Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Anatomia de um ataque

321 views

Published on

Palestra apresentada no Darkmira Tour PHP 2017 https://php.darkmiratour.rocks/2017/

Diariamente milhares de incidentes de segurança são registrados no mundo, agora mesmo o seu site pode estar sofrendo um ataque. Pode não ser uma ação para tira-lo do ar, mas pode ser apenas o roubo de informações ou a escravização do servidor para uma botnet. Raramente um atacante utiliza apenas uma técnica em suas ações. Esta palestra vai tratar de casos reais de ataques a aplicações WEB, as técnicas utilizadas, como foi feita a recuperação do desastre e possíveis maneiras de eliminar futuros incidentes. Vamos tratar não só da aplicação, mas de todos os pontos vulneráveis em nosso ambiente. Com o conhecimento adquirido, seremos capazes de construir aplicações mais seguras, e escolher melhor os requisitos mínimos de ambiente necessários.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Anatomia de um ataque

  1. 1. Anatomia de um Ataque
  2. 2. Raphael Almeida
  3. 3. Desenvolvedor sempre quer criar a aplicação mais incrível do universo
  4. 4. Existem vários desafios, arquitetura, banco de dados etc
  5. 5. A aplicação vai para o ar e ...
  6. 6. Vários acessos, sucesso e a grana entrando
  7. 7. Até que as coisas começam a ficar estranhas
  8. 8. No caso de um e-commerce, a receita não equivale aos produtos vendidos
  9. 9. Pico de acessos sem o respectivo resultado
  10. 10. Nessa hora temos o pensamento mais óbvio. Ok. Isso é um bug, vamos corrigi-lo
  11. 11. Depois de um tempo caçando bugs e deixando a aplicação mais robusta os casos ainda acontecem
  12. 12. E surge uma luz.
  13. 13. “Posso estar sendo atacado”
  14. 14. Mais porque o meu sitezinho?
  15. 15. Um servidor é um ativo
  16. 16. pode ser utilizado para conseguir dados restritos como contas de banco, e-mails, senhas e telefones válidos
  17. 17. Ou como escravo para potencializar outros ataques
  18. 18. Sim aqui estou falando do seu roteador lindão que tem em casa e não mudou a senha padrão
  19. 19. Nessa hora você pode correr para saber mais sobre segurança.
  20. 20. Acaba esbarrando em muito conteúdo. E as vezes fica frustrado porque tem pouca coisa para a sua tecnologia
  21. 21. Security Check list
  22. 22. OWASP Open Web Application Security Project www.owasp.org
  23. 23. OWASP Top 10
  24. 24. Mesmo que eu me proteja dessas ameaças o atacante vai continuar evoluindo, mudando o padrão.
  25. 25. Não quero ter uma atitude reativa. Preciso saber se minha aplicação tem alguma falha antes dos outros.
  26. 26. Pentest Penetration Test
  27. 27. PTES Penetration Testing Execution Standard pentest-standard.org
  28. 28. Aviso A realização de um pentest sem autorização é considerado um ataque
  29. 29. Preparação Especifica o escopo dos servidores e tempo
  30. 30. Coleta de informações Quanto mais informação for adquirida mais vetores de ataque estarão disponíveis nas fases posteriores
  31. 31. servidores, links, IPs, emails, tecnologia e versão, DNS, robots.txt
  32. 32. http://tools.kali.org/web-applications/dirb
  33. 33. https://cirt.net/Nikto2
  34. 34. https://www.kali.org/
  35. 35. Modelagem da Ameaça Identificando ativos (banco de dados, boa conexão, servidor smtp)
  36. 36. Análise de Vulnerabilidade Procuramos vulnerabilidades conhecidas nas informações
  37. 37. http://sqlmap.org/
  38. 38. exploit-db.com
  39. 39. Exploração Estabelecer acesso ao sistema ou recurso burlando restrições de segurança
  40. 40. Pós-Exploração Determinar o valor da servidor comprometido e manter para uso posterior. Esconder remote console. Criar usuário admin
  41. 41. Relatórios Elencar as vulnerabilidades classificadas por risco e propor soluções para as falhas
  42. 42. Seja o primeiro a conhecer as vulnerabilidades da sua aplicação
  43. 43. Acompanhe os logs
  44. 44. https://www.graylog.org/
  45. 45. https://papertrailapp.com/
  46. 46. Referências Teste de Invasão de aplicações Web - RNP pt.scribd.com/doc/73586437/Teste-de-Invasao-de-Aplicacoes-Web
  47. 47. OBRIGADO @raph_almeida

×