fazem alguns meses que eu venho falando bastante sobre algumas coisas que ao ASP traz para área de segurança em diversos aspectos sobre Mobile Security sobre desenvolvimento Seguro também como sobre testes de invasão realmente Então hoje eu vou apresentar para vocês mais algumas soluções bem interessantes da USP é para ser um vídeo curto meio improvisado mas fica comigo até o final que você vai gostar do que eu vou estar mostrando aqui [Música] [Aplausos] Olá seja bem-vindo ao guia anônimo um canal que fala sobre segurança da informação e ranking eu sou Afonso da Silva e nesse vídeo
A gente vai estar falando um pouco mais sobre a wasp eu acredito que esse seja o último vídeo que eu vou estar fazendo diretamente sobre a Wap tá porque eu já fiz vários outros aqui no canal referentes às metodologias e as documentações que eles trazem para área de segurança eu citei agora a pouco a parte de Mobile Security mas a gente também falou sobre é verificações de segurança em firmer também como é api as verificações de segurança em apis ferramentas que é o aspe possui que desenvolve ou até mesmo o top tem voltado para apis
que ela tem desenvolvido já alguns anos né já tem algumas edições e nesse vídeo agora a gente vai dar uma olhadinha e mais algumas outras soluções da Washington porque muitas vezes você deve ficar meio perdido em onde encontrar informação ou onde se manter atualizado e vários desses repositórios que eu vou trazer hoje aqui eles são repositórios constantemente atualizados pela equipe de desenvolvimento beleza bem primeira coisa é que no oasp.org você consegue encontrar muita coisa sobre a arte isso é um fato tá mas você vai ter que dar uma garimpada legal para entender ou encontrar algo
em específico normalmente se você for pesquisar ou ASP e o termo que você quer como por exemplo firmware ou como por exemplo Fire provavelmente vai ter alguma coisa lá aqui dentro do site da washf tem as principais notícias do momento os principais repositórios ou atualizações desenvolvidas mas se você vai descendo você consegue obter outros dados sobre a organização aqui em projetos caso você queira você consegue ver todos os projetos e aí ele vai te abrir uma página com todos os projetos que eles desenvolvem tá E aí tem uma lista com mais de 300 projetos da
USP Pois é pra caramba mas vamos começar a dar uma olhada nas soluções a primeira solução que é o áspe possui é um mods ecurity CRS para quem não sabe o modo Security ele é um AF ele é um web aplication file bastante utilizado principalmente para Soluções em PHP e ao acho pela criou esse CRS que é o Core Roll 7 ou seja configuração de regras de núcleo ou regras centrais basicamente o ápice mode Security CRS ele é um conjunto de regras genéricas para que você aplique dentro do seu web aplication firew mod Security então
ele já vem com um montão de regra pré-definida para evitar ataque de SQL ataques de xss assim por diante desenvolvidos e atualizados pelo ASP e você simplesmente vai pegar esse conjunto de regras e jogar para dentro do seu web aplication Fire para que ele fique mais seguro para que ele tenha mais proteção do que no seu original né do que como ele vem de fábrica Então essa é uma solução Bem bacana da washi porque foi atualizada pouquinho tempo E clicando aqui nos links você já vai direto para documentação instalação e tudo mais tá é bem
tranquilo agora aqui a gente já tá no github da USP que é um github gigantesco Porque tudo que é o asper publica lá no site e também tem aqui no github tá então todas as metodologias todos os top tem assim por diante estão aqui dentro e no glitter rapidal acho que você vê inclusive todos os chapectors todos os capítulos deles basicamente quando você tem um grupo de pessoas que faz parte da Washington em uma determinada cidade eu acho que vai lá e cria um capítulo para você né cidade estado enfim né então aqui você tem
Capítulo E no caso você tem grupos da Wap de diversas partes do mundo criando conteúdos para dentro do github deles então você pode acessar aqui de cada um tem de Lisboa tem de um monte cara tem um monte de lugar todo mundo se acessa aqui os capítulos e ver o que esses capítulos estão desenvolvendo para dentro da comunidade Ok Então essa é uma parada bem interessante também mas não é ainda o ponto forte da USP porque aqui dentro a gente tem muito conteúdo bacana eu separei algumas coisas para mostrar para você tá só algumas a
