Jump to content
Sign in to follow this  
Zin

Referências sobre defesa

 Read less than a minute

Recommended Posts

 Read less than a minute

Boa noite.

Alguém poderia me indicar livros/artigos/códigos para aprender sobre a base e defesa em web e servidores linux? Ferramentas Open Source, linguagens interessantes e td mais...

Obrigado.

Edited by Zin

Share this post


Link to post
Share on other sites
 Read less than a minute

Acima de qualquer ferramenta e etc, devemos saber a base. Alguns livros que eu tive contato e tenho lido. Eu procuraria ferramentas depois de entender como o "core" funciona, ferramenta só automatiza algum processo. Abraço!

Share this post


Link to post
Share on other sites
 Read 1 minute

Boa noite!

Resposta curta:

  • Defesa em web - WAF (ex.: ModSecurity),  Snort e Suricata podem ajudar também (não sei quanto)...
  • Servidores Linux - as permissões (lsattr, chmod etc), SElinux, PaX, Lynis, tripwire...

Mas se você não tem nada na base, a defesa vai ser fraquíssima IMHO. Então ela vem... a 

Resposta longa:

Tenho uma regrinha simples que é a seguinte: seja lá o que eu queira defender/atacar, preciso entender muito disso antes de defender/atacar. :)

Ou seja, se você quer defender um servidor web, é bom ser especialista no assunto servidor web primeiro. Quantos Apache httpd você já configurou? Se tiver pouca experiência com isso, eu recomendo seguir a documentação oficial ou algum tutorial e entender profundamente o protocolo HTTP e as configurações do servidor web. Pode usar o netcat como cliente pra isso, por exemplo.

Eu entendi muito bem alguns conceitos pelo livro Redes e servidores Linux do Morimoto mas provavelmente ele não serve mais, dada sua data de publicação (2006), então tem que ver se há outros livros similares em Português, caso não leia Inglês.

E não pode parar no httpd. Se vai entender de servidor web, te convido a fazer funcionar também o IIS e o Nginx. Com tudo que tem direito (SSL, etc). No caso do último, vai forçar a estudar proxy reverso também (o Apache httpd também faz) e daí vai.

Isso tudo vai te dar uma base para estudar hardening no nível do webserver. Agora, para saber como um WAF funciona de verdade, recomendo estudar programação web, incluindo PHP e JavaScript (não do ponto de vista do desenvolvimento, mas com vistas às falhas que más práticas podem causar). Daí tens chances de entender por completo o top 10 da OWASP e finalmente compreender como um WAF age. Aí entra o ModSecurity e criação das suas próprias regras!

Pois é, bastante coisa, mas segurança é assim. Na minha humilde opinião, não existe o assunto segurança. Segurança é, na verdade, uma forma segura de aplicar/configurar/desenvolver algo. Você não tem que saber segurança, tem que saber muito bem este algo, saca? Depois dá até pra brincar com as coisas prontas de segurança, leia-se Kali, livros de hardening, hackers, etc.

Isso tudo foi só pra servidor web. Em relação ao Linux em geral o Pimptech deu referências legais. Eu sugiro fazer a carreira LPI. A prova de segurança é 100% em hardening. Somente aí vale a pena entender os software de hardening.

A maioria das pessoas atraídas por segurança optam pelo caminho curto e talvez por isso haja tantas vagas no mercado e tanta gente querendo trabalhar com segurança ao mesmo tempo - são profissionais muito fracos, onde basta que um programa suma do Kali pra ele nunca mais conseguir usar. O.o

Não seja essa pessoa! kkkkkkkk

Abraço,

Fernando

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...