tag:blogger.com,1999:blog-151171182024-03-07T23:33:42.640-03:00Zucco WeblogJeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.comBlogger271125tag:blogger.com,1999:blog-15117118.post-8890988904838179742015-08-22T10:44:00.001-03:002015-08-22T10:50:09.197-03:00Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação WebAlém do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação Web (Beyond HTTPS - How to (try) Improve security in Your Website).
Segurança em websites é uma tarefa difícil. Apenas uma brecha em um erro de desenvolvimento ou uma configuração esquecida e mal feita e seu portal pode ser comprometido. Não basta mais somente implementar alguns controles ou ter alguns cuidados na hora da implementação de uma aplicação que será exposta para web. Essa palestra irá abordar como (tentar) aumentar a segurança se seu website através da implementação de alguns controles pró-ativos como: hardening TLS, HSTS, certificate and public key pinning, HTTP headers, XSS protections, Cookies protections, Content Security Policy, Hardening Web Server.
Apresentação realizada na BHack 2015 e FISL 16.
<iframe src="//www.slideshare.net/slideshow/embed_code/key/owLK9qw64T71KG" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="//www.slideshare.net/jczucco/alm-do-https" title="Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação Web (Beyond HTTPS - How to (try) Improve security in Your Website)" target="_blank">Além do HTTPS - Como (tentar) Aumentar a Segurança de seu Website e Aplicação Web (Beyond HTTPS - How to (try) Improve security in Your Website)</a> </strong> from <strong><a href="//www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<a href="https://twitter.com/share" class="twitter-share-button" data-size="large">Tweet</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-54384784529666919902015-08-22T10:42:00.000-03:002015-08-22T10:50:59.370-03:00Validando a Segurança de SoftwareApresentação sobre segurança em desenvolvimento de software realizada na Terceira Jornada Acadêmica de Computação e Tecnologia da Informação da UCS:Tendências em TI - Outubro/2014.
<iframe src="//www.slideshare.net/slideshow/embed_code/key/h3wqaXmiq2xD2B" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="//www.slideshare.net/jczucco/validando-a-segurana-de-software" title="Validando a Segurança de Software" target="_blank">Validando a Segurança de Software</a> </strong> from <strong><a href="//www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<a href="https://twitter.com/share" class="twitter-share-button" data-size="large">Tweet</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-38979482178148325852015-08-22T10:40:00.003-03:002015-08-22T10:51:10.120-03:00Segurança Através de Gerência de ConfiguraçõesSegurança Através de Gerência de Configurações - Apresentação realizada no Tchelinux Caxias - Set/2014
<iframe src="//www.slideshare.net/slideshow/embed_code/key/9MPem22L7m8ARQ" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="//www.slideshare.net/jczucco/gerencia-configuracao-tchelinux2014" title="Segurança Através de Gerência de Configurações" target="_blank">Segurança Através de Gerência de Configurações</a> </strong> from <strong><a href="//www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<a href="https://twitter.com/share" class="twitter-share-button" data-size="large">Tweet</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-29663965064472111252015-08-22T10:38:00.003-03:002015-08-22T10:51:21.623-03:00OWASP Top 10 2013Apresentação realizada no Tchelinux Caxias do Sul 2013 - <a href="http://tchelinux.org/site/doku.php?id=evento_2013_08_cxs">http://tchelinux.org/site/doku.php?id=evento_2013_08_cxs</a>
<iframe src="//www.slideshare.net/slideshow/embed_code/key/hjNzVJ55GE1Ru9" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="//www.slideshare.net/jczucco/owasp-top-10-2013-25828905" title="Owasp top 10 2013" target="_blank">Owasp top 10 2013</a> </strong> from <strong><a href="//www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<a href="https://twitter.com/share" class="twitter-share-button" data-size="large">Tweet</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-47206093666206365872015-08-22T10:37:00.000-03:002015-08-22T10:51:33.256-03:00Segurança em Desenvolvimento de Software - ForTI Univattes - Maio/2013Apresentação realizada na ForTI (grupo de TI das universidades particulares gaúchas) em Maio/2013.
<iframe src="//www.slideshare.net/slideshow/embed_code/key/sFxcfDnO4S3TM5" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC; border-width:1px; margin-bottom:5px; max-width: 100%;" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="//www.slideshare.net/jczucco/seguranca-em-desenvolvimento-de-software" title="Segurança em desenvolvimento de software" target="_blank">Segurança em desenvolvimento de software</a> </strong> from <strong><a href="//www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<a href="https://twitter.com/share" class="twitter-share-button" data-size="large">Tweet</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');</script>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-19943660581918895402012-10-12T22:57:00.000-03:002015-08-22T10:39:04.852-03:00Web Application Firewalls - Tchelinux 2012Abaixo a minha apresentação que realizei no <a href="http://tchelinux.org/site/doku.php?id=evento_2012_setembro_caxias_do_sul">Tchelinux Caxias do Sul 2012</a> sobre Web Application Firewalls: <a href="https://modsecurity.org/">ModSecurity</a> + <a href="https://www.owasp.org/index.php/OWASP_Broken_Web_Applications_Project">OWASP Broken Web Application Project</a>.<br />
<br />
Utilizei uma parte da minha apresentação sobre WAF que fiz ano passado no primeiro encontro OWASP, mas dessa vez tive mais tempo, e realizei algumas demonstrações utilizando o ModSecurity e uma VM com o BWA.<br />
<br />
<br />
<iframe src="http://www.slideshare.net/slideshow/embed_code/14707635" width="427" height="356" frameborder="0" marginwidth="0" marginheight="0" scrolling="no" style="border:1px solid #CCC;border-width:1px 1px 0;margin-bottom:5px" allowfullscreen> </iframe> <div style="margin-bottom:5px"> <strong> <a href="http://www.slideshare.net/jczucco/introducao-waf-tchelinux-2012" title="Introducao WAF Tchelinux 2012" target="_blank">Introducao WAF Tchelinux 2012</a> </strong> from <strong><a href="http://www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-43288235241104090152012-08-27T13:18:00.002-03:002012-08-27T13:50:33.337-03:00ModSecurity Series 4 - SecRuleRemoveById Após habilitar o ModSecurity, uma das primeiras tarefas a serem realizadas é a de verificar por <a href="https://www.securelist.com/en/glossary?glossid=153654932">falso-positivos</a>. Existem diversas maneiras de desabiltar uma regra do ModSecurity, vamos ver algumas delas nesse post:<br />
<br />
- <b>Desabilitar a regra no arquivo de rules</b>: essa é a maneira mais simples, basta editar o arquivo onde a regra se encontra, e simplesmente excluí-la ou comentá-la com "#". Apesar de ser simples, isso não é recomendado, pois ao atualizar posteriormente os arquivos de regras, essa tarefa terá que ser feita novamente. Outra desvantagem é que nem sempre queremos desabilitar toda a regra, e sim somente para um determinado contexto do Apache, ou para um IP ou para uma url do site, e deixá-la habilitada para o resto.<br />
<br />
<br />
- <b>Desabilitar o ModSecurity para um endereço IP</b> específico: Segue exemplo abaixo:<br />
<br />
<br />
SecRule REMOTE_ADDR "@streq 192.168.1.1" \<br />
phase:1,t:none,nolog,allow<br />
<div>
<br /></div>
<br />
<br />
<br />
- <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleRemoveById" style="font-weight: bold;">SecRuleRemoveById</a>: - Como o próprio nome da regra diz, permite que uma regra seja desabilitada no ModSecurity somente passando o seu ID. A vantagem do seu uso é a simplicidade na sua aplicação, e além disso, o uso de contextos no apache. Seguem abaixo alguns exemplos:<br />
<br />
<br />
- Desabilitar a regra com o ID 950007 (Blind SQL injection, cuja regras está no arquivo modsecurity_crs_41_sql_injection_attacks.conf da CRS), somente da URL /foo/bar :<br />
<br />
<br />
<br />
<span style="text-align: -webkit-center;"><</span>Location ^/foo/bar/<span style="text-align: -webkit-center;">></span><br />
SecRuleRemoveById 950007<br />
<span style="text-align: -webkit-center;"><</span>/Location<span style="text-align: -webkit-center;">></span><br />
<br />
<br />
<br />
- Com o uso do Location do apache, é possível criar <a href="http://aurelio.net/regex/">expressões regulares</a> para liberação como nos exemplos abaixo:<br />
<br />
<br />
<br />
<span style="text-align: -webkit-center;"><</span>LocationMatch ^/foo/bar/[0-9]+/edit/$<span style="text-align: -webkit-center;">></span><br />
SecRuleRemoveById 950007<br />
<span style="text-align: -webkit-center;"><</span>/LocationMatch<span style="text-align: -webkit-center;">></span><br />
<br />
<br />
<span style="text-align: -webkit-center;"><</span>LocationMatch ^/foo/.+/bar/.+/edit/$<span style="text-align: -webkit-center;">></span><br />
SecRuleRemoveById 950007<br />
<span style="text-align: -webkit-center;"><</span>/LocationMatch<span style="text-align: -webkit-center;">></span><br />
<div>
<br /></div>
<br />
<div>
<br /></div>
<div>
