J2w - Desenvolvimento Web

De acordo com um estudo¹ realizado pela ONU, 97% da população mundial possui acesso a um sinal de celular e 93% possui acesso a uma rede 3G ou superior. Fica evidente que a Internet se tornou uma parte onipresente no nosso cotidiano.

Diariamente milhões de pessoas compartilham informações, consomem conteúdos, fazem compras online, realizam transações financeiras, tudo pela internet, sem precisar sair de casa. Todo esse conteúdo disponível na internet fica armazenado em servidores e é apresentado em forma de páginas de internet (site ou web site).

Todos os dias, criminosos realizam ataques, invasões e planejam os mais diversos tipos de golpes para ganhar dinheiro. Você pode estar pensando que somente grandes empresas são visadas, mas saiba que a realidade é diferente, pois a maior parte dos ataques são aleatórios e realizados por bots / robôs em busca de sites vulneráveis.

A seguir vamos falar sobre três (dos muitos) tipo de vulnerabilidades que seu site pode ter.

Ataque XSS (Cross-Site Scripting)

É um tipo de vulnerabilidade que surge normalmente a partir da deficiência na validação de entradas e saídas em aplicações web. O hacker injeta códigos da linguagem JavaScript em um campo de formulário (campo de texto) e este código é apresentado e/ou executado por outros usuários da aplicação.

Com o ataque XSS o hacker pode sequestrar sessões, roubar cookies ou redirecionar para sites fraudulentos, por exemplo.

Injeção de SQL – SQL Injection

A maioria das aplicações web modernas depende de conteúdos dinâmicos para se tornar interessante aos olhos do usuário. Esse dinamismo precisa da recuperação de dados atualizados a partir de um banco de dados ou serviço externo.

Por exemplo, uma aplicação web constrói uma consulta para o cálculo de frete a partir de parâmetros como cep de origem, cep de destino, peso e dimensões. Essa consulta é enviada a um serviço externo, como os Correios, e retorna o valor do frete. Se a aplicação não for cuidadosa como processa essa consulta, um hacker pode modificá-la, injetando novos parâmetros e invadindo seu banco de dados.

A maioria dos sistemas utiliza a linguagem SQL (Structured Query Language) para manipular os dados armazenados no banco de dados, e o ataque de SQL Injection consiste em injetar comandos através de vulnerabilidades.

Com o ataque SQL Injection o hacker pode recuperar qualquer informação do banco de dados, inclusive transações financeiras ou até mesmo senhas, as quais permitiriam ter acesso completo à aplicação, pode ainda apagar informações ou o banco de dados todo.

CSRF – Cross-Site Request Forgery

O CSRF consiste em um ataque de falsificação de requisição entre sites. Esse ataque também pode ser encontrado em literaturas como one-click attack ou ataque de um clique.

A ideia por trás do CSRF é bastante simples. Quando um usuário acessa uma aplicação que precisa de autenticação (login), essa aplicação gera uma sessão, de forma que o usuário fique conectado, assim evitando que a cada troca de página ele precise se autenticar novamente. O ataque CSRF busca uma forma de enviar comandos a aplicação e fazer com que sejam executados como se fosse um pedido do usuário conectado.

Por exemplo: o hacker pode publicar, em um fórum muito acessado, uma imagem contendo um link para alteração de senha em uma determinada aplicação. Os usuários clicariam na imagem esperando uma determinada ação, mas seriam enviados para a aplicação, que se estiverem conectados, ocorria a alteração de senha, dando ao hacker acesso.

Com o ataque CSRF os hackers podem alterar senhas, transferir dinheiro e comprar mercadorias, por exemplo.

Nesse artigo falamos sobre 3 das principais vulnerabilidades encontradas em sites e que podem ser exploradas trazendo um imenso prejuízo para a empresa e seus usuários. Em um próximo artigo falaremos sobre as formas que hackers podem usar para atacar seu site.

REFERÊNCIAS

KURTZ, George; SCAMBRAY, Joel; MCCLURE, Stuart.  Hacking Exposed 7: Network Security Secrets & Solutions: Network Security Secrets and Solutions. 7ª Ed. São Paulo, McGraw-Hill / Osborne Media; 2012.

WEIDMAN, Georgia. Teste de invasão: uma introdução prática ao Hacking. Novatec Editora; 2014.

VESICA, Fabrizio. Desvendando o Universo H4CK3R. Digerati Books; 2007.

¹ Disponível em https://news.un.org/pt/story/2019/11/1693711, acesso em 29/05/2021.