Início
Início
Solicite uma demonstração

Navegação Forçada vs. Injecção de Comando: Porque é que a Formação AppSec para Desenvolvedores é importante

Partilhar
  • Gyan Chawdhary, Chefe de Segurança de Aplicações, Divisão Empresarial da ThriveDX

Os números são terríveis. Os ataques da cadeia de abastecimento duplicam em 2021. As violações de dados custaram 4,24 milhões de dólares, em média. 483 Carteiras Crypto.com saqueadas por $31 milhões.

Sabemos que os empregados com baixa consciência de segurança causam a maioria dos danos cibernéticos, mas e quanto a outros vectores de ataque? E quem deve compreender a diferença entre a navegação forçada versus os ataques por injecção de comando?

5 Coisas que os Hackers Amam: O Hacker Mindset

Aplicação Web, API Ataca Sharply Up

Ataques a aplicações Web compreendem 26% de todas as infracções. Os ataques DDoS na camada de aplicação subiram 72%. ano após ano.

À medida que as empresas transferem mais dos seus dados, códigos e operações para a nuvem, os ataques contra esses activos estão a aumentar dramaticamente. Ataques API estão a subir uns espantosos 686%.

Resumindo, há muito mais aplicações do que desenvolvedores treinados para as defender. 

Neste post, vamos examinar algumas das vulnerabilidades mais comuns das aplicações de acordo com o Open Web Application Security Project (OWASP).

O OWASP Top 10 actualiza a cada três ou quatro anos e cobre os 10 principais riscos de segurança da aplicação. 

Navegação Forçada vs. Injecção de Comando + 6 Mais Vulnerabilidades AppSec

Injecção SQL

A injecção SQL é o OG dos ataques da camada de aplicação, e ainda embalam um soco. Esta única vulnerabilidade foi responsável por 8,1% de todas as violações de dados em 2022.

SQL é uma linguagem de programação que permite aos actores da ameaça "falar" com grandes bases de dados utilizando uma linguagem não muito diferente do inglês.

A SQL Injection pode consultar, operar, e administrar sistemas de dados. Pode permitir a autenticação dos agentes de ameaça sem fornecer uma palavra-passe correcta.

Uma vez dentro, os utilizadores podem ler dados sensíveis da base de dados back-end, modificar, ou apagar dados e emitir outros comandos.

Navegação Forçada vs. Injecção de Comando: Porque é que a Formação AppSec para Desenvolvedores é importante

Injecção de Comando

O Command Injection, também chamado Shell Injection, é semelhante a uma injecção SQL. Mas em vez de injectar numa consulta SQL, um actor ameaçador injecta um comando no sistema operativo. De acordo com OWASP, o objectivo de Command Injection é executar comandos arbitrários no sistema operativo hospedeiro através de uma aplicação vulnerável.

Os ataques de injecção de comandos são possíveis quando uma aplicação passa dados fornecidos pelo utilizador inseguros (formulários, cookies, cabeçalhos HTTP, etc.) para uma shell do sistema. Os comandos de SO fornecidos pelo atacante são normalmente executados com os privilégios da aplicação vulnerável.

Por outras palavras, os ataques por Injecção de Comandos injectam comandos de SO. Isto permite que os hackers comprometam toda a aplicação, assumam o controlo total do servidor - até mesmo atacar outros sistemas dentro da organização.

Navegação forçada

Não é o que parece. A Navegação Forçada, também chamada Enumeração de Directórios, é uma técnica de ataque por força bruta para obter acesso a páginas restritas ou outros recursos sensíveis num servidor web. Faz isto forçando ou adivinhando directamente o URL.

Se os URLs, scripts ou ficheiros restritos não tiverem a autorização apropriada, estes recursos podem ser vulneráveis a ataques de navegação forçada. Isto permitiria hipoteticamente aos hackers aceder a ficheiros restritos e visualizar informação sensível.

Injeção de entidade XML

XML External Entity (XXE) Injection é uma vulnerabilidade de segurança web que permite a um atacante interferir com o processamento de dados XML de uma aplicação.

Por outras palavras, visando aplicações que transmitem dados entre o browser e o servidor em formato XML. Ao interceptar e modificar os dados, um atacante pode explorar características potencialmente perigosas das bibliotecas XML padrão.

Estes incluiriam a análise e o carregamento de entidades externas para obter acesso ao sistema de ficheiros do servidor ou interacção com sistemas back end a que a aplicação tem acesso. Por vezes, um atacante pode escalar um ataque XXE para realizar ataques de pedido de falsificação do lado do servidor (SSRF).

Roteiro Cruzado Reflectido

O Reflected Cross-site Scripting (XSS) é uma vulnerabilidade de injecção de código do lado do cliente que permite injectar cargas úteis JavaScript maliciosas dentro de uma entrada fornecida pelo utilizador, reflectindo de volta dentro da resposta do servidor web e executada no lado do cliente pelo navegador web da vítima.

Uma vez que todo o ataque se completa num único pedido e resposta, é conhecido como uma vulnerabilidade de Cross-site Reflected Scripting.

Componentes com Vulnerabilidades Conhecidas

Os componentes com Vulnerabilidades Conhecidas permitem aos atacantes simplesmente fazer uso de ferramentas de scan automatizado ou realizar análises manuais da aplicação para identificar e explorar facilmente as falhas de segurança dentro das aplicações.

