Webinar Metasploit Framework - Academia Clavis

•

4 gefällt mir•1,317 views

O documento descreve o Metasploit Framework, um framework de teste de penetração. Ele discute as interfaces do framework, como msfcli, msfweb e msfconsole, e como ele pode ser usado para desenvolver e lançar exploits, obter informações de alvos, identificar vulnerabilidades e manter acesso a sistemas comprometidos.

Technologie

Metasploit Framework
Rafael Soares Ferreira
Clavis Segurança da Informação
rafael@clavis.com.br

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

$ whoami
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

• CSO (Clavis & Green Hat)
• Pentester
• Investigador Forense
• Incident Handler
• Hacker Ético (CEHv6 – ecc943687)
• Instrutor e Palestrante

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Introdução
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Objetivo
● Desenvolvimento de Exploits

● Customização e Lançamento

● Exploits Testados e Reescritos

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Introdução
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Arquitetura

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces
● msfcli

● msfweb

● msfconsole

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces - msfcli
● Linha de Comando

● Apenas uma sessão por vez

● Útil para scripts e automatizações

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces - msfcli

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces - msfweb
● Point-and-Click

● Retirada do desenvolvimento

● Proposta de Substituição: Armitage

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces – msfweb Armitage

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces - msfconsole
● Suporte a todas as features do MSF

● Completa e Interativa

● Execução de comandos externoss

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Interfaces - msfconsole

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Exploits
● Busca por módulos

● Configuração de parâmetros

● Escolha de alvo(s)

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Exploits

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Meterpreter
● Gestão de sessões

● Informações de processos

● Manipulação de arquivos

● Execução de Comandos

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Meterpreter

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Obtenção de Informação
● Port Scanning

● Identificação de Serviços

● Captura de Senhas

● SNMP Sweeping

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Obtenção de Informação

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Identificação de Vulnerabilidades
● Nexpose

● Nessus

● QualysGuard

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Identificação de Vulnerabilidades

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Mantendo Acesso
● Keylogging

● Backdoor

● Escalada de Privilégio

● Captura de Tela

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Utilização
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Mantendo Acesso

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Conclusão
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

● Excelente Ferramenta para TDI

● Auxilia em várias etapas

● Open-source - alguém aí sabe ruby? ;)

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Data: 12 e 13 de agosto de 2011(sexta e sábado)

Local: Centro de Convenções da Bolsa de Valores do
Rio de Janeiro.
www.seginfo.com.br

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Profissionais renomados no cenário
Nacional e Internacional

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Próximos Eventos
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Jogos e Premiações!

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Dúvidas?
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Perguntas?
Críticas?
Sugestões?

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Fim...
Copyright © 2009 Clavis Segurança da Informação. Todos os direitos reservados.

Muito Obrigado!

Rafael Soares Ferreira

rafael@clavis.com.br

@rafaelsferreira

Copyright © 2011 Clavis Segurança da Informação. Todos os direitos reservados.

Weitere ähnliche Inhalte

Andere mochten auch

Die Frage nach Informationssicherheit wird spätestens seit der NSA-Affäre auch in Unternehmen zunehmend öfter gestellt. Im Vortrag werden die sich hieraus ergebenden Anforderungen für Übersetzungsdienstleister und ihre Auftraggeber anhand der Vorgaben der ISO 27001 vorgestellt. Neben den formalen Anforderungen im Bereich der Prozessgestaltung, Aspekten der physischen Sicherheitseinrichtungen und der IT werden auch die speziellen Besonderheiten beim Einsatz von Freelancern in gesicherten Prozessen diskutiert und praxisnahe Lösungsansätze aufgezeigt. Weitere Informationen unter www.rws-group.de/de/uebersetzung/rws-secure-translations/