- Também é possível usar outras <a href="https://httpd.apache.org/docs/2.2/sections.html">diretivas do Apache</a> em conjunto com diretivas do ModSecurity, como por exemplo Virtualhost:</div>
<div>
<br /></div>
<div>
<div>
<span style="text-align: -webkit-center;"><</span>VirtualHost 10.1.2.3:80<span style="text-align: -webkit-center;">></span></div>
<div>
ServerAdmin webmaster@host.example.com</div>
<div>
DocumentRoot /www/docs/host.example.com</div>
<div>
ServerName host.example.com</div>
<div>
ErrorLog logs/host.example.com-error_log</div>
<div>
TransferLog logs/host.example.com-access_log</div>
<div>
<b>SecRuleEngine On</b></div>
<div>
<span style="text-align: -webkit-center;"><</span>/VirtualHost<span style="text-align: -webkit-center;">></span></div>
</div>
<br />
<br />
<br />
<br />
<br />
<br />
<div>
<div>
<span style="text-align: -webkit-center;"><</span>VirtualHost 10.1.2.3:80<span style="text-align: -webkit-center;">></span></div>
<div>
ServerAdmin webmaster@host2.example.com</div>
<div>
DocumentRoot /www/docs/host2.example.com</div>
<div>
ServerName host2.example.com</div>
<div>
ErrorLog logs/host2.example.com-error_log</div>
<div>
TransferLog logs/host2.example.com-access_log</div>
<div>
<b>SecRuleEngine Off</b></div>
<div>
<span style="text-align: -webkit-center;"><</span>/VirtualHost<span style="text-align: -webkit-center;">></span></div>
</div>
<br />
<br />
<br />
<br />
<br />
- Também é possível utilizar outros métodos para desabilitar as regras, como por exemplo: <a href="http://blog.modsecurity.org/2007/12/using-transacti.html">uso de variáveis transacionais</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleRemoveByMsg">SecRuleRemoveByMsg</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleRemoveByTag">SecRuleRemoveByTag</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleUpdateActionById">SecRuleUpdateActionById</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleUpdateTargetById">SecRuleUpdateTargetById</a> (<a href="http://sourceforge.net/mailarchive/forum.php?thread_name=CAHQz1rJ%2BkRg3q4NA7W6ie04OzoYsko%3D13NK4O2iKvzEH12B7pQ%40mail.gmail.com&forum_name=mod-security-users">deprecated</a>), <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleUpdateTargetByMsg">SecRuleUpdateTargetByMsg</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleUpdateTargetByTag">SecRuleUpdateTargetByTag</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#ctl">ctl:ruleRemoveById</a>, <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#ctl">ctl:ruleRemoveTargetById</a>. Essas diretivas ficam para posts futuros.<br />
<br />
<br />Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-27638620815803173552012-08-10T16:43:00.003-03:002012-08-10T16:43:48.353-03:00ModSecurity Series 3 - SecRuleEngine Nesse post irei falar um pouco sobre o parâmetro <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Reference_Manual#SecRuleEngine">SecRuleEngine</a>:<br />
<br />
Esse parâmetro, definido no arquivo <b>modsecurity.conf</b> (copiado de <b>modsecurity.conf-recommended</b> do código fonte do ModSecurity), define se as regras estão ativadas, desativadas, ou atuando no modo de somente detecção. Conforme a <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Main_Page">Wiki do ModSecurity</a>:<br />
<br />
<br />
<b>SecRuleEngine</b><br />
<br />
Descrição: Configura o mecanismo das regras.<br />
Sintaxe: <b>SecRuleEngine On|Off|DetectionOnly</b><br />
Exemplo de uso: SecRuleEngine On<br />
Escopo: Qualquer<br />
Versão: 2.0.0<br />
Padrão: Off<br />
<br />
Os valores possíveis são:<br />
<b>On</b>: processa as regras<br />
<b>Off</b>: não processa as regras<br />
<b>DetectionOnly</b>: processa as regras mas nunca executa nenhuma ação de bloqueio (block, deny, drop, allow, proxy and redirect)<br />
<br />
<br />
No modsecurity.conf-recommended incluído no código fonte do ModSecurity e normalmente utilizado como base, esse parâmetro vem como <b>DetectionOnly por padrão.</b><br />
<b><br /></b>
<b><br /></b>
Um exemplo simples e prático: no post anterior, <a href="http://jczucco.blogspot.com.br/2012/08/modsecurity-series-2-instalando-o.html">Instalando o ModSecurity 2.6.7 + CRS 2.2.5 no Debian Wheezy</a>, o ModSecurity está instalado no Apache, mas como não foi alterada a sua configuração, o parâmetro <b>SecRuleEngine</b> está configurado como somente como deteção e não realizará nenhum tipo de bloqueio.<br />
<br />
- Vamos criar um arquivo chamado test.cfg e publicar ele no Apache previamente instalado com o ModSecurity:<br />
<br />
echo "TEST" > /var/www/test.cfg<br />
<br />
<br />
- Acesse em um browser esse arquivo, e você poderá visualizar o seu conteúdo:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh26IIY9A08A0txtzcLygyaUBDKAMKYl7OuT7SWboRkbGGX63e25YYSU2BKBbPubQUKai3_755emmbv5lxnodh1mTCM9517-yaWXGE6EkiygKy4CVnNRPXAbWaaiZWEs4GKtvl6cA/s1600/test_detection.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="200" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh26IIY9A08A0txtzcLygyaUBDKAMKYl7OuT7SWboRkbGGX63e25YYSU2BKBbPubQUKai3_755emmbv5lxnodh1mTCM9517-yaWXGE6EkiygKy4CVnNRPXAbWaaiZWEs4GKtvl6cA/s320/test_detection.png" width="320" /></a></div>
<br />
Isso não é bom, se você tiver alguma informação confidencial como credenciais de acesso ao banco de dados dentro desse arquivo, por exemplo...<br />
<br />
Apesar de não ter sido bloqueado o acesso, o ModSecurity estava configurado no modo de detecção e registrou um <b>alerta</b> (<b>warning</b>) no log de erros do Apache:<br />
<br />
[Fri Aug 10 13:24:19 2012] [error] [client X.X.X.X] ModSecurity: <b>Warning</b>. String match within ".asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ <b>.cfg</b>/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .lnk/ .log/ .mdb/ .old/ .pass/ .pdb/ .pol/ .printer/ .pwd/ .resources/ .resx/ .sql/ .sys/ .vb/ .vbs/ .vbproj/ .vsdisco/ .webinfo/ .xsd/ .xsx/" at TX:extension. [file "/etc/apache2/modsecurity/crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "88"] [id "960035"] [msg "<b>URL file extension is restricted by policy</b>"] <b>[data ".cfg"]</b> [severity "CRITICAL"] [tag "POLICY/EXT_RESTRICTED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "test.domain.com"] [uri "/test.cfg"] [unique_id "UCU1s38AAQEAAFLrARoAAABA"]<br />
<br />
Interpretando o log de erro acima, a regra com o ID 960035, que está na linha 88 do arquivo /etc/apache2/modsecurity/crs/activated_rules/modsecurity_crs_30_http_policy.conf, identificou que um arquivo com uma extensão não permitida foi acessado. Abaixo a regra que deu match:<br />
<br />
<br />
SecRule REQUEST_BASENAME "\.(.*)$" "chain,capture,setvar:tx.extension=.%{tx.1}/,phase:2,t:none,t:urlDecodeUni,t:lowercase,block,msg:'URL file extension is restricted by policy', severity:'2',id:'960035',tag:'POLICY/EXT_RESTRICTED',tag:'WASCTC/WASC-15',tag:'OWASP_TOP_10/A7',tag:'PCI/6.5.10',logdata:'%{TX.0}'"<br />
SecRule <b>TX:EXTENSION "@within %{tx.restricted_extensions}</b>" "t:none,setvar:'tx.msg=%{rule.msg}',setvar:tx.anomaly_score=+%{tx.warning_anomaly_score},setvar:tx.policy_score=+%{tx.warning_anomaly_score},setvar:tx.%{rule.id}-POLICY/EXT_RESTRICTED-%{matched_var_name}=%{matched_var}"<br />
<div>
<br /></div>
<br />
<br />
Na verdade, se você for ver a regra 960035, verá que as extensões bloqueadas estão definidas na variável "<b>tx.restricted_extensions</b>", que está definido no arquivo <b>modsecurity_crs_10_setup.conf</b> da CRS. Caso desejar adicionar ou remover alguma extensão bloqueada, é nessa variável que isso deve ser feito, e não na regra.<br />
<br />
A Core Rule Set também traz bastante documentação sobre cada regra, como a utilizada nesse exemplo: ela aponta para referências à:<br />
- <b>WASCTC/WASC-15:</b> <a href="http://projects.webappsec.org/w/page/13246914/Application%20Misconfiguration">Application Misconfiguration</a><br />
- <b>OWASP_TOP_10/A7:</b> <a href="https://www.owasp.org/index.php/Top_10_2010-A7-Insecure_Cryptographic_Storage">Insecure Cryptographic Storage</a><br />
- <b>PCI/6.5.10:</b> <a href="https://www.pcisecuritystandards.org/security_standards/documents.php">Insecure configuration management</a><br />
<br />
<br /><br /> Ok, então agora vamos então bloquear esse tipo de evento.Habilite o modo de bloqueio no ModSecurity:<br />
<br />
<b>SecRuleEngine On</b><br />
<b><br /></b>
<b><br /></b>
<b> R</b>einicie o Apache, e agora tente acessar o mesmo arquivo através do browser:<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzFh7w5B3lq4vLNPRJo1mqjA4h6mEz3YzWIGmDZZWH5BPa2WsPVBa7DbUNixLvG70wUONx4_RxUUHPLm1XBplE7VfME-APRZOy3RxXmlZu34xgxzKpdnDPjwSmn3mAL6xzNM-hqA/s1600/test_block.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="183" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzFh7w5B3lq4vLNPRJo1mqjA4h6mEz3YzWIGmDZZWH5BPa2WsPVBa7DbUNixLvG70wUONx4_RxUUHPLm1XBplE7VfME-APRZOy3RxXmlZu34xgxzKpdnDPjwSmn3mAL6xzNM-hqA/s320/test_block.png" width="320" /></a></div>
Mesmo o arquivo existindo no servidor web, o bloqueio foi realizado. O log do Apache registra o bloqueio:<br />
<br />
Fri Aug 10 13:43:30 2012] [error] [client X.X.X.X] ModSecurity: <b>Access denied with code 403</b> (phase 2). String match within ".asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ <b>.cfg</b>/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .lnk/ .log/ .mdb/ .old/ .pass/ .pdb/ .pol/ .printer/ .pwd/ .resources/ .resx/ .sql/ .sys/ .vb/ .vbs/ .vbproj/ .vsdisco/ .webinfo/ .xsd/ .xsx/" at TX:extension. [file "/etc/apache2/modsecurity/crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "88"] [id "960035"] [msg "URL file extension is restricted by policy"] <b>[data ".cfg"]</b> [severity "CRITICAL"] [tag "POLICY/EXT_RESTRICTED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "test.domain.com"] [uri "/test.cfg"] [unique_id "UCU6Mn8AAQEAAFSeASsAAAAA"]<br />
<br />
<br />
Esse é um exemplo de uma regra simples, mas é fácil de entender como funciona e como interpretar esses logs, o que dará base para interpretar posteriormente regras mais complexas. Até o próximo post!<br />
<br />
<br />
<br />Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-7386985613126880792012-08-10T14:20:00.001-03:002012-08-10T14:26:02.817-03:00ModSecurity Series 2 - Instalando o ModSecurity 2.6.7 + CRS 2.2.5 no Debian Wheezy Como não consegui postar na semana passada, essa semana terá 2 posts sobre o ModSecurity. Esse será sobre a instalação do ModSecurity 2.6.7 + o Core Rule Set 2.2.5 no Debian Wheezy (atualmente testing). A versão antiga desse post, voltado para o CentOS, está aqui: <a href="http://jczucco.blogspot.com.br/2011/07/installing-modsecurity-261-rc1-crs-core.html">Installing ModSecurity 2.6.1-rc1 + CRS (Core Rule Set) 2.2.0 on CentOS 5.6</a><br />
<br />
<br />
<b>- Instalar as dependências: </b><br />
<br />
apt-get install build-essential apache2-threaded-dev apache2 libpcre3-dev libpcre3 libxml2 libxml2-dev lua5.1 liblua5.1-dev libcurl3-dev<br />
<br />
<br />
<b>- Realizar o download do código fonte do ModSecurity:</b><br />
<br />
cd /usr/local/src<br />
wget <a href="http://www.modsecurity.org/download/modsecurity-apache_2.6.7.tar.gz">http://www.modsecurity.org/download/modsecurity-apache_2.6.7.tar.gz</a><br />
wget "<a href="http://downloads.sourceforge.net/project/mod-security/modsecurity-apache/2.6.7/modsecurity-apache_2.6.7.tar.gz.asc">http://downloads.sourceforge.net/project/mod-security/modsecurity-apache/2.6.7/modsecurity-apache_2.6.7.tar.gz.asc</a>"<br />
<br />
<br />
<b>- Baixar o Core Rule Set:</b><br />
<br />
wget "<a href="http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.2.5.zip">http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.2.5.zip</a>"<br />
wget "<a href="http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.2.5.zip.sig">http://downloads.sourceforge.net/project/mod-security/modsecurity-crs/0-CURRENT/modsecurity-crs_2.2.5.zip.sig</a>"<br />
<br />
<br />
<b>- Importar as chaves de assinatura em seu arquivo de chaves PGP:</b><br />
<br />
<br />
# gpg --recv-keys 9624FCD2<br />
gpg: porta-chaves `/root/.gnupg/secring.gpg' criado<br />
gpg: requesting key 9624FCD2 from hkp server keys.gnupg.net<br />
gpg: /root/.gnupg/trustdb.gpg: banco de dados de confiabilidade criado<br />
gpg: key 9624FCD2: public key "Ryan Barnett (OWASP Core Rule Set Project Leader) <rbarnett trustwave.com="trustwave.com">" imported</rbarnett><br />
gpg: Número total processado: 1<br />
gpg: importados: 1 (RSA: 1)<br />
<br />
# gpg --recv-keys 6980F8B0<br />
gpg: requesting key 6980F8B0 from hkp server keys.gnupg.net<br />
gpg: key 6980F8B0: public key "Breno Silva Pinto <bpinto trustwave.com="trustwave.com">" imported</bpinto><br />
gpg: Número total processado: 1<br />
gpg: importados: 1 (RSA: 1)<br />
<br />
<br />
<br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><b><br /></b></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><b>- Verificar a integridade dos arquivos:</b> </bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"></bpinto></rbarnett><br />
<br />
# gpg --verify modsecurity-apache_2.6.7.tar.gz.asc<br />
gpg: Signature made Qui 02 Ago 2012 19:49:04 BRT using RSA key ID 6980F8B0<br />
gpg: <b>Good signature</b> from "Breno Silva Pinto <bpinto trustwave.com="trustwave.com">"</bpinto><br />
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!<br />
gpg: Não há indicação de que a assinatura pertence ao dono.<br />
Impressão da chave primária: AB36 0F15 ACF8 D30F 806E 41D2 8050 C35A 6980 F8B0<br />
<br />
# gpg --verify modsecurity-crs_2.2.5.zip.sig<br />
gpg: Signature made Qui 14 Jun 2012 13:48:52 BRT using RSA key ID 9624FCD2<br />
gpg: <b>Good signature</b> from "Ryan Barnett (OWASP Core Rule Set Project Leader) <rbarnett trustwave.com="trustwave.com">"</rbarnett><br />
gpg: AVISO: Esta chave não está certificada com uma assinatura confiável!<br />
gpg: Não há indicação de que a assinatura pertence ao dono.<br />
Impressão da chave primária: D5B2 7FC9 BFD2 5BDD 57DB 7291 C976 607D 9624 FCD2<br />
<br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><br /></bpinto></rbarnett>
<br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b>- Descompactar:</b></rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com">
tar xvfz modsecurity-apache_2.6.7.tar.gz </rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com">unzip -x modsecurity-crs_2.2.5.zip </rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b>- Compilar o módulo do apache:</b></rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"></rbarnett></bpinto></bpinto></rbarnett><br />
cd modsecurity-apache_2.6.7/<br />
./configure<br />
make<br />
make install<br />
# O módulo é instalado em /usr/lib/apache2/modules/mod_security2.so e ferramentas em /usr/local/modsecurity/bin<br />
<br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b>- Instalar a estrutura de regras do CRS:</b></rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"></rbarnett></bpinto></bpinto></rbarnett><br />
mkdir -p /etc/apache2/modsecurity/crs<br />
touch /etc/apache2/modsecurity/whitelist.conf<br />
cp /usr/local/src/modsecurity-apache_2.6.7/modsecurity.conf-recommended /etc/apache2/modsecurity/modsecurity.conf<br />
cp -a /usr/local/src/modsecurity-crs_2.2.5/* /etc/apache2/modsecurity/crs<br />
<br />
cd /etc/apache2/modsecurity/crs<br />
cp modsecurity_crs_10_setup.conf.example modsecurity_crs_10_setup.conf<br />
for f in `ls base_rules/` ; do ln -s ../base_rules/$f activated_rules/$f ; done<br />
for f in `ls experimental_rules/` ; do ln -s ../experimental_rules/$f activated_rules/$f ; done<br />
<br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><br /></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"># Se forem habilitadas as "experimental rules, alguns arquivos precisam ser configurados e personalizados: modsecurity_crs_11_proxy_abuse.conf, modsecurity_crs_16_scanner_integration.conf,modsecurity_crs_40_appsensor_detection_point_2.1_request_exception.conf, modsecurity_crs_42_csp_enforcement.conf, modsecurity_crs_55_response_profiling.conf, modsecurity_crs_56_pvi_checks.conf, modsecurity_crs_61_ip_forensics.conf </rbarnett></bpinto></bpinto></rbarnett><br />
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b><br /></b></rbarnett></bpinto></bpinto></rbarnett>
<rbarnett trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><bpinto trustwave.com="trustwave.com"><rbarnett trustwave.com="trustwave.com"><b>- </b></rbarnett></bpinto></bpinto></rbarnett><b>Habilitar o mod_unique_id no apache:</b><br />
<br />
# a2enmod unique_id<br />
<br />
<b><br /></b>
<b>- Criar o arquivo /etc/apache2/mods-available/modsecurity.load com o seguinte conteúdo :</b><br />
<br />
<br />
LoadFile /usr/lib/x86_64-linux-gnu/libxml2.so<br />
LoadFile /usr/lib/x86_64-linux-gnu/liblua5.1.so<br />
LoadModule security2_module /usr/lib/apache2/modules/mod_security2.so<br />
<br />
<br />
<b><br /></b>
<b>- Criar o arquivo /etc/apache2/mods-available/modsecurity.conf com o seguinte conteúdo:</b><br />
<ifmodule security2_module="security2_module"><br /></ifmodule>
<ifmodule security2_module="security2_module"></ifmodule><br />
<IfModule security2_module><br />
Include modsecurity/modsecurity.conf<br />
Include modsecurity/whitelist.conf<br />
Include modsecurity/crs/modsecurity_crs_10_setup.conf<br />
Include modsecurity/crs/activated_rules/*.conf<br />
</IfModule><br />
<br />
<ifmodule security2_module="security2_module"><br /></ifmodule>
<b><br /></b>
<b>- Habilitar o módulo modsecurity no apache:</b><br />
<br />
# a2enmod modsecurity<br />
<br />
<b>- Testar a configuração:</b><br />
<br />
# apache2ctl -t<br />
Syntax OK<br />
<br />
- Se tudo estiver ok, basta reiniciar o apache.No log do apache irá aparecer o seguinte:<br />
<br />
<br />
[Fri Aug 10 14:02:44 2012] [notice] ModSecurity for Apache/2.6.7 (http://www.modsecurity.org/) configured.<br />
[Fri Aug 10 14:02:44 2012] [notice] ModSecurity: APR compiled version="1.4.6"; loaded version="1.4.6"<br />
[Fri Aug 10 14:02:44 2012] [notice] ModSecurity: PCRE compiled version="8.30 "; loaded version="8.30 2012-02-04"<br />
[Fri Aug 10 14:02:44 2012] [notice] ModSecurity: LUA compiled version="Lua 5.1"<br />
[Fri Aug 10 14:02:44 2012] [notice] ModSecurity: LIBXML compiled version="2.8.0"<br />
[Fri Aug 10 14:02:45 2012] [notice] Apache/2.2.22 (Debian) configured -- resuming normal operations<br />
<div>
<br /></div>
<br />
<br />
<br />
O ModSecurity está instalado por padrão no modo de detecção, o que será explicado no próximo post. Até lá.Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com2tag:blogger.com,1999:blog-15117118.post-77043400493613093452012-07-27T15:29:00.001-03:002012-07-27T17:24:28.715-03:00ModSecurity Series - Parte 1<a href="http://jczucco.blogspot.com.br/2012/07/modsecurity-series-part-1-english.html">Click here to see this post in english</a>:<br />
