Segurança da Informação. Veja as falhas mais comuns da WEB


Segurança da Informação. Veja as falhas mais comuns da WEB

Falha de segurança 0x01: SQL Injection: Uma das falha mais perigosa, de alto impacto.

Esta técnica da ao cracker poder sobre seu banco de dados, por meio de uma página sem proteção, o ataque ocorre quando entradas mal intencionadas por meio de formulário ou url não são tratadas, basicamente o atacante usa desta falha para executar comandos diretamente no banco.

Falha de segurança 0x02 Cross-Site-Script(XSS):

O XSS é uma técnica de menos impacto mais da brecha para phishing, e captura de sessão, por isso é importante prevenir, basicamente o invasor usa da falha para enviar a usuários link de páginas com a inclusão de códigos Javascript, que podem fazer muita coisa como: Capturar seus cookies, saber informações do seu navegador, alterar a página que você entrou, entre outros. Para prevenir este tipo de invasão basta passar todos os seus dados de entrada pela função htmlspecialchars(Em PHP).

Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos mais conteúdos que você venha a gostar!


Continuando...

Falha de segurança 0x03 Execução de Arquivo Remoto:

Este método é uma das falhas de maior impacto, pois através dela o invasor pode ter acesso e controla ao servidor aonde está hospedado o site, isso é: em um ambiente compartilhado aonde sua página está em um servidor com mais 100, se uma dessas páginas tiver a falha todos os sites deste servidor podem ser invadidos, é claro que hoje existem vários protocolos para evitar este tipo de falha, quem desenvolve frequentemente para web sabe que requisições externas somente são possíveis pelo CURL em hospedagens compartilhadas, justamente para evitar este tipo de falha, mais ainda sim a falha permanece em terceiro lugar da lista, no PHP esta falha acontece pelos comandos include, include_once, require, require_once.

Falha de segurança 0x04 Referência direta a objetos inseguros:

Essa falha é quando o desenvolvedor usa em client-layer informações que irão interferir diretamente no acesso ou consultas do site, essa falha ocorre principalmente usando objetos hidden ou cookie, este tipo de abordagem abre brecha para SQL Injection e XSS, a solução para esta falha é NUNCA confiar nos dados quem são fornecidos pelo usuário, e em PHP usar session para salvar informações de autenticação.

Falha de segurança 0x05 Cross Site Request Forgery (XSRF):

O XSRF consiste em uma variação do XSS, ela tem como intuito alterar informações sendo enviadas ao navegador e todo site que possui vulnerabilidade de XSS está vulnerável a XSRF, um lugar muito comum de vê esta falha são em fóruns com acesso aberto a imagens externas, o usuário pode incluir um arquivos de forma inválida e assim provocar a falha. A solução para essa falha é eliminar possibilidades de falha XSS.

Falha de segurança 0x06 Vazamento de informações e tratamento incorreto de erros(Information Leak):

Esta falha ocorre quando há retorno de mensagens de erro no sistema, isso torna mais fácil o trabalho de invadir por SQL Injection, por exemplo, caso você mande imprimir na tela um mysql_erro em caso de erro na Query o invasor pode usar sua tela como 'console' para mostrar os registro de uma tabela por exemplo, entre outras coisas. Para evitar este tipo de falha, não apresente ao usuários nenhuma mensagem do sistema, apenas mensagens padrões escritas no desenvolvimento.

Falha de segurança 0x07 Furo de autenticação e gerência de sessão:

Esta técnica utiliza da falha de XSS para gravar os cookies do usuário que acessar a página, isso pode levar ao invasor ter acesso de vários serviços baseados em cookies como Gmail, Orkut entre outros, sem a necessidade de saber sua senha, para isso o invasor usa de uma URL com falha e manda um script grava o documento.cookie, depois o invasor recria seus cookies e pode ter acesso simples e fácil.

