Beruflich Dokumente
Kultur Dokumente
4
A metodologia
5
Reflexo
6
A metodologia
Possibilita conhecer o alvo:
- Onde ele est localizado?
- Qual o endereo IP?
- Que sistema operacional o alvo est executando?
- Quais servios esto sendo executados?
- Quais verses de softwares esto sendo executados?
7
Metodologias
8
Metodologias existentes
9
Metodologias existentes
10
Abordagem inicial
metodologia baseada em cinco passos:
- (1) Reconhecimento
- (2) Scanning
- (3) Explorao de falhas
- (4) Preservao do acesso
- (5) Gerando relatrios
11
(1) Reconhecimento
12
(1) Principais tcnicas
- Espelhamento de sites
- Pesquisas no google
- Google hacking
- Mdias sociais
- Sites de ofertas de emprego
- DNS e ataques DNS
13
(1) Principais ferramentas
- Netcraft
- Whois
- Nslookup
- Dig
- Engenharia social
14
(2) Scanning
(Scanning de portas e scanning de vulnerabilidades).
15
(2) Principais tcnicas
Conhecimentos de protocolos
(TCP, UDP, IP e ICMP)
16
(2) Principais ferramentas
- Nmap
- Zenmap
- Hping3
- Nessus
17
(3) Explorao de falhas
de posse das informaes inicia-se o ataque aos alvos
atravs de vrias tcnicas e ferramentas.
Objetivo final ter acesso completo (administrador)
sobre o alvo. Pode ser local ou remota.
Entrar no sistema alvo e sair com informaes sem
ser notado usando as vulnerabilidades e tcnicas
comprovadas.
18
(3) Principais tcnicas
- Teste de vulnerabilidades
- Quebra de senhas
- Obter acesso a servios
- Sniffing do trfego de rede
19
(3) Principais ferramentas
- Nikto
- Metasploit
- Burp Suite
- Zed Attack Proxy (ZAP)
- John the Ripper (JtR)
20
(4) Preservao do acesso
21
(4) Principais tcnicas
- Instalao de backdoors
- Instalao de rootkits
22
(4) Principais ferramentas
23
(5) Gerando relatrios
24
(5) Principais tcnicas
- Sumrio executivo
- Procedimentos ligados ao teste
- Arquitetura e composio do alvo
- Descobertas
- Aes recomendadas
25
(5) Principais tcnicas
- Concluses
- Apndices
- Apresentao
- Armazenamento do relatrio e evidncias
26
(5) Principais ferramentas
- Maltego
- Keepnote
- Casefile
- MagicTree
27
Aplicaes alvo
http://www.dvwa.co.uk
28
Aplicaes alvo
http://www.dvwa.co.uk
29
Aplicaes alvo
Metasploitable2
um computador vulnervel com vrias brechas
de segurana.
http://www.sourceforge.net
OBS: Na barra de pesquisa procure por Metasploitable2 para obter a
VM.
30
Contato
nataniel.vieira
nataniel.vieira@gmail.com
(preferencial)
31
Referncias bibliogrficas
ENGEBRETSON, Patrick Introduo ao web hacking: Ferramentas e
tcnicas para invaso de aplicaes So Paulo: Novatec, 2014.
32
Perguntas ?
33