Teste de invasão: Exploração de falhas – Parte 3

No post anterior da série, discutimos sobre a lista das 10 vulnerabilidades do OWASP  (Open Web Application Security Project), organização internacional que tem como objetivo promover pesquisas para auxiliar na melhoria da segurança das aplicações web.

Neste post, vamos discutir um pouco mais sobre a vulnerabilidade A1 – Injection.

Leia mais

Um bot para testar outro bot utilizando o builder do BLiP

Já tem um tempo que não escrevo aqui no blog e, em geral, sobre chatbots. Mas voltei com um assunto muito legal: Bot testando bot! Como assim? Eu te explico.

Há algum tempo, a plataforma BLiP lançou o builder. E ele ficou doido demais!!

Roubei a definição do que é o Builder de um cara que entende pouco do assunto, o Rafael Pacheco 😛

O Builder é mais um dos diversos componentes do BLiP. Ele foi pensado para possibilitar a construção de bons chatbots de forma rápida, simples, visual e sem a necessidade de código. Através dele, é possível estruturar todo o fluxo da conversa e definir o conteúdo do bot, de forma integrada a qualquer outro recurso da plataforma.

Para saber mais sobre como ele funciona, você pode acessar o post completo aqui! Eu recomendo a leitura antes de seguir adiante neste post.

Leia mais

Teste de invasão: Exploração de falhas – Parte 2

Os ataques a aplicações web estão se tornando mais elaborados e cada vez mais fazendo uso de métodos automatizados de exploração de vulnerabilidades. Segundo o OWASP, a principal causa dessas vulnerabilidades está ainda na etapa de desenvolvimento, como falta de validação correta dos campos de entrada de aplicações web.

Neste post, vamos discutir as 10 principais vulnerabilidades listadas no OWASP top ten 2017. Confira!

Leia mais

Teste de invasão: Exploração de falhas – Parte 1

Nos posts anteriores, falamos sobre as diversas fases de um teste de invasão. Neste post, começaremos a discutir sobre a fase de Exploração de falhas.

Nesta fase iremos utilizar — com base nas vulnerabilidades levantadas na fase anterior — os exploits que podem ser definidos como dados, comandos ou códigos executáveis capazes de aproveitar as vulnerabilidades de sistemas. O objetivo é explorar as vulnerabilidades e obter acesso aos sistemas.

Leia mais

Teste de invasão: Análise de vulnerabilidades – Parte 2

No post anterior, iniciamos a discussão sobre a etapa de Análise de vulnerabilidades, na qual utilizamos ferramentas e análises manuais para realizar um levantamento das vulnerabilidades existentes, levando em consideração tanto a pesquisa de informações disponíveis de forma pública quanto o que seria crítico a nível de segurança da informação do negócio da organização.

Neste post, vamos falar sobre as ferramentas de scan, que realizam uma verificação e comparação com uma base de dados de vulnerabilidades para identificar as falhas.

Leia mais

Teste de invasão: Análise de vulnerabilidades – Parte 1

Prosseguindo com a nossa série de posts sobre Teste de invasão!

Nos posts anteriores, discutimos sobre as fases de:

Neste post, vamos começar a entender sobre alguns métodos para realizar a etapa de análise de vulnerabilidades, na qual vamos não somente identificar as vulnerabilidades, mas também realizar uma análise sobre os problemas que a exploração daquela falha poderá causar, levando em consideração o tipo do negócio da organização. Leia mais

Teste de invasão: Modelagem de ameaças

Nos posts anteriores, conversamos sobre a duas primeiras fases do teste de invasão. Na primeira fase (Preparação_, o objetivo é compreender sobre a área de atuação da organização que está solicitando o teste e sobre o objetivo que se quer alcançar com a sua realização, buscando o alinhamento — visto que esse tipo de teste pode gerar impactos inesperados.

A segunda fase é a de Coleta de informações, na qual o objetivo é buscar informações públicas sobre a empresa que possam ajudar nos testes, e essas informações serão utilizadas para a próxima fase que vamos falar neste post: Modelagem de Ameaças.

Leia mais

by Take ® 2015 | Todos os direitos reservados.linkedin