gente já falou aqui como eu disse sobre firmwares sobre final sobre api e etc mas eu acho que ela também tem um projeto voltado para segurança de cabeçalhos tá que é o acho que Security headers Project e aqui dentro você consegue acessar toda a documentação desse projeto e compreender como configurar de uma maneira mais segura de cabeçalhos do seu sistemas web então é um projeto bem interessante para você principalmente que é desenvolvedor dá uma olhada conferir e entender um pouco melhor sobre o que eu acho que quer trazer para esse cerne aqui beleza então dá
uma olhadinha que vale muito a pena e esse daqui foi atualizado a pouquíssimo tempo tá no momento que eu tô gravando esse vídeo aqui ele foi atualizado tipo ontem eu acho tá pelo menos é o que eu tô vendo aqui então tem muita coisa e é Fresquinho né é constantemente atualizado um outro projeto bem interessante que eu acho que tem é o BRT esse blt ele é um esquema de programa de bangbout mas não é bem assim tá ele chama bug login alguma coisa tá e tem até o site dele aqui é bug então tá
é uma tour para você colocar os seus logs de bug balde e ele tem um sitezinho também que é bastante interessante porque porque ele tem aplicação né ele tem uma aplicação mobile e aqui funciona da seguinte forma você acessa a ferramenta e você coloca ali um bug que você encontrou em uma determinada empresa e eu acho que eu acho que meio que faz um meio caminho sabe ela Envia essas paradas Para a empresa e aí você ganha pontos dentro da plataforma Mas você também pode ganhar grana tudo depende de a empresa que está recebendo aquele
buggy balde sabe é uma outra uma outra parada interessante principalmente para quem gosta de CTF é que ao USP além das máquinas individualizadas que eles possuem eles também possuem um sistema de CTF que é o logs Secret é uma série de desafios voltados para segurança da informação e existe a possibilidade de você fazer esse rong Secrets em grupos porque normalmente você precisa levantar uma máquina ele é local né ele não tem uma plataforma web centralizada você precisa levantar essa máquina Você precisa jogar dentro de uma VM e tudo mais e ele tem essa opção do
Home Secrets CTF Pare que é onde você vai fazer vai subir essa máquina e vai conseguir jogar com um grupo de pessoas Então vão ser várias pessoas resolvendo os desafios do Home Secrets para quem gosta de CTF vale muito a pena dar uma olhada tanto no Home Secret quanto no rock secretfire interessante tem uma documentação bem longa e você consegue subir isso daqui com uma facilidade de jogar com seus amigos também voltado ainda para isso relacionado a CTF a gente tem várias máquinas da wasp tá várias máquinas vulneráveis da USP isso que é interessante de
falar eu acho que ela desenvolve né algumas equipes é Claro porque eu acho que ela é uma organização com centenas ou até mesmo milhares de pessoas trabalhando dentro dos seus projetos tá e aqui a gente tem uma das máquinas que a dvsa eu trouxe ela como exemplo mas existem várias outras aqui é basicamente uma VM com muitas vulnerabilidades que funciona ela serve como objetivo para você testar suas Skills é como se fosse um CTF online só que não online localmente numa máquina VM né então ela é a Dan Wonder Rainbow S servers application é a
dvsa e é uma máquina bem interessante para você estar praticando um pouco mais sobre segurança da informação Existem várias como eu já falei se você colocar ou ásp vulnerable máquina ou vulnerabo Machine ou qualquer outra coisa do tipo ou vulnerable VM você vai estar encontrando várias mas dentro da documentação da USP você também consegue encontrar essa daqui a dvsa tá que não é tão falado assim vamos dizer sinceramente né agora mudando um pouco de estrutura vamos dizer dessa forma a gente vai para algumas ferramentas que são desenvolvidas por algumas equipes da wasp essa daqui é
a net eu acho que é net taker né Talvez seja uma relação a net a taker Mas a net take tá a net taker é uma ferramenta automatizada de busca de vulnerabilidade tá ela é uma ferramenta automatizada para pinteste e coleta de informações então é ela é mais uma daquelas ferramentas que automatiza várias outras ferramentas e vários outros processos dentro de um penteco de um bug muito parecido fez com que a gente tem ali no amasso para uma área ou que a gente tenha propriamente no nuclei Talvez seja inclusive um concorrente do núcleo não sei
se foi desenvolvido com esse intuito Tá mas é uma ferramenta bem interessante que tem toda uma documentação tem toda uma funcionalidade ali dentro e ela faz diversos tipos de verificação inclusive verificações aí a ti tá então é uma ferramenta bem interessante para se dar uma olhada pelo menos né Para se entender o que ela faz e como ela faz Beleza então é uma opção aí que também não é muito falada na maioria das vezes outra ferramenta que a gente tem aqui é o Tree Dragon ou trad Dragon que é uma ferramenta voltada para trading inteligência
