As vulnerabilidades em sistemas web já são uma realidade e cada vez mais crescem na rede. Os sistemas web funcionam através de requisição e resposta, é assim que funciona a comunicação entre o browser e o servidor web. A requisição é feito pelo lado do usuário, através do navegador que ele utiliza para acessar a internet, sendo compostos por diversos elementos como header, URL, método, parâmetros e cookies. O pedido é enviado a um servidor web que responde pelo domínio do seu site. Daí, o servidor processa a requisição e retorna para o usuário também usando muitos elementos conhecidos como header, cookies, body e codes.
As vulnerabilidades surgem quando são determinadas partes da requisição e não são processadas de forma correta pelo servidor. Geralmente, essas partes são cookies mal configurados, o ID de uma sessão exposta no navegador e até mesmo os parâmetros passados por uma URL ou num formulário de login, por exemplo. As informações que deixam de ser tratadas no servidor tornam-se falhas de segurança, deixando assim o próprio servidor vulnerável a ataques específicos de hackers que saibam como explorar essas falhas.
Confira alguma falhas e tipos de ataque que podem deixar o seu site vulnerável:
DoS ou Negação de Serviço
Essa falha acontece por vários motivos, podendo ocorrer quando se escrever códigos em aplicações web. Normalmente essa vulnerabilidade ocorre por conta de um erro na programação. Nesse caso quando a requisição for realizada, pode existir a exigência de recursos contínuos do sistema, o que levará a aplicação a gasta mais memória.
SQL Injection
As vulnerabilidades do SQL Injection são bem comuns atualmente. O erro ocorre quando o servidor não verifica os valores ou parâmetros de entrada permitindo que sejam inseridos caracteres especiais que alterem o fluxo de consulta SQL no banco de dados, executando então comandos arbitrários.
CSRF (Cross-Site Request Forgery)
A vulnerabilidade de CSRF acontece quando é possível inserir uma requisição dentro da requisição do usuário e se torna possível enviar para o site. Essa requisição executa determinada ação como se fosse projetada pelo próprio usuário.
Para que esse erro ocorra é necessário que o site esteja vulnerável e que permita a inserção temporária de algum código, também é preciso construir uma URL que será enviado ao usuário que deve clicar sobre ela para que esta funcione.
Ao clicar nessa URL, a requisição será enviada, mas como a vulnerabilidade existe, em segundo plano a ação será executada.
Confira também como verificar se o processamento do seu site está lento.
Veja ainda o posto sobre mariadb.
XSS
Esse ataque é muito comum. O ataque de XSS permite injetar códigos no site que está vulnerável para obter informações restritas como dados de usuários, senhas, cookies. Esse tipo de ataque é normalmente usado em código na linguagem Javascript.
São três os tipos de ataques XSS:
Reflected XSS: O site está vulnerável quando aceita entradas do usuário e exibe todo o seu conteúdo em uma página web sem usar caracteres especiais como barras e aspas.
Stored XSS: Esse tipo acontece quando é possível armazenar o código malicioso dentro do site de forma permanente.
DOM-based XSS: Esse ataque acontece quando enviamos uma URL maliciosa para o usuário e ele clica sobre ela.
Buffer Overflow
Esse erro se encontra em programas executáveis que estão sendo usados em sites, mesmo sendo parte do site, as vulnerabilidades deixadas por esta falha podem ser exploradas.
Format String
Assim como as vulnerabilidades do buffer overflow, essa falha atinge os problemas executáveis que fazem parte do site, com o format string é possível controlar o que é inserido em algumas funções do site, o que irá permitir a execução de comandos maliciosos.
Directory Traversal
Essa vulnerabilidade está presente em uma aplicação que permite aos usuários ler ou acessar arquivos no sistema, mas não consegue identificar as permissões que o usuário tem. O problema mais comum é que a aplicação não consegue verificar o que usuário está tentando acessar em seu site, possibilitando a este o acesso a outros diretórios, antes não permitidos.
File Inclusion
Esse ataque é semelhante ao citado acima, a diferença é que com o directory traversal podemos ler os arquivos que não estão autorizados a acessar e além disso podemos incluir arquivos na aplicação do site.
São dois tipos de ataque desse gênero:
LFI: Incluímos um arquivo local na execução da aplicação. Entendendo por arquivo local, um arquivo já está dentro do servidor.
RFI: Nesse caso, incluímos um arquivo remoto na execução da aplicação. Isso pode acontecer quando é possível fazer o upload de arquivos para o servidor.
Command Injection
Essa falha ocorre em uma aplicação em que o valor requisitado pelo usuário pode afetar qualquer comando que é executado no servidor. Ocorre quando a aplicação executa comandos no sistema do servidor e como os parâmetros não são verificados, é possível que sejam inseridos comandos no sistema com o objetivo de ter informações e obter acesso completo ao servidor.
Privilege Escalation
Esse ataque tem o objetivo de escalar os privilégios, se aproveitando de erros no site para executar alguma tarefa que antes não era possível, por não estarmos autorizados.
Como vimos em todas as falhas citadas, é preciso estar atento na hora de desenvolver seu site para evitar ao máximo tornar o servidor vulnerável.
É possível analisar a vulnerabilidade de sites através de escâneres que servem para examinar os sites em busca de vulnerabilidade. O scan acessará o seu site, simulando ser um usuário, buscando possíveis falhas no seu código.
Busca detectar brechas de segurança, analisando o seu código e encontra vulnerabilidades de todos os tipos que permitem a utilizam de diversos ataques que podem comprometer a segurança das informações de seus clientes e da sua empresa.
O escâner também gera relatórios sobre o estado das falhas e aponta correções, indicando qual é o potencial impacto dos erros para o seu negócio, e podendo realizar as correções necessárias.
Gostou? Confira mais dicas em nosso blog. Conheça os planos da ISBrasil para o gerenciamento de servidores, hospedagem de site, loja virtual, e-mail marketing, AdWords e registro de domínio.
Gostou de nosso post? Compartilhe:
