Terças de ALM e Operações – Análise de Segurança em Aplicações Web

Não percam, excepcionalmente nessa sexta-feira, o Workshop de Análise de Segurança em Aplicações Web. Maiores informações mande um e-mail para alanncarlos@outlook.com.

 

image

Acompanhe também os artigos sobre Análises de Segurança no Blog.

Teste de Segurança em Aplicações Web – SQL Injection

Teste de Segurança em Aplicações Web – Ataque DDDOS

Teste de Segurança em Aplicações Web – Criptografia Fraca

Teste de Segurança em Aplicações Web – Vazamento de Informações

Teste de Segurança em Aplicações Web – XSS (Cross Site Scripting)

Até lá!

Alan Carlos
Technet Wiki Ninja

Dica – Analisando a Segurança (SQL, Windows Update, IIS) de Servidores de Aplicativos

Um dos itens do TOP 10 da OWASP é o A6 – Configurações Gerais de Segurança

A6 – Configurações Gerais de Segurança

Uma boa segurança exige ter uma configuração segura definida e implantada para a aplicação, frameworks, servidor de aplicação, servidor web, servidor de banco de dados e plataforma. Todas essas definições devem ser definidas, implementadas e mantidas como muitos não são enviados com padrões seguros. Isso inclui manter todos os softwares atualizados, incluindo todas as bibliotecas de código usadas pela aplicação.

Então em seu time de desenvolvimento é muito importante ter um papel chamado Gestor de Configuração, que poderá lhe auxiliar a manter os itens como:

– Gerenciamento de códigos

– Componentes atualizados

– Ambientes de Testes e Desenvolvimento atualizados

– Etc.

E qual ferramenta esse papel pode usar para validar as configurações dos servidores?

Uma ferramenta para ambientes Microsoft é a MSBA, Microsoft Security Base Analyzer. Com ela é possível identificar:

– Vulnerabilidades Administrativas do Windows

– Vulnerabilidades Administrativas do SQL Server

– Vulnerabilidades Administrativas do Internet Information Services

– Updates de Segurança do Windows

– Entre outros.

– Instalando o MSBA

Para instalar o MSBA, faça o download aqui. Depois instale o mesmo, conforme a tela abaixo.

image

image

image

– Executando o MSBA

Execute o MSBA, selecione o servidor (local ou remoto) e quais itens que serão validados e execute.

image

image

Depois, analise os relatórios para identificar se há alguma informação de melhoria de configuração, update ou similar para ser feita no ambiente.

image

Simples assim!

Espero que ajude e até a próxima!

Alan Carlos

System Center – Hyper-V – Segurança de Rede

O Windows 2012 Hyper-V trouxe uma série de novos recursos, principalmente no quesito segurança. Veja as opções e como habilitá-las:

DHCP Guard: É um recurso de segurança que realiza um DROP (apaga, finaliza, redireciona) mensagens do servidor DHCP de máquinas virtuais não autorizadas que fingem ser servidores DHCP.

Router Guard: É um recurso de segurança que realiza um DROP (apaga, finaliza, redireciona) Router Advertisement e mensagens de redirecionamento de máquinas virtuais não autorizadas fingindo ser roteadores.

Port Mirroring: Duplica todo o tráfego de saída e entrada para / de uma ou mais portas de switch (sendo monitorados) para outra porta do switch (realizando monitoramento).

Para configurar uma dessas features, Abra o Gerenciador do Hyper-V e, em seguida, selecione a máquina virtual, no painel direito clique em Configurações. Selecione o switch virtual que deseja configurar e expanda Recursos Avançados.

image

Pronto, sua configuração está feita.

Windows Server – Windows Backup (WBADMIN)

No Windows Server 2012 possuimos a feature Windows Backup (WBADMIN) que é muito útil para realizar backups e restaurações de servidores como File Server, Active Directory, Servidores Membros, etc.

Para habilitar, você deve instalar essa feature usando Add Role e Features Wizard.

image

image

Depois de instalado, você pode realizar uma configuração conforme abaixo:

image

Por exemplo, se você deseja realizar um backup de um servidor Active Directory, você precisará selecionar o backup Full, que contempla arquivos, diretórios, estado do sistema, etc.

image

Pode se determinar o horário do backup.

image

E o destino.

image

Depois clique em OK e terá um backup completo do seu sistema.

Pode também ser feito por linha de comando, conforme abaixo:

image