Segurança de Aplicações Web
Posts tagged treino
Jarlsberg
May 7th
Jarlsberg é o seu nome, e é uma aplicação desenvolvida pela Google para demonstrar como funcionam as principais vulnerabilidades em aplicações Web. Como já havia referido por aqui, o gigante da Web parece finalmente ter acordado para o verdadeiro problema de segurança das aplicações Web, e começa a apostar bem forte na protecção das mesmas, como uma forma de proteger o seu próprio core business.
O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.
O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.
Vale a pena ver.
Saiu a versão final do Backtrack 4
Jan 11th
Quem trabalha na área da segurança de informação deve conhecer, ou pelo menos já deve ter ouvido falar da distribuição Linux que dá pelo nome de Backtrack.
A equipa que desenvolve e distribui a distribuição Backtrack anunciou recentemente que a versão final do BT4.
O BT4 é composto por um conjunto alargado de ferramentas que permitem efectuar testes de penetração, num ambiente integralmente dedicado a profissionais de segurança. O BT permite um leque alargado de opções de instalação e de execução:
1. Pode correr nativamente na máquina
2. Pode ser executado como um Live CD
3. Pode ser executado a partir de uma pen USB
Enfim, o BT4 é uma ferramenta fundamental para quem está trabalha na área de segurança de informação, e tem como principal actividade a realização de testes à segurança de sistemas – em particular testes de penetração. O BT4 vem (bem) apetrechado com as mais recentes versões de todas as ferramentas necessárias à realização da sua actividade profissional.
Como não poderia deixar de ser, queria desde já lançar aqui um alerta para que não hajam posteriores confusões. O BT4, como qualquer ferramenta de segurança informática (especialmente aquelas mais vocacionadas para a realização de testes de vulnerabilidades), podem ser utilizadas para fins maléficos. É completamente desaconselhada a utilização deste tipo de ferramentas para fins ilícitos, sob pena de poderem ser punidos de acordo com a legislação em vigor. O aviso à navegação fica feito.
