Portal de búsqueda de vulnerabiblidades web

El proyecto consiste en un portal de búsqueda de vulnerabilidades web, llamado Krashr, cuyo objetivo es el de buscar si una página web introducida por un usuario contiene algún tipo de vulnerabilidad explotable, además de tratar de ayudar a este usuario a arreglar las vulnerabilidades encontradas. Se cuenta con un back-end realizado en Python con una base de datos PostreSQL, un front-end web realizado en AngularJS y una API basada en Node.js y Express que comunica los dos frentes.

Estudo de vulnerabilidades em aplicações web e o seu reflexo em domínios Portugueses

Muito se tem falado sobre revolução tecnológica e do aparecimento constante de novas aplicações Web, com novas funcionalidades que visam facilitar o trabalho dos utilizadores. Mas será que estas aplicações garantem que os dados transmitidos são tratados e enviados por canais seguros (protocolos)? Que garantias é que o utilizador tem que mesmo que a aplicação utilize um canal, que prevê a privacidade e integridade de dados, esta não apresente alguma vulnerabilidade pondo em causa a informação sensível do utilizador? Software que não foi devidamente testado, aliado à falta de sensibilização por parte dos responsáveis pelo desenvolvimento de software para questões de segurança, levam ao aumento de vulnerabilidades e assim exponenciam o número de potenciais vítimas. Isto aliado ao efeito de desinibição que o sentimento de invisibilidade pode provocar, conduz ao facilitismo e consequentemente ao aumento do número de vítimas alvos de ataques informáticos. O utilizador, por vezes, não sabe muito bem do que se deve proteger, pois a confiança que depõem no software não pressupõem que os seus dados estejam em risco. Neste contexto foram recolhidos dados históricos relativos a vulnerabilidades nos protocolos SSL/TLS, para perceber o impacto que as mesmas apresentam e avaliar o grau de risco. Para além disso, foram avaliados um número significativo de domínios portugueses para perceber se os mesmos têm uma vulnerabilidade específica do protocolo SSL/TLS.

Eines de detecció de vulnerabilitats en aplicacions web : Control de dades d'entrada

Aquest document proposa, per una banda, la tria d'una eina de codi lliure, com és Skipfish, i per una altra, una eina, una aplicació web, que proporcioni una interfície d'usuari més amigable així com un complement a l'informe que genera Skipfish, afegint explicacions i referències a les vulnerabilitats a més de propostes de solució a aquests.

Auditoría de aplicaciones web : Metodología y práctica profesional

En el proyecto se describe el proceso de una auditoría web que servirá para detectar y resolver las vulnerabilidades tanto del código de la aplicación como de la configuración del sistema que la aloja.

Análisis de vulnerabilidades del DNS

El DNS (Domain Name System) es un sistema que permite localizar equipos y servicios de Internet a través de nombres descriptivos organizados de forma jerárquica gracias a un mecanismo de consulta/respuesta. Cuando un usuario escriba un nombre de dominio en una aplicación, los servidores DNS podrán traducirlo a otra información asociada con él mismo, como una dirección IP o un alias, por lo que el DNS puede entenderse como una base de datos globalmente jerarquizada que nació a causa de la necesidad de poder recordar fácilmente los nombres de todos los servidores conectados a Internet. La necesidad del uso del DNS y su carencia en sistemas de seguridad, han conformado un entorno propicio para multitud de ataques, entre los que se encuentran el MITM (Man In The Middle), caché poisoning, negación de servicios o fugas de información entre otros, generando situaciones comprometidas para multitud de usuarios. Para poder contrarrestarlos se han ido implementando un conjunto de modelos de seguridad, entre los que destacan algunos como el DNSSEC, con su uso de firmas criptográficas , el WSEC DNS con identificadores aleatorios o el DNS Curve que cifraba todo el contenido transmitido. Este proyecto consta de una breve introducción al DNS, donde se podrá conocer su estructura y entender su funcionamiento. Posteriormente se pasará a analizar conceptos de seguridad web, particularizándose en un examen exhaustivo de las vulnerabilidades en el DNS. Finalmente se estudiarán distintos modelos de seguridad que se han ido implementando a lo largo del tiempo para intentar solventar estos problemas junto con sus ventajas y desventajas.