<br />
Resolvi "copiar" a <a href="http://spookerlabs.blogspot.com.br/2012/01/introducao-ao-snort-serie-snortando.html">Série Snortando</a> do meu amigo <a href="http://br.linkedin.com/in/spooker">Rodrigo "Sp0oKeR" Montoro</a>, e até mesmo por sugestão dele, e criar uma série de posts sobre o <a href="https://modsecurity.org/">ModSecurity</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWCoA3Zg09c042z3TkunU_uVvRQRLDsrWdRXfrwpuqjnjkrnxizvAmNM2FlN9Jluk8njrhs8wwZl2QNXmgdbaFqctqNleTclhpTklvH5PRi5V5s0M6yXSmcxUew0YeF2-i-Il6Og/s1600/modsec.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="74" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWCoA3Zg09c042z3TkunU_uVvRQRLDsrWdRXfrwpuqjnjkrnxizvAmNM2FlN9Jluk8njrhs8wwZl2QNXmgdbaFqctqNleTclhpTklvH5PRi5V5s0M6yXSmcxUew0YeF2-i-Il6Og/s1600/modsec.png" width="270" /></a></div>
<br />
A idéia desses posts não é de ser um guia passo a passo ou um manual do <a href="https://modsecurity.org/">ModSecurity</a>, e sim o meu dia a dia de configurações e resoluções de problemas na sua utilização. Acredito que isso será muito útil para os demais, e até para mim, que estarei documentando alguns procedimentos que depois possa vir a esquecer. ;-)<br />
<br />
Pretendo postar sempre uma versão em português e uma em inglês da mesma postagem, e a frequência de postagens será semanal. Você também pode usar os comentários para sugerir tópicos a serem abordados nas próximas postagens, com o os problemas que você enfrenta.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://blog.avis-planethoster.com/wp-content/uploads/2011/01/modsecurity.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="193" src="http://blog.avis-planethoster.com/wp-content/uploads/2011/01/modsecurity.gif" width="236" /></a></div>
<br />
<br />
Inicio essa série falando um pouco sobre <a href="https://modsecurity.org/">ModSecurity</a> e <a href="https://www.owasp.org/index.php/Web_Application_Firewall">WAF</a> (Web Application Firewalls), se você desejar uma introdução sobre o que é <a href="https://www.owasp.org/index.php/Web_Application_Firewall">WAF</a>, pode ver a apresentação que fiz em março de 2011 no Primeiro Encontro <a href="https://www.owasp.org/index.php/Porto_Alegre">OWASP Porto Alegre</a>, que está disponível aqui:<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="356" marginheight="0" marginwidth="0" scrolling="no" src="http://www.slideshare.net/slideshow/embed_code/7529475" style="border-width: 1px 1px 0; border: 1px solid #CCC; margin-bottom: 5px;" width="427"></iframe> <br />
<div style="margin-bottom: 5px;">
<strong> <a href="http://www.slideshare.net/jczucco/introducao-a-web-applications-firewalls" target="_blank" title="Introducão a Web Applications Firewalls">Introducão a Web Applications Firewalls</a> </strong> from <strong><a href="http://www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </div>
<br />
<br />
Uma excelente apresentação que aborda alguns conceitos de <a href="https://www.owasp.org/index.php/Web_Application_Firewall">WAF</a> foi feita pela <a href="http://www.blogger.com/br.linkedin.com/in/carolbozza">Carolina Bozza</a> na <a href="http://www.bhack.com.br/">BHack Conference</a>, e está disponível aqui: <a href="http://www.bhack.com.br/talks/Carolina/BHACK.pdf">http://www.bhack.com.br/talks/Carolina/BHACK.pdf</a><br />
<br />
Caso você ainda não tenha instalado o <a href="https://modsecurity.org/">ModSecurity</a>, eu criei uma postagem (que já está desatualizada, talvez eu venha atualizá-la aqui nessa série futuramente) de como instalar o <a href="http://jczucco.blogspot.com.br/2011/07/installing-modsecurity-261-rc1-crs-core.html">ModSecurity 2.6.1-rc1 + CRS (Core Rule Set) 2.2.0</a><br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://modsecurity.org/g/button-mscorerules.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="80" src="https://modsecurity.org/g/button-mscorerules.gif" width="233" /></a></div>
Atualmente, o <a href="https://modsecurity.org/">ModSecurity</a> está na versão 2.6.7 (stable), e o arquivo de regras <a href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project">CRS (Core Rule Set)</a> está na versão 2.2.5.<br />
<br />
Foi anunciado também que o ModSecurity foi <a href="https://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx?Redirected=true">portado para o IIS</a>. Em breve também será portado para o Nginx, conforme <a href="http://blog.spiderlabs.com/2012/07/beyond-apache-modsecurity-for-iisnginx.html">anúncio da empresa Trustwave</a>, através do seu time da <a href="https://www.trustwave.com/spiderlabs/">SpiderLabs</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.trustwave.com/images/corpLogo-nt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="43" src="https://www.trustwave.com/images/corpLogo-nt.png" width="293" /></a></div>
Aliás, a <a href="https://www.trustwave.com/">Trustwave</a> atualmente é a empresa mantenedora do <a href="https://modsecurity.org/">ModSecurity</a>, onde <a href="http://www.linkedin.com/pub/ryan-barnett/0/635/b27">Ryan Barnett</a> e o brasileiro <a href="http://br.linkedin.com/pub/breno-silva/3/623/6b7">Breno Silva</a> são os principais desenvolvedores do projeto. <br />
<br />
A <a href="https://www.trustwave.com/">Trustwave</a>, entre outros serviços na área de segurança, presta serviços de suporte e criação de um conjunto de regras comerciais que não são distribuídas no CRS para serem utilizadas no <a href="https://modsecurity.org/">ModSecurity</a> em seus clientes. Mais detalhes sobre os serviços prestados pela <a href="https://www.trustwave.com/">Trustwave</a> com o ModSecurity pode ser visto aqui: <a href="https://www.trustwave.com/modsecurity-rules-support.php"> Trustwave ModSecurity Rules and Support Services</a><br />
<br />
<br />
<br />
<b>Documentação do ModSecurity:</b><br />
<br />
Existe muita documentação disponível na internet sobre o ModSecurity, em quase sua totalidade em inglês. Porém o projeto evoluiu muito nos últimos anos, e algumas vezes a documentação encontrada na internet é desatualizada e já não pode ser utilizada. Por isso existem algumas referências que eu recomendo:<br />
<br />
- Documentação oficial do projeto, direto do repositório de versões: o repositório SVN do projeto possui uma área de documentação, e se uma nova funcionalidade for adicionada ou alterada, ela será primeiramente documentada ali. Mais atualizada que isso, impossível: <a href="http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/trunk/doc/">http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/trunk/doc/</a>. Esse manual de referência depois é disponibilizado no <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Main_Page">Wiki oficial do projeto</a><br />
<br />
- <a href="https://www.feistyduck.com/books/modsecurity-handbook/">Handbook</a> do <a href="http://blog.ivanristic.com/">Ivan Ristik</a>, que foi o autor do ModSecurity mas que não é mais desenvolvedor no projeto. Esse livro é muito bom principalmente porque o Ivan disponibiliza sua atualização constantemente, portanto ele não fica desatualizado. Vale muito a pena comprar esse livro se você deseja utilizar o ModSecurity, principalmente por essa política de atualização e distribuição digital.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.feistyduck.com/books/modsecurity-handbook/" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="257" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOHQ_aw18dLgUE0vnXkjfotPuYUgBJL-8lVrCBBoYwewvxF39fd7WDyjIF8ujH_zDHKrrkNlE8pPvR1RxgbJPxU7LLq4uXPVisttlrST0tADCoj7txIRdkExbQbeO-sIuHL_q9sQ/s400/modsecurity-handbook-getting-started-cover-208.png" width="208" /></a></div>
<br />
<br />
- Listas de discussão <a href="https://lists.sourceforge.net/lists/listinfo/mod-security-users">Mod-security-users</a> e <a href="https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set">Owasp-modsecurity-core-rule-set</a>.<br />
<br />
<br />
<br />
Essa postagem já ficou longa, e a intenção dessa série é que seja apenas postagens curtas. Então até a próxima! :-)Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-50178936918121456782012-07-27T15:29:00.000-03:002012-07-27T17:24:11.518-03:00ModSecurity Series - Part 1 - english<a href="http://jczucco.blogspot.com.br/2012/07/modsecurity-series-parte-1.html">Clique aqui para ver esse post em português</a><br />
<br />
I decided to copy the <a href="http://spookerlabs.blogspot.com.br/2012/01/introducao-ao-snort-serie-snortando.html">Série Snortando</a> of my friend <a href="http://br.linkedin.com/in/spooker">Rodrigo "Sp0oKeR" Montoro</a>, and even at his suggestion, create a series of posts about <a href="https://modsecurity.org/">ModSecurity</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://modsecurity.org/" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="74" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWCoA3Zg09c042z3TkunU_uVvRQRLDsrWdRXfrwpuqjnjkrnxizvAmNM2FlN9Jluk8njrhs8wwZl2QNXmgdbaFqctqNleTclhpTklvH5PRi5V5s0M6yXSmcxUew0YeF2-i-Il6Og/s1600/modsec.png" width="270" /></a></div>
<br />
<br />
