança no Android
 
Pentest em Aplicações Móveis
Pentest em Aplicações MóveisPentest em Aplicações Móveis
Pentest em Aplicações Móveis
 
Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1Concepcao de banco_de_dados-aula_1
Concepcao de banco_de_dados-aula_1
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...
 
Construindo uma arquitetura com REST, HTML 5 e JSF 2
Construindo uma arquitetura com REST, HTML 5 e JSF 2Construindo uma arquitetura com REST, HTML 5 e JSF 2
Construindo uma arquitetura com REST, HTML 5 e JSF 2
 
Examinando redes com Nmap
Examinando redes com NmapExaminando redes com Nmap
Examinando redes com Nmap
 
Pentest web
Pentest webPentest web
Pentest web
 
Flisol 2016
Flisol 2016Flisol 2016
Flisol 2016
 
teste de invasão
teste de invasãoteste de invasão
teste de invasão
 
IBM Mobile First Security
IBM Mobile First SecurityIBM Mobile First Security
IBM Mobile First Security
 
Linguagem C - Funções
Linguagem C - FunçõesLinguagem C - Funções
Linguagem C - Funções
 
Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1Técnicas hacker soluções para segurança 1
Técnicas hacker soluções para segurança 1
 
1008 ProgramaçãO C Completo
1008 ProgramaçãO C Completo1008 ProgramaçãO C Completo
1008 ProgramaçãO C Completo
 
Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015Técnicas de Invasão - INFOESTE 2015
Técnicas de Invasão - INFOESTE 2015
 
Livro Aberto Aprendendo a Programar na Linguagem C
Livro Aberto Aprendendo a Programar na Linguagem CLivro Aberto Aprendendo a Programar na Linguagem C
Livro Aberto Aprendendo a Programar na Linguagem C
 
Programação em C
Programação em CProgramação em C
Programação em C
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Livro Linguagem C - Completo
Livro Linguagem C - CompletoLivro Linguagem C - Completo
Livro Linguagem C - Completo
 
Redes e Servidores Linux - Guia Prático - Carlos E. Morimoto
Redes e Servidores Linux - Guia Prático - Carlos E. MorimotoRedes e Servidores Linux - Guia Prático - Carlos E. Morimoto
Redes e Servidores Linux - Guia Prático - Carlos E. Morimoto
 

Similar to Técnicas PenTests

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Clavis Segurança da Informação
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Clavis Segurança da Informação
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira SegInfo
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebMagno Logan
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
Worms: Conheça o inimigo e defenda-se
Worms: Conheça o inimigo e defenda-seWorms: Conheça o inimigo e defenda-se
Worms: Conheça o inimigo e defenda-seNelson Brito
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...Alexandro Silva
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasSegInfo
 
Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"TI Safe
 
Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4whitehatportugal
 

Similar to Técnicas PenTests (20)

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger. Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
Principais ameças à Aplicações Web - Como explorá-las e como se proteger.
 
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...
 
Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day Palestra @hacknrio : City Tour Geek: a Wardriving day
Palestra @hacknrio : City Tour Geek: a Wardriving day
 
"War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira "War Games – O que aprender com eles?" por @rafaelsferreira
"War Games – O que aprender com eles?" por @rafaelsferreira
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Ppt Imd
Ppt ImdPpt Imd
Ppt Imd
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Clean dns ptbr
Clean dns ptbrClean dns ptbr
Clean dns ptbr
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
Worms: Conheça o inimigo e defenda-se
Worms: Conheça o inimigo e defenda-seWorms: Conheça o inimigo e defenda-se
Worms: Conheça o inimigo e defenda-se
 
Antar ferreira
Antar ferreiraAntar ferreira
Antar ferreira
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi... Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas ( Versão Segi...
 