Informationssicherheit im Übersetzungsprozess

Hans Pich

Penetration test

Digicomp Academy AG

Metasploit-TOI-Ebryx-PVT-Ltd

Ali Hussain

Static PIE, How and Why - Metasploit's new POSIX payload: Mettle

Brent Cook

Tranning-2

Ali Hussain

Metasploit for information gathering

Chris Harrington

Slide curso metasploit

Roberto Soares

Scrum Überblick Teil 1

Christof Zahn

Oscp preparation

Manich Koomsusi

Network Packet Analysis

Ammar WK

Writing Metasploit Plugins

amiable_indian

Metasploit Humla for Beginner

n|u - The Open Security Community

Metasploit Basics

amiable_indian

Packet analysis (Basic)

Ammar WK

Wi-Fi Hotspot Attacks

Greg Foss

Prepare Yourself to Become Infosec Professional

M.Syarifudin, ST, OSCP, OSWP

Metasploit

Raghunath G

Title: Hands on Penetration Testing 101 by Scott Sutherland & Karl Fosaaen Abstract: The goal of this training is to introduce attendees to standard penetration test methodologies, tools, and techniques. Hands on labs will cover the basics of asset discovery, vulnerability enumeration, system penetration, privilege escalation, and bypassing end point protection. During the labs, common vulnerabilities will be leveraged to illustrate attack techniques, using freely available tools such as Nmap and Metasploit. This training will be valuable to anyone interested in gaining a better understanding of penetration testing or to system administrators trying to understand common attack approaches.

DC612 Day - Hands on Penetration Testing 101

dc612

Apostila metasploit

Rogério Sampaio

My pwk & oscp journey

M.Syarifudin, ST, OSCP, OSWP

Andere mochten auch (20)

Informationssicherheit im Übersetzungsprozess

Penetration test

Metasploit-TOI-Ebryx-PVT-Ltd

Static PIE, How and Why - Metasploit's new POSIX payload: Mettle

Tranning-2

Metasploit for information gathering

Slide curso metasploit

Scrum Überblick Teil 1

Oscp preparation

Network Packet Analysis

Writing Metasploit Plugins

Metasploit Humla for Beginner

Metasploit Basics

Packet analysis (Basic)

Wi-Fi Hotspot Attacks

Prepare Yourself to Become Infosec Professional

Metasploit

DC612 Day - Hands on Penetration Testing 101

Apostila metasploit

My pwk & oscp journey

Ähnlich wie Webinar Metasploit Framework - Academia Clavis

O Metasploit Framework é uma ferramenta opensource para desenvolvimento e lançamento de exploits muito utilizada em auditorias Teste de Invasão. O framework consiste em uma série de ferramentas, exploits e códigos que podem ser utilizados através de diferentes interfaces. A palestra visa apresentar a ferramenta, sua arquitetura e funcionalidades, assim como as possibilidades de manipulação e desenvolvimento de exploits dentro do framework. http://www.blog.clavis.com.br/clavis-no-fisl-palestra-metasploit-framework-a-lightsaber-for-pentesters/

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!

Clavis Segurança da Informação

Rafael Soares Ferreira, Diretor Técnico do Grupo Clavis Segurança da Informação, irá palestrar nessa sexta as 10 horas sobre o tema “City Tour Geek: a Wardriving day”. Rafael apresentará ferramentas e equipamentos utilizados para a prática de wardriving visando identificação de vulnerabilidades em redes sem fio. Rafael também apresentará os resultados e bastidores do projeto de conscientização de segurança em redes sem fio realizado no dia 30 de novembro de 2011, evento que contou com a cobertura ao vivo da Globo News e Jornal o Globo. http://wardrivingday.org

Palestra @hacknrio : City Tour Geek: a Wardriving day

Clavis Segurança da Informação

Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...

Clavis Segurança da Informação

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...

SegInfo

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Clavis Segurança da Informação

Soluções de Segurança da Informação para o mundo corporativo (para cada probl...

