SlideShare une entreprise Scribd logo

Aula 04 - Injeção de código (Cross-Site Scripting)

Alex Camargo
Alex Camargo

UniHacker - Curso de Introdução a Segurança da Informação e de Sistemas

Logiciels
1  sur  15
Télécharger pour lire hors ligne
Cross-Site ScriptingCross-Site Scripting Prof. Alex Dias Camargo alexcamargoweb@gmail.com REPÚBLICA FEDERATIVA DO BRASIL UNIVERSIDADE HACKER INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS MÓDULO VII – DESENVOLVIMENTO WEB
2 I. Plano de aula Na aula anterior foi visto:  Conceito de autenticação quebrada  Exemplo prático: PHP e Python Módulo VII – Desenvolvimento Web
3 I. Plano de aula Nesta aula será apresentado:  Conceito de execução de comandos em sites cruzados  Exemplo prático: PHP e JavaScript Módulo VII – Desenvolvimento Web
4 1. Introdução XSS consiste em modificar valores que a aplicação Web usa para enviar variáveis entre duas páginas. Um exemplo é fazer com que através de uma página HTML sejam executados scripts JavaScript.  Cenário: um sistema acadêmico possui vulnerabilidades XSS na exibição de anúncios dos um alunos (mural de recados).  Ataque: Injeção de script de alerta JavaScript no formulário.  Ambiente: Apache 2.4, PHP 5.6, MySQL 5.7.  Repositório: https://github.com/alexcamargoweb/unihacker Módulo VII – Desenvolvimento Web
5 1. Introdução Módulo VII – Desenvolvimento Web Figura. Banco de dados: visão geral. Registro a ser analisado!
6 1. Introdução Módulo VII – Desenvolvimento Web Figura. Aplicação: visão geral. Registro a ser analisado!
7 1. Introdução Módulo VII – Desenvolvimento Web Figura. Aplicação: conexão com o banco de dados.
8 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (com vulnerabilidade).
9 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (com vulnerabilidade).
10 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (sem vulnerabilidade). Previne a entrada de caracteres especiais
11 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (sem vulnerabilidade).
12 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (sem vulnerabilidade). Remove tags HTML e PHP da string
13 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (sem vulnerabilidade).
14 2. Exercícios 1. Responda o quiz sobre Cross-Site-Scripting: Understanding Cross Site Scripting - (ProProfs Quizzes) https://moodle.unihacker.club/mod/url/view.php?id=189 Módulo VII – Desenvolvimento Web
15 Referências básicas OWASP, Top. Top 10-2017. The Ten Most Critical Web Application Security Risks. OWASP™ Foundation. The free and open software security community. URL: https://www.owasp.org/index.php/Top_10- 2017_Top_10, 2017. Módulo VII – Desenvolvimento Web

Recommandé

Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finaisAlex Camargo
 
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012André Paulovich
 
Aula 03 - Autenticação quebrada (Broken Authentication)
Aula 03 - Autenticação quebrada (Broken Authentication)Aula 03 - Autenticação quebrada (Broken Authentication)
Aula 03 - Autenticação quebrada (Broken Authentication)Alex Camargo
 
Silverlight 4.0
Silverlight 4.0Silverlight 4.0
Silverlight 4.0Campus Party Brasil
 
T@rget trust desenvolvendo aplicações com flex
T@rget trust desenvolvendo aplicações com flexT@rget trust desenvolvendo aplicações com flex
T@rget trust desenvolvendo aplicações com flexTargettrust
 
Curso De flask Criando Website - Introdução
Curso De flask Criando Website - IntroduçãoCurso De flask Criando Website - Introdução
Curso De flask Criando Website - IntroduçãoMarcus Pereira
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveRogerio Cordeiro
 
Empreendedorismo
EmpreendedorismoEmpreendedorismo
EmpreendedorismoEasy Communication & Technology
 

Recommandé

Aula 5 - Considerações finais
Aula 5 - Considerações finaisAula 5 - Considerações finais
Aula 5 - Considerações finaisAlex Camargo
 
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012
Criando aplicativos para Windows 8 com HTML5 e JavaScript - InfoTech 2012André Paulovich
 