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos SentinelasProteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
Proteja sua Hovercraft: Mantendo sua nave livre dos Sentinelas
 
Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"Palestra "SCADA Ransomware"
Palestra "SCADA Ransomware"
 
Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4Apresentação Endpoint Protector 4
Apresentação Endpoint Protector 4
 

More from Clavis Segurança da Informação

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroClavis Segurança da Informação
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis Segurança da Informação
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Clavis Segurança da Informação
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaClavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalClavis Segurança da Informação
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Clavis Segurança da Informação
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Clavis Segurança da Informação
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 

More from Clavis Segurança da Informação (16)

Bsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptxBsides SP 2022 - EPSS - Final.pptx
Bsides SP 2022 - EPSS - Final.pptx
 
Cloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo MontoroCloud Summit Canada com Rodrigo Montoro
Cloud Summit Canada com Rodrigo Montoro
 
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo MontoroResposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro
 
A maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - ApresentaçãoA maldição do local admin - 10o Workshop SegInfo - Apresentação
A maldição do local admin - 10o Workshop SegInfo - Apresentação
 
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - ApresentaçãoAdoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação
 
Palestra GlobalSign
Palestra GlobalSignPalestra GlobalSign
Palestra GlobalSign
 
Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016Palestra Exceda - Clavis 2016
Palestra Exceda - Clavis 2016
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401
 
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força BrutaEntendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Webinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de CibercrimesWebinar #18 – A Nova Lei de Cibercrimes
Webinar #18 – A Nova Lei de Cibercrimes
 
Webinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense ComputacionalWebinar # 17 – Análise de Malware em Forense Computacional
Webinar # 17 – Análise de Malware em Forense Computacional
 
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
Webinar # 16 – Ataques de Força Bruta – Método Dicionário, Híbridos e Rainbow...
 
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
Slides Webinar #9 As provas e as Evidências na Investigação dos Crimes Inform...
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 