O PROCESSO DE DESMATAMENTO DO BIOMA CAATINGA: RISCOS E VULNERABILIDADES SOCIOAMBIENTAIS NO TERRITÓRIO DE IDENTIDADE DO SISAL, BAHIA

O processo de ocupação da caatinga remonta a introdução da pecuária extensiva e da agricultura de subsistência no semi-árido brasileiro. O desmatamento dessa vegetação está associado à expansão das atividades produtivas historicamente instaladas. No Território de Identidade do Sisal, localizado no Estado da Bahia, a realidade não é diferente. O objetivo do trabalho foi analisar o processo de ocupação da caatinga, enfocando as atividades produtivas relacionadas com o processo de desmatamento. Para tanto, tomou-se como dimensão espacial os municípios de Valente, Serrinha, Santaluz e São Domingos. Os fundamentos teórico-metodológicos do trabalho encontram-se na Teoria da Ecodinâmica de Tricart (1977) com conceitos de estabilidade e instabilidade; Lage (2006) e Gonçalves ( 2006), com os conceitos de sustentabilidade e vulnerabilidade, além do conceito de riscos ambientais, segundo Veyret( 2007).Documentos cartográficos e imagens georreferenciadas foram utilizadas como suporte fundamental ao trabalho de campo e na elaboração de uma carta síntese das análises efetuadas.

O MAPEAMENTO DAS VULNERABILIDADES AMBIENTAIS EM ÁREAS URBANAS DA REGIÃO METROPOLITANA DE CURITIBA/PR COMO PROPOSTA PARA MINIMIZAÇÃO DE DESASTRES

A partir da década de 1960 do século passado assiste-se a um acelerado processo de urbanização no Brasil e consequentemente de alterações do ambiente natural. São nas áreas urbanas que os processos de vulnerabilidade ambiental são acentuados. Essas vulnerabilidades, por sua vez, concorrem para a possibilidade de desastres ambientais com perdas de vidas e de propriedades e que acarretam prejuízos na ordem de milhões de dólares. Existem muitos projetos que tratam dessa temática, no entanto, a maioria enfatiza a vulnerabilidade social deixando a relação homem versus natureza num segundo plano. Naqueles trabalhos adaptam-se o conceito de vulnerabilidade ambiental para um patamar sociológico relacionando os aspectos demográficos com as possíveis fragilidades geográficas. Já esta proposta, utiliza a vertente sistêmica para tratar da fragilidade ambiental de determinado local. Um dos objetivos é o mapeamento das áreas urbanas da Região Metropolitana de Curitiba, Paraná, Brasil que apresentam vulnerabilidades e estão suscetíveis a desastres ambientais. Como objetivos específicos pretendem-se mapear as vulnerabilidades naturais e sócio-ambientais; disseminar a metodologia utilizada e elaborar mapas temáticos de vegetação, solos, geologia, geomorfologia, uso do solo, hidrologia, entre outros. Para alcançá-los a metodologia proposta é a analise sistêmica do meio físico, meio biológico e meio socioeconômico através da elaboração de uma base de dados georreferenciada com a utilização de sistemas de informações geográficas - SIG que permitam a análise e cruzamento desses dados para a geração das informações pretendidas. Numa primeira etapa foram realizadas observações em campo numa área vulnerável a inundação e escorregamento de encosta no Município de Almirante Tamandaré - Estado do Paraná para escolha da metodologia mais adequada.

Iis--integrated Interactome System: A Web-based Platform For The Annotation, Analysis And Visualization Of Protein-metabolite-gene-drug Interactions By Integrating A Variety Of Data Sources And Tools.