Clavis Segurança da Informação

V SEGINFO - “Auditoria de Aplicações Web”

Clavis Segurança da Informação

Palestra ministrada na 12ª edição do H2HC (Hackers To Hackers Conference) Analisando eventos de forma inteligente para Detecção de Intrusos usando ELK (Elasticsearch, Logstash, Kibana) Logs, logs e mais logs é o que mais encontramos no nosso dia a dia, seja simples informações do sistema, como produtos e caixa mágicas. A grande questão é como usar essas informações de forma inteligente para que isso não se transforme num lixão eletrônico apenas, ou seja, não somente um monte de dados crus e sim dados trabalhados com a sua necessidade. A ideia dessa palestra é demonstrar como podemos com open source, utilizando ou não produtos comerciais e um pouco de análise podemos obter ótimos resultados, criando um ciclo para adição de fonte de dados úteis, extraindo dela o máximo possível para detectar ameaças relativas ao seu ambiente.

Analisando eventos de forma inteligente para detecção de intrusos usando ELK

SegInfo

Palestra Clavis - Octopus

Clavis Segurança da Informação

Soluções de Segurança da Informação para o mundo corporativo (Atualidade e pr...

Clavis Segurança da Informação

Keylogger

Gionni Lúcio

Palestra - Evento Petrobras RPBC Day

TI Safe

Inf seg redinf_semana5

Eduardo Santana

Imei módulo3 sistema operativo

teacherpereira

Imei módulo3 sistema operativo

teacherpereira

Impeça que os dados fujam pela porta!

SolarWinds

Sophos central webinar

DeServ - Tecnologia e Servços

Voce sabe o que esta guardado em seu computador

Data Security

[english]Software and services developed to deter, detect and defend enterprises’ assets, such as contents, documents and brands, against security threats. Technology employed is based on insertion and validation of markings—2D barcodes and watermarkings—and uses smartphones and other similar devices. [português]Softwares e serviços que protegem conteúdos digitais e documentos físicos contra falsificações e vazamentos, baseados na geração de marcações (códigos de barra 2D e marcas d água digitais), com leitura através de dispositivos móveis: celulares e outros.

Certimarca

Andre Ribas Pereira

Café da manhã 17/05/17 - Apresentação SonicWall

Jorge Quintao

Ähnlich wie Webinar Metasploit Framework - Academia Clavis (20)

Palestra FISL Metasploit Framework: a Lightsaber for Pentesters!

Palestra @hacknrio : City Tour Geek: a Wardriving day

Workshop Análise Forense Computacional - Clavis Segurança da Informação && Ri...

"Atacando e Defendendo Aplicações Web" por Rafael Soares Ferreira, Sócio-Dire...

Principais ameças à Aplicações Web - Como explorá-las e como se proteger.

Soluções de Segurança da Informação para o mundo corporativo (para cada probl...

V SEGINFO - “Auditoria de Aplicações Web”

Analisando eventos de forma inteligente para detecção de intrusos usando ELK

Palestra Clavis - Octopus

Soluções de Segurança da Informação para o mundo corporativo (Atualidade e pr...

Keylogger

Palestra - Evento Petrobras RPBC Day

Inf seg redinf_semana5

Imei módulo3 sistema operativo

Impeça que os dados fujam pela porta!

Sophos central webinar

Voce sabe o que esta guardado em seu computador

Certimarca

Café da manhã 17/05/17 - Apresentação SonicWall

Mehr von Clavis Segurança da Informação

17ª edição da Security BSides São Paulo, uma conferência gratuita sobre segurança da informação e cultura hacker, também conhecida como BSidesSP. Desta vez, estivemos duplamente representados pelo nosso Head de Produto, Leonardo Pinheiro e pelo nosso Head of Threat and Detection Research, Rodrigo Montoro. Imperdível! ;) Ambos apresentaram a palestra "Exploit Prediction Scoring System (EPSS) – Aperfeiçoando a priorização de vulnerabilidades de forma efetiva". Confira!

