SISTEMA DE ENSINO PRESENCIAL CONECTADO

CURSO SUPERIOR DE TECNOLOGIA EM ANLISE E

DESENVOLVIMENTO DE SISTEMAS
ALESSANDRO DE MOURA VAZ
NOME DO(S) AUTOR(ES) EM ORDEM ALFABTICA

PRODUO TEXTUAL
INDIVIDUAL

Taubat
2013

ALESSANDRO DE MOURA VAZ

PRODUO TEXTUAL
INDIVIDUAL

Trabalho apresentado ao curso de Anlise e

Desenvolvimento de Sistemas da Universidade Norte do
Paran UNOPAR para a disciplina Atividades
Interdisciplinares
Prof. Reinaldo Nishikawa, Marco Ikuro Hisatomi, Adriane
Aparecida Loper, Everson Moraes, Paulo Kiyoshi
Nishitani, Veronice de Freitas.

Taubat
2013

Taubat
2013

SUMRIO
2 INTRODUO..........................................................................................................3

Taubat
2013

2 INTRODUO
Responder

as

questes

com

base nos assuntos abordados no eixo temtico

envolvendo todas as disciplinas do semestre e conhecimento adquirido durante as

aulas. Trabalhando no contexto acima citado, este trabalho visa demonstrar
os conceitos das disciplinas apresentadas.
3 OBJETIVO
O objetivo deste trabalho foi realizar um estudo abrangente sobre o desenvolvimento
orientado a servios que, segundo alguns estudos, objetivando um exerccio prtico
das atividades que envolvem a formao profissional e tem um grande potencial
para ser referncia no desenvolvimento de software em alguns anos.
4 DESENVOLVIMENTO

4.1 Engenharia de redes de computadores

Autor: Marcelo Sampaio de Alencar Publicao: 13/07/2012
ISBN: 9788536504117 Brochura
Pginas: 265
Editora: rica
Redes de computadores e a Internet
Autor: James F. Kurose, Keith W. Rossa Publicao: 2010Edio:
5ISBN: 9788588639973 Brochura Pginas: 640
Editora: Pearson
Redes de computadores
Autor: Lindeberg Barros de Sousa Publicao: 11/03/2009
Edio: 1ISBN: 9788536502250
Brochura Pginas: 336
Editora: rica
redes de computadores (2003)
Autor: Andrew S. TanenbaumB Publicao: 2003

Taubat
2013

Edio: 4 ISBN: 8535211853

Brochura Pginas: 968
Editora: Campus / Elsevier
Comunicao de dados e redes de computadores (2008)
Autor: Behrouz A. Forouzan
Publicao: 2008 Edio: 4
ISBN: 9788586804885
Brochura Pginas: 1168
Editora: McGraw-Hill
Arquitetura de redes de computadores (2008)
Autor: Luiz Pablo Bomeny Maia
Publicao: 2009
Edio: 1
ISBN: 9788521616825
Brochura
Pginas: 242
Editora: LTC

4.2 COMUNICABILIDADE
Uma vez que, o usurio entra no sistema ele precisa entre o designer que ocorrer
por meio da interface e se nos vamos implantar em "nossa Locadora de livros", livros
digitais ser preciso que nesse sistema exista alta comunicabilidade fazendo que o
usurio tenha resposta para seus questionamentos; quando um usurio fica perdido
na tela procurando uma funcionalidade ,ou quando acontece do usurio no saber o
que tal funcionalidade faz , ou quando clica em algo errado e no consegue voltar de
um modo pratico so sintomas de falta de comunicabilidade. Ento mais do que
necessrio incorporar uma boa comunicabilidade em nosso sistema.

