Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Introdução ao Web Hakcing - CPBSB2

Introdução ao Web Hakcing - CPBSB2

Apresentado na Campus Party Brasília de 2018
Aprenda como a web funciona e saiba o que é e como identificar as características básicas de um ataque XSS, SQL Injection e seus derivados

Diana Arnos

June 30, 2018
Tweet

More Decks by Diana Arnos

Other Decks in Technology

Transcript

  1. @dianaarnos Diana Arnos Dev, Sec, Music, Kung Fu. Tech Lead

    @ MGov Evangelista @ PHPSP Evangelista @ PHPWomenBR
  2. Podem existir muitas falhas. O ofensor precisa de uma só.

    3. Defender é mais difícil do que atacar.
  3. A Web 1. Você digita www.google.com na barra de endereço

    2. Seu computador faz uma request de DNS pros servidores DNS que você configurou e esses servidores informam que o IP desse endereço é 216.58.201.228
  4. A Web 3. Seu computador tenta estabelecer uma conexão TCP

    com esse endereço IP na porta 80 (http) 4. Dando tudo certo, seu navegador envia uma request HTTP
  5. A Web 6. O navegador vai renderizar os códigos HTML,

    CSS e JavaScript que foram enviados pelo servidor
  6. Google Dorks Exemplos: ◦ site:www.google.com ◦ intitle:welcome ◦ book:crepusculo ◦

    movie:transformers ◦ info:water ◦ inurl:index.php?id= Abre um navegador aí.
  7. “ A Google Dork query, sometimes just referred to as

    a dork, is a search string that uses advanced search operators to find information that is not readily available on a website. (techtarget.com)
  8. O que fazer? ◦ Conheçam a DVWA: http://dvwa.co.uk/ ◦ Git

    clone ou download direto do site ◦ Subam a dvwa (PHP + MySQL) ◦ Se você não tem nada instalado, a maneira mais simples é usar o XAMPP: http://bit.ly/wsxampp ◦ http://127.0.0.1/dvwa/setup.php
  9. XSS Cross-Site Scripting Cross-Site Scripting (XSS) attacks are a type

    of injection, in which malicious scripts are injected into otherwise benign and trusted websites. https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)
  10. Estudo e afins ◦ https://www.bugcrowd.com/ ◦ https://www.hackerone.com/ ◦ https://www.vulnhub.com/ ◦

    https://www.owasp.org ◦ OWASP Web Goat: http://bit.ly/webgoat ◦ CTFs (Capture The Flag) por aí ◦ http://www.100security.com.br/wargame/
  11. CREDITS Special thanks to all the people who made and

    released these awesome resources for free: ◦ Presentation template by SlidesCarnival ◦ Photographs by Unsplash ◦ Backgrounds by SubtlePatterns