Índice:
Vídeo: Sprints da PythonBrasil[12] 2024
Neste estudo de caso, Caleb Sima, um conhecido especialista em segurança de aplicativos, foi contratado para hackear uma aplicações web do cliente. Este exemplo de descobrir um risco de segurança é um bom conto para ajudar a proteger sua informação privada.
A situação
Sr. Sima foi contratada para realizar um teste de penetração de aplicação na web para avaliar a segurança de um site financeiro bem conhecido. Equipado com nada mais do que o URL do principal site financeiro, o Sr. Sima decidiu encontrar o que outros sites existia para a organização e começou usando o Google para procurar as possibilidades.
Sr. Sima inicialmente executou uma varredura automática contra os servidores principais para descobrir qualquer fruta com pouca queda. Esta varredura forneceu informações sobre a versão do servidor web e algumas outras informações básicas, mas nada que se revelou útil sem mais pesquisas. Enquanto o Sr. Sima realizava a varredura, nem o IDS nem o firewall perceberam qualquer atividade.
Então o Sr. Sima emitiu uma solicitação ao servidor na página inicial, que retornou algumas informações interessantes. O aplicativo da Web parece estar aceitando muitos parâmetros, mas como o Sr. Sima continuou a navegar no site, ele percebeu que os parâmetros na URL permanecem os mesmos.
Sr. Sima decidiu excluir todos os parâmetros dentro do URL para ver quais informações o servidor retornaria quando consultado. O servidor respondeu com uma mensagem de erro descrevendo o tipo de ambiente de aplicação.
Em seguida, o Sr. Sima realizou uma pesquisa do Google no aplicativo que resultou em uma documentação detalhada. O Sr. Sima encontrou vários artigos e notas técnicas dentro dessas informações que lhe mostraram como o aplicativo funcionou e quais arquivos padrão podem existir. Na verdade, o servidor tinha vários desses arquivos padrão.
Sr. Sima usou essa informação para analisar o aplicativo ainda mais. Ele rapidamente descobriu os endereços internos do IP e os serviços oferecidos pelo aplicativo. Assim que o Sr. Sima soubesse exatamente qual versão o administrador estava executando, ele queria ver o que mais poderia encontrar.
Sr. Sima continuou a manipular o URL do aplicativo adicionando & caracteres dentro da instrução para controlar o script personalizado. Esta técnica permitiu que ele capture todos os arquivos de código fonte. O Sr. Sima observou alguns nomes de arquivos interessantes, incluindo VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm e ChangePassword. htm.
Então o Sr. Sima tentou se conectar a cada arquivo, emitido um URL especialmente formatado para o servidor.O servidor retornou uma mensagem de usuário não logado para cada solicitação e afirmou que a conexão deve ser feita a partir da intranet.
Resultado
Sr. Sima sabia onde os arquivos estavam localizados e conseguiu cheirar a conexão e determinar que o ApplicationDetail. arquivo htm configura uma seqüência de cookies. Com pouca manipulação da URL, o Sr. Sima atingiu o jackpot. Este arquivo retornou informações de clientes e cartões de crédito quando um novo aplicativo de cliente estava sendo processado. Relatório de crédito. Htm permitiu que o Sr. Sima visse o status do relatório de crédito do cliente, informações de fraude, declínio do status do aplicativo e outras informações confidenciais.
A lição: hackers podem utilizar muitos tipos de informações para percorrer aplicativos da web. As explorações individuais neste estudo de caso foram menores, mas quando combinadas, elas resultaram em vulnerabilidades graves.
Caleb Sima foi um membro fundador da equipe X-Force da Internet Security Systems e foi o primeiro membro da equipe de testes de penetração. O Sr. Sima passou a co-encontrar a SPI Dynamics (mais tarde adquirido pela HP) e se tornou seu CTO, bem como o diretor de SPI Labs, o grupo de pesquisa e desenvolvimento de segurança de aplicativos dentro do SPI Dynamics.