Bsides SP 2022 - EPSS - Final.pptx

Clavis Segurança da Informação

Entre os dias 04/10 e 06/10, nosso head de Threat & Detection Research e Security Content Lead, Rodrigo Montoro, representou a Clavis em mais uma importante apresentação em Toronto no Canadá. No dia 04/10 ele palestrou no Cloud Summit e no dia 06/10 na Sector. Montoro, apresentou as palestras "The Default Truth Of AWS Shared Responsability Model" e "Understanding, Abusing and Monitoring AWS Appstream 2.0", onde abordou a importância de entender os padrões que o provedor da nuvem proporciona, bem como pesquisar sobre serviços de uso mais incomuns e fora dos grande "holofotes". A abordagem das duas palestras busca justamente desmitificar um pouco do modelo de responsabilidade compartilhada e configurações iniciais da nuvem e a segunda o entendimento de um serviço não tao comumente utilizado e seus perigos. Como exemplo, compartilhou importantes resultados obtidos após pesquisa de vulnerabilidades no serviço Amazon AppStream 2.0, da Amazon Web Services (AWS).

Cloud Summit Canada com Rodrigo Montoro

Clavis Segurança da Informação

O mundo da nuvem trouxe vários facilitadores. Porém, com ele, também vieram novos desafios e superfícies de ataque que precisam ser estudadas, entendidas e monitoradas. Atualmente temos por volta de 300 serviços na AWS que nos trazem milhares de ações que podem ser utilizadas para o bem ou mal. Foi sobre esses desafios que Rodrigo Montoro, nosso Head of Threat and Detection Research, palestrou em seu painel "Construindo um plano de resposta a incidentes para ambientes AWS", na 8ª edição do Mind the Sec.

Resposta a Incidentes | Mind The Sec 2022 com Rodrigo Montoro

Clavis Segurança da Informação

Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação

Big Data e Segurança da Informação - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação

A maldição do local admin - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação

Adoção do PCI no Brasil - 10o Workshop SegInfo - Apresentação

Clavis Segurança da Informação

Palestra GlobalSign

Clavis Segurança da Informação

Palestra Exceda - Clavis 2016

Clavis Segurança da Informação

No dia 16 de fevereiro de 2016 foi realizado um agradável almoço no, promovido pela Clavis e Cyberark, que teve objetivo apresentar as soluções ofertadas pela Clavis e Cyberark. O evento foi realizado foi realizado no Bistrô Panamera do Hotel Novo Mundo, no bairro do Flamengo, na cidade do Rio de Janeiro. Foram apresentadas pela Cyberark soluções de Gestão de Credenciais Privilegiadas, Cofre de Senhas e Auditoria de Acesso. Foram também abordados exemplos e cases de como as soluções desenvolvidas pela Cyberark podem ajudar as empresas a mitigar ataques avançados persistentes e a responder de forma imediata a ameaças ativas em seu ambiente. Veja abaixo os slides apresentadas pela Cyberk, parceiro oficial da Clavis Segurança da Informação.

Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...

Clavis Segurança da Informação

Qual o objetivo deste novo webinar da Clavis Segurança da Informação? Neste webinar iremos abordar as novidades da prova da certificação CompTIA Security+ (401), o que há de novo na Terceira edição do livro de Security+ e o que esperar do curso permanente oficial da Clavis. Sobre o Instrutor: Yuri Diógenes é Mestre em Cybersecurity com concentrações em Cyber Intelligence e Forensics Investigation pela UTICA nos Estados Unidos, MBA pela FGV, Pós Graduado em Gestão de TI pela UFG. Com mais de 20 anos de experiência na área de TI, Yuri atua como Senior Content Developer do time de Mobilidade Empresarial da Microsoft, Professor do curso de Security+ da Clavis Segurança da Informação e Professor do Mestrado Ciência da Segurança da Informação do EC-Council University nos Estados Unidos. Yuri é membro senior do ISSA (Information Security Association) nos Estados Unidos onde escreve artigos técnicos para o ISSA Journal. Yuri possui as certificações CompTIA Security+, CASP, Network+, Cloud+, Cloud Essentials, Mobiity+, ISC2 CISSP, EC|CEH, EC|CSA, Microsoft MCITP, MCTS, MCSA/MCSE+Security, MCSE+Internet, MCSA/MCSE+Messaging. Siga o Yuri no Twitter @yuridiogenes e acompanhe os artigos em Português no bloghttp://yuridiogenes.wordpress.com. Na Academia Clavis é instrutor do Curso Oficial CompTIA Security+. Este webinar foi realizado com a mesma infraestrutura de um treinamento EAD da Academia Clavis. É portanto uma excelente oportunidade para que você conheça o sistema utilizado pela Academia Clavis Segurança da Informação.