The idea of these posts is not to be a step by step guide or a ModSecurity manual, but write about my day-by-day work in settings and resolutions of problems in its use. I think it will be useful for others, and even for me, I'll be documenting some procedures that might later forget. ;-)<br />
<br />
I always intend to post a version in Portuguese and one in English of the same post, and the frequency of the posts will be weekly. You can also use the comments to suggest topics to be addressed in future posts, with your issues.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://blog.avis-planethoster.com/wp-content/uploads/2011/01/modsecurity.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="193" src="http://blog.avis-planethoster.com/wp-content/uploads/2011/01/modsecurity.gif" width="236" /></a></div>
<br />
<br />
I start this series talking a little about <a href="https://modsecurity.org/">ModSecurity</a> and <a href="https://www.owasp.org/index.php/Web_Application_Firewall">WAF</a> (Web Application Firewalls), if you want an introduction about WAF, you can see the presentation I made in March 2011 in <a href="https://www.owasp.org/index.php/Porto_Alegre">OWASP Porto Alegre</a> First Meeting, which is available here (portuguese):<br />
<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="356" marginheight="0" marginwidth="0" scrolling="no" src="http://www.slideshare.net/slideshow/embed_code/7529475" style="border-width: 1px 1px 0; border: 1px solid #CCC; margin-bottom: 5px;" width="427"></iframe> <br />
</span><br />
<div style="margin-bottom: 5px;">
<span style="background-color: white;"><strong> <a href="http://www.slideshare.net/jczucco/introducao-a-web-applications-firewalls" target="_blank" title="Introducão a Web Applications Firewalls">Introducão a Web Applications Firewalls</a> </strong> from <strong><a href="http://www.slideshare.net/jczucco" target="_blank">Jeronimo Zucco</a></strong> </span></div>
<br />
<br />
An excellent presentation that covers some <a href="https://www.owasp.org/index.php/Web_Application_Firewall">WAF</a> concepts was made by <a href="http://www.blogger.com/br.linkedin.com/in/carolbozza">Carolina Bozza</a> in <a href="http://www.bhack.com.br/">Hack Conference</a>, and is available here:<a href="http://www.bhack.com.br/talks/Carolina/BHACK.pdf">http://www.bhack.com.br/talks/Carolina/BHACK.pdf</a>.<br />
<br />
<br />
If you have not installed yet <a href="https://modsecurity.org/">ModSecurity</a>, I've created a post (which is already outdated, maybe I will update it here in this series in the future) on how to install <a href="http://jczucco.blogspot.com.br/2011/07/installing-modsecurity-261-rc1-crs-core.html">ModSecurity 2.6.1-rc1 + CRS (Core Rule Set) 2.2.0</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://modsecurity.org/g/button-mscorerules.gif" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="80" src="https://modsecurity.org/g/button-mscorerules.gif" width="233" /></a></div>
<br />
<br />
Currently, <a href="https://modsecurity.org/">ModSecurity</a> version is 2.6.7 (stable), and CRS rules file <a href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project">(Core Rule Set)</a> is at version 2.2.5.<br />
<br />
It was also announced that the ModSecurity has been <a href="https://blogs.technet.com/b/srd/archive/2012/07/26/announcing-the-availability-of-modsecurity-extension-for-iis.aspx?Redirected=true">ported to IIS</a>. It will be soon ported to Nginx as the <a href="http://blog.spiderlabs.com/2012/07/beyond-apache-modsecurity-for-iisnginx.html">Trustwave</a> <a href="http://blog.spiderlabs.com/2012/07/beyond-apache-modsecurity-for-iisnginx.html">announcement </a> through its <a href="https://www.trustwave.com/spiderlabs/">SpiderLabs team</a>.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.trustwave.com/images/corpLogo-nt.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="43" src="https://www.trustwave.com/images/corpLogo-nt.png" width="293" /></a></div>
<br />
<br />
In fact, Trustwave is currently the company maintains the <a href="https://modsecurity.org/">ModSecurity</a>, where <a href="http://www.linkedin.com/pub/ryan-barnett/0/635/b27">Ryan Barnett</a> and brazilian <a href="http://br.linkedin.com/pub/breno-silva/3/623/6b7">Breno Silva</a> are the main developers of the project.<br />
<br />
<a href="https://www.trustwave.com/">Trustwave</a>, among other services in the area of security, provides support services and have a set of trade rules that are not distributed in the CRS for use in ModSecurity on their customers. More information about the services provided by <a href="https://www.trustwave.com/">Trustwave</a> with ModSecurity can be seen here: <a href="https://www.trustwave.com/modsecurity-rules-support.php">Trustwave ModSecurity Rules and Support Services</a>.<br />
<br />
<br />
<br />
<br />
<b>ModSecurity Documentation:</b><br />
<br />
There are a lot of documentation available in internet about ModSecurity, almost entirely in English. But the project has considerably changed in recent years, and sometimes the documentation found in Internet is outdated and can no longer be used. So here are some references that I recommend:<br />
<br />
<br />
- Official documentation of the project, straight from the version repository: SVN repository of the project have a documentation area, and whether a new functionality is added or changed, it will first be documented there. More updated is impossible: <a href="http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/trunk/doc/">http://mod-security.svn.sourceforge.net/viewvc/mod-security/m2/trunk/doc/</a>. This reference manual is available after in the <a href="http://sourceforge.net/apps/mediawiki/mod-security/index.php?title=Main_Page">official project Wiki</a>.<br />
<br />
<br />
- <a href="https://www.feistyduck.com/books/modsecurity-handbook/">Handbook</a> of <a href="http://blog.ivanristic.com/">Ivan Ristik</a>, who was the ModSecurity author, but that is no longer developer of the project. This book is very good mainly because Ivan provides its update constantly, so it does not get outdated. It is worthwhile to buy this book if you want to use ModSecurity, mainly because this policy of updating and digital distribution.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<br /></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://www.feistyduck.com/books/modsecurity-handbook/" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="257" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOHQ_aw18dLgUE0vnXkjfotPuYUgBJL-8lVrCBBoYwewvxF39fd7WDyjIF8ujH_zDHKrrkNlE8pPvR1RxgbJPxU7LLq4uXPVisttlrST0tADCoj7txIRdkExbQbeO-sIuHL_q9sQ/s400/modsecurity-handbook-getting-started-cover-208.png" width="208" /></a></div>
<br />
<br />
- <a href="https://lists.sourceforge.net/lists/listinfo/mod-security-users">Mod-security-users</a> e <a href="https://lists.owasp.org/mailman/listinfo/owasp-modsecurity-core-rule-set">Owasp-modsecurity-core-rule-set</a> mailing lists.<br />
<br />
<br />
<br />
This post has been long, and the intention is that this series is just short posts. See you later! :-)<br />
<br />
</span>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-50008774832176665952012-05-25T10:36:00.001-03:002012-05-25T10:36:40.812-03:00Encontro OWASP em Caxias do Sul dia 20/06 na UCS<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg97-CLtziWRPM-eCGwZuMDLd11-Pz6DgFds13bk2pErx0eLBXrupo2_bFips222hyphenhyphenHrRFSS0rrXl84K1zQNPa0h6L9QGHemTOtqXOX63XM_Y87y_-OARY5iXGS2FzySkVee497eQ/s1600/FlyerOWASPCXS.png" imageanchor="1" style="margin-left:1em; margin-right:1em"><img border="0" height="400" width="281" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg97-CLtziWRPM-eCGwZuMDLd11-Pz6DgFds13bk2pErx0eLBXrupo2_bFips222hyphenhyphenHrRFSS0rrXl84K1zQNPa0h6L9QGHemTOtqXOX63XM_Y87y_-OARY5iXGS2FzySkVee497eQ/s400/FlyerOWASPCXS.png" /></a></div>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-44606369044364225522011-10-26T13:30:00.005-02:002011-10-26T13:39:35.802-02:00Third Annual Week of OSSEC<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.ossec.net/img/ossec_logo.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 191px; height: 81px;" src="http://www.ossec.net/img/ossec_logo.jpg" border="0" alt="" /></a><br /><br /><br /> O blog <a href="http://www.immutablesecurity.com">Immutable Security</a> realiza a cada ano a "Semana do <a href="http://www.ossec.net">OSSEC</a>. Esse é o terceiro ano, é interessante ler os posts dos demais anos: <a href="http://www.ossec.net/main/week-of-ossec">aqui</a> e <a href="http://www.ossec.net/main/week-of-ossec-2woo-oct-17-23">aqui</a>.<br /><br /> Eu prestei um mini-curso de um dia sobre o OSSEC no GTS-16. A apresentação pode ser vista abaixo. Segue os links para download dos vídeos do mini-curso:<br /><br /><a href="ftp://ftp.registro.br/pub/gter/gter30/videos/mp4/Implementando_o_OSSEC_HIDS-Parte1.mp4">Vídeo parte 1</a> - <a href="ftp://ftp.registro.br/pub/gter/gter30/videos/mp4/Implementando_o_OSSEC_HIDS-Parte2.mp4">Vídeo parte 2</a> - <a href="ftp://ftp.registro.br/pub/gter/gter30/videos/mp4/Implementando_o_OSSEC_HIDS-Parte3.mp4">Vídeo parte 3</a><br /><br /><br /><div style="width:425px" id="__ss_6134128"> <strong style="display:block;margin:12px 0 4px"><a href="http://www.slideshare.net/jczucco/implementing-ossec" title="Implementing ossec" target="_blank">Implementing ossec</a></strong> <iframe src="http://www.slideshare.net/slideshow/embed_code/6134128" width="425" height="355" frameborder="0" marginwidth="0" marginheight="0" scrolling="no"></iframe> <div style="padding:5px 0 12px"> View more <a href="http://www.slideshare.net/" target="_blank">presentations</a> from <a href="http://www.slideshare.net/jczucco" target="_blank">jczucco</a> </div> </div>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-69541694198760743262011-09-27T16:46:00.001-03:002011-09-27T16:48:04.700-03:00OWASP AppSec Latin America 2011<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdFzIM8V0xmkidIFkmkVx-HTmUSEFV-Ss-M3akPma1UppgUQ_VBuG3GHM_nsvnRn55iv7ehNyyJvPDG5eq7aeiFtr3h2p4V0Lm9RWELJNobV0Mi044y9eyXL3AC69iIGKbuqyXdA/s1600/FlyerOwasp2011.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 280px; height: 400px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdFzIM8V0xmkidIFkmkVx-HTmUSEFV-Ss-M3akPma1UppgUQ_VBuG3GHM_nsvnRn55iv7ehNyyJvPDG5eq7aeiFtr3h2p4V0Lm9RWELJNobV0Mi044y9eyXL3AC69iIGKbuqyXdA/s400/FlyerOwasp2011.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5657128531515420770" /></a>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-1211897367503298692011-09-04T22:06:00.004-03:002011-09-04T22:21:43.162-03:00Programação da OWASP AppSec Latin América 2011