Falha de segurança 0x08 Armazenamento criptográfico inseguro:

Ao estudar um pouco sobre técnicas de invasão você irá saber que boa parte das invasões de sites são feitos por desenvolvedores do projeto que estão insatisfeitos ou foram demitidos da empresa, outro problema é, em projetos grandes, onde há necessidade de vários desenvolvedores o banco deve ser criptografado, de forma que somente seja possível acesso por autenticação. outra forma de evitar roubo de informações do banco é o uso de HASH, diferente da criptografia o hash não possui forma de reversão, logo a informação está mais protegida, mais e claro que não totalmente, pois hoje já existem várias formas de descobrir valor de hash por brute force. A técnica mais utilizada para criação de hash é o SHA1 e MD5 , nativa no PHP e nos bancos de dados como MySQL, PostgreSQL e SQL Server. Outro forma de criptografar com segurança seus dados, é utilizar criptografia RSA com chaves maiores que 256bits, dês de seus lançamento o RSA nunca foi quebrado, e é atualmente a criptografia mais segura do mundo.

Falha de segurança 0x09 Comunicação insegura:

De nada adianta ter alto nível de segurança no site e possuir um protocolo de comunicação inseguro, o protocolo HTTP é muito eficiente mais possui baixo nível de segurança, uma solução para isso é utilizar ambientes SSL para troca de informações importantes como dados de cartão de crédito, informações pessoais entre outros.

Falha de segurança 0x10 Falha de restrição URL:

Esta falha utiliza de ferramentas de brute force para mapear páginas de um site e descobrir páginas restritas que são escondidas pelo desenvolvedor e somente acessível por autenticação, é uma técnica muito mais complexa mais tem alto poder de impacto. Para evitar este tipo de falha sempre verifique a autenticação do usuário em todas as páginas.

Fonte: Angels Hackers

<


Curta Suporte Ninja no Facebook


Entre no Grupo do Suporte Ninja no Facebook:






O Suporte Ninja disponibiliza espaço no site para que qualquer pessoa que queira contribuir com nosso ideal de produzir, coletar e divulgar informação tentando disponibilizar de forma gratuita material complementar para uma melhor formação profissional em TI, buscamos uma maior conscientização sobre tecnologias sustentáveis além de fornecer dicas que possam otimizar a experiência online dos usuários, seja na produtividade ou na segurança da informação.


No Suporte Ninja procuramos nos manter em um ponto de vista neutro e buscamos respeitar a diversidade de opiniões, todas as informações acima são de responsabilidade do autor e suas fontes, e estão sujeitas a alterações sem aviso prévio.


Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos maisconteúdos que você venha a gostar!

Esperamos que tenha sido útil...

Se encontrar algo errado com o site não esqueça que o Site é nosso... <br> Se você quiser perguntar ou sugerir algo para nossa equipe use este link! ou Clique aqui para enviar sua postagem:


Começe a testar Grátis as ferramentas em nuvem do Google
Teste o Google Apps For Work com os cupons do Suporte Ninja e garanta um desconto de $10 Dólares para comprar no Google For Work…

"AE3NNJ6KXTHJ6V" & "6W7NGXXAV7JNVC"


Ou use o  CUPON de desconto do Suporte Ninja T3HJ6JDJKCLRRQH e você vai ganhar um desconto de 20% no Google For Works 🙂


Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes Este artigo demonstra ao público em geral que existem formas de ataque que podem ser feitas aos algoritmos criptográficos que fogem do ...
Leia Mais
Windows 10 te espiona mesmo desabilitando a telemetria

Windows 10 te espiona mesmo desabilitando a telemetria

Há algum tempo atrás postei em nosso grupo do Linked-IN (Criptografia Brasil) vários artigos sobre o fato do Windows 10 espionar dados de usuário - e até Leia Mais
Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza cursos de programação de graça A Microsoft disponibilizou as aulas no site com todo o conteúdo das aulas de programação dos cursos oferecidos na Semana do ...
Leia Mais
Rússia quer banir o Windows para incentivar mercado de software local

Rússia quer banir o Windows para incentivar mercado de software local

Uma decisão bastante controversa, mas ao mesmo tempo totalmente esperada, pode acabar entrando em vigor na Rússia pelas mãos do consultor nacional para a internet German Klimenko. Em ...
Leia Mais
Como fazer uma limpeza profunda em sistemas Debian e derivados

Como fazer uma limpeza profunda em sistemas Debian e derivados

Muitos usuários do sistema operacional Linux e até Admins de distros voltadas para servidores acreditam que a manutenção do linux se baseia apenas em alguns apt-gets update e upgrades durante ...
Leia Mais
100 comandos importantes do Linux

