Verificando vulnerabilidades em aplicações Web

  • Objetivos da análise de vulnerabilidade:

Essa documentação visa descrever os tipos de vulnerabilidades, como realizar testes em sua aplicação para protegê-la e também quais impactos uma invasão pode causar em seu site.

As vulnerabilidades em programação serão analisadas através da ferramente do Google Code no caso o nome é WEBSECURIFY, sendo assim a mesma realiza pentestinghttp://en.wikipedia.org/wiki/Penetration_test um breve resumo sobre pentesting, no caso é um (teste de intrusão na aplicação) onde irá reportar um relatório com as vulnerabilidades.

Obs.: Ressaltamos que os passos de execução da ferramenta são apenas sugestões em como proceder, para maiores informações sobre a ferramenta e os logs 'informações' que ela gera para ser analisado em sua aplicação, por favor consulte o site http://code.google.com/p/websecurify/ ou desenvolvedor de sites com experiência em segurança da informação na web. A utilização dessa documentação requer experiência em programação em alguma linguagem e conhecimento específico em segurança da informação, neste caso a documentação é 'indicada a programadores' onde terá total flexibilidade para interpretar os resultados filtrados.

 

  • Severidade de vulnerabilidades em aplicações:


Nível Crítico Quando sua aplicação reporta esse tipo de vulnerabilidade é viável que averigue a arquitetura de sua aplicação em caráter emergencial, pois a vulnerabilidade possivelmente pode comprometer riscos a operação de sua aplicação e os dados sigilosos, como exemplo do seus (banco de dados) da aplicação ou seus arquivos do site.

Vulnerabilidades:

  • SQL Injection Através dessa vulnerabilidade dependendo do nível do usuário que conecta no banco de dados, pode comprometer isoladamente os dados de seu banco e até mesmos edição dos registros.

Atenção: Para evitar esse tipo de vulnerabilidade é importante analisar o tratamento de consultas e inserção de dados no seu Banco de Dados na programação.

 

  • PHP Injection Nessa vulnerabilidade a exploração de injeção de códigos consegue processar arquivos através de intrusão LFI (Local File Inclusion) e executar arquivos remotos ou enviar arquivos através da intrusão RFI (Remote File Inclusion), assim comprometendo toda sua área de hospedagem e possibilitando as seguintes ameaças:

- Acesso a dados de sua aplicação, tais como acesso a String de acesso ao banco de dados, assim sendo possível explorar essa vulnerabilidade para alteração de seus dados.

- Inserção de vírus em seus arquivos, assim impactando na imagem de seu site e disseminando vírus aos visitantes.

- Envio de SPAM através de sua área de hospedagem, através de scripts de e-mail em massa, assim comprometendo seu ambiente a desativação por disseminar conteúdo impróprio via e-mail.

Obs.: Além da linguagem PHP existem outras que podem prover do ataque também, seja qual ambiente estiver operando.

Nível Alto Geralmente esse tipo de alerta é viável que verifique os pontos onde será reportado e o tipo de Vulnerabilidade.

Nível Baixo Geralmente não existe vulnerabilidade quando reportado, mas existem informações como exemplo: versão do PHP ou Apache que esta sendo utilizada, assim possibilitando ataques a vulnerabilidades nas versões usadas em seu site.

 

Executando o WEBSECURIFY para analisar sua área de hospedagem:

  • 2 Ao executar a ferramenta, para iniciar o teste em http://www.SeuSite.com.br clique no botão Launch Teste:

 

  • 3 Neste próximo passo, mantenha a opção de Use Advanced Options, para analise de opções de intrusão avançadas serem executadas e clique em NEXT.


 

  • 4 Neste próximo passo, mantenha a opção de Weaponry AttackAPI WAT Engine, essa opção é a mais robusta para analise de vulnerabilidades de Critico.jpg Nível Crítico, agora clique em NEXT para o próximo passo.


 

  • 5 Caso sua aplicação tenha autenticação tanto lado Cliente ou Administrativo você pode optar por autenticar em sua aplicação para que a ferramenta verifique os tipos de vulnerabilidades com após a autenticação, isso clicando em LOGIN, caso não deseje autenticar ou tenha autenticado também, clique em NEXT para o próximo passo.

 

  • 6 No passo à seguir um breve resumo que você concorda com os testes a serem realizados em sua aplicação.

(referente a esse passo ao executá-lo estará concordando com a execução de pentesting em sua área de hospedagem, ressaltamos que a execução em sites de terceiros requer prévio aviso ao responsável do mesmo).

 

  • 7 Após concluir a verificação exibindo 100% clique no ícone de + como na imagem abaixo para visualizar o relatório.

 

  • 8 Verifique que no relatório ao clicar na aba ISSUES como na imagem abaixo, irá identificar vulnerabilidades níveis 


Obs.: Ratificamos que referente aos logs reportados são pontos relevantes a reportar ao Desenvolvedor do site com experiência em Segurança da Informação, onde irá realizar todo o processo de hardening, sendo assim irá atuar com analise e proteção da arquitetura da aplicação.

  • 20415 Usuários acharam útil
Esta resposta lhe foi útil?

Related Articles

Site com vírus, aprenda como resolver

Mantenha seu site seguro Nossos pessoal de TI toma todas as precauções em relação a atualizações...

Wordpress: Aprenda como manter seu Blog seguro

Periodicamente os desenvolvedores do Wordpress lançam atualizações que corrigem bugs,...

Vulnerabilidades CMS - Sites desenvolvidos com WordPress e Joomla

Atualmente criar e manter um site, sem que se tenha qualquer conhecimento de programação, é uma...

Removendo o aviso de Phishing do seu site

Quando a detecção de phishing e malware está ativada, as seguintes mensagens podem ser exibidas...

Site decetivo! - Phishing, Malware ou Software não solicitado.

O alerta do google ( Site decetivo! ) se dá pelo fato de usuários que denunciaram seu dominio...