<br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFiy8-8XolmX3g-zFTjQ2_4YhTLP8CpglEQI0LglLYet1uFUi50p2Nmf10nrDvskwYJVQqEDhn38WpNHiIOEoIIggNA8hEIo1JXRQweunxEowMbXnTDg-zXOdg2kcJfsZcR2Wj9w/s1600/6outubro.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 450px; height: 369px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiFiy8-8XolmX3g-zFTjQ2_4YhTLP8CpglEQI0LglLYet1uFUi50p2Nmf10nrDvskwYJVQqEDhn38WpNHiIOEoIIggNA8hEIo1JXRQweunxEowMbXnTDg-zXOdg2kcJfsZcR2Wj9w/s400/6outubro.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5648679158685813906" /></a>
<br />
<br />
<br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB63_uLkPDyj_y5zjiqVGTxh3dTO0VJM-Ja_MJpSeGvsgauRungJdMBNgE6xMQd-Jw98LPi-i0b1in_8mDv4XiBmL5CBf_JQZ3RmCGuoRHEt49Fcb4RRH9brqZhAFr5dK80ITFXg/s1600/7outubro.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 450px; height: 366px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgB63_uLkPDyj_y5zjiqVGTxh3dTO0VJM-Ja_MJpSeGvsgauRungJdMBNgE6xMQd-Jw98LPi-i0b1in_8mDv4XiBmL5CBf_JQZ3RmCGuoRHEt49Fcb4RRH9brqZhAFr5dK80ITFXg/s400/7outubro.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5648679285358913010" /></a>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com2tag:blogger.com,1999:blog-15117118.post-23175695561233858702011-08-30T14:41:00.002-03:002011-08-30T14:43:45.643-03:00OWASP AppSec Latin América 2011 - Inscrições Abertas<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2Nnr9wbE0DkheCTt42peRzuAe29ikBu7whiBtiUmNcZu26cf59Y0ndSPJXfx1dPjBrIZeVrFaAcm4h6O3KjgrGfxIAksF8HS_YU8JR5IF02rCMVwX1EzaQMcaEjbH1KF6fWtptg/s1600/AppSec_Brasil_11_medio.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 166px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh2Nnr9wbE0DkheCTt42peRzuAe29ikBu7whiBtiUmNcZu26cf59Y0ndSPJXfx1dPjBrIZeVrFaAcm4h6O3KjgrGfxIAksF8HS_YU8JR5IF02rCMVwX1EzaQMcaEjbH1KF6fWtptg/s320/AppSec_Brasil_11_medio.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5646706014938377010" /></a>
<br />
<br />
<br /> Inscrições abertas para a <a href="http://www.appseclatam.org">OWASP AppSec Latin América 2011</a>. Confira os valores e os treinamentos em <a href="http://t.co/2lancJi">http://t.co/2lancJi</a>
<br />
<br />Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-5351457640953770992011-07-15T12:59:00.008-03:002012-07-25T10:52:10.422-03:00Installing ModSecurity 2.6.1-rc1 + CRS (Core Rule Set) 2.2.0<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWCoA3Zg09c042z3TkunU_uVvRQRLDsrWdRXfrwpuqjnjkrnxizvAmNM2FlN9Jluk8njrhs8wwZl2QNXmgdbaFqctqNleTclhpTklvH5PRi5V5s0M6yXSmcxUew0YeF2-i-Il6Og/s1600/modsec.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 270px; height: 74px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiWCoA3Zg09c042z3TkunU_uVvRQRLDsrWdRXfrwpuqjnjkrnxizvAmNM2FlN9Jluk8njrhs8wwZl2QNXmgdbaFqctqNleTclhpTklvH5PRi5V5s0M6yXSmcxUew0YeF2-i-Il6Og/s400/modsec.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5629609972006155906" /></a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="http://www.modsecurity.org/g/button-mscorerules.gif"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 233px; height: 80px;" src="http://www.modsecurity.org/g/button-mscorerules.gif" border="0" alt="" /></a><br /><br />This post will help you how to install and configure <a href="http://www.modsecurity.org">ModSecurity</a> Web Application Firewall in your system, with the <a href="https://www.owasp.org/index.php/Category:OWASP_ModSecurity_Core_Rule_Set_Project">Core Rule Set 2.2.0</a>. The operations system base is CentOS 5.6.<br /><br /><br /><span style="font-weight:bold;">- Install dependencies:</span><br /><br /># yum install gcc openssl-devel openssl apr-util-devel apr-devel pcre pcre-devel libjpeg-devel gd-devel libpng-devel libjpeg gd libpng gettext gettext-devel libmcrypt-devel libmcrypt libxml2 libxml2-devel bison zlib zlib-devel bzip2 bzip2-devel libtool libtool-ltdl readline readline-devel ncurses ncurses-devel curl curl-devel<br /><br /><br /><span style="font-weight:bold;">- Get the source codes:</span><br /><br />- Apache: <a href="http://httpd.apache.org/download.cgi">http://httpd.apache.org/download.cgi</a><br />- Lua: <a href="http://www.lua.org/ftp/lua-5.1.4.tar.gz">http://www.lua.org/ftp/lua-5.1.4.tar.gz</a><br />- ModSecurity: <a href="http://www.modsecurity.org/download/modsecurity-apache_2.6.1-rc1.tar.gz">http://www.modsecurity.org/download/modsecurity-apache_2.6.1-rc1.tar.gz</a><br />- Core Rule Set: <a href="http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/">http://sourceforge.net/projects/mod-security/files/modsecurity-crs/0-CURRENT/</a><br /><br /><br /><span style="font-weight:bold;">- Check the integrity of sources with md5sum or sha1sum</span><br /><br /><br /><span style="font-weight:bold;">- Install <a href="http://httpd.apache.org">Apache</a> from source:</span><br /><br /># ./configure --prefix=/var/www --enable-auth-digest --enable-mime-magic --enable-usertrack --enable-ssl --enable-http --disable-cgi --enable-vhost-alias --disable-userdir --enable-so --enable-unique-id --enable-rewrite --with-z --disable-dav --disable-proxy --enable-deflate --enable-expires --with-pcre=/usr/bin/pcre-config<br /><br /># make<br /><br /># make install<br /><br /><br /><br /><span style="font-weight:bold;">- Compile <a href="http://www.lua.org">Lua</a>:</span><br /><br /># tar xvfz lua-5.1.4.tar.gz<br /># cd lua-5.1.4<br /># make all linux<br /># make install INSTALL_TOP=/usr/local/lua-5.1.4<br /># cd src<br /># rm -f lua.o luac.o print.o && gcc -shared -Wall -O2 -o liblua5.1.so *.o<br /># cp liblua5.1.so /usr/local/lua-5.1.4/lib<br /># ln -s /usr/local/lua-5.1.4 /usr/local/lua<br /># echo "/usr/local/lua/lib" >> /etc/ld.so.conf<br /># ldconfig<br /><br /><br /><span style="font-weight:bold;">- Compile <a href="http://www.modsecurity.org">ModSecurity</a>:</span><br /><br /># tar xvfz modsecurity-apache_2.6.1-rc1.tar.gz<br /># cd modsecurity-apache_2.6.1-rc1<br /># ./configure --with-apxs=/var/www/bin/apxs --with-lua=/usr/local/lua<br /># make<br /># make install<br /><br /><br /><span style="font-weight:bold;">- Install and configure Core Rule Set:</span><br /><br /># mkdir /var/www/conf/modsecurity<br /># mkdir /var/www/conf/modsecurity/crs<br /># cp modsecurity-apache_2.6.1-rc1/modsecurity.conf-recommended /var/www/conf/modsecurity/modsecurity.conf<br /># touch /var/www/conf/modsecurity/whitelist.conf<br /><br /># tar xvfz modsecurity-crs_2.2.0.tar.gz<br /># cp -a modsecurity-crs_2.2.0/* /var/www/conf/modsecurity/crs<br /><br /># cd /var/www/conf/modsecurity/crs<br /># for f in `ls base_rules/` ; do ln -s ../base_rules/$f activated_rules/$f ; done<br /># cp modsecurity_crs_10_config.conf.example modsecurity_crs_10_config.conf<br /># ln -s ../modsecurity_crs_10_config.conf activated_rules/<br /># ls -l activated_rules/ /* Check simbolic links */<br /><br /><br /><span style="font-weight:bold;">- Configure Apache (httpd.conf)</span><br /><br />LoadFile /usr/lib/libxml2.so.2<br />LoadFile /usr/local/lua/lib/liblua5.1.so<br />LoadModule security2_module modules/mod_security2.so<br /># CRS<br /><IfModule security2_module><br /> Include conf/modsecurity/modsecurity.conf<br /> Include conf/modsecurity/whitelist.conf<br /> Include conf/modsecurity/crs/modsecurity_crs_10_config.conf<br /> Include conf/modsecurity/crs/activated_rules/*.conf<br /></IfModule><br /><br /><br /><span style="font-weight:bold;">- Edit modsecurity.conf:</span><br /><br />SecRuleEngine On<br />SecAuditLog logs/modsec_audit.log<br /><br /><br /><span style="font-weight:bold;">- Start Apache and check error_log</span>:<br /><br />[warn] Init: Session Cache is not configured [hint: SSLSessionCache]<br />[notice] ModSecurity for Apache/2.6.1-rc1 (http://www.modsecurity.org/) configured.<br />[notice] ModSecurity: APR compiled version="1.2.7"; loaded version="1.2.7"<br />[notice] ModSecurity: PCRE compiled version="6.6"; loaded version="5.0 13-Sep-2004"<br />[notice] ModSecurity: LUA compiled version="Lua 5.1"<br />[notice] ModSecurity: LIBXML compiled version="2.6.26"<br />[notice] Digest: generating secret for digest authentication ...