Introdução
Para desenvolver sistemas Web e APPs mobile é necessário que se entenda o minimo de segurança para que o seu projeto esteja protegido (ou o mais protegido possível), mas eu percebo que a maior parte dos desenvolvedores tem pouco conhecimento sobre essa área (quando se aprende a criar APPs pouco se fala sobre segurança) então eu decidi trazer um pouco deste tema aqui :).
Série sobre Segurança
Este é o primeiro conteúdo da série sobre Segurança, em breve vamos falar sobre como aumentar a segurança em aplicações Ruby On Rails, como evitar ser alvo de engenharia social e etc. Então se você se interessa pelo assunto me conta um pouco sobre o que gostaria de aprender relacionando a segurança comentando ai em baixo 🙂
Guest Post
Quem é o Gustavo?
Me chamo Gustavo e sou formado em análise e desenvolvimento de sistemas, sou apaixonado por tecnologia e segurança da informação. Atualmente trabalho como desenvolvedor web e como Pentester nas horas vagas.
As 7 Ferramentas
Hoje estou aqui para mostrar para vocês 7 ferramentas bastante utilizadas por engenheiros e analistas de segurança da informação para testar, explorar, encontrar vulnerabilidades e realizar auditorias em servidores e sistemas web.
Shodan: O google dos hackers
Se você acha que o Google é fantástico pelo seu mecanismo de busca é porque ainda não conheceu o Shodan. Imagine um mecanismo capaz de rastrear qualquer dispositivo conectado a internet, fornecendo detalhes que podem ser comprometedores. O Shodan é um serviço capaz de encontrar webcams, roteadores, smartphones, telefones VoIp, servidores, sistemas de videoconferências e qualquer outro dispositivo conectado. Com uma simples pesquisa no Shodan, podemos ter acesso e controle a diversos dispositivos em qualquer lugar do mundo, sem dúvidas é uma das ferramentas mais perigosas já criadas.
Site Oficial: https://www.shodan.io/
Nmap
Essa ferramenta sem dúvidas não pode faltar no “kit hacker” de nenhum analista de segurança, ela é a mais utilizada por pentesters que desejam fazer uma varredura na rede para encontrar quais dispositivos estão conectados e as respectivas portas abertas, além de realizar uma auditoria na rede.
Exemplo de uso:
nmap -sV -O 192.168.25.2
→ Esse exemplo faz uma varredura no ip 192.168.25.2 trazendo a versão de cada serviço ativo -sV, e o sistema operacional rodando nesse dispositivo -O.
Site Oficial: https://nmap.org/
Nikto Website Vulnerability Scanner
O Nikto é um poderoso scanner para servidor web capaz de detectar vulnerabilidade de versões desatualizadas que possam ser passivos de um ataque. Ele basicamente entra em algum site e vasculha para encontrar falhas.
Exemplos de uso:
nikto -h www.globo.com -p 443
→ Nesse exemplo passamos o website com a porta 443, desta forma, o programa irá procurar falhas e vulnerabilidades interessantes para ataques.
Site oficial https://onebitcode.com/chat-with-people-not-dating/
Metasploit Penetration Testing
https://onebitcode.com/dating-in-atlanta-over-60/
Metasploit é um framework para encontrar vulnerabilidades de seguranças conhecidas. Além de ser um grande parceiro na hora de formular planos, estratégias e metodologias para exploração. Ele é um sistema baseado em ubuntu onde você pode realizar o download no site oficial online chinese dating sites e instalar em uma máquina virtual. Existe a versão paga e gratuita.
Site oficial online chinese dating sites
Wireshark
Uma das melhores ferramentas para scanner de vulnerabilidades web conhecida como sniffer é o wireshark que analisa e captura todo o tráfego de protocolos da rede. Essa ferramenta é muito utilizada por administradores de rede para verificar as transmissões e realizar auditorias. É uma ferramenta bastante recomendada para quem quer conhecer a funcionalidade dos processos na internet por baixo dos panos. Com wireshark você pode ir muito além.