Taubat
2013

4.3 SISTEMAS MULTIPROGRAMVEIS

Se caracterizam por permitir que vrios programas (tarefas) residam
simultaneamente na memria e concorra pelo uso dos recursos disponveis (apenas
um programa detm, num determinado instante, o controle da UCP). So mais
complexos e eficientes que os sistemas monoprogramveis.
Nestes sistemas, enquanto uma tarefa aguarda a ocorrncia de um evento externo
a UCP, esta pode atender outra tarefa qualquer, que esteja em condies de ser
executada. O sistema operacional se encarrega de gerenciar o acesso concorrentes
das diversas tarefas aos diversos recursos, de forma ordenada e protegida. Figura
VI.3
Exemplo de SO multitarefa o Windows, Linux, etc.
SISTEMAS COM MLTIPLOS PROCESSADORES
Caracterizam-se por possuir 2 ou mais UCPs interligadas, trabalhando em conjunto.
Sistemas

fortemente

acoplados:

Existem

dois

ou

mais

processadores

compartilhando uma nica memria e controlados por apenas um nico sistema

operacional.
Sistemas fracamente acoplados: Caracterizam-se por possuir dois ou mais
sistemas de computao, conectados atravs de linhas de comunicao. Cada
sistema

funciona

de

forma

independente,

possuindo

seu(s)

prprio(s)

processadore(s), memria e dispositivos.

4.4 SEGURANA EM CDIGOS PHP
O propsito deste texto informar aos programadores PHP dos erros comuns em
segurana que podem ser encontrados em scripts PHP. Enquanto muitos dos
seguintes conceitos podem parecer ser um senso comum, eles infelizmente no
so sempre uma prtica comum.
Aps aplicar as seguintes tcnicas ao seu cdigo, voc estar apto a eliminar a
grande maioria dos furos de segurana que povoam muitos scripts. Muitos destes
furos de seguranas foram encontrados em scripts PHP comerciais e open source
largamente utilizados no passado (cito o OsCommerce, o WordPress e o phpBB
como exemplos).
Taubat
2013

O mais importante conceito a aprender neste artigo que voc nunca deve confiar
que o usurio entrar com dados exatamente como era esperado. A forma como a
maioria dos scripts PHP so comprometidos entrando com dados inesperados
para explorar furos de segurana inadvertidamente deixados no script.
Usurios e Senhas
Outro ponto muito importante no exibir, em momento algum, o nome de login
(usurio) de algum usurio cadastrado no sistema. Lembre-se que para um usurio
conseguir invadir a conta do outro ele precisa de duas coisas: usurio (ou e-mail) e
a senha.. Se ele souber o usurio j tem 50% de sucesso.
Vale lembrar tambm que voc no precisa deixar a senha do usurio na forma real
quando salva-la no banco. muito mais seguro salvar um md5() ou sha1() da
senha no banco e quando for necessrio fazer a validao do usurio voc tambm
gera o md5() ou sha1() da senha que ele digitou e compara com o que h no banco.
Assim, se por ventura algum conseguir invadir e pegar todos os registros do banco
de usurios, o mximo que ele ir conseguir so o usurio/e-mail e uma senha
criptografada.
Arquivos .inc
Muitos programadores preferem usar arquivos .inc para identificar arquivos que
so chamados atravs das funes include() e require() (e as respectivas _once).
Se voc no configurar o servidor Apache corretamente, os arquivos .inc podem
ser baixados e lidos, ao invs de interpretados pelo servidor. O resultado seu
cdigo-fonte exposto. Em casos mais graves, arquivos de configurao, que
incluem a senha do banco de dados, podem ser lidos por qualquer um.
Detalhe, isto mais comum do que se pensa. Digite no Google: filetype:inc
mysql_connect e voc ver que muitos sites, alm de no configurarem o arquivo
.inc corretamente, mantm a listagem de arquivos e pastas disponvel. Essa busca
retornar arquivos que terminam com .inc e possuem a palavra mysql_connect,
que uma funo para conectar ao banco de dados, que tem como argumentos o
endereo, usurio e senha. Logo, possvel obter todos os dados necessrios para
conectar-se ao banco de dados.
Cdigo para o Apache interpretar arquivos .inc como .php:
(adicionar ao arquivo .htaccess)
Cdigo PHP:
Addtype application/x-httpd-php .inc
Taubat
2013

