If you can't read please download the document
View
10.014
Download
2
Embed Size (px)
DESCRIPTION
O objetivo da apresentação é demonstrar metodologias e ferramentas que são utilizadas para avaliar a segurança de aplicações web através de auditorias do tipo teste de invasão. As aplicações são expostas aos principais ataques conhecidos e, a partir daí, avalia-se os resultados obtidos: invasão, exposição de informação, execuções arbitrárias, entre outros. Também serão tratadas medidas de mitigação das vulnerabilidades
Citation preview
2. $ whoami
3. Pentester 4. Incident Handler 5. Hacker tico 6. Instrutor e Palestrante 7. Injees OWASP Top 10 2010 - A1 OWASP Top 10 2007 - A2 Cross Site Scripting (XSS) OWASP Top 10 2010 - A2 OWASP Top 10 2007 - A1 Principais Ameaas 8. Dadosnoesperados Strings interpretadascomocomandos SQL, Shell, LDAP, etc... SQL o caso mais comum Injees Principais Ameaas 9. SELECT id FROM usuarios WHERE nome = '$nome' AND senha = '$senha' ; Client-Side: Server-Side: Principais Ameaas Injees - Exemplos 10. ' OR 'a'='a SELECT id FROM usuarios WHERE nome = '$nome' AND senha = ' ' OR 'a'='a ' ; Client-Side: O Exploit! Server-Side: Principais Ameaas Injees - Exemplos 11. Principais Ameaas Injees - Exemplos Cdigo PHP: $query = "SELECT * FROM usuarios WHERE username = '" . $_REQUEST[usr'] . AND passwd= . $_REQUEST[pwd] . ; Explorao: login.php?usr=+OR+1=1--&pwd=a query