Webinar #27 - Curso Permanente ComPTIA Security+ Exame SY0 401

Clavis Segurança da Informação

Neste webinar foram apresentados os principais assuntos da ementa do curso Análise Forense de Redes EAD da Clavis, abordando com detalhes as 3 fases distintas envolvidas nas atividades destes tipos de análise: Instalação do “Grampo” Digital (cenários possíveis e adequados aos mais diversos tipos de ambientes computacionais), Captura de tráfego (dados importantes que devem compor os filtros configurados nesta fase, formato adequado e detalhes que limitam ou até inviabilizam esta captura) e Análise dos dados capturados (filtros pós-captura, ferramentas e frameworks disponíveis, manipulação de arquivos PCAP identificação de informações e recuperação de arquivos), além de técnicas e informações complementares atualizadas. Conheça mais sobre o curso Análise Forense de Redes EAD em http://www.clavis.com.br/treinamento-ensino-a-distancia-ead/analise-forense-de-redes-com-software-livre-pericia-digital-seguranca-da-informacao

Webinar # 21 – Análise Forense de Redes

Clavis Segurança da Informação

A palestra visa apresentar técnicas de evasão que podem ser utilizadas em varreduras de rede para evitar que esta seja bloqueada por sistemas de segurança como filtros de pacotes ou sistemas de detecção/prevenção de intrusos ou que esta seja detectada pela equipe de monitoramento desta rede. Estas técnicas são demonstrada utilizando a ferramenta Nmap, que é uma ferramenta livre e de código aberto utilizada para realizar tarefas como mapeamento de redes e auditorias de segurança através da análise de pacotes enviados e recebidos. Esta palestra foi apresentada na reunião GTS 22.

Manobras Evasivas: Técnicas de Evasão para Varreduras com o Nmap

Clavis Segurança da Informação

Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...

Clavis Segurança da Informação

Testes de Invasão ajudam a alcançar a conformidade - Segurança da Informação

Clavis Segurança da Informação

Henrique Soares, analista técnico do Grupo Clavis Segurança da Informação. Esta palestra visa demonstrar como a análise de informações publicadas nas mídias sociais podem ser utilizadas como base de conhecimento para o lançamento de ataques de força bruta. Os ataques de força bruta não são exatamente uma novidade e as técnicas que serão apresentadas nesta palestra também não são novas, entretanto com o advento das mídias sociais como fonte de informações pessoais com bom nível de confiabilidade de um dado indivíduo (pois são fornecidas pelo próprio), a eficiência dos ataques de força bruta pode ser aumentada de maneira significativa sobre o próprio indivíduo ou sobre outros próximos a ele. Assim, a aplicação destas técnicas já bem conhecidas com o conhecimento destas novas informações que, se interpretadas de maneira adequada, podem obter resultados melhores. Assim, esta palestra apresenta as técnicas e ferramentas já tradicionalmente utilizadas para lançar este tipo de ataque e acrescenta a este contexto as melhorias que o conhecimento das informações coletadas nas mídias sociais podem trazer. O objetivo da apresentação é conscientizar sobre os riscos resultantes da exposição descuidada de informações.