Site oficial https://www.wireshark.org/
Ettercap
Ferramenta perfeita para fazer o famoso ataque Man in the Middle (MITM). O ettercap é utilizado em rede interna para capturar dados em tempo real, podemos capturar senhas digitadas por outros usuários na mesma rede e até mesmo clonar um determinado site. Por exemplo podemos clonar o site do facebook e assim que algum usuário da rede se conectar e informar usuário e senha, capturamos de forma simples esses dados. Então tome muito cuidado ao se conectar em redes wifi, principalmente públicas, pois do outro lado pode ter algum espertinho só de olho.
Site oficial https://ettercap.github.io/ettercap/
The Hydra
Se você é um daqueles que usam senhas fracas como por exemplo 123abc, 123456, abcdef, 1a2b3c4d5e, com certeza irá mudar todas as suas passwords após conhecer essa ferramenta fantástica de quebras de senhas. The Hydra é uma ferramenta que utiliza o dicionário de força bruta para tentar várias combinações de senhas contra uma determinada página.
Tudo que você precisa é de uma wordlist para login e senha, muitas vezes já temos o login, sendo assim precisamos apenas da wordlist para senha.
Exemplos de uso:
- hydra -L /tmp/usuario.txt -P /tmp/senha.txt 192.168.1.98 ssh
- hydra -l root -P /tmp/senha.txt 192.168.1.98 ssh
No primeiro exemplo estamos passando uma wordlist para login e senha (usuario.txt e senha.txt) para conectarmos via ssh no endereço 192.168.1.98. Já no segundo exemplo suponhamos que já temos o nome de usuário que é root, desta forma, passamos somente a wordlist de senha. Esse é um exemplo ssh, mas podemos tentar em diversos outros serviços como: telnet, http/https, mysql, ftp, snmp, entre outros.
Você pode criar sua própria wordlist com base na engenharia social ou fazer download.
Site oficial https://www.thc.org/thc-hydra/
Não perca nenhum conteúdo
Receba nosso resumo semanal com os novos posts, cursos, talks e vagas o/
Não perca nenhum conteúdo
Receba nosso resumo semanal com os novos posts, cursos, talks e vagas o/
Conclusão
Leonardo Scorza
Quer se tornar um Programador Full Stack Javascript em 8 semanas? 😀
Nós desenvolvemos um treinamento completo onde você vai aprender desde a base da Web (HTML5, CSS, Bulma,
Javascript e Es6+) até React e ExpressJs totalmente do zero!
Nele você também vai desenvolver um projeto do inicio até o Deploy (clone do Evernote) e irá
aprender como conseguir as melhores vagas no módulo carreira de Programador.
Se você não quer mais perder oportunidades, clique aqui e saiba mais 💪
Primeira vez no OneBitCode? Curtiu esse conteúdo?
O OneBitCode tem muito mais para você!
O OneBitCode traz conteúdos de qualidade, e em português, sobre programação com foco em Ruby on Rails e também JavaScript.
Além disso, aqui sempre levamos à você conteúdos valiosos sobre a carreira de programação, dicas sobre currículos, portfólios, perfil profissional, soft skills, enfim, tudo o que você precisa saber para continuar evoluindo como Programador(a)!
Fique por dentro de todos os conteúdos o/
Nossas redes sociais:
📹 • https://youtube.com/Onebitcode [Live todas as terças-feiras às 19h)
💻 • https://linkedin.com/company/onebitcode
🙂 • https://facebook.com/onebitcode
📱 • https://instagram.com/one_bit_code
🐦 • https://twitter.com/onebitcode
Nossos cursos:
🥇 • Programador Full Stack Javascript em 8 Semanas
💎 • Curso Completo de Ruby
⚙ • Minicurso: API Rails 5 Completo
🐞 • Minicurso de Testes para Ruby on Rails com RSpec
Espero que curta nossos conteúdos e sempre que precisar de ajuda, fala com a gente!
Estamos aqui para você 🙂
Bem-vindo à família OneBitCode o/
bague bulgari prix imitation
You don’t need to use the Trace port. It’s used only for debug purposes, there’s a trace tool included in the EM7345 drivers from Lenovo. The tool connects to that trace port in order to gather some debug logs so the developers could fix bugs in the EM…