sexta-feira , 24 de novembro de 2017
Últimos Posts
Capa / Principal / Dicas / Segurança na internet – Os 10 Riscos mais críticos
Segurança na internet – Os 10 Riscos mais críticos
Os 10 maiores riscos de segurança na internet

Segurança na internet – Os 10 Riscos mais críticos

Segurança na internet – Os 10 Riscos mais críticos em aplicações na web.

Segundo a OWASP (Open Web Application Security Project), uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis, preocupada com a segurança da informação, listou os 10 riscos de segurança na internet mais críticos em aplicações web:

A1 – Injeção de código:

As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados manipulados pelo atacante podem iludir o interpretador para que este execute comandos indesejados ou permita o acesso a dados não autorizados.

Falha de Segurança Injeção de SQL, LDAP

Ilustração: Injeção de SQL

A2 – Quebra de autenticação e Gerenciamento de Sessão:
As funções da aplicação relacionadas com autenticação e gerenciamento de sessão geralmente são implementadas de forma incorreta, permitindo que os atacantes comprometam senhas, chaves e tokens de sessão ou, ainda, explorem outra falha da implementação para assumir a identidade de outros usuários.

a2

A3 – Cross-Site Scripting (XSS):
Falhas XSS ocorrem sempre que uma aplicação recebe dados não confiáveis e os envia ao navegador sem validação ou filtro adequados. XSS permite aos atacantes executarem scripts no navegador da vítima que podem “sequestrar” sessões do usuário, desfigurar sites, ou redirecionar o usuário para sites maliciosos.

a3

A4 – Referência Insegura e Direta a Objetos:
Uma referência insegura e direta a um objeto ocorre quando um programador expõe uma referência à implementação interna de um objeto, como um arquivo, diretório, ou registro da base de dados. Sem a verificação do controle de acesso ou outra proteção, os atacantes podem manipular estas referências para acessar dados não-autorizados.

a4

A5 – Configuração Incorreta de Segurança:
Uma boa segurança exige a definição de uma configuração segura e implementada na aplicação, frameworks, servidor de aplicação, servidor web, banco de dados e plataforma. Todas essas configurações devem ser definidas, implementadas e mantidas, já que geralmente a configuração padrão é insegura. Adicionalmente, o software deve ser mantido atualizado.

a5

A6 – Exposição de Dados Sensíveis:
Muitas aplicações web não protegem devidamente os dados sensíveis, tais como cartões de crédito, IDs fiscais e credenciais de autenticação. Os atacantes podem roubar ou modificar esses dados desprotegidos com o propósito de realizar fraudes de cartões de crédito, roubo de identidade, ou outros crimes. Os dados sensíveis merecem proteção extra como criptografia no armazenamento ou em trânsito, bem como precauções especiais quando trafegadas pelo navegador.

a6

A7 – Falta de Função para Controle do Nível de Acesso:
A maioria das aplicações web verificam os direitos de acesso em nível de função antes de tornar essa funcionalidade visível na interface do usuário. No entanto, as aplicações precisam executar as mesmas verificações de controle de acesso no servidor quando cada função é invocada. Se estas requisições não forem verificadas, os atacantes serão capazes de forjar as requisições, com o propósito de acessar a funcionalidade sem autorização adequada.

a7

A8 – Cross-Site Request Forgery (CSRF):
Um ataque CSRF força a vítima que possui uma sessão ativa em um navegador a enviar uma requisição HTTP forjada, incluindo o cookie da sessão da vítima e qualquer outra informação de autenticação incluída na sessão, a uma aplicação web vulnerável. Esta falha permite ao atacante forçar o navegador da vítima a criar requisições que a aplicação vulnerável aceite como requisições legítimas realizadas pela vítima.

a8

A9 – Utilização de Componentes Vulneráveis Conhecidos:
Componentes, tais como bibliotecas, frameworks, e outros módulos de software quase sempre são executados com privilégios elevados. Se um componente vulnerável é explorado, um ataque pode causar sérias perdas de dados ou o comprometimento do servidor. As aplicações que utilizam componentes com vulnerabilidades conhecidas podem minar as suas defesas e permitir uma gama de possíveis ataques e impactos, afetando a segurança na internet.

a9

A10 – Redirecionamentos e Encaminhamentos Inválidos:
Aplicações web frequentemente redirecionam e encaminham usuários para outras páginas e sites, e usam dados não confiáveis para determinar as páginas de destino. Sem uma validação adequada, os atacantes podem redirecionar as vítimas para sites de phishing ou malware, ou usar encaminhamentos para acessar páginas não autorizadas.

a10

Portanto, com esses conhecimentos, combatendo cada um dos riscos, é possível garantir um mínimo de segurança na internet.

Segurança na internet - Os 10 Riscos mais críticos em aplicações na web. Segundo a OWASP (Open Web Application Security Project), uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis, preocupada com a segurança da informação, listou os 10 riscos de segurança na internet mais críticos em aplicações web: A1 – Injeção de código: As falhas de Injeção, tais como injeção de SQL, de SO (Sistema Operacional) e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados manipulados pelo atacante podem…

Review Overview

Score

User Rating: 4.73 ( 3 votes)
90

Sobre Alan Oliveira

Alan Oliveira
Bacharel em Sistemas de Informação, com Pós Graduação em Segurança de Redes e Sistemas. Trabalho como Analista de Suporte há 8 anos. Certificação Itil, LPIC-3, ISO/IEC 27002, ISO/IEC 20000, CompTIA Security+ e RHCE (Red Hat Certified Engineer).

Deixe uma resposta

O seu endereço de email não será publicado. Required fields are marked *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>