A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Trabalho Teórico Sistemas Distribuídos e Tolerância a Falhas

PublicouTerezinha Silva Anjos Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Trabalho Teórico Sistemas Distribuídos e Tolerância a Falhas"— Transcrição da apresentação:

1 Trabalho Teórico Sistemas Distribuídos e Tolerância a Falhas
Using Web Security Scanners to Detect Vulnerabilities in Web Services Docente: Prof. Paula Prata Discentes: Marco Ferreira Rui Cunha

2 Introdução ao Tema Estudo de “Web Scanners” de detecção de vulnerabilidade em serviços “web”. Testar a vulnerabilidade do serviço do ponto de vista do atacante.

3 Dois tipos de abordagem
White Box Testing: Consiste na analise do código fonte das aplicações web. Black Box Testing: Consiste na analise da execução da aplicação na procura de vulnerabilidades.

4 A Experiencia Preparação: Escolher os “Web Scanners” e os serviços a explorar. Execução: Usar os “Web Scanners” e identificar as potenciais vulnerabilidades. Verificação: Executar o teste manual para confirmação das vulnerabilidades detectadas. Conclusões: Tirar conclusões dos resultados obtidos.

5 Serviços Testados Foram testados um conjunto de 300 serviços.
Várias tecnologias: .NET, Java e Delphi Várias plataformas: Microsoft, Google e Xara. Alguns Serviços implementam funcionalidades semelhantes. Um numero pequeno de Serviços são usados em serviços reais.

6 Sesviços Descartados Invalid/malformed WSDL Unable to retrive WSDL
No methods found Authentication required Unhandled exception Communication errors Scanning problems Testing duration

7 “Web Scanners” utilizados
HP WebInspect: Esta aplicação contém avaliações de tecnologia pioneiras, tais como, simultâneo rastreio e auditoria e pesquisa concorrente de aplicações. IBM Rational AppScan: Esta aplicação é a ideal para todo o tipo de utilizadores, mesmo os que não têm grandes conhecimentos de segurança. Acunetix Web Vulnerability Scanner: Para além de aplicações web esta aplicação permite testar aplicações em geral.

8 Vulnerabilidades detectadas
SQL Injection: O atacante consegue ler e modificar a Base de Dados, e nalguns casos executar operações de Administrador ou Comandos de Sistema. XPath Injection: O atacante pode conseguir acesso a informação em documentos XML. Code Execution: O atacante pode explorar as vulnerabilidades para executar código malicioso no servidor. Buffer Overflow: O atacante pode explorar esta vulnerabilidade e causar DoS. Username/Password Disclosure: A resposta do servidor contém informação relacionada com o “username“ e “password”. Server Path Disclosure: A resposta do servidor contém o caminho completo para a raiz do servidor.

9 Tabela de Resultados

10 Análises de Falsos Positivos (I)

11 Análises de Falsos Positivos (II)

12 Análise de Cobertura Comparar o numero de vulnerabilidades detectadas com o numero de vulnerabilidades reais.

13 Conclusões (I) SQL Injection foi detectada por todos os “Web Scanners”. VS1.1 e VS1.2 foram os únicos a detectar vulnerabilidades “XPath” e “Code Execution”. VS2 só detectou vulnerabilidades de “SQL Injection“ VS3 foi o único a detectar “Buffer Overflow”, “Username/Password Discloser “ e “Server Path Discloser”

14 Conclusões (II)

Carregar ppt "Trabalho Teórico Sistemas Distribuídos e Tolerância a Falhas"

Apresentações semelhantes

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.

Controles Gerais Prof.: Cheila Bombana. Controles Gerais Prof.: Cheila Bombana.
Introdução aos Sistemas de Informações Módulo 6

Introdução aos Sistemas de Informações Módulo 6
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Teste de Software.

Teste de Software.
Algoritmos.

Algoritmos.
Struts2/XWork Remote Command Execution

Struts2/XWork Remote Command Execution
PLATAFORMA J2EE Luís Filipe Almeida Santos

PLATAFORMA J2EE Luís Filipe Almeida Santos
Segurança em Redes - Código Seguro

Segurança em Redes - Código Seguro
JMeter.

JMeter.
Grsecurity and PAX GrSecurity and PAX Curiosidades: Começou em Fevereiro 2001 Começou em Fevereiro 2001 Primeira versão para.

Grsecurity and PAX GrSecurity and PAX Curiosidades: Começou em Fevereiro 2001 Começou em Fevereiro 2001 Primeira versão para.
Módulo 4: Gerenciando o acesso aos recursos

Módulo 4: Gerenciando o acesso aos recursos
Segurança em Web 2.0 Paola Garcia Juarez

Segurança em Web 2.0 Paola Garcia Juarez
WebWork e JSP Keven andrade

WebWork e JSP Keven andrade
TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO

TIPOS DE TESTES APLICÁVEIS E NÃO APLICÁVEIS AO PROJETO
Teste de Segurança em Aplicações Prontas

Teste de Segurança em Aplicações Prontas
Segurança em Aplicações 5. Melhores Práticas de Programação

Segurança em Aplicações 5. Melhores Práticas de Programação
ESTRUTURAS ALGÉBRICAS

ESTRUTURAS ALGÉBRICAS
Introdução ao Sistema Operativo

Introdução ao Sistema Operativo
Curso EFA de técnico de Informática e Sistemas

Curso EFA de técnico de Informática e Sistemas
WonderFly Project Sistemas de Engenharia – Automação e Instrumentação.

WonderFly Project Sistemas de Engenharia – Automação e Instrumentação.

Apresentações semelhantes

Anúncios Google