<br />[notice] Digest: done<br /><br /><br /><span style="font-weight:bold;">- Test your ModSecurity:</span><br /><br />Access one url with a blocked estension, like: <span style="font-weight:bold;">http://server/test.sql</span><br /><br />You will see in <span style="font-weight:bold;">apache error_log</span>:<br /><br />[error] [client 127.0.0.1] ModSecurity: Access denied with code 403 (phase 2). String match within ".asa/ .asax/ .ascx/ .axd/ .backup/ .bak/ .bat/ .cdx/ .cer/ .cfg/ .cmd/ .com/ .config/ .conf/ .cs/ .csproj/ .csr/ .dat/ .db/ .dbf/ .dll/ .dos/ .htr/ .htw/ .ida/ .idc/ .idq/ .inc/ .ini/ .key/ .licx/ .lnk/ .log/ .mdb/ .old/ .pass/ .pdb/ .pol/ .printer/ .pwd/ .resources/ .resx/ .sql/ .sys/ .vb/ .vbs/ .vbproj/ .vsdisco/ .webinfo/ .xsd/ .xsx/" at TX:extension. [file "/var/www/conf/modsecurity/crs/activated_rules/modsecurity_crs_30_http_policy.conf"] [line "88"] [id "960035"] [msg "URL file extension is restricted by policy"] [data ".alq"] [severity "CRITICAL"] [tag "POLICY/EXT_RESTRICTED"] [tag "WASCTC/WASC-15"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [hostname "localhost"] [uri "/test.SQL"] [unique_id "Th8c038AAAEAAGugG2kAAAAD"]<br /><br /><br /><br /> Now, your work is <span style="font-weight:bold;">just in the begining</span>. Now you have to test your application for false positives and false negatives.<br /> <br /> If you use Wordpress, joomla, phpbb, etc, check the <span style="font-weight:bold;">slr_rules</span> directory. You have to enable it in httpd.conf.Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com2tag:blogger.com,1999:blog-15117118.post-25019197522987532162011-06-03T09:18:00.003-03:002011-06-03T09:38:21.419-03:00Usando 2 fatores de autenticação no GoogleDevido aos <a href="http://www.searchthenetnow.com/the-truth-behind-gmail-hack/2011/06/02/">recentes acontecimentos</a> com contas do Google, resolvi contribuir na divulgação do uso de 2 fatores de autenticação, conforme explicado no vídeo (em inglês). Para quem não sabe o que é fator de autenticação, pode escutar esse <a href="http://twit.tv/sn90">podcast</a> ou ler o texto abaixo:<br /><br /><span style="font-weight:bold;">Fatores de autenticação</span><br /><br />Os fatores de autenticação para humanos são normalmente classificados em três casos:<br /><br />- <span style="font-weight:bold;">Aquilo que o usuário é</span> (impressão digital, padrão retinal, sequência de DNA, padrão de voz, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico).<br /><br />- <span style="font-weight:bold;">Aquilo que o usuário tem</span> (cartão de identificação, security token, software token ou telefone celular)<br /><br />- <span style="font-weight:bold;">Aquilo que o usuário sabe</span> (senha, frase de segurança, PIN)<br /><br /><br />Frequentemente é utilizada uma <span style="font-weight:bold;">combinação de dois ou mais métodos</span>. Um banco, por exemplo, pode requisitar uma "frase de segurança" além da senha, neste caso o termo "<span style="font-weight:bold;">autenticação de dois fatores</span>" é utilizado.Também pode ser chamado de <span style="font-weight:bold;">autenticação forte</span>.<br /><br /><iframe width="560" height="349" src="http://www.youtube.com/embed/zMabEyrtPRg" frameborder="0" allowfullscreen></iframe>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-12958202113178522562011-04-24T21:31:00.005-03:002011-04-24T21:43:55.956-03:00Hardening de Sistemas Operacionais e ServiçosQuer deixar seu sistema mais <span style="font-weight:bold;">seguro</span> e não sabe por onde começar ? <br /><br />Existem diversos guias/checklists disponíveis na internet para lhe ajudar nessa tarefa:<br /><br /><br />- NIST National Checklist Program Repository docs by OS - <a href="http://web.nvd.nist.gov/view/ncp/repository">http://web.nvd.nist.gov/view/ncp/repository</a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9S5_7IM-ZqUYHk-2Aid8th8upiEm5VLLBumg2NKURHUOXcJFSbOPpcLxQGBiMp1lmjiwt8hlEdnxx_zvzq9vKhFIBUsK9TtILLKG0uP7xEomnIhyphenhyphencvNvr8wvPNGnSbd-kaAiDCQ/s1600/ncplogobg.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 195px; height: 112px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh9S5_7IM-ZqUYHk-2Aid8th8upiEm5VLLBumg2NKURHUOXcJFSbOPpcLxQGBiMp1lmjiwt8hlEdnxx_zvzq9vKhFIBUsK9TtILLKG0uP7xEomnIhyphenhyphencvNvr8wvPNGnSbd-kaAiDCQ/s400/ncplogobg.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5599313233835734306" /></a><br /><br /><br />- NSA Security Configuration Guides: <a href="http://www.nsa.gov/ia/guidance/security_configuration_guides/current_guides.shtml">http://www.nsa.gov/ia/guidance/security_configuration_guides/current_guides.shtml</a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidePg3p1k5PtFPS_a1iJSDhsQlgLSsY3rrO16_vRsxyyL5VwxfzPMSiavfr2PAnNgovbVnCc4vmYaXAvwNX3kKnDPSOMkXlTpM-TRHED_pIK_JwLe2Uiz9FaBlIBnQxxGHac1uYg/s1600/nsa.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 300px; height: 300px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidePg3p1k5PtFPS_a1iJSDhsQlgLSsY3rrO16_vRsxyyL5VwxfzPMSiavfr2PAnNgovbVnCc4vmYaXAvwNX3kKnDPSOMkXlTpM-TRHED_pIK_JwLe2Uiz9FaBlIBnQxxGHac1uYg/s400/nsa.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5599314672687826354" /></a><br /><br /><br />- CIS Security Configuration Benchmarks: <a href="http://cisecurity.org">http://cisecurity.org</a><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwPHXtVwghgLbXIyPA3xhuNjU3C_cLN84BL0Skq4TVaAg5WsUAAR9fPO16Ad5h3nWyk44MlEV2kXeqYj7sGWLYnAEmYOp2rx8fEVTsDeFApy2uCtqOHg4WWauJYJYBd99Qlzzvrw/s1600/logo-header.gif"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 283px; height: 82px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjwPHXtVwghgLbXIyPA3xhuNjU3C_cLN84BL0Skq4TVaAg5WsUAAR9fPO16Ad5h3nWyk44MlEV2kXeqYj7sGWLYnAEmYOp2rx8fEVTsDeFApy2uCtqOHg4WWauJYJYBd99Qlzzvrw/s400/logo-header.gif" border="0" alt=""id="BLOGGER_PHOTO_ID_5599315133259693618" /></a><br /><br /><br />Como você pode ver, há bastante trabalho a ser feito. Baixe os guias/checklists e comece já!Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-60871946802838304482011-04-22T23:24:00.002-03:002011-04-22T23:27:22.438-03:00Segurança Física e Proteção de Dados em um Datacenter do GoogleMuito bom esse vídeo sobre os controles de acesso e segurança de dados dos datacenters do google. É possível habilitar as legendas e a tradução automática para português:<br /><br /><object style="height: 390px; width: 640px"><param name="movie" value="http://www.youtube.com/v/1SCZzgfdTBo?version=3"><param name="allowFullScreen" value="true"><param name="allowScriptAccess" value="always"><embed src="http://www.youtube.com/v/1SCZzgfdTBo?version=3" type="application/x-shockwave-flash" allowfullscreen="true" allowScriptAccess="always" width="640" height="390"></object>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-24852778643257475912011-04-16T14:20:00.004-03:002011-04-20T08:54:54.855-03:00Pesquisa sobre Treinamentos para a AppSec Latin America 2011<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBZxqJEDr3B2MDujNauiQsEUximT8Kj-D3kWaPkCrgVfGUx5zd82LZTyAsYf2HrE5pTrhSgdH39BoAI30Eyb7horfG0rM4EcPSaEOAY8TJLN4dihPjljka8427K8Wbdl4GKM-TKA/s1600/AppSec_Brasil_11_menor.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 166px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBZxqJEDr3B2MDujNauiQsEUximT8Kj-D3kWaPkCrgVfGUx5zd82LZTyAsYf2HrE5pTrhSgdH39BoAI30Eyb7horfG0rM4EcPSaEOAY8TJLN4dihPjljka8427K8Wbdl4GKM-TKA/s320/AppSec_Brasil_11_menor.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5597632930349189570" /></a><br /><br /><br />A <a href="http://www.appseclatam.org">OWASP Global AppSec Latin América 2011</a> irá acontecer no Brasil na cidade de Porto Alegre, estado do Rio Grande do Sul nos dias 04 à 07 de outubro de 2011. Ocorrerão cursos no dias 4 e 5 de outubro, e as sessões plenárias nos dias 6 e 7 de outubro.<br /><br />Está sendo realizada uma pesquisa sobre os temas para treinamentos. Você pode ajudar, respondendo a pesquisa no seguinte endereço:<br /><a href="http://www.surveymonkey.com/s/3RCZ9RR">http://www.surveymonkey.com/s/3RCZ9RR</a><br /><br />Em breve serão anunciados os Call for Papers e Call for Trainings. Acompanhe através do site <a href="http://www.appseclatam.org">http://www.appseclatam.org</a> ou pelo twitter <a href="https://twitter.com/AppSecLatam">AppSecLatam</a>.Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-7268211067092547992011-04-05T23:05:00.001-03:002011-04-05T23:07:08.307-03:00Introducão a Web Applications FirewallsApresentação realizada no dia 31/março/2011 no primeiro encontro do grupo OWASP Porto Alegre - <a href="http://www.owasp.org/index.php/Porto_Alegre">http://www.owasp.org/index.php/Porto_Alegre</a><br /><br /><br /><div style="width:425px" id="__ss_7529475"><strong style="display:block;margin:12px 0 4px"><a href="http://www.slideshare.net/jczucco/introducao-a-web-applications-firewalls" title="Introducao a Web Applications Firewalls">Introducao a Web Applications Firewalls</a></strong><object id="__sse7529475" width="425" height="355"><param name="movie" value="http://static.slidesharecdn.com/swf/ssplayer2.swf?doc=introducaowaf2011-110405205807-phpapp01&stripped_title=introducao-a-web-applications-firewalls&userName=jczucco" /><param name="allowFullScreen" value="true"/><param name="allowScriptAccess" value="always"/><embed name="__sse7529475" src="http://static.slidesharecdn.com/swf/ssplayer2.swf?doc=introducaowaf2011-110405205807-phpapp01&stripped_title=introducao-a-web-applications-firewalls&userName=jczucco" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="355"></embed></object><div style="padding:5px 0 12px">View more <a href="http://www.slideshare.net/">presentations</a> from <a href="http://www.slideshare.net/jczucco">jczucco</a>.