High-throughput screening of physical, genetic and chemical-genetic interactions brings important perspectives in the Systems Biology field, as the analysis of these interactions provides new insights into protein/gene function, cellular metabolic variations and the validation of therapeutic targets and drug design. However, such analysis depends on a pipeline connecting different tools that can automatically integrate data from diverse sources and result in a more comprehensive dataset that can be properly interpreted. We describe here the Integrated Interactome System (IIS), an integrative platform with a web-based interface for the annotation, analysis and visualization of the interaction profiles of proteins/genes, metabolites and drugs of interest. IIS works in four connected modules: (i) Submission module, which receives raw data derived from Sanger sequencing (e.g. two-hybrid system); (ii) Search module, which enables the user to search for the processed reads to be assembled into contigs/singlets, or for lists of proteins/genes, metabolites and drugs of interest, and add them to the project; (iii) Annotation module, which assigns annotations from several databases for the contigs/singlets or lists of proteins/genes, generating tables with automatic annotation that can be manually curated; and (iv) Interactome module, which maps the contigs/singlets or the uploaded lists to entries in our integrated database, building networks that gather novel identified interactions, protein and metabolite expression/concentration levels, subcellular localization and computed topological metrics, GO biological processes and KEGG pathways enrichment. This module generates a XGMML file that can be imported into Cytoscape or be visualized directly on the web. We have developed IIS by the integration of diverse databases following the need of appropriate tools for a systematic analysis of physical, genetic and chemical-genetic interactions. IIS was validated with yeast two-hybrid, proteomics and metabolomics datasets, but it is also extendable to other datasets. IIS is freely available online at: http://www.lge.ibi.unicamp.br/lnbio/IIS/.

Acessibilidade dos sítios web dos governos estaduais brasileiros: uma análise quantitativa entre 1996 e 2007

A utilização da web para a disponibilização de informações e serviços de órgãos governamentais para os cidadãos tem se tornado cada vez mais expressiva. Assim, a garantia de que esses conteúdos e serviços possam ser acessíveis a qualquer cidadão é imprescindível, independentemente de necessidades especiais ou de quaisquer outras barreiras. No Brasil, o Decreto-Lei nº5.296/2004 determinou que todos os órgãos governamentais deveriam adaptar seus sítios na web de acordo com critérios de acessibilidade até dezembro de 2005. Com o objetivo de verificar a evolução da acessibilidade ao longo dos anos e como foi o impacto dessa legislação, este artigo analisa a acessibilidade dos sítios dos governos estaduais brasileiros por meio de amostras coletadas entre 1996 e 2007. Foram efetuadas análises por meio de métricas, obtidas por avaliações com ferramentas automáticas. Os resultados indicam que a legislação teve pouco impacto para a melhoria real da acessibilidade dos sítios no período indicado, com uma melhora somente em 2007. Verifica-se que se faz necessário adotar políticas públicas mais efetivas para que as pessoas com necessidades especiais tenham os seus direitos para acesso a informações e aos serviços públicos na web assegurados mais amplamente.

A oferta de serviços de informação por situação de vida em sítios Web de bibliotecas virtuais: em busca da qualidade no atendimento

With the advent and development of technology, mainly in the Internet, more and more electronic services are being offered to customers in all areas of business, especially in the offering of information services, as in virtual libraries. This article proposes a new opportunity to provide services to virtual libraries customers, presenting a methodology for the implementation of electronic services oriented by these customers' life situations. Through analytical observations of some national virtual libraries sites, it could be identified that the offer of services considering life situations and relationship interest situations can promote the service to their customers, providing greater satisfaction and, consequently, improving quality in the offer of information services. The visits to those sites and the critical analysis of the data collected during these visits, supported by bibliographic researches results, have enabled the description of this methodology, concluding that the provision of services on an isolated way or in accordance with the user's profile on sites of virtual libraries is not always enough to ensure the attendance to the needs and expectations of its customers, which suggests the offering of these services considering life situations and relationship interest situations as a complement that adds value to the business of virtual library. This becomes relevant when indicates new opportunities to provide virtual libraries services with quality, serving as a guide to the information providers managers, enabling the offering of new means to access information services by such customers, looking for pro - activity and services integration, in order to solve definitely real problems.

