Arquivos Pentest - Pentest e Forense Digital

Obtendo execução de código usando um banco de dados SQLite malicioso

por Petter Lopes | abr 14, 2020 | Desenvolvimento Seguro, Ofensive Security, Pentest, Teste de Intrusão, Vulnerabilidades | 0 |

O SQLite é um dos softwares mais implantados no mundo. No entanto, do ponto de vista da segurança, ele só foi examinado através da lente do WebSQL e da exploração do navegador. Acreditamos que esta é apenas a ponta do iceberg.

Em nossa pesquisa de longo prazo, experimentamos a exploração de problemas de corrupção de memória no SQLite sem depender de nenhum ambiente além da linguagem SQL. Usando nossas técnicas inovadoras de Query Hijacking e Query Oriented Programming, provamos que é possível explorar com segurança problemas de corrupção de memória no mecanismo SQLite. Demonstramos essas técnicas em alguns cenários do mundo real: criar um servidor de ladrão de senhas e obter persistência do iOS com privilégios mais altos.

Esperamos que, ao divulgar nossa pesquisa e metodologia, a comunidade de pesquisa de segurança seja inspirada a continuar examinando o SQLite nos inúmeros cenários em que está disponível. Dado o fato de o SQLite estar praticamente embutido em todos os principais sistemas operacionais, computadores ou dispositivos móveis, o cenário e as oportunidades são infinitas. Além disso, muitas das primitivas apresentadas aqui não são exclusivas do SQLite e podem ser portadas para outros mecanismos SQL. Bem-vindo ao admirável mundo novo do uso da familiar Structured Query Language para primitivas de exploração.

consulte Mais informação

Pentest PCI, LGPD e GDPR – GALAXPAY

por Petter Lopes | abr 24, 2019 | Desenvolvimento Seguro, Ethical Hacker, LGPD, Ofensive Security, Pentest, Segurança da Informação, Segurança Ofensiva, Teste de Intrusão, Vulnerabilidades | 0 |

[parte do resultado de um pentest] #csrf #xss #sqlinjection
Os testes de intrusão podem descobrir vulnerabilidades ou possíveis violações antes de qualquer outra pessoa, o que acaba lhe poupando a dor da divulgação de violações.
O GDPR criará a razão perfeita para fazer testes regulares de intrusão, mas, quando se trata de testes de intrusão, é útil para qualquer equipe. A maioria dos profissionais de segurança pode se relacionar com a placa completa que os outros no setor têm. Além de apenas identificar vulnerabilidades antes da exploração no mundo real, os testes de intrusão ajudam as equipes a priorizar as correções de segurança com base na gravidade e no impacto de diferentes descobertas.
Além de quaisquer requisitos específicos, o GDPR tem severas penalidades por uma violação de segurança, com organizações que enfrentam penalidades de até 20 milhões de euros, ou 4 por cento do faturamento anual global, o que for maior. Com impactos financeiros, controles proativos pesados e completos são essenciais.
Da mesma forma a LGPD (Lei Geral de Proteção de Dados), exige certos cuidados e relatórios de conformidade. O Pentest (teste de intrusão) poderá fornecer provas antecipadas para as empresas, bem como aumentar significativamente a segurança de seu ambiente.
Uma empresa que declare que possui testes de intrusão sendo executados regularmente, certamente irá ter um grande diferencial e sair na frente, passando mais confiança aos seus clientes, colaboradores, investidores, etc…

No final de 2018, uma empresa online, chamada GALAXPAY, que trata pagamentos recorrentes e outras operações financeiras, entrou em contato para que fosse executado um Pentest, para validar a conformidade com o PCI. Sendo assim, a empresa além de estar em conformidade com o PCI também estará um passo a frente nas questões de segurança, incluindo também, os requisitos mínimos para a LGPD.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados globalmente. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados do portador do cartão. O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

consulte Mais informação

LGPD/GDPR e a ISO 27001:2013 – CURRICULOWEB do Pentest à conformidade, Metadados Assessoria e Sistemas

por Petter Lopes | mar 6, 2019 | Sem classificação | 0 |

Introdução Em 2020 entrará em vigor no Brasil a LGPD (Lei Geral de Proteção de Dados) que...

consulte Mais informação

TESTE DE INVASÃO EM REDE WIRELESS – Obtendo acesso Administrador

por Petter Lopes | mar 1, 2018 | Cibercrime, Investigação, Pentest, Segurança da Informação, Vulnerabilidades | 0 |

Sistema de Ensino Presencial Conectado MBA em gestão de tecnologia da informação petter anderson...

consulte Mais informação

Exploiting SMB and Kerberos to obtain Administrator access

por Petter Lopes | mar 1, 2018 | Pentest, Segurança da Informação, Vulnerabilidades | 0 |

The present article aims to demonstrate the main steps to perform an invasion test. Serving as a solution to the growing demand for increased need to keep people connected, Wireless networks have come to play a key and indispensable role in corporate networks. These networks, in turn, need effective monitoring and the professionals who manage them must understand the risks and map out the existing vulnerabilities. The procedures for detecting safety flaws can be automated through tools or made by a qualified professional who will manually validate each critical point, this being the Pentester. This work aims to demonstrate the steps of performing an intrusion test in order to obtain critical data such as Network Administrator access. By using intrusion testing, network administrators can identify vulnerabilities and thus propose improvements and fixes to avoid being the target of some invasion by digital criminals.

consulte Mais informação

Laudo de Pentest – Notificação de Pentest, profissionais de SI

por Petter Lopes | jan 15, 2018 | Cibercrimes, Diversos, Forense Digital, Investigação, Pentest, Perícia Forense Computacional, Segurança da Informação, Vulnerabilidades | 0 |

(Laudo de Pentest) – Modelo de Notificação de Pentest, para profissionais de Segurança da...

consulte Mais informação

ESP8266 and WIRELESS PenTest

por Petter Lopes | ago 4, 2017 | Pentest, Segurança da Informação | 0 |

ESP8266 and WIiFi PenTest Petter Anderson Lopes[1] Abstract: Mobile devices have become more and...

consulte Mais informação

Pentesting with PowerShell in six steps

por Petter Lopes | nov 30, 2016 | Pentest, Segurança da Informação | 0 |

Pentesting with PowerShell in six steps Abstract: The purpose of this article is to provide an...

consulte Mais informação

Modelo de Notificação de Pentest

por Petter Lopes | out 31, 2016 | Pentest, Segurança da Informação | 0 |

Laudo resumido do Pentest do sistema ALVO no ambiente da empresa CLIENTE ALVO Requerente: DIRETOR DA EMPRESA ALVO. Pentester: Petter Anderson Lopes. Período: de 10/2015 a 06/2016. Modelo: Gray Hat. Ambiente: Interno. ...

consulte Mais informação

ANÁLISE DE VULNERABILIDADES DA REDE WIRELESS NA FACULDADE DE TECNOLOGIA DA SERRA GAÚCHA

por Petter Lopes | ago 10, 2016 | Pentest, Segurança da Informação | 0 |

ANÁLISE DE VULNERABILIDADES DA REDE WIRELESS NA FACULDADE DE TECNOLOGIA DA SERRA GAÚCHA...

consulte Mais informação

Tag: Pentest