Aula 03 - Autenticação quebrada (Broken Authentication)
Aula 03 - Autenticação quebrada (Broken Authentication)Aula 03 - Autenticação quebrada (Broken Authentication)
Aula 03 - Autenticação quebrada (Broken Authentication)Alex Camargo
 
Silverlight 4.0
Silverlight 4.0Silverlight 4.0
Silverlight 4.0Campus Party Brasil
 
T@rget trust desenvolvendo aplicações com flex
T@rget trust desenvolvendo aplicações com flexT@rget trust desenvolvendo aplicações com flex
T@rget trust desenvolvendo aplicações com flexTargettrust
 
Curso De flask Criando Website - Introdução
Curso De flask Criando Website - IntroduçãoCurso De flask Criando Website - Introdução
Curso De flask Criando Website - IntroduçãoMarcus Pereira
 
Utilização de APIs do Windows Live
Utilização de APIs do Windows LiveUtilização de APIs do Windows Live
Utilização de APIs do Windows LiveRogerio Cordeiro
 
Empreendedorismo
EmpreendedorismoEmpreendedorismo
EmpreendedorismoEasy Communication & Technology
 
Estrutura Openacs
Estrutura OpenacsEstrutura Openacs
Estrutura Openacsalessandrolandim
 
Intro desenvolvimento-web
Intro desenvolvimento-webIntro desenvolvimento-web
Intro desenvolvimento-webCarlos Eduardo Alves
 
Wordpress para portais (cms)
Wordpress para portais (cms)Wordpress para portais (cms)
Wordpress para portais (cms)Valter Rodrigues
 
desenvolvimento-web-javascript
desenvolvimento-web-javascriptdesenvolvimento-web-javascript
desenvolvimento-web-javascriptFelipe Barros
 
Aula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTVAula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTVRenan Pinto
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello WorldRafael Pacheco
 
Integrando web services j2 ee com
Integrando web services j2 ee comIntegrando web services j2 ee com
Integrando web services j2 ee commsincic
 
ExtJS e PHP OO
ExtJS e PHP OOExtJS e PHP OO
ExtJS e PHP OOFernando de Assis Rodrigues
 
Express 4
Express 4Express 4
Express 4Beto Muniz
 
Um método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosUm método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosThiago Pereira
 
Apresentação MVC - Leon Fernandes
Apresentação MVC - Leon FernandesApresentação MVC - Leon Fernandes
Apresentação MVC - Leon FernandesLeon Fernandes
 
JavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TIJavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TIFred Souza
 
Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)Alex Camargo
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações webSynergia - Engenharia de Software e Sistemas
 
Web Dev Camp
Web Dev CampWeb Dev Camp
Web Dev CampFabrício Lopes Sanchez
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webLuis Asensio
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuLuis Asensio
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Luciano Gerhardt
 
Criando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias MicrosoftCriando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias MicrosoftFabrício Lopes Sanchez
 

Contenu connexe

Tendances

Wordpress para portais (cms)
Wordpress para portais (cms)Wordpress para portais (cms)
Wordpress para portais (cms)Valter Rodrigues
 
desenvolvimento-web-javascript
desenvolvimento-web-javascriptdesenvolvimento-web-javascript
desenvolvimento-web-javascriptFelipe Barros
 
Aula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTVAula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTVRenan Pinto
 
Integrando web services j2 ee com
Integrando web services j2 ee comIntegrando web services j2 ee com
Integrando web services j2 ee commsincic
 
Um método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosUm método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosThiago Pereira
 
Apresentação MVC - Leon Fernandes
Apresentação MVC - Leon FernandesApresentação MVC - Leon Fernandes
Apresentação MVC - Leon FernandesLeon Fernandes
 
JavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TIJavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TIFred Souza
 

Tendances (12)

Estrutura Openacs
Estrutura OpenacsEstrutura Openacs
Estrutura Openacs
 
Intro desenvolvimento-web
Intro desenvolvimento-webIntro desenvolvimento-web
Intro desenvolvimento-web
 
Wordpress para portais (cms)
Wordpress para portais (cms)Wordpress para portais (cms)
Wordpress para portais (cms)
 
desenvolvimento-web-javascript
desenvolvimento-web-javascriptdesenvolvimento-web-javascript
desenvolvimento-web-javascript
 