The International LAM Registry: A Component of an Innovative Web-Based Clinician, Researcher, and Patient-Driven Rare Disease Research Platform

Background: A relative friability to capture a sufficiently large patient population in any one geographic location has traditionally limited research into rare diseases. Methods and Results: Clinicians interested in the rare disease lymphangioleiomyomatosis (LAM) have worked with the LAM Treatment Alliance, the MIT Media Lab, and Clozure Associates to cooperate in the design of a state-of-the-art data coordination platform that can be used for clinical trials and other research focused on the global LAM patient population. This platform is a component of a set of web-based resources, including a patient self-report data portal, aimed at accelerating research in rare diseases in a rigorous fashion. Conclusions: Collaboration between clinicians, researchers, advocacy groups, and patients can create essential community resource infrastructure to accelerate rare disease research. The International LAM Registry is an example of such an effort.

Exceptional times for the dynamical discrete web

The dynamical discrete web (DyDW), introduced in the recent work of Howitt and Warren, is a system of coalescing simple symmetric one-dimensional random walks which evolve in an extra continuous dynamical time parameter tau. The evolution is by independent updating of the underlying Bernoulli variables indexed by discrete space-time that define the discrete web at any fixed tau. In this paper, we study the existence of exceptional (random) values of tau where the paths of the web do not behave like usual random walks and the Hausdorff dimension of the set of such exceptional tau. Our results are motivated by those about exceptional times for dynamical percolation in high dimension by Haggstrom, Peres and Steif, and in dimension two by Schramm and Steif. The exceptional behavior of the walks in the DyDW is rather different from the situation for the dynamical random walks of Benjamini, Haggstrom, Peres and Steif. For example, we prove that the walk from the origin S(0)(tau) violates the law of the iterated logarithm (LIL) on a set of tau of Hausdorff dimension one. We also discuss how these and other results should extend to the dynamical Brownian web, the natural scaling limit of the DyDW. (C) 2009 Elsevier B.V. All rights reserved.

Use of Medical Subject Headings (MeSH) in Portuguese for categorizing web-based healthcare content

Introduction: Internet users are increasingly using the worldwide web to search for information relating to their health. This situation makes it necessary to create specialized tools capable of supporting users in their searches. Objective: To apply and compare strategies that were developed to investigate the use of the Portuguese version of Medical Subject Headings (MeSH) for constructing an automated classifier for Brazilian Portuguese-language web-based content within or outside of the field of healthcare, focusing on the lay public. Methods: 3658 Brazilian web pages were used to train the classifier and 606 Brazilian web pages were used to validate it. The strategies proposed were constructed using content-based vector methods for text classification, such that Naive Bayes was used for the task of classifying vector patterns with characteristics obtained through the proposed strategies. Results: A strategy named InDeCS was developed specifically to adapt MeSH for the problem that was put forward. This approach achieved better accuracy for this pattern classification task (0.94 sensitivity, specificity and area under the ROC curve). Conclusions: Because of the significant results achieved by InDeCS, this tool has been successfully applied to the Brazilian healthcare search portal known as Busca Saude. Furthermore, it could be shown that MeSH presents important results when used for the task of classifying web-based content focusing on the lay public. It was also possible to show from this study that MeSH was able to map out mutable non-deterministic characteristics of the web. (c) 2010 Elsevier Inc. All rights reserved.

E-contracting with price configuration for Web services and QoS

The large amount of information in electronic contracts hampers their establishment due to high complexity. An approach inspired in Software Product Line (PL) and based on feature modelling was proposed to make this process more systematic through information reuse and structuring. By assessing the feature-based approach in relation to a proposed set of requirements, it was showed that the approach does not allow the price of services and of Quality of Services (QoS) attributes to be considered in the negotiation and included in the electronic contract. Thus, this paper also presents an extension of such approach in which prices and price types associated to Web services and QoS levels are applied. An extended toolkit prototype is also presented as well as an experiment example of the proposed approach.