Palestra apresentada no Darkmira Tour PHP 2017 https://php.darkmiratour.rocks/2017/ Diariamente milhares de incidentes de segurança são registrados no mundo, agora mesmo o seu site pode estar sofrendo um ataque. Pode não ser uma ação para tira-lo do ar, mas pode ser apenas o roubo de informações ou a escravização do servidor para uma botnet. Raramente um atacante utiliza apenas uma técnica em suas ações. Esta palestra vai tratar de casos reais de ataques a aplicações WEB, as técnicas utilizadas, como foi feita a recuperação do desastre e possíveis maneiras de eliminar futuros incidentes. Vamos tratar não só da aplicação, mas de todos os pontos vulneráveis em nosso ambiente. Com o conhecimento adquirido, seremos capazes de construir aplicações mais seguras, e escolher melhor os requisitos mínimos de ambiente necessários.

1. Anatomia de
um Ataque

2. Raphael
Almeida

3. Desenvolvedor sempre
quer criar a aplicação
mais incrível do universo

4. Existem vários desafios,
arquitetura, banco de
dados etc

5. A aplicação vai para o ar
e ...

6. Vários acessos, sucesso
e a grana entrando

7. Até que as
coisas começam
a ficar estranhas

8. No caso de um
e-commerce, a receita
não equivale aos
produtos vendidos

9. Pico de acessos sem o
respectivo resultado

10. Nessa hora temos o
pensamento mais óbvio.
Ok. Isso é um bug,
vamos corrigi-lo

11. Depois de um tempo
caçando bugs e
deixando a aplicação
mais robusta os casos
ainda acontecem

12. E surge uma luz.

13. “Posso estar sendo
atacado”

14. Mais porque o meu
sitezinho?

15. Um servidor é um ativo

16. pode ser utilizado para
conseguir dados
restritos como contas de
banco, e-mails, senhas e
telefones válidos

17. Ou como escravo para
potencializar outros
ataques

18. Sim aqui estou falando
do seu roteador lindão
que tem em casa e não
mudou a senha padrão

19. Nessa hora você pode
correr para saber mais
sobre segurança.

20. Acaba esbarrando em
muito conteúdo. E as
vezes fica frustrado
porque tem pouca coisa
para a sua tecnologia

21. Security Check list

22. OWASP
Open Web Application Security Project
www.owasp.org

23. OWASP Top 10

25. Mesmo que eu me
proteja dessas ameaças
o atacante vai continuar
evoluindo, mudando o
padrão.

26. Não quero ter uma
atitude reativa. Preciso
saber se minha
aplicação tem alguma
falha antes dos outros.

27. Pentest
Penetration Test

28. PTES
Penetration Testing Execution Standard
pentest-standard.org

29. Aviso
A realização de um pentest sem
autorização é considerado um ataque

30. Preparação
Especifica o escopo dos servidores e
tempo

31. Coleta de informações
Quanto mais informação for adquirida
mais vetores de ataque estarão
disponíveis nas fases posteriores

32. servidores, links, IPs,
emails, tecnologia e
versão, DNS, robots.txt

34. http://tools.kali.org/web-applications/dirb

35. https://cirt.net/Nikto2

36. https://www.kali.org/

37. Modelagem da Ameaça
Identificando ativos (banco de dados,
boa conexão, servidor smtp)

38. Análise de
Vulnerabilidade
Procuramos vulnerabilidades conhecidas
nas informações

39. http://sqlmap.org/

40. exploit-db.com

41. Exploração
Estabelecer acesso ao sistema ou
recurso burlando restrições de
segurança

42. Pós-Exploração
Determinar o valor da servidor
comprometido e manter para uso
posterior. Esconder remote console.
Criar usuário admin

44. Relatórios
Elencar as vulnerabilidades classificadas
por risco e propor soluções para as
falhas

45. Seja o primeiro a
conhecer as
vulnerabilidades da sua
aplicação

46. Acompanhe os logs

47. https://www.graylog.org/

48. https://papertrailapp.com/

49. Referências
Teste de Invasão de
aplicações Web -
RNP
pt.scribd.com/doc/73586437/Teste-de-Invasao-de-Aplicacoes-Web

50. OBRIGADO
@raph_almeida