Aula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTVAula 1 Curso Wordpress da BemTV
Aula 1 Curso Wordpress da BemTV
 
MVVM – Hello World
MVVM – Hello WorldMVVM – Hello World
MVVM – Hello World
 
Integrando web services j2 ee com
Integrando web services j2 ee comIntegrando web services j2 ee com
Integrando web services j2 ee com
 
ExtJS e PHP OO
ExtJS e PHP OOExtJS e PHP OO
ExtJS e PHP OO
 
Express 4
Express 4Express 4
Express 4
 
Um método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviçosUm método para o desenvolvimento de software baseado em microsserviços
Um método para o desenvolvimento de software baseado em microsserviços
 
Apresentação MVC - Leon Fernandes
Apresentação MVC - Leon FernandesApresentação MVC - Leon Fernandes
Apresentação MVC - Leon Fernandes
 
JavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TIJavaScript e suas tendências no mercado de TI
JavaScript e suas tendências no mercado de TI
 

Similaire à Aula 04 - Injeção de código (Cross-Site Scripting)

Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAlex Camargo
 
Website security
Website securityWebsite security
Website securitythiagosenac
 
Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)Alex Camargo
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webLuis Asensio
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuLuis Asensio
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!ricardophp
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Luciano Gerhardt
 
Criando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias MicrosoftCriando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias MicrosoftFabrício Lopes Sanchez
 
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)Giovanni Bassi
 
Introdução ao desenvolvimento de páginas web estáticas
Introdução ao desenvolvimento de páginas web estáticasIntrodução ao desenvolvimento de páginas web estáticas
Introdução ao desenvolvimento de páginas web estáticasSusana Oliveira
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxEdlaine Zamora
 
ASP.NET MVC para desenvolvedores Web Forms (TechEd)
ASP.NET MVC para desenvolvedores Web Forms (TechEd)ASP.NET MVC para desenvolvedores Web Forms (TechEd)
ASP.NET MVC para desenvolvedores Web Forms (TechEd)Giovanni Bassi
 
Curso C sharp plus Framework NET (DIURNO)
Curso C sharp plus Framework NET (DIURNO) Curso C sharp plus Framework NET (DIURNO)
Curso C sharp plus Framework NET (DIURNO) Grupo Treinar
 
Curso C sharp plus Framework NET (NOTURNO)
Curso C sharp plus Framework NET (NOTURNO)Curso C sharp plus Framework NET (NOTURNO)
Curso C sharp plus Framework NET (NOTURNO)Grupo Treinar
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de SegurançaAlan Carlos
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Alex Hübner
 

Similaire à Aula 04 - Injeção de código (Cross-Site Scripting) (20)

Aula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web seguraAula 01 - O que é uma aplicação Web segura
Aula 01 - O que é uma aplicação Web segura
 
Website security
Website securityWebsite security
Website security
 
Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)Aula 02 - Injeção de dados (SQL injection)
Aula 02 - Injeção de dados (SQL injection)
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Web Dev Camp
Web Dev CampWeb Dev Camp
Web Dev Camp
 
Top 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_webTop 5 vulnerabilidades_em_aplicacoes_web
Top 5 vulnerabilidades_em_aplicacoes_web
 
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seuTop 5 vulnerabilidades_em_aplicacoes_web_e_seu
Top 5 vulnerabilidades_em_aplicacoes_web_e_seu
 
Xss Desvendado!
Xss Desvendado!Xss Desvendado!
Xss Desvendado!
 
Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)Segurança em Aplicações ASP.NET (XSS e CSRF)
Segurança em Aplicações ASP.NET (XSS e CSRF)
 
Criando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias MicrosoftCriando aplicações web com tecnologias Microsoft
Criando aplicações web com tecnologias Microsoft
 
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)
ASP.NET MVC com jQuery (Retome o controle da sua aplicação web)
 
Introdução ao desenvolvimento de páginas web estáticas
Introdução ao desenvolvimento de páginas web estáticasIntrodução ao desenvolvimento de páginas web estáticas
Introdução ao desenvolvimento de páginas web estáticas
 
Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)Aula 10 - Cross Site Scripting (XSS)
Aula 10 - Cross Site Scripting (XSS)
 
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali LinuxComo analisar a vulnerabilidade de uma aplicação web com o Kali Linux
Como analisar a vulnerabilidade de uma aplicação web com o Kali Linux
 
ASP.NET MVC para desenvolvedores Web Forms (TechEd)
ASP.NET MVC para desenvolvedores Web Forms (TechEd)ASP.NET MVC para desenvolvedores Web Forms (TechEd)
ASP.NET MVC para desenvolvedores Web Forms (TechEd)
 
Curso C sharp plus Framework NET (DIURNO)
Curso C sharp plus Framework NET (DIURNO) Curso C sharp plus Framework NET (DIURNO)
Curso C sharp plus Framework NET (DIURNO)
 
Curso C sharp plus Framework NET (NOTURNO)
Curso C sharp plus Framework NET (NOTURNO)Curso C sharp plus Framework NET (NOTURNO)
Curso C sharp plus Framework NET (NOTURNO)
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?Aplicações Web ‐ Seu site está seguro?
Aplicações Web ‐ Seu site está seguro?
 
Tratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com phpTratando as vulnerabilidades do Top 10 com php
Tratando as vulnerabilidades do Top 10 com php
 

Plus de Alex Camargo

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaAlex Camargo
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - DemonologiaAlex Camargo
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosAlex Camargo
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?Alex Camargo
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasAlex Camargo
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaAlex Camargo
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Alex Camargo
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Alex Camargo
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoAlex Camargo
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlex Camargo
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeAlex Camargo
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoAlex Camargo
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)Alex Camargo
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Alex Camargo
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoAlex Camargo
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020Alex Camargo
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alexAlex Camargo
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial IntelligenceAlex Camargo
 
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes Sociais
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes SociaisAVIVA SUL CONFERENCE 2019 - Cristao versus Redes Sociais
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes SociaisAlex Camargo
 
SACOMP 2019 - Web Scraping: coletando dados como um artesão
SACOMP 2019 - Web Scraping: coletando dados como um artesãoSACOMP 2019 - Web Scraping: coletando dados como um artesão
SACOMP 2019 - Web Scraping: coletando dados como um artesãoAlex Camargo
 

Plus de Alex Camargo (20)

Escola Bíblica - Eclesiologia
Escola Bíblica - EclesiologiaEscola Bíblica - Eclesiologia
Escola Bíblica - Eclesiologia
 
Escola Bíblica - Demonologia
Escola Bíblica - DemonologiaEscola Bíblica - Demonologia
Escola Bíblica - Demonologia
 
Python para finanças: explorando dados financeiros
Python para finanças: explorando dados financeirosPython para finanças: explorando dados financeiros
Python para finanças: explorando dados financeiros
 
A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?A practical guide: How to use Bitcoins?
A practical guide: How to use Bitcoins?
 
IA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínasIA e Bioinformática: modelos computacionais de proteínas
IA e Bioinformática: modelos computacionais de proteínas
 
Introdução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurançaIntrodução às criptomoedas: investimento, mercado e segurança
Introdução às criptomoedas: investimento, mercado e segurança
 
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
Introdução às criptomoedas: criando a sua própria moeda como o Bitcoin!
 
Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)Cristão versus Redes Sociais - Alex (Arca da Aliança)
Cristão versus Redes Sociais - Alex (Arca da Aliança)
 
Empatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom SamaritanoEmpatia e compaixão: O Bom Samaritano
Empatia e compaixão: O Bom Samaritano
 
Alta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem praticaAlta performance em IA: uma abordagem pratica
Alta performance em IA: uma abordagem pratica
 
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidadeBioinformática do DNA ao medicamento: ferramentas e usabilidade
Bioinformática do DNA ao medicamento: ferramentas e usabilidade
 
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mãoInteligência Artificial aplicada: reconhecendo caracteres escritos à mão
Inteligência Artificial aplicada: reconhecendo caracteres escritos à mão
 
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
IA versus COVID-19 Deep Learning, Códigos e Execução em nuvem (Tchelinux 2020)
 
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...Algoritmos de inteligência artificial para classificação de notícias falsas. ...
Algoritmos de inteligência artificial para classificação de notícias falsas. ...
 
