Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Anatomia de um Ataque

raphaeldealmeida
May 27, 2017
Technology
1
110

Anatomia de um Ataque

Palestra apresentada no Darkmira Tour PHP 2017 https://php.darkmiratour.rocks/2017/

Diariamente milhares de incidentes de segurança são registrados no mundo, agora mesmo o seu site pode estar sofrendo um ataque. Pode não ser uma ação para tira-lo do ar, mas pode ser apenas o roubo de informações ou a escravização do servidor para uma botnet. Raramente um atacante utiliza apenas uma técnica em suas ações. Esta palestra vai tratar de casos reais de ataques a aplicações WEB, as técnicas utilizadas, como foi feita a recuperação do desastre e possíveis maneiras de eliminar futuros incidentes. Vamos tratar não só da aplicação, mas de todos os pontos vulneráveis em nosso ambiente. Com o conhecimento adquirido, seremos capazes de construir aplicações mais seguras, e escolher melhor os requisitos mínimos de ambiente necessários.

raphaeldealmeida

May 27, 2017
Tweet

More Decks by raphaeldealmeida

See All by raphaeldealmeida
Extraindo regras de associação com PHP
raphaeldealmeida
0
140
Introdução a testes de API com Spring Boot
raphaeldealmeida
0
32
Boas práticas de segurança em aplicações Laravel
raphaeldealmeida
0
58
Web scraping with Symfony Panther
raphaeldealmeida
2
2.3k
Pare de programar orientado a Framework
raphaeldealmeida
0
100
Web scraping com Symfony Panther
raphaeldealmeida
2
370
Investigando a saúde do seu sistema através de logs
raphaeldealmeida
2
840
Mocks, Stubs, Fakes, Dummies and Spies
raphaeldealmeida
0
53

Other Decks in Technology

See All in Technology
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.3k
SSMRunbook作成の勘所_20241120
koichiotomo
2
140
インフラとバックエンドとフロントエンドをくまなく調べて遅いアプリを早くした件
tubone24
1
430
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
210
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
8
870
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
【Startup CTO of the Year 2024 / Audience Award】アセンド取締役CTO 丹羽健
niwatakeru
0
1k
Lexical Analysis
shigashiyama
1
150
Python(PYNQ)がテーマのAMD主催のFPGAコンテストに参加してきた
iotengineer22
0
470
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990

Featured

See All Featured
Speed Design
sergeychernyshev
25
620
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Adopting Sorbet at Scale
ufuk
73
9.1k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
A better future with KSS
kneath
238
17k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Why Our Code Smells
bkeepers
PRO
334
57k
Embracing the Ebb and Flow
colly
84
4.5k
Unsuck your backbone
ammeep
668
57k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Gamification - CAS2011
davidbonilla
80
5k

Transcript

  1. Anatomia de um Ataque

  2. Raphael Almeida

  3. Desenvolvedor sempre quer criar a aplicação mais incrível do universo

  4. Existem vários desafios, arquitetura, banco de dados etc

  5. A aplicação vai para o ar e ...

  6. Vários acessos, sucesso e a grana entrando

  7. Até que as coisas começam a ficar estranhas

  8. No caso de um e-commerce, a receita não equivale aos

    produtos vendidos

  9. Pico de acessos sem o respectivo resultado

  10. Nessa hora temos o pensamento mais óbvio. Ok. Isso é

    um bug, vamos corrigi-lo

  11. Depois de um tempo caçando bugs e deixando a aplicação

    mais robusta os casos ainda acontecem

  12. E surge uma luz.

  13. “Posso estar sendo atacado”

  14. Mais porque o meu sitezinho?

  15. Um servidor é um ativo

  16. pode ser utilizado para conseguir dados restritos como contas de

    banco, e-mails, senhas e telefones válidos

  17. Ou como escravo para potencializar outros ataques

  18. Sim aqui estou falando do seu roteador lindão que tem

    em casa e não mudou a senha padrão

  19. Nessa hora você pode correr para saber mais sobre segurança.

  20. Acaba esbarrando em muito conteúdo. E as vezes fica frustrado

    porque tem pouca coisa para a sua tecnologia

  21. Security Check list

  22. OWASP Open Web Application Security Project www.owasp.org

  23. OWASP Top 10

  24. None

  25. Mesmo que eu me proteja dessas ameaças o atacante vai

    continuar evoluindo, mudando o padrão.

  26. Não quero ter uma atitude reativa. Preciso saber se minha

    aplicação tem alguma falha antes dos outros.

  27. Pentest Penetration Test

  28. PTES Penetration Testing Execution Standard pentest-standard.org

  29. Aviso A realização de um pentest sem autorização é considerado

    um ataque

  30. Preparação Especifica o escopo dos servidores e tempo

  31. Coleta de informações Quanto mais informação for adquirida mais vetores

    de ataque estarão disponíveis nas fases posteriores

  32. servidores, links, IPs, emails, tecnologia e versão, DNS, robots.txt

  33. None

  34. http://tools.kali.org/web-applications/dirb

  35. https://cirt.net/Nikto2

  36. https://www.kali.org/

  37. Modelagem da Ameaça Identificando ativos (banco de dados, boa conexão,

    servidor smtp)

  38. Análise de Vulnerabilidade Procuramos vulnerabilidades conhecidas nas informações

  39. http://sqlmap.org/

  40. exploit-db.com

  41. Exploração Estabelecer acesso ao sistema ou recurso burlando restrições de

    segurança

  42. Pós-Exploração Determinar o valor da servidor comprometido e manter para

    uso posterior. Esconder remote console. Criar usuário admin
  43. None

  44. Relatórios Elencar as vulnerabilidades classificadas por risco e propor soluções

    para as falhas

  45. Seja o primeiro a conhecer as vulnerabilidades da sua aplicação

  46. Acompanhe os logs

  47. https://www.graylog.org/

  48. https://papertrailapp.com/

  49. Referências Teste de Invasão de aplicações Web - RNP pt.scribd.com/doc/73586437/Teste-de-Invasao-de-Aplicacoes-Web

  50. OBRIGADO @raph_almeida