100 comandos importantes do Linux

Resumo de 100 Comandos Importantes Linux Veja neste artigo uma lista dos comandos mais importantes do linux e uma breve explicação de cada um deles. Lista de ...
Leia Mais
ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis A formação permite que os alunos sejam capazes de desenvolver projetos de energia renovável. O curso ...
Leia Mais
Sua Smart TV pode estar risco de segurança

Sua Smart TV pode estar risco de segurança

As Smart-TV´s rodando o sistema operacional Android fornecem funcionalidades adicionais aos usuários, além de TVs normais, mas também criam um risco de segurança, conforme a Trend Micro revela. Leia Mais
Os melhores Apps de Smartphone para aprender programação

Os melhores Apps de Smartphone para aprender a programar

A partir de agora use o seu tempo livre no ônibus, faculdade ou ate mesmo em seu trabalho para aprender novas linguagens. Chega de conversa e vamos lá. Leia Mais
Os 2 Melhores Cursos gratuitos de Arduino

Os 2 Melhores Cursos gratuitos de Arduino

O Suporte Ninja encontrou dois ótimos cursos gratuitos de Arduino (O curso de Android do Laboratório de Garagem e o curso da Pictronics onde você aprende mais sobre eletrônica e ...
Leia Mais
74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos 74% dos internautas não sabem detectar arquivos potencialmente maliciosos de arquivos confiáveis, vamos explicar com calma a polemica das ...
Leia Mais
Caixas-Pretas de navios e aviões podem ser Hackeadas?

Caixas-Pretas de navios e aviões podem ser Hackeadas

As caixas-pretas utilizadas para registro de dados em navios e aviões possuem diversas vulnerabilidades que permitem um atacante modificar ou apagar os dados presentes nestes dispositivos Leia Mais
Conheça CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

Conheça a alternativa brasileira do mundo da criptografia que esta dando um banho nos concorrentes internacionais, CIFRA EXTREMA criptografador realmente seguro e 100% nacional: Algoritmo 100% nacional ...
Leia Mais
Minicurso de Google Analytics com certificado Gratuito

Minicurso de Google Analytics com certificado Gratuito

Curso online com certificado 100% grátis: O guia completo do Google Analytics Princípios básicos e avançados para se medir e gerar resultados. Entenda a importância de conhecer e ...
Leia Mais
Curso-Gratuito-HTML5-1

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC! Curso completo para quem quer aprender a criar sites utilizando as tecnologias de HTML5 + CSS3 ...
Leia Mais
Tablets com malware instalado de fábrica na Amazon e outras lojas...

Tablets com malware instalado de fábrica na Amazon e outras lojas...

Cheetah Mobile, uma empresa de segurança para dispositivos móveis, mostrou nesta semana que pelo menos 30 marcas diferentes de tablets com Android vendidos na Amazon e outras lojas ...
Leia Mais
Video Aula - Curso Completo de programação em C

Video Aula - Curso de Introdução a programação em C

Video Aula - Curso Introdução a programação em C: Se você conhece alguma coisa de programação, já deve ter ouvido falar na linguagem C. As principais características da ...
Leia Mais
Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação. Não é necessário saber Python a partir de um nível de completo conhecimento linguagem de programação. (Curso é ...
Leia Mais
Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Formação Programação para iniciantes (HTML, C#, Java e Android) gratuita. Você que está iniciando no mundo de desenvolvimento e não sabe qual área irá iniciar, o DevMedia desenvolveu uma ...
Leia Mais
Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

O objetivo deste curso é proporcionar ao aluno conhecimentos, competências e habilidades no desenvolvimento de aplicações em C ++, Curso gratuito e com certificado de C ++ de ...
Leia Mais
Starbug afirma e prova: Biometria é falha

Starbug afirma e prova: Biometria é falha

A coisa soa meio maluca, mas em tratando-se de Starbug, eu não riria... Starbug é o pseudônimo de Jan Krissler, um camarada prá lá de excêntrico, mas que ...
Leia Mais

Pablo Roots

Usuário de MS-DOS e Windows 3.11, profissional de Suporte desde 1999, autodidata e entusiasta da cultura Hacker, Pesquisador autônomo da Segurança da Informação além de amante da Shell Unix. [email protected] ~$ sudo su - [email protected] ~# find / -iname corrupção -exec rm -rfv {} \+

Você pode gostar...