Saiba entender o funcionamento das aplicações web e descubra como explorar as principais classes de vulnerabilidades em aplicações web existentes na atualidade.
ENTENDENDO A APLICAÇÃO WEB
Aplicação web são programas que ficam em um servidor web e executam tarefas para dar uma resposta ao usuário, como webmails, web fóruns e blogs são cliente/servidor, normalmente com um navegador web como cliente e o web server como o servidor da aplicação.
O objetivo de tentar explorar uma aplicação web é ganhar acesso a informações confidenciais.
Aplicação web são críticas para a segurança de um sistema porque usualmente elas estão conectadas com uma base de dados que contém informações de senhas e cartões de crédito.
A maior parte dos ataques atualmente, não são realizados contra a infraestrutura organizacional, mas contra as aplicações. Se houver alguma falha é muito possível um atacante conseguir acesso ao conteúdo
Na maioria das vezes as aplicações web ficam hospedadas em um mesmo servidor, compartilhando da mesma máquina física. Se uma, dessas várias aplicações hospetada no servidor tiver alguma falha permitirá o acesso à máquina e consequentemente comprometer toda a rede
Uma ferramenta simples pode varrer as vulnerabilidades de um site e informar todos os domínios hospedado no mesmo servidor, é o "ZeroDayScan"
a ferramenta usa uma tecnologia de "incapsula", a melhor maneira de visualizar o que é incapsula é pensar como um "homem no meio" incapsula fica entre seu servidor web e seus leitores (clientes), invés de seus usuários fazer requisições para o seu servidor passa antes pelo incapsula para depois ser direcionado para web page, se caso o incapsula entender que a requisição tem algum código malicioso tentando acessar informações do bando de dados ele bloqueia o IP
LISTA DAS PRINCIPAIS VULNERABILIDADES
Command Injecton
SQL Injection
Cross Site Scripting (XSS)
CSRF
Insecure Direct Object Reference
Falha de Autenticação e gerenciamento de sessão
Falhas em configuração de segurança
Insecure Cyptographic Storage
Failure to Restrict URL Acess
Insufficient Transport Layer Protection
Unvalidated Redirects and Forwards
Validação de Dados
Comunicação Insegura
Restrições de Acesso
Injeção de JavaScript e HTML
Roubo de Cookies
Redirecionamento
Parâmetros Temporários de Controle
Referência Direta Insegura
Falsa Requisição
Escapamento de Informações
Ataque de Força Bruta
Captura de Senhas
Token de Operação
REFERÊNCIAS:
femenet
https://cepein.femanet.com.br/BDigital/arqTccs/1211330211.pdf
imasters
https://imasters.com.br/artigo/12132/seguranca/vulnerabilidades-de-aplicativos-web/?trace=1519021197&source=single
DOWNLOADS:
OWASP
https://www.owasp.org/images/4/42/OWASP_TOP_10_2007_PT-BR.pdf
Nenhum comentário:
Postar um comentário