Listagem de Arquivos e Pastas

Evite curiosos e problemas bloqueando a listagem de arquivos.
Poucas vezes, a listagem de arquivos de uma pasta pode ser til. Portanto, se voc
necessita realmente usar a listagem de arquivos e pastas, faa um script em PHP.
Com ele, voc pode definir quais pastas / arquivos sero exibidos. Desabilitando a
listagem de arquivos e pastas, voc evita que os buscadores fucem em seu site e
indexe arquivos desnecessrios. Lembre-se bem que existem buscadores
inofensivos, como o Googlebot e Yahoo/Slurp, mas tambm existem buscadores
maliciosos, como o DataCha0s.
Cdigo para o Apache no ler os arquivos:
(adicionar ao arquivo .htaccess)
Cdigo PHP:
Options -Indexes
Magic_Quotes on?
Posso dizer que com a diretiva Magic_Quotes ligada, praticamente somem os
ataques SQL Injection nos sites rodando PHP. Esta diretiva escapa com uma \
dados enviados via GET POST e COOKIE automaticamente. muito comum ter
esta diretiva ligada em sites que no precisam de performance ao mximo ou
servidores compartilhados. Enquanto um bom recurso para iniciantes, pois
dispensa o uso da funo addslashes() ao fazer consultas SQL, uma necessidade
de portar o cdigo pode levar a riscos srios.
Imagine se voc desenvolve um sistema online para um cliente: seu servidor utilizar
Magic_Quotes on enquanto o da empresa Magic_Quotes off. Voc no faz nenhum
tratamento especfico para escapar as variveis, deixando o sistema totalmente
vulnervel.
No entenda pelo lado errado: Magic Quotes so timas para evitar injees de
SQL, mas lembre-se que trata-se de uma diretiva e no uma configurao
obrigatria.
Cuidado especial com formulrios
Se voc criar um campo de formulrio <input> com a propriedade maxlength=10,
isto no quer dizer que todos os dados que forem passados atravs dele tero, no
mximo, 10 caracteres. Isto pode ser facilmente alterado via javascript ou por
ferramentas do browser (como o Dom Inspector, no Firefox).
Ateno especial: Cuidado ao armazenar valores no campo <input type=hidden>.
Taubat
2013

Procure encriptar o que for necessrio. Assim como os demais comandos HTML, os
valores desta so facilmente editveis.
Validao Javascript
A validao com Javascript pode ser til para evitar que o usurio tenha que ficar
processando mil vezes uma pgina ao preencher de maneira invlida. Porm, no
podemos somente usar o Javascript para validar, at porque existem browsers que
sequer funcionam com Javascript. Nesses browsers, nenhum dado seria validado e
isto perigoso. Nunca se esquea que o Javascript client-side, logo, pode ser
manipulado pelo computador cliente.
Manipular arquivos til, mas tome os devidos cuidados
s vezes, precisamos ler, fazer o download ou adicionar informaes a um arquivo.
Nada melhor que usar readfile(), fopen() e as demais funes necessrias. O
cuidado deve estar nos argumentos que voc passar.
Exemplo: Acessando o link abaixo, o site escrever todo o cdigo fonte.
http://www.exemplo.com/download/ler.php?arquivo=ler.php
Isso fica EXTREMAMENTE perigoso se utilizarem comandos para subir e descer
diretrios.Exemplo:
http://www.exemplo.com/download/ler.o=../.htaccess
Logo, o caminho seria, por exemplo,: /home/exemplo/www/.htaccess
Em teoria, possvel acessar qualquer contedo do site, desde que se conhea a
estrutura do mesmo e tenha permisso para tal.
Se voc s for ler arquivos na mesma pasta, utilize str_replace(), para remover .. e
/. Caso contrrio, faa a devida programao para evitar problemas. Por exemplo,
permita a leitura somente dos arquivos necessrios, atravs da extenso, por
exemplo.
Obs: Este tpico tambm se aplica funo highlight_file() / show_source()
Retorno de informaes mal-feito pode levar a HTML Injection
O usurio faz uma busca por uidroot em seu site. O seu site retorna No foi
possvel encontrar uidroot. Tente outra palavra .
E se o usurio busca por <b>uidroot? Se voc no tratar corretamente o retorno,
ver o site exibindo:
No foi possvel encontrar uidroot Tente outra palavra..
Muitas pessoas ignoram o HTML Injection, alegando que s um problema
esttico. Para os usurios do Orkut: em meados de Agosto / Setembro de 2006,
Taubat
2013