e aqui ela é fria eu penso como qualquer outra coisa relacionada ao Aspen e ela é para tread modeling application é bem específico mas se você é da área de trading Intel ou alguma coisa do gênero Provavelmente você já conhece ou já utilizar essa ferramenta caso não e você queira ingressar nessa área Talvez seja bastante interessante dá uma olhada no Dragon tá no Trade Dragon é uma ferramenta constantemente atualizada no momento que eu tô acessando essa página e gravando esse vídeo ela foi atualizada duas horas atrás para vocês terem uma noção tá então é uma
ferramenta bem bacana para você dar uma conferida e entender como ela funciona um pouco mais a fundo caso essa seja a sua área outra turca que a gente tem dentro da washp é o USP o Fate ou ofet eu não sei pronunciar isso mas é de ofensive api teste é uma ferramenta voltada para análise de seguranças em apis Inclusive eu não coloquei ela na lista de apis de ferramentas de api que eu trouxe uns vídeos atrás ela é uma ferramenta desenvolvida por alguma ela é uma ferramenta desenvolvida por um grupo de pessoas da USP e
ela tem esse intuito de fazer testes embaixo para api aqui dentro a gente tem toda documentação e também tem as verificações que ela faz tá que são Security cheques aqui dentro e todas as suas funcionalidades beleza é uma ferramenta bem interessante também é que eu achei aqui nesse meio é da USP e ainda não se fala ferramentas eu tô aqui no amasso sua mas é uma ferramenta bastante conhecida da washp né muito utilizada na área de segurança da informação mas é bom ressaltar que ela também faz parte desse pulso de ferramentas que é o acho
que traz para gente e essa daqui é uma ferramenta aí que é uma das top mais utilizadas no mercado para coleta de informações e análise de vulnerabilidade Então vale a pena também dá uma olhada caso você ainda não conhece essa ferramenta e para a gente fechar eu tô aqui nessa lista de repositórios da USP né como eu disse para vocês no momento que eu tô gravando aqui a gente tem 302 itens dentro dos inventários de projetos da USP e aqui você consegue ver todos esses projetos tá então tem bastante coisa dentro dessa página inicial eles
trazem alguns principais Mas você pode por exemplo selecionar que Project by level ou baitape E aí por tipo você consegue entender um pouquinho melhor o que você precisa eu acho um pouco mais fácil por tipo do que por level tá então aqui por exemplo se você quer algo relacionado a WS já tem aqui no início dos funcionalidades se você quer fazer por exemplo uma verificação de csrf tem eu acho que csf guarde aqui se você quer dar uma olhada no dvsk que eu acabei de apresentar já tá aquele estado Então aqui tem uma lista com
vários repositórios deles e também com as documentações né as documentações são um pouco daquilo que eu já trouxe para vocês né apito tem a parte de Fire a parte do Top tem também sem ser de apis né voltados para web e tem várias outras documentações da wasp tem muito mais coisa o samba que a gente falou também mas tem de engenharia reversa que eu não cheguei a citar tem de várias outras áreas esses documentações Então vale muito a pena dar uma olhadinha nessas documentações porque Provavelmente tem algo que vai te interessar tem deve ser aqui
ó tem um monte de coisa aqui dentro tá ó por exemplo eu acho que deve ser aqui Ops Stop tem provavelmente esse top tem você nunca ouviu falar né provavelmente esse top tem você nem sabia que existia assim como Muita gente me diz que nem sabia que existia ou acho que top tem para país então é muito válido dar uma olhadinha no site da USP é uma grande organização dentro da área de segurança da informação que sempre tá criando material científico e material de apoio para quem tá estudando profissionais propriamente ditos da área Beleza não
se esquece de dar uma olhadinha no vídeo do twingate que eu postei faz poucos dias aí é um vídeo mais produzido com padrão novo que eu quero trazer para dentro do guia anônima principalmente a partir do ano que vem deixa o like se inscreve no canal compartilhe esse vídeo no seu grupo de estudos e dá uma olhada na descrição porque nela tem todos os nossos links inclusive daqui alguns poucos dias a gente vai estar lançando guia anônima fundamento de novo treinamento do guia anônima que tem como objetivo ensinar para você as bases de segurança da
informação em reggae é só acessar fundamentos guia anônima.com Beleza então é isso valeu e até mais