Como as bibliotecas e estruturas de terceiros normalmente executam com plenos privilégios, este ataque torna-se ainda mais possível.

De acordo com a Siemba, os famosos Componentes com Vulnerabilidades Conhecidas incluem as vítimas:

  • Equifax (uma organização de agência de crédito dos EUA) - violação devido à estrutura web não corrigida Apache Struts CVE-2017-5638
  • Mossack Fonesca (Panama Papers law firm) breach- versão não corrigida do Drupal CMS utilizado
  • Violação dos Fóruns Ubuntu - Adicionado não corrigido do Forumrunner

Falsificação de Pedidos de Sítios Cruzados (CSRF)

Cross-Site Request Forgery (CSRF) é um ataque que força um utilizador final a executar acções indesejadas numa aplicação web na qual estão actualmente autenticados.

Os ataques do CSRF visam especificamente pedidos que mudam de estado, não o roubo de dados, uma vez que o atacante não tem forma de ver a resposta ao pedido forjado.

Segundo a Imperva, este ataque pode ser particularmente devastador, resultando em transferências de fundos não autorizadas, relações com clientes danificadas e senhas perdidas.

Clickjacking

O clickjacking é uma técnica utilizada pelos actores da ameaça para "roubar cliques", enganando os utilizadores a clicar em ligações maliciosas. Esta classe de ataques sobrepõe uma interface de utilizador engodo legítimo sobre uma aplicação oculta.

Por outras palavras, os utilizadores podem pensar que estão num verdadeiro site da Wells Fargo, mas na realidade aterraram num site de aparência perigosa que não é muito Wells Fargo.

Antes de descobrirem isto, são enganados a clicar num botão ou link na IU que vêem, realizando uma acção indesejada na aplicação oculta.

O ataque de clickjacking mais comum utiliza iframes invisíveis e a prevenção baseia-se muitas vezes na restrição da capacidade de enquadramento de sítios web.

Navegação Forçada vs. Injecção de Comando: Devs Must Know the Difference

Com a migração de sistemas, software e aplicações para a nuvem, os dispositivos que conseguem integrar correctamente a segurança na sua codificação nunca foram tão solicitados.

Quem mais poderia compreender a maior ameaça: Navegação Forçada vs. Injecção de Comando? XML Entity Injection ou Reflected Cross Site Scripting?

Ao contrário de outros programas AppSec, o Application Security Training by ThriveDX (anteriormente Kontra) abunda com cenários desafiantes mas ensináveis da vida real que integrarão as melhores práticas de segurança no seu código de baixo para cima. 

Para mais informações sobre os programas de formação em segurança empresarial ThriveDX, por favor visite-nos em https://thrivedx.com/for-enterprise.

Formação em Competências Digitais e Soluções EdTech | ThriveDX

Gyan Chawdhary é um perito de renome mundial em Segurança e Desenvolvimento de Aplicações. Após fundar anteriormente a Codebashing, que foi adquirida pela Checkmarx em 2018, Gyan mudou o foco para inventar uma nova tecnologia disruptiva para treinar com sucesso os programadores em segurança cibernética e aplicá-la no seu código, foi assim que a sua mais recente empresa Kontra foi formada. Em 2022, Kontra foi adquirido pela Divisão Empresarial da ThriveDX e Gyan permanece como Conselheiro da empresa. Alguns dos antigos clientes de Gyan incluem a Bolsa de Nova Iorque, a FitBit e a Microsoft.

Proteja a sua Organização contra Phishing

solicitar uma demonstração
Partilhar

Explorar mais recursos

  • Artigo

9 Dicas mais importantes de Cibersegurança para os seus Empregados

As organizações estão inundadas com dicas de segurança cibernética - mas quais são as mais importantes
  • Artigo

8 Ameaças Cibernéticas de Segurança Móvel que Deve Levar a Sério

Entre 80 a 90% das aplicações móveis contêm uma vulnerabilidade de segurança. Saiba mais sobre a
  • Artigo

Zoom Cybersecurity and Privacy Strategies

O crescimento do Zoom durante e após a Covid acelerou o trabalho em áreas remotas. No entanto, a videoconferência
  • Artigo

8 Razões Surpreendentes Hackers Alvo das Escolas

Os hackers têm como alvo as escolas por uma série de razões. Para roubar dados de investigação, aprender segredos comerciais
Recursos da empresa

A sua Fonte Fidedigna para a Educação Cibernética

Inscreva-se na newsletter trimestral da ThriveDX para receber informação sobre as últimas tendências de segurança cibernética, tomadas de peritos, notícias de segurança e recursos gratuitos.

Inscrição
Twitter Facebook-square Linkedin

Juntámo-nos à ThriveDX!

Para aprofundar o nosso compromisso de criar impacto geracional com a melhor educação cibernética global para a transformação de vidas, a Cybint é agora um membro orgulhoso da família ThriveDX.
DESCARREGUE A SUA CÓPIA GRATUITA
Close-link
Powered by Convert Plus

Contactar as Parcerias ThriveDX

[forminator_form id="10629″]

Se estiver à procura de ligação com alguém da nossa equipa no local, por favor deixe aqui as suas informações de contacto e nós ligar-nos-emos directamente a si durante a conferência.

Ligue-se à nossa equipa

Nome(Obrigatório)

Saltar para o conteúdo