</div></div>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-22943602749657434082011-03-11T15:38:00.002-03:002011-03-11T15:46:10.249-03:00Primeiro encontro do Capítulo OWASP Porto Alegre<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEjcO-ky9VDQL-cgLq1faQ0gvCMPIETYgsSuufT5nuASVtweFF05OJjcTe1yz9mh8CObsGrRMcFFcHwh-apoDAHsdrKaJ_qLjnaMrK54ptwIuhGEFbPFMLtErDbGQp-gmJTCmUBw/s1600/Owasp-poa-eng.png"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 320px; height: 127px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhEjcO-ky9VDQL-cgLq1faQ0gvCMPIETYgsSuufT5nuASVtweFF05OJjcTe1yz9mh8CObsGrRMcFFcHwh-apoDAHsdrKaJ_qLjnaMrK54ptwIuhGEFbPFMLtErDbGQp-gmJTCmUBw/s320/Owasp-poa-eng.png" border="0" alt=""id="BLOGGER_PHOTO_ID_5582895470035693554" /></a><br /><br /><br /><span style="font-weight:bold;">ANÚNCIO</span>: Primeiro encontro do <a href="http://www.owasp.org/index.php/Porto_Alegre">Capítulo OWASP Porto Alegre</a><br /><br /><br /><span style="font-weight:bold;">DATA</span>: 31 de março de 2011, às 19:30 hs - Entrada gratuita a todos embora o estacionamento seja pago.<br /><br /><span style="font-weight:bold;">LOCAL</span>: Unisinos - Auditório Sergio Gomes ( <a href="http://maps.google.com/maps?f=q&source=s_q&hl=pt-BR&geocode=&q=Avenida+Unisinos,+950,+S%C3%A3o+Leopoldo+-+Rio+Grande+do+Sul,+Brasil&aq=0&sll=37.062301,-95.676498&sspn=0.209856,0.676346&ie=UTF8&hq=&hnear=Av.+Unisinos,+950+-+Cristo+Rei,+S%C3%A3o+Leopoldo+-+Rio+Grande+do+Sul,+93022-000,+Brasil&z=16">Google Maps</a> )<br /><br /><br /><span style="font-weight:bold;">PROGRAMAÇÂO</span>:<br /><br />19:30 - 19:40: Recepção<br /><br />19:40 - 20:20: OWASP na luta em pról de um mundo mais seguro - <a href="http://www.owasp.org/index.php/User:Gustavo_Barbato">L. Gustavo C. Barbato</a><br /><br />20:20 - 21:00: Introdução a Web Applications Firewalls - <a href="http://www.owasp.org/index.php/User:Jeronimo_Zucco">Jerônimo Zucco</a><br /><br />21:00 - 21:20: Intervalo<br /><br />21:20 - 22:00: Os Desafios da Segurança no Desenvolvimento com Métodos Ágeis - <a href="http://www.owasp.org/index.php/User:Rafael_Dreher">Rafael Dreher</a><br /><br />22:00 - 22:20: Perguntas e Respostas<br /><br /><br />Agradecemos à <a href="http://www.unisinos.br">UNISINOS</a> por ceder a infraestrutura para a realização da reunião do capítulo.Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-70076112972573763382011-03-01T13:50:00.005-03:002011-03-01T14:02:25.889-03:00Guia de configuração segura para o Mac OS X 10.6 Snow Leopard<a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgitNEH1v3D8CCIMb1-d7iu_A2cwMHw_NPYKzrKA4WoTnV1hb_TQhnOYtkAHAOuzSd57L8NuGbh-SrFlhGdgKTZ1B_tCft-a90r3VmzCiio62skxudyrnnRB1de1BdMEpuXmfTMA/s1600/2268548577_0fb468c051.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 400px; height: 266px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgitNEH1v3D8CCIMb1-d7iu_A2cwMHw_NPYKzrKA4WoTnV1hb_TQhnOYtkAHAOuzSd57L8NuGbh-SrFlhGdgKTZ1B_tCft-a90r3VmzCiio62skxudyrnnRB1de1BdMEpuXmfTMA/s400/2268548577_0fb468c051.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5579156416431541250" /></a><br /><br /><br /> A Apple é conhecida por disponibilizar muita documentação e diversos vídeos demonstrando as funcionalidades de seus aplicativos e sistemas. Mas um que eu sempre recomendo, pois considero muito importante e uso como referência é o <span style="font-weight:bold;">Guia de configuração segura para o Mac OS X 10.6 Snow Leopard</span> (em inglês), disponibilizado para download no endereço <a href="http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf">http://images.apple.com/support/security/guides/docs/SnowLeopard_Security_Config_v10.6.pdf</a><br /><br /> Este guia fornece uma visão geral dos recursos do Mac OS X que você pode usar para manter o seu Mac seguro, tarefa também conhecida como <span style="font-weight:bold;">hardening</span>.<br /><br /> O documento é destinado principalmente aos profissionais de segurança ou usuários com uma certa experiência no sistema, pois as técnicas e funcionalidades expostas podem não ser apropriadas para alguns usuários ou ambientes.<br /><br /> O documento não é destinado para sistemas servidores, para esses ambientes a Apple disponibiliza um outro guia separado, o Mac OS X Server Security Configuration Guide, disponível para download em <a href="http://images.apple.com/support/security/guides/docs/SnowLeopard_Server_Security_Config_v10.6.pdf">http://images.apple.com/support/security/guides/docs/SnowLeopard_Server_Security_Config_v10.6.pdf</a><br /><br /><br /> O Guia possui os seguintes capítulos:<br /><br /><span style="font-weight:bold;">Capítulo 1</span> - Introdução à arquitetura de segurança do Mac OS X: Discute as camadas de segurança e infra-estrutura do Mac OS X.<br /><span style="font-weight:bold;"><br />Capítulo 2</span> - Instalando o Mac OS X: descreve como instalar o Mac OS X e também como instalar as atualizações de software explicando as permissões e como consertar problemas referente às permissões.<br /><br /><span style="font-weight:bold;">Capítulo 3</span> - Securança de sistema e hardware: Explica como proteger fisicamente seu hardware e protegê-lo de ataques," hardware. Este capítulo também explica como proteger as configurações que afetam usuários do computador.<br /><br /><span style="font-weight:bold;">Capítulo 4</span> - Configurações globais de segurança do sistema: Descreve algumas configurações de segurança globais no firmware e inicialização do Mac OS X Snow Leopard. Mostra também como habilitar os logs do sistema para monitoramento dos eventos.<br /><span style="font-weight:bold;"><br />Capítulo 5</span> - Preferências de segurança do sistema: Mostra as configurações recomendadas do sistema para aumentar a segurança do Mac OS X.<br /><br /><span style="font-weight:bold;">Capítulo 6</span> - Segurança de contas de usuário: Demonstra como configurar uma conta de usuário de forma segura. Isso inclui a proteção da conta administrador do sistema, usando o Open Directory, e usando a autenticação forte.<br /><span style="font-weight:bold;"><br />Capítulo 7</span> - Segurança de dados e uso de criptografia: Descrever como cifrar dados através do uso de criptografia e como usar o método de deleção segura para verificar se os dados apagados são completamente removidos.<br /><span style="font-weight:bold;"><br />Capítulo 8</span> - Protegendo Aplicativos: Descreve como proteger seus dados ao usar aplicativos da Apple.<br /><br /><span style="font-weight:bold;">Capítulo 9</span> - Configurando de forma segura serviços de rede: o título já é auto-explicativo.<br /><br /><span style="font-weight:bold;">Capítulo 10</span> - Gerência avançada de segurança: mostra como realizar auditorias de segurança no sistema para validar a integridade do seu computador e dados.<br /><br /><span style="font-weight:bold;">Apêndice A</span> - Checklist de segurança: Fornece uma lista de verificação para proteger seu sistema.<br /><br /><span style="font-weight:bold;">Apêndice B</span> - Scripts de segurança: Fornece um modelo para criação de scripts para proteger o seu computador.<br /><br /><br />Nota: Como a Apple lança periodicamente novas versões e atualizações do software, as imagens mostradas neste livro pode ser diferente do que você vê em sua tela. <br /><br />Caso você possua as versões mais antigas do Mac OS (Leopard, Tiger ou Panther), existem outros documentos disponíveis em <a href="http://www.apple.com/support/security/guides/">http://www.apple.com/support/security/guides/</a> (em inglês).<br /><br /><br /><a onblur="try {parent.deselectBloggerImageGracefully();} catch(e) {}" href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOToaweE08QC3a0sJdQAWqr4NUemszVBLBZUgCcFJUFt5VHy3P14ke4xZourTRkpcJpTkrsTyscwlxwiYR7YDZ1BGbZyu8vHeBHoFbtwcLGGHs8lGSPlTt2XAYr5ewCGnh_Tn7mQ/s1600/apple-security.jpg"><img style="display:block; margin:0px auto 10px; text-align:center;cursor:pointer; cursor:hand;width: 398px; height: 206px;" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOToaweE08QC3a0sJdQAWqr4NUemszVBLBZUgCcFJUFt5VHy3P14ke4xZourTRkpcJpTkrsTyscwlxwiYR7YDZ1BGbZyu8vHeBHoFbtwcLGGHs8lGSPlTt2XAYr5ewCGnh_Tn7mQ/s400/apple-security.jpg" border="0" alt=""id="BLOGGER_PHOTO_ID_5579156582022878482" /></a><br /><br />Boa leitura, e fique seguro!Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0tag:blogger.com,1999:blog-15117118.post-15059302591701628932011-02-10T10:50:00.000-02:002011-02-10T10:51:28.969-02:00OWASP Appsec Tutorial Series - Episode 2: Injection Attacks<iframe title="YouTube video player" width="640" height="390" src="http://www.youtube.com/embed/Ci_YtwOn150" frameborder="0" allowfullscreen></iframe><br /><br /><a href="http://www.youtube.com/watch?v=Ci_YtwOn150">http://www.youtube.com/watch?v=Ci_YtwOn150</a>Jeronimo Zuccohttp://www.blogger.com/profile/09047816424320636865noreply@blogger.com0