Técnicas PenTests

  • 1. Técnicas e Ferramental para Testes de Invasão (PenTests) Rafael Soares Ferreira Clavis Segurança da Informação rafael@clavis.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 2. $ whoami Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • CSO (Clavis & Green Hat) • Pentester • Investigador Forense • Incident Handler • Hacker Ético (CEHv6 – ecc943687) • Instrutor e Palestrante Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 3. Agenda Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Definição • Preparação • Testando Redes e Sistemas • Testando Aplicações Web • Ferramentas • Dúvidas • Próximos Eventos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 4. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Testes de segurança ● Atividades técnicas controladas ● Simulações de ataques reais Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 5. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Avaliar riscos e vulnerabilidades • Determinar eficácia de investimentos • Conformidade • Homologação Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 6. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Metodologia e Documentação ● Limitações e Ética ● Autorização documentada Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 7. Definição Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> OSSTMM Open Source Security Testing Methodology Manual >> NIST 800.42 Guideline on Network Security Testing >> OWASP Open Web Application Security Project >> ISSAF Information Systems Security Assessment Framework Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 8. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. • Detalhes da Infraestrutura • Acordo de confidencialidade (NDA) • Equipamento e recursos necessários • Acesso a testes anteriores Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 9. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Objetivo/Propósito ● Alvos ● Profundidade ● Exclusões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 10. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> O que você sabe sobre o ambiente? Blind (caixa preta) Open (caixa branca) >> O que o ambiente sabe sobre você? Teste anunciado Teste Não-anunciado Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 11. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Ponto de Partida ● Ataques externos ● Ataques Internos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 12. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Tratamento de questões especiais ● Falha no sistema alvo ● Dados sensíveis encontrados ● Pontos de Contato Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 13. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Limitações de Tempo ● Restrições de Horário ● Duração do Teste Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 14. Preparação Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Vetores de Ataque ● Classificação de vulnerabilidades ● Identificação de circuitos de ataque ● Caminho de menor resistência ● Árvores de ataques Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 15. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Obtenção de Informações ● Engenharia Social ● Trashing (Dumpster Diving) ● Whois ● Entradas DNS ● Buscas na Internet Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 16. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Varreduras ● Wardriving ● Mapeamento de Redes ● Port Scan ● Vulnerabilidade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 17. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Invasão ● Sniffing ● DNS Cache Poisoning ● Exploits ● Quebra de Senha ● Negação de Serviço Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 18. Testando Redes e Sistemas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Pós-Invasão ● Escalada de Privilégios ● Manutenção de Acesso ● Cobrindo Rastros Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 19. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Principais Problemas • Não validação de dados externos • Não tratamento de erros • Falta de Canonicalização • Verificações Client-Side • Segurança por Obscuridade Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 20. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções • Dados não esperados (e não tratados!) enviados para um interpretador • Interpretadores recebem strings e interpretam como comandos • SQL, Shell, LDAP, etc... • Injeção de SQL é disparado o mais comum! • Impactos Catastróficos! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 21. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: <form method="post" action="http://SITE/login.php"> <input name="nome" type="text" id="nome"> <input name="senha" type="password" id="senha"> </form> Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 22. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL Client-Side: O Exploit! ' OR 'a'='a Server-Side: SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '' OR 'a'='a' ; Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 23. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SQL www.seginfo.com.br Traduzida a partir da Tirinha “Exploits of a mom” do xkcd Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 24. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Injeções - SO • Dados enviados pelo usuário geram um comando que é passado ao sistema • Exemplo: DNS lookup em domínios passados pelo usuário • Exploit: clavis.com.br%20%3B%20/bin/ls%20-l Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 25. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) • Dados maliciosos enviados ao browser do usuário • Podem estar em posts, URLs, javascript, etc... • Todo Browser é “vulnerável”: javascript:alert(document.cookie) • Geralmente visa roubo (de sessão, de dados, ...) ou redirecionamento para sites maliciosos Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 26. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 27. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) - Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 28. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross-Site Scripting (XSS) – Não Persistente Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 29. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Gerência de Sessões e Autenticações • O protocolo HTTP é stateless • SESSION ID usado para gerir a “sessão” • A exposição do SESSION ID é tão perigosa quanto a de credenciais • Outras possibilidades são: Reset e/ou lembrete de senha, Pergunta secreta, logout, etc... • Possibilita o comprometimento de sessões Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 30. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Referência Direta a Objetos Insegura • Não adianta esconder objetos • Controle de Acesso em camada de apresentação não funciona! • Force restrições server-side! • Possibilita acesso a dados não autorizados Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 31. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) • O browser da vítima é induzido à executar requisições • Analogia: Um atacante se apodera de seu mouse e clica em links enquanto você usa seu internet banking Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 32. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Cross Site Request Forgery (CSRF) Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 33. Testando Aplicações Web Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. >> Canal Inseguro • A internet é pública e hostil! • Dados podem ser (e serão!) capturados • Utilize criptografia! • Atacantes podem visualizar e/ou modificar informações em trânsito Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 34. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Sondagem e Mapeamento >> Nmap >> THC-Amap >> Xprobe2 >> Unicornscan Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 35. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria de Senhas >> John The Ripper >> THC-Hydra Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 36. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Tráfego >> Wireshark >> Tcpdump >> Ettercap >> Dsniff Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 37. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Análise de Vulnerabilidades >> Nessus >> OpenVAS >> SARA >> QualysGuard Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 38. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Servidores Web >> Nikto >> Paros >> Webscarab Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 39. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Auditoria em Redes sem Fio >> Kismet >> Aircrack-ng >> Netstumbler >> Cowpatty Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 40. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Exploração de Vulnerabilidades >> Metasploit >> SecurityForest Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 41. Ferramentas Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Manipulação de pacotes e artefatos >> Hping >> Yersinia >> Ida Pro >> Ollydbg Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 42. Conclusões Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. ● Técnicas regem o ferramental ● A ética é muito importante (sempre!) ● “Grandes poderes trazem grandes responsabilidades” ● Segurança deve ser pró-ativa Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 43. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 44. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Data: 12 e 13 de agosto de 2011(sexta e sábado) Local: Centro de Convenções da Bolsa de Valores do Rio de Janeiro. www.seginfo.com.br Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 45. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Profissionais renomados no cenário Nacional e Internacional Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 46. Próximos Eventos Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Jogos e Premiações! Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 47. Dúvidas? Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Perguntas? Críticas? Sugestões? Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.
  • 48. Fim... Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados. Muito Obrigado! Rafael Soares Ferreira rafael@clavis.com.br @rafaelsferreira Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.