This user hasn't shared any biographical information

Segurança na Aplicação PHP

Posted in Linux, Segurança de TI on 21/05/2012

Abaixo pequeno post para o desenvolvimento de aplicações seguras utilizando a linguagem PHP, eliminando os equívocos geralmente relacionados à esta.

Um dos equívocos mais comuns relacionados à linguagem PHP é o de que é difícil de se produzir sistemas e ferramentas seguras quando a utilizamos. Este equívoco é fundamentado em 3 conceitos:

  • A simplicidade da linguagem, com uma baixa curva de aprendizado
  • A própria fragilidade da web como ambiente de aplicações
  • Algumas features presentes na linguagem

Conceitos: Web: “A Terra de Ninguém”:

 O Problema: A web é um ambiente precário em termos de segurança. Dificuldade para identificar os usuários, ameaças que proliferam às dezenas e usuários descuidados são lugares comuns quando tratamos de uma aplicação web.

 A Solução: Criar o hábito de pensar qualquer aplicação web, por mais simples que seja, levando-se em consideração a questão de segurança. Termos a noção de que é nossa responsabilidade como desenvolvedores criar aplicações que sejam minimamente seguras.

 Aplicações mais maduras:

 O Problema: Algumas features que podem ser utilizadas na linguagem, como a ativação da configuração register_globals, facilitam o trabalho, mas inevitavelmente aumentam riscos de segurança e acostumam mal o desenvolvedor.

 A Solução: Nos acostumarmos a desempenhar nosso trabalho da melhor forma possível, tendo sempre em mente que tudo o que é fácil tem seu preço e o que dá mais trabalho hoje causará menos incômodos amanhã.

 Boas Práticas:

Leia o resto deste artigo »

, , , , , , ,

Deixe um Comentário

Técnica : Contornando o Firewall

Posted in Segurança de TI on 17/05/2012

No mundo virtual o firewall é uma especie de porteiro digital, ele tem o poder de permitir ou negar uma conexão.

Quando se realiza um ataque direto ao computador de um alvo, deve-se informar a porta que irá utilizar, para este procedimento de invasão, se existir um firewall protegendo esta porta não vai adiantar nada ficar tentando conectar a ela pois isso não será possível, sendo assim podemos contornar esta restrição fazendo uma conexão reversa ou então aproveitar de uma vulnerabilidade ou má configuração deste firewall.

Firewall de entrada/saída

As ferramentas de firewall podem funcionar somente como fiscalizadores de entrada, sendo assim uma conexão reversa (de dentro para fora da máquina do alvo) séria possível. Só se o firewall for de entrada e saída (input/output) e em ambas as direções tivermos o mesmo bloqueio, aí teremos um sério problema pois nem mesmo a conexão reversa irá funcionar contra uma porta listada como fechada.

No processo de invasão é possível realizar procedimentos de mapear portas abertas, ou seja, possíveis portas de conexão. Para fazer este mapeamento você poderá utilizar ferramentas como Nessus ou Nmap .

Fonte : http://fabiojanio.com/

Segue um exemplo na pratica : http://joaopizani.hopto.org/2011/02/ssh-over-ssh/

Leia Também : Passo a Passo para um Teste de Penetração

,

Deixe um Comentário

Teste de Penetração – Apache Tomcat

Posted in Linux, Segurança de TI on 17/05/2012

Neste post vamos nos concentrar no servidor Web Apache Tomcat e como podemos descobrir as credenciais do administrador, a fim de ter acesso ao sistema remotamente. Estamos realizando o nosso teste de penetração interna e descobrimos o Tomcat Apache rodando em um sistema remoto na porta 8180.

Nosso próximo passo vamos abrir Metasploit Framework e procurar por módulos específicos sobre o Apache Tomcat usando o comando de pesquisa Tomcat.

Avaliando modulo Apache Tomcat

Vamos encontrar um scanner auxiliar que será a ferramenta para a nossa tentativa de entrar no Gerenciamento da aplicação do Tomcat. Estamos selecionando o scanner utilizando o uso de comando auxiliary/scanner/http/tomcat_mgr_login e então estamos configurando-o corretamente como aparece na imagem.

Leia o resto deste artigo »

, , , ,

Deixe um Comentário

Calculo do ROI – Banners

Posted in Processo de Negócio, Segurança da Informação (SI) on 15/05/2012

Você desenvolveu um site sobre sua empresa e precisa divulgá–lo. Um site que ninguém vê é como um folder de sua companhia no meio do deserto do Saara.

Sem clientes não há negócios. Para atrair visitas, que serão os possíveis clientes, é preciso divulgação dentro e fora da internet. Vamos nos deter aqui em um método de divulgação de baixo investimento, partindo do princípio básico que é evitar gastos de retorno incerto.

Como saber o quanto é seguro investir? Para descobrir se o dinheiro que emprega em publicidade na internet está valendo a pena ou é tudo prejuízo existe o ROI.

ROI é o Retorno do Investimento sobre suas campanhas. Seu cálculo é simples. ROI = Lucro Líquido – Custo da Campanha.