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigaçãoFake News - Conceitos, métodos e aplicações de identificação e mitigação
Fake News - Conceitos, métodos e aplicações de identificação e mitigação
 
PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020PredictCovid: IA. SIEPE UNIPAMPA 2020
PredictCovid: IA. SIEPE UNIPAMPA 2020
 
Ia versus covid 19 - alex
Ia versus covid 19 - alexIa versus covid 19 - alex
Ia versus covid 19 - alex
 
2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence2a Mini-conf PredictCovid. Field: Artificial Intelligence
2a Mini-conf PredictCovid. Field: Artificial Intelligence
 
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes Sociais
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes SociaisAVIVA SUL CONFERENCE 2019 - Cristao versus Redes Sociais
AVIVA SUL CONFERENCE 2019 - Cristao versus Redes Sociais
 
SACOMP 2019 - Web Scraping: coletando dados como um artesão
SACOMP 2019 - Web Scraping: coletando dados como um artesãoSACOMP 2019 - Web Scraping: coletando dados como um artesão
SACOMP 2019 - Web Scraping: coletando dados como um artesão
 

Aula 04 - Injeção de código (Cross-Site Scripting)

  • 1. Cross-Site ScriptingCross-Site Scripting Prof. Alex Dias Camargo alexcamargoweb@gmail.com REPÚBLICA FEDERATIVA DO BRASIL UNIVERSIDADE HACKER INTRODUÇÃO A SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS MÓDULO VII – DESENVOLVIMENTO WEB
  • 2. 2 I. Plano de aula Na aula anterior foi visto:  Conceito de autenticação quebrada  Exemplo prático: PHP e Python Módulo VII – Desenvolvimento Web
  • 3. 3 I. Plano de aula Nesta aula será apresentado:  Conceito de execução de comandos em sites cruzados  Exemplo prático: PHP e JavaScript Módulo VII – Desenvolvimento Web
  • 4. 4 1. Introdução XSS consiste em modificar valores que a aplicação Web usa para enviar variáveis entre duas páginas. Um exemplo é fazer com que através de uma página HTML sejam executados scripts JavaScript.  Cenário: um sistema acadêmico possui vulnerabilidades XSS na exibição de anúncios dos um alunos (mural de recados).  Ataque: Injeção de script de alerta JavaScript no formulário.  Ambiente: Apache 2.4, PHP 5.6, MySQL 5.7.  Repositório: https://github.com/alexcamargoweb/unihacker Módulo VII – Desenvolvimento Web
  • 5. 5 1. Introdução Módulo VII – Desenvolvimento Web Figura. Banco de dados: visão geral. Registro a ser analisado!
  • 6. 6 1. Introdução Módulo VII – Desenvolvimento Web Figura. Aplicação: visão geral. Registro a ser analisado!
  • 7. 7 1. Introdução Módulo VII – Desenvolvimento Web Figura. Aplicação: conexão com o banco de dados.
  • 8. 8 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (com vulnerabilidade).
  • 9. 9 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (com vulnerabilidade).
  • 10. 10 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (sem vulnerabilidade). Previne a entrada de caracteres especiais
  • 11. 11 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (sem vulnerabilidade).
  • 12. 12 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: código-fonte do script (sem vulnerabilidade). Remove tags HTML e PHP da string
  • 13. 13 1. Introdução Módulo VII – Desenvolvimento Web Figura. Ataque XSS: aplicação (sem vulnerabilidade).
  • 14. 14 2. Exercícios 1. Responda o quiz sobre Cross-Site-Scripting: Understanding Cross Site Scripting - (ProProfs Quizzes) https://moodle.unihacker.club/mod/url/view.php?id=189 Módulo VII – Desenvolvimento Web
  • 15. 15 Referências básicas OWASP, Top. Top 10-2017. The Ten Most Critical Web Application Security Risks. OWASP™ Foundation. The free and open software security community. URL: https://www.owasp.org/index.php/Top_10- 2017_Top_10, 2017. Módulo VII – Desenvolvimento Web