Análise de desempenho/segurança

marcosd3souza · Outubro 2, 2015, 1:40pm

Olá pessoal,

estive conversando com o Yves a respeito de alguns pontos que precisamos pensar/repensar. São eles:

segurança:
Hoje não se sabe, ou pelo menos não se tem registrado, testes que asseguram o ambiente contra vulnerabilidades. Me refiro a testes de Cross-Site-Script, enumeração de usuários, sequestro de sessão, DoS, Etc.
Performance:
Hoje não se sabe, ou pelo menos não se tem registrado, testes de carga e performance.
Precisa-se da definição de métricas em tempos de resposta, por exemplo, dos requests.
Também a análise no total de usuários simultâneos.
Teste de carga automatizado, por exemplo: uso do JMeter para bombardear o serviço e ver até quando o mesmo suporta.

Outras observações: além dessas verificações, também é necessário verificar um ponto de cunho social da rede: “Report de abuso”. Como é verificado, tratado, a postagem abusiva de informações ?

car2 · Outubro 5, 2016, 12:08pm

Testes e Análise de Vulnerabilidade

Nobre Marcos e comunidade OpenRedu

Eu [aluno de m.sc. em cc e sob orientação do prof. Silvio Meira e Coorientação do prof. Vinicius Garcia Cin/UFPE] com todo apoio e suporte do especialista em S.I. Milton Morais [aluno de m.sc. em cc e sobre orientação do prof. Ricardo Massa Cin/UFPE] realizei alguns testes e análises de vulnerabilidade usando a ferramenta #Uniscan project V. 6.3.

Tenho a grande satisfação de compartilhar os resultados com todos deste maravilhoso projeto, segue os resultados:

Analisamos os logs (3) e observamos que os resultados foram iguais, isso mesmo, para os 3 links citados abaixo, segue detalhamento:

1. Domain: (openredu.cin...)
Scan date: 1-10-2016 23:41:20
Server: Apache/2.4.7 (Ubuntu)
IP: 150.161.2.9

2. Domain: (openredu.com)
Scan date: 1-10-2016 21:46:31
Server: Apache/2.4.7 (Ubuntu)
IP: 150.161.2.21

3 . Domain: (ead.openredu...)
Scan date: 1-10-2016 20:20:19
Server: nginx/1.8.0 + Phusion Passenger 5.0.20
IP: 187.33.66.226

Problema 1 - Lista de E-mails

E-mails: //@car2 não são de usuários ativos – total de e-mails = 4
| [+] E-mail Found: ryan@wonko.com //E-mail inválido.
| [+] E-mail Found: klaus.hartl@stilbuero.de //E-mail inválido.
| [+] E-mail Found: contato@redu.com.br //E-mail inválido.

[+] E-mail Found: privacidade@redu.com.br //E-mail inválido.

[+] E-mail Found: dhuff@eng.sun.com

Problema 2 - Links expostos em .htm e .java – total de links = 1552

Exemplo 1 -
/////////////////////////////////////////////////////////////////////
// Index.java – LED Sign V2.5
//
// This is just a small class used for a struct
//
// Revisions:
// V2.7: See “Revisions” doc for more info
//
// V2.5: Fixed all known bugs in previous versions! Added
// the new feature of ledsize, which allows the user
// to specify in pixels how big the LED’s (1-4).
// Thanks to Robert B. Denny (rdenny@dc3.com) for
// code and input!
// Modified Dec 20-26, 1995
//
// V2.0beta: Modified V1.0 to comply with Pre-Beta java.
// A problem with delay causes a jerky display.
// Modified Oct 20 - 29, 1995
//
// V1.0: Written July 13 - 14, 1995
//
// By Darrick Brown
// dbrown@cs.hope.edu
// http://www.cs.hope.edu/~dbrown/
//
// © Copyright 1995
/////////////////////////////////////////////////////////////////////

import java.awt.;
import java.io.;
import java.net.*;

//////////////////////////////////////////////////////////////////
// The Index Class (struct)
//////////////////////////////////////////////////////////////////
public class Index
{
public byte ch;
public int width;
public boolean letter[][];

Index(byte b, int w, int h)
{
letter = new boolean[w][h];
width = w;
ch = b;
}
}
Exemplo 2
import java.awt.*;

class CanvasContas extends Canvas {
Image image;

BancoApplet banco;

CanvasContas(BancoApplet banco) {
    this.banco = banco;
}

public Dimension preferredSize() {
    return new Dimension(195, 300);
}

public void paint(Graphics g) {
    g.drawRect(0, 0, size().width-2, size().height-2);
}

}
Exemplo 3
Um applet que funciona como relógio:
Código fonte do applet:
import java.applet.Applet;
import java.awt.Graphics;
import java.util.Date;

public class Clock
extends Applet
implements Runnable {

Thread updater;

public void start() {
    if (updater == null) {
        updater = new Thread(this);
        updater.start();
    }
}

public void stop() {
    updater.stop();
    updater = null;
}

public void run() {
    while (true) {
        repaint();
        try {
            updater.sleep(1000);
        } catch (InterruptedException e){
        }
    }
}

public void paint(Graphics pen) {
    Date date = new Date();
    pen.drawString(date.getHours() + ":" + 
                   date.getMinutes() + ":" + 
                   date.getSeconds(), 5, 15);
}

}

Finalizando galera!

Caso alguém queira mais informações e acesso aos logs segue o link do drive ~> http://bit.ly/2d1FIUL

Em breve novas contribuições sobre ataques DDos com apoio de Milton Morais @mvml

#Sinergia! Cloves Rocha.

car2 · Janeiro 12, 2017, 6:01pm

Já está pronta a nova contribuição sobre Testes de Seguranca DDos disponivel no Link: Testes de Segurança - DDOS

Autor: Milton Morais @mvml