Entendendo como as Mídias Socias Revolucionaram os Ataques de Força Bruta

Clavis Segurança da Informação

A palestra visa demonstrar técnicas de varredura de aplicações web utilizando o Wmap, que é uma ferramenta de busca de vulnerabilidades em aplicações web totalmente integrada ao arcabouço de desenvolvimento de exploits Metasploit Framework. A ferramenta funciona como um plugin para o arcabouço de desenvolvimento de exploits Metasploit Framework, organizando todos os módulos relacionados a aplicações web, catalogando informações sobre os alvos e disparando ataques ordenados.

Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap

Clavis Segurança da Informação

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI - DF

Clavis Segurança da Informação

Título: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web Descrição: O uso de aplicações web vem crescendo de maneira significativa e é quase uma obrigação para organizações de fins diversos ter uma página que divulgue o portfólio. Por outro lado, a cada dia novas falhas e formas de exploração estão surgindo à todo momento, trazendo risco à manutenção de tais páginas na Internet sem o devido cuidado e proteção. Esta palestra tem por finalidade avaliar quanto risco a exploração de uma vulnerabilidade em aplicações web por trazer ao negócio de uma organização. Além disto, demonstrar que os riscos associados a estas explorações vão muito além de prejuízo financeiro, podendo afetar, principalmente, a reputação da organização em questão. Palestrante: Henrique Ribeiro dos Santos Soares Henrique Ribeiro dos Santos Soares é analista da Clavis Segurança da Informação. Graduou-se Bacharel em Ciência da Computação (2010) e Mestre em Informática na área de Redes de Computadores e Sistemas Distribuídos (2012) pela UFRJ. Participou do Grupo de Resposta a Incidentes de Segurança (GRIS-DCC-UFRJ), onde atuou na área de resposta a incidentes e auditorias. Atuou como professor de Segurança em Redes sem Fio no curso de pós-graduação Gerência de Redes de Computadores e Tecnologia Internet do Instituto Tércio Pacitti de Aplicações e Pesquisas Computacionais (MOT-iNCE-UFRJ) e nos cursos de graduação Redes sem Fio do Departamento de Ciência da Computação da Universidade Federal do Rio de Janeiro (DCC-IM-UFRJ) e do Departamento de Sistemas de Informação da Universidade do Grande Rio (DSI-ECT-UNIGRANRIO). Atualmente atua como analista de segurança na equipe técnica da Clavis Segurança da Informação, participando de projetos de Teste de Invasão em redes, sistemas e aplicações web.

Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...

Clavis Segurança da Informação

Sobre o Instrutor: Rafael Soares Ferreira é Diretor Técnico do Grupo Clavis Segurança da Informação, e é profissional atuante nas áreas de análise forense computacional, detecção e resposta a incidentes de segurança, testes de invasão e auditorias de rede, sistemas e aplicações. Já prestou serviços e ministrou cursos e palestras sobre segurança da informação para grandes empresas nacionais, internacionais, órgãos públicos e militares, assim como em diversos eventos, entre eles: FISL – Fórum Internacional de Software Livre, EnCSIRTs – Encontro de CSIRTs Acadêmicos, SegInfo – Workshop de Segurança da Informação, Congresso Digital, Fórum de Software Livre do Rio de Janeiro, Web Security Forum, Ultra SL – Ultra Maratona How To de Software Livre, FLISOL, entre outros. Na Academia Clavis é instrutor dos seguintes cursos: Certified Ethical Hacker (CEH), Teste de Invasão em Redes e Sistemas, Auditoria de Segurança em Aplicações Web,Análise Forense Computacional, Teste de Invasão em Redes e Sistemas EAD, Auditoria de Segurança em Aplicações Web EAD e Análise Forense Computacional EAD. Possui as certificações CEH (Certified Ethical Hacker) e SANS SSP-CNSA.

Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ

Clavis Segurança da Informação

Mehr von Clavis Segurança da Informação (20)