Null Pointer Exception um problema milionrio Everton Melo
Null Pointer Exception - um problema milionário Everton Melo Pesquisador de Segurança de informação Globalcode – Open 4 education
Sobre Pesquisador de Segurança de informação. Técnico em informática pela ETEC Guaianazes. Téc. do Serviço Federal de Processamento de Dados ( SERPRO ) Voluntário nos projetos: - Meet Up bitcoin São Paulo - Hack 'n' Cast - dentro C outros. .
#Contribuições #Doc #Merged #Commits #Bugs #Security #Reports
man melo: melo(1) General Commands Manual melo(1) NOME melo - explicar as tecnologias mais complexas de forma trivial. alias Everton_Melo = ' melo -h ' alias Izhaq_Blues = ' melo -e ' alias Izhaq 06 = ' melo --incognit ' alias Grao_Maliq = ' melo -Hexa. Number. Code ' SINOPSE melo [ exigido ] lógica, respeito e coerência. Opções POSIX: [-hue. BR] Opções Gerais: [-abdfilprsuvx. SP] [-A AUSTRIAN] [-V verbose enable default] {numbered, existing, simple}] [--sparse=WHEN] [--help] [--version] [--] DESCRIÇÃO Ouça com atenção os pontos abordados na palestra. Caso queira fazer perguntas no final de cada sessão e assunto, será aberto para perguntas. TUDO QUE SERÁ DITO SÃO OPINIÕES DO PALESTRANTE, NÃO CONDIZEM COM EMPRESAS E/OU PROJETO QUE ELE TRABALHA
Agenda Java excessões, Null*, cod. exemplo. OWASP vs CWE, exploit NPE; Cripto Arquitetura btc protocol, Xem NIS; NEM Thief, Bug, report e reject. Globalcode – Open 4 education
JAVA Fundamentos Exceções, Nullpointer Globalcode – Open 4 education
Exceções UNCHECKED : Representam defeitos no programa ( bugs) - muitas vezes argumentos inválidos passados, para um método não-privado, refletem erros na lógica do seu programa e não pode ser razoavelmente recuperado em tempo de execução e são subclasses de Runtime. Exception; Exceções CHECKED : Representam condições inválidas em áreas fora do controle imediato do programa, são subclasses de Exception um método é obrigado a estabelecer uma política para todas as exceções verificadas lançadas por sua implementação Globalcode – Open 4 education
Null. Pointer, NPE O programa pode potencialmente desreferenciar um ponteiro nulo, aumentando assim um Null. Pointer. Exception. Erros de ponteiro nulo são geralmente o resultado de uma ou mais suposições do programador sendo violadas. A maioria dos problemas de ponteiro nulo resulta em problemas gerais de confiabilidade de software, mas se um invasor pode intencionalmente disparar uma referência de ponteiro nulo, o invasor pode usar a exceção resultante para ignorar a lógica de segurança ou para fazer com que o aplicativo revele informações de depuração que serão valiosas no planejamento de ataques subseqüentes. Globalcode – Open 4 education
-- Globalcode – Open 4 education
OWASP Open Web Application Security Project CVE, CWE e Exploit Globalcode – Open 4 education
Null Dereference ( OWASP ) O programa pode potencialmente desreferenciar um ponteiro nulo, aumentando assim um NPE. Erros de ponteiro nulo são geralmente o resultado de uma ou mais suposições do programador sendo violadas. A maioria dos problemas de ponteiro nulo resulta em problemas gerais de confiabilidade de software, mas se um invasor pode intencionalmente disparar uma referência de ponteiro nulo, o invasor pode usar a exceção resultante para ignorar a lógica de segurança ou para fazer com que o aplicativo revele informações de depuração que serão valiosas no planejamento de ataques subseqüentes. Consequências Disponibilidade: As desreferências de ponteiro nulo resultam invariavelmente na falha do processo. o ataque típico: Um desreferenciamento de ponteiro nulo ocorre quando um ponteiro com um valor NULL é usado como se apontasse para uma área de memória válida. Null Derenf. ná’regua. Globalcode – Open 4 education
CWE-476: NULL Pointer Dereference Descrição estendida Os problemas de desreferenciamento de ponteiro NULL podem ocorrer por meio de várias falhas, incluindo condições de corrida e omissões de programação simples. Probabilidade de exploração: Média CWE-252: Unchecked Return Value CWE-789: Uncontrolled Memory Allocation; CWE-690: Unchecked Return Value to NULL Pointer Dereference IT’S FINE? Globalcode – Open 4 education
Exploit - CVE-2017 -12617 Globalcode – Open 4 education
Arquitetura Criptomoedas Fundamentos -- Globalcode – Open 4 education
Sistema de pagamento & Bitcoin Banco Pessoa CASH ponto feita com a plataforma BTC. Pessoa cia de pagamento on-line Pessoa
Bitcoin Protocol Fluxo de transações do Bitcoin core, depois do v 0. 7. x. Globalcode – Open 4 education
NEM New Economy Movement -- Globalcode – Open 4 education
Projeto NEM Sofreu um ataque. - Não existe equipe de segurança no projeto - Não existia fundo reserva contra fraudes. - Transações não podem ser revertidas. - Os tokens roubados foram marcados - A fundação não achou um “culpado”. . . até: Globalcode – Open 4 education
Coleção de Nós Exposta Globalcode – Open 4 education
O bug O Bug Globalcode – Open 4 education
Contato: @Everton 06 everton. win 32@gmail. com
- Slides: 21