Redes

Disponível somente no TrabalhosFeitos
  • Páginas : 8 (1803 palavras )
  • Download(s) : 0
  • Publicado : 3 de dezembro de 2012
Ler documento completo
Amostra do texto
An´ lise de seguranca em portais governamentais utilizando
a
¸
scanners de vulnerabilidades
Flavia Rosane de Mendoncaa Luis1 , Douglas R. Campos2 , Willian Itiho Amano3
¸
1
2

UNIC - Universidade de Cuiab´
a

Unip´ s - Uni˜ o para o desenvolvimento da p´ s-graduacao
o
a
o
¸˜
3

Curso de p´ s-graduacao em seguranca da informacao
o
¸˜
¸
¸˜

Abstract. Most web applicationsare developed under severe time constraints
and cost. The complexity of software products is increasing resulting in security vulnerabilities produced by poor coding. This scenario is no different in
government. Most government portals provide more and more information and
services to the population. This work is the result of vulnerability assessment of
government portals, using tools calledvulnerability scanners in order to point
out deficiencies to be remedied by the developers.
Resumo. A maioria das aplicacoes web s˜ o desenvolvidas sob severas
¸˜
a
restricoes de tempo e custo. A complexidade dos produtos de software e cada
¸˜
´
vez maior, resultando em vulnerabilidades de seguranca produzidas por m´
¸
a
codificacao. Este cen´ rio n˜ o e diferente no ambito governamental.A maio¸˜
a

ˆ
ria dos portais governamentais disponibilizam cada vez mais informacoes e
¸˜
servicos a populacao. Este trabalho e fruto da an´ lise de vulnerabilidade de
¸`
¸˜
a
´
portais governamentais utilizando ferramentas chamadas scanners de vulnerabilidades, com o objetivo de apontar falhas a serem sanadas pelos programadores.

1. Introducao
¸˜
Os scanners de vulnerabilidadess˜ o ferramentas que realizam testes de penetracao (Pena
¸˜
test) em aplicacoes. Eles s˜ o capazes de identificar automaticamente vulnerabilidades de
¸˜
a
seguranca e podem ser utilizados ao longo de todo o ciclo de vida do desenvolvimento do
¸
software.
Estas aplicacoes podem funcionar de maneira automatizada disponibilizando ao
¸˜
atacante uma gama de possibilidades para diferentescen´ rios. Os testes para identificar
a
vulnerabilidades de seguranca variam de scanner para scanner. Ent˜ o, os resultados obti¸
a
dos por diferentes ferramentas podem variar bastante.
Neste artigo ser˜ o apresentados dados obtidos atrav´ s do uso de scanners de vula
e
´a
nerabilidades em um portal de um org˜ o do Governo Federal Brasileiro. Por quest˜ o de
a
´a
seguranca n˜ o ser˜ oreferenciadas as informacoes do org˜ o em quest˜ o. Todos os resulta¸a
a
¸˜
a
´
dos obtidos ser˜ o enviados ao respons´ vel pela area t´ cnica para que as falhas encontradas
a
a
e
sejam sanadas.

2. Falhas a ser exploradas
A t´tulo de prova de conceito foi escolhido o tipo de ataque SQL Injection.
ı

´
SQL injection e uma t´ cnica usada para atacar web sites e aplicacoes web que se
e¸˜
aproveita de falhas em sistemas que interagem com bases de dados via SQL. A injecao
¸˜
de SQL ocorre quando o atacante consegue inserir uma s´ rie de instrucoes SQL dentro
e
¸˜
de uma consulta atrav´ s da manipulacao das entradas de dados de uma aplicacao, seja
e
¸˜
¸˜
atrav´ s de formul´ rios ou parˆ metros de url.
e
a
a

3. Scanners utilizados
Para a obtencao de dados eexploracao de falhas ser˜ o utilizados as seguintes aplicacoes:
¸˜
¸˜
a
¸˜
3.1. Nikto
´
Nikito1 e um scanner de servidores web open source que realiza varreduras com foco no
servidor e n˜ o na aplicacao. Entretanto tais informacoes s˜ o essenciais em um ataque
a
¸˜
¸˜
a
e direcionam as t´ cnicas que ser˜ o utilizadas por outras ferramentas. Basicamente, ele
e
a
varre a raiz do servidorauditado em busca de assinaturas de vulnerabilidades que possam
permitir que atacantes acessem o sistema.
3.2. Nmap
´
Nmap2 e um software open source para varreduras de rede e auditoria de seguranca.
¸
Muitos sistemas e administradores de rede tamb´ m utilizam-o para tarefas como ine
vent´ rio de rede.
a
Nmap utiliza pacotes IP para determinar quais hosts est˜ o dispon´veis na rede,
a...
tracking img