Vamos usar como exemplo uma campanha de banners, que podem ser comparados ao outdoor no mundo fora da internet. A forma mais popular de comercialização de banners é o CPM ou Custo por Mil Impressões (impressões em tela).

Uma campanha simples, onde você não seleciona quem será sua audiência, não deve custar mais de R$ 20,00 CPM. O veículo deve pedir um mínimo de 10.000 impressões, o que daria R$ 200,00.

Já a performance de um banner é medida em “Click Through” (CT), valor que representa o número de vezes em que um banner é clicado. A média mundial é menor que 1%, portanto vamos trabalhar com esta figura.

Em nosso exemplo você comprou 10.000 impressões, que resultaram em 100 visitas (1%), pagou R$ 200,00 pelos 100 internautas, ou seja, R$ 2,00 por visitante.

O próximo passo é saber a Taxa de Conversão (TC) que representa o número de pessoas que precisam visitar seu site para realizar uma venda. Seu provedor deve oferecer um relatório de estatística de acessos para você calcular a TC, dividindo o total de visitas em determinado período pelo número de vendas ocorridas. Se seu provedor não oferece nenhum tipo de estatística, você pode usar um serviço baseado na internet (WebTrends, por exemplo) ou procurar um provedor melhor. Pense nisso!

O valor que vamos usar aqui é 2%, uma taxa de conversão bem realista. Significa que a cada 50 internautas que vêm ao site uma venda é concluída.

Agora você sabe que cada visita custou R$ 2,00 e você precisa 50 visitantes, então o custo para vender uma unidade do seu produto é de R$ 100,00. O Lucro Líquido por produto tem que ser maior que isto ou o ROI fica menor que zero e você estará jogando dinheiro fora. Vamos mostrar o esquema de outra forma e você mesmo poderá adapta–lo a suas campanhas e ficar sempre no lado seguro.

Custo da Campanha

Trata–se do custo total da campanha que está sendo estudada. 10.000 impressões a R$ 20,00 CPM = R$ 200,00

CT (número de pessoas que clicam no banner) = 1% = 100 visitantes

CV (custo de cada visita) = 10.000 impressões / CT = 1% de R$ 200 = R$ 2,00

TC (taxa de conversão ou número que visitas por venda) = 2% (realista) Isto significa 50 visitas para cada venda.

CC (custo de conversão ou quanto custa cada venda) – Para R$ 200,00 houve 100 visitas e apenas duas vendas, ou seja, R$ 100,00 por negócio.

Parecia tão baratinho pagar apenas R$ 20,00 para cada mil vezes que seu banner ia aparecer, não é? Mas neste exemplo a realidade é bem diferente. Usamos banners para uma audiência não selecionada. Se você puder anunciar em sites segmentados e mais próximo de seu público alvo, os resultados podem ser melhores.

Agora você está pronto para proteger seu investimento, sabendo como calcular o custo de venda de seus produtos baseado em campanhas de publicidade.

Há ferramentas para controlar o resultado de suas campanhas de banners. Sugiro neste caso o ROIbot, que é fácil de usar para estas e outras tarefas.

Use este conhecimento fora da internet também. Com pequeno esforço você pode saber o ROI de campanhas de outdoor, tv, rádio, jornal, etc. E principalmente saber se está empregando bem o seu dinheiro.

fonte :uol

Desmotivação Profissional

, , , ,

Deixe um Comentário

protocolo HTTP

Posted in Linux, Segurança de TI on 11/05/2012

Hypertext Transfer Protocol (HTTP) é o método utilizado para enviar e receber informações na web, definida pela especificação RFC 2616. Baseado em requisições e respostas entre clientes e servidores. O cliente — navegador ou dispositivo que fará a requisição; também é conhecido como user agent — solicita um determinado recurso (resource), enviando um pacote de informações contendo alguns cabeçalhos (headers) a um URI ou, mais especificamente, URL. O servidor recebe estas informações e envia uma resposta, que pode ser um recurso ou um simplesmente um outro cabeçalho.





GET / HTTP/1.1
Host: spesa.com.br
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) Gecko/20061201 Firefox/2.0.0.3 (Ubuntu-feisty)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive







Segundo este cabeçalho, estamos enviando algumas informações que identificam nosso cliente no caminho (path) / e, o mais importante, qual o método da requisição. O servidor, por sua vez, identifica os cabeçalhos que lhe são convenientes e envia uma resposta. Neste exemplo, recebemos os cabeçalhos de resposta, além de todo o conteúdo HTML da página inicial do Spesa.






HTTP/1.x 200 OK
Date: Fri, 04 May 2007 16:05:43 GMT
Server: Apache/2.0.59 (Unix) mod_ssl/2.0.59 OpenSSL/0.9.7a DAV/2 PHP/4.4.4 mod_bwlimited/1.4
Cache-Control: no-cache
Keep-Alive: timeout=3, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/html; charset=iso-8859-1




 Leia o resto deste artigo »

							


			
, , , , , 

			

	
			Deixe um Comentário
		


		


		


	
		

	
	

	









				
		
	

	

	

	































	

	
	
	

	

			
	

		Seguir
		

			
					

		
			

			
Get every new post delivered to your Inbox.

			
			

						
Junte-se a 251 outros seguidores