houve um problema grave de HTML Injection na pgina de recados, que permitia

que uma pessoa injetasse HTML (imagens, videos, javascript etc) na pgina de
recados de qualquer pessoa. Enquanto alguns acharam engraado postar imagens,
outros usaram os recursos em Javascript para redirecionar paginas falsas de
login, capturar dados, download de arquivos automaticamente e muito mais. O mais
agravante foi que para usar o Orkut, voc precisa de Javascript, portanto, a taxa de
usurios afetados chegaria a at 99%, lembrando que existem usurios que
bloqueiam o javascript quando ele vem de uma domnio diferente ao acessado.
Felizmente, o Orkut corrigiu em alguns dias, evitando a catstrofe.
Escape corretamente os comandos HTML. Se no precisar exibir cdigo HTML,
utilize a funo strip_tags().
E cuidado com o Cross-Site Scripting (o famoso XSS), utilizado com a injeo da
tag <iframe> para roubo de cookies e posterior roubo de sesso se o programador
no fizer um sistema seguro de sesses.
Portais Prontos
Caso voc utilize algum portal pronto como JOOMLA, WORDPRESS e alguns
outros do tipo, fique atento as atualizaes sobre novas verses e atualizaes de
mdulos adicionais para evitar problemas como a invases por vulnerabilidades
encontradas nesse tipo de aplicao.
Permisso de escrita total
Cuidado ao dar permisso total de escrita para arquivos e pastas, com uma
permisso total de escrita, muitos usurios mal intencionados podero procurar por
essa falha e estarem tentando algum mtodo de invaso, com escrita na pasta ou
alterao do arquivo onde possuem permisso de total.
Cuidado com session
Caso voc utilize session em seu sistema, tenha cuidado se ela no fica exposta
para qualquer usurio, pois possvel um usurio mal intencionado estar
roubando uma session aberta e estar efetuando login sem estar devidamente
cadastrado no sistema.

Taubat
2013

4.5 PROJETO NOSSA LOCADORA DE LIVROS

1. Desenvolvimento do Sistema
Gerenciamento de Projeto
2. Infraestrutura de desenvolvimento
Hardware
Software
3. Levantamento
Identificao de usurios
Entrevistas
Documentao e apresentao
4. Implementao do Projeto
Prototipagem
Desenho de telas
Relatrio de aceitaes
Realizao de alteraes
Aceite do cliente
Desenvolvimento
Modelagem
Modelo funcional
Modelo de dados
Projeto fsico
Codificao
Implementao do programa
Converso de dados
Plano de Teste
Testes internos
Testes usurios
Ajustes e correes
Documentao

Taubat
2013

Manual Sistema
Manual usurio
Manual Operao
Material de treinamento
5. Implantao do Projeto
Configurao infra-estrutura
Instalao do sistema
Teste do cliente
Treinamento
Operao assistida
Ajustes e correes
Acompanhamento
6. Fechamento
Aceite formal do cliente
Relatrio do projeto

Cronograma do Projeto

Taubat
2013

5 CONCLUSO
A realizao deste trabalho colaborou muito para que eu ficasse sabendo mais ainda
sobre Anlise e Desenvolvimento de Sistemas, pois tive que rever a matria at aqui
dadas, aumentar meu conhecimento sobre a segurana de cdigos PHP e aprimorar
o passo-a-passo para a construo de um projeto.

6 REFERNCIAS

COACHMAN, Erika. Segurana da Informao. So Paulo: Pearson Education do

Brasil, 2010.
HISATOMI, Marco Ikuro. Projeto de Sistemas. So Paulo: Pearson Education do
Brasil, 2010.
MATEUS, Elo Jane Fernandes. Sistemas Operacionais. So Paulo: Pearson
Education do Brasil, 2010.
NISHITANI, Paulo Kiyoshi. Redes de Computadores. So Paulo: Pearson Prentice
Hall, 2010.
SPANCESKI, Francini Reitz. Poltica de segurana da Informao
Desenvolvimento de um modelo voltado para instituies de ensino. Joinvile.
Trabalho de concluso de curso. 2004.
(http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o)

Taubat
2013