Docsity
Docsity

Prepare-se para as provas
Prepare-se para as provas

Estude fácil! Tem muito documento disponível na Docsity


Ganhe pontos para baixar
Ganhe pontos para baixar

Ganhe pontos ajudando outros esrudantes ou compre um plano Premium


Guias e Dicas
Guias e Dicas


Teste de Intrusão em Sistemas Web: Um Caso de Estudo em Segurança de Informações, Manuais, Projetos, Pesquisas de Segurança de Informação e Linguagem de Marcação

Um estudo sobre testes de intrusão em sistemas web, onde um time de segurança ofensiva testa a segurança de uma aplicação web real, chamada independence. O objetivo é identificar vulnerabilidades e sugerir melhorias para melhorar a segurança da informação. O processo é dividido em três etapas: preparar o ambiente de trabalho, identificar vulnerabilidades e explorar vulnerabilidades, utilizando ferramentas como nmap, zed attack proxy e ncat.

Tipologia: Manuais, Projetos, Pesquisas

2021

Compartilhado em 05/04/2022

Adevan-Neves
Adevan-Neves 🇧🇷

3 documentos

1 / 5

Toggle sidebar

Esta página não é visível na pré-visualização

Não perca as partes importantes!

bg1
Teste de Intrusão Independence
Fernando Araujo Alves Filho1, Adevan Neves Santos1, Paulo Eduardo Ribeiro
Cativo1,Áurea Hileia da Silva Melo1
1Escola Superior de Tecnologia (EST) – Universidade do Estado do Amazonas (UEA)
CEP 69050-020 – Manaus – AM – Brasil
1. INTRODUÇÃO
Segurança da informação consiste em um conjunto de práticas que visam garantir a
integridade, disponibilidade e confidencialidade das informações. Para isso, existem
padrões de segurança e métodos para determinar e reparar vulnerabilidades de um
sistema. Em geral, nesta grande área existem dois tipos de profissionais: aqueles que
trabalham com segurança defensiva (blue team) e aqueles que trabalham com segurança
ofensiva (red team).
Teste de intrusão, também conhecido como teste de penetração, consiste em um método
utilizados pelo time de segurança ofensiva para avaliar a segurança de um determinado
sistema, simula-se um ataque cibernético para descobrir ou explorar vulnerabilidades e
avaliar que tipo de informações ou que nível de acesso não-autorizado um invasor
poderia conseguir. Este trabalho consiste em fazer um teste de intrusão numa aplicação
web de uma organização real, que será referenciada como Independence.
2. OBJETIVOS
2.1 Objetivos Gerais
O objetivo do trabalho foi testar a segurança de uma aplicação web por meio de
segurança ofensiva, que aborda um processo de investigação, ataque e análise dos
resultados, indicando melhorias e métodos para tratar possíveis falhas identificadas.
2.2 Objetivos específicos
Os objetivos específicos deste trabalho são: (i) conhecer de forma prática algumas
ferramentas do Kali Linux, (ii) identificar e classificar em ordem de criticidade as
vulnerabilidades encontradas no teste de segurança, (iii) sugerir um conjunto de ações e
práticas para que a organização Independence melhore sua segurança da informação,
por exemplo filtrar o acesso às informações da aplicação. Também discutir sobre os
problemas com base em normas técnicas e a nova LGPD, vigente no ano de 2020.
1
pf3
pf4
pf5

Pré-visualização parcial do texto

Baixe Teste de Intrusão em Sistemas Web: Um Caso de Estudo em Segurança de Informações e outras Manuais, Projetos, Pesquisas em PDF para Segurança de Informação e Linguagem de Marcação, somente na Docsity!

Teste de Intrusão Independence

Fernando Araujo Alves Filho 1 , Adevan Neves Santos 1 , Paulo Eduardo Ribeiro Cativo 1

, Áurea Hileia da Silva Melo

1 (^1) Escola Superior de Tecnologia (EST) – Universidade do Estado do Amazonas (UEA) CEP 69050-020 – Manaus – AM – Brasil [email protected], [email protected], [email protected], [email protected]

1. INTRODUÇÃO

Segurança da informação consiste em um conjunto de práticas que visam garantir a

integridade, disponibilidade e confidencialidade das informações. Para isso, existem

padrões de segurança e métodos para determinar e reparar vulnerabilidades de um

sistema. Em geral, nesta grande área existem dois tipos de profissionais: aqueles que

trabalham com segurança defensiva (blue team) e aqueles que trabalham com segurança

ofensiva (red team).

Teste de intrusão, também conhecido como teste de penetração, consiste em um método

utilizados pelo time de segurança ofensiva para avaliar a segurança de um determinado

sistema, simula-se um ataque cibernético para descobrir ou explorar vulnerabilidades e

avaliar que tipo de informações ou que nível de acesso não-autorizado um invasor

poderia conseguir. Este trabalho consiste em fazer um teste de intrusão numa aplicação

web de uma organização real, que será referenciada como Independence.

2. OBJETIVOS

2.1 Objetivos Gerais

O objetivo do trabalho foi testar a segurança de uma aplicação web por meio de

segurança ofensiva, que aborda um processo de investigação, ataque e análise dos

resultados, indicando melhorias e métodos para tratar possíveis falhas identificadas.

2.2 Objetivos específicos

Os objetivos específicos deste trabalho são: (i) conhecer de forma prática algumas

ferramentas do Kali Linux, (ii) identificar e classificar em ordem de criticidade as

vulnerabilidades encontradas no teste de segurança, (iii) sugerir um conjunto de ações e

práticas para que a organização Independence melhore sua segurança da informação,

por exemplo filtrar o acesso às informações da aplicação. Também discutir sobre os

problemas com base em normas técnicas e a nova LGPD, vigente no ano de 2020.

3. MATERIAIS E MÉTODOS

O experimento foi conduzido com apoio de ferramentas de exploração que são usadas por invasores em situações reais de ataque, que permite obter a visão de um agente externo. Utilizou-se ferramentas do Kali, uma distribuição Linux empregada em tarefas de auditoria de segurança da informação. Pode-se dividir o processo em 3 etapas, descritas a seguir.

3.1 Preparar o ambiente de trabalho

Esta etapa consistiu em mascarar o proxy, a fim de garantir o anonimato no processo, para isso foi utilizado um Proxy Chain(Cadeia de proxy), usufruiu-se do Dynamic Chain para mascarar o proxy, esta cadeia de proxy funciona da seguinte forma: A informação que o atacante passa para o servidor alvo passa por diversos servidores proxy antes de chegar ao alvo, dificultando a identificação do atacante em caso de investigação policial. Figura 1. Funcionamento do Dynamic Chain. Todos os endereços de IP mostrados são fictícios. Fonte: Apresentação STEM - Fernando Araujo Alves Filho

3.2 Identificar vulnerabilidades

A segunda etapa consistiu na identificação de vulnerabilidades. Utilizou-se a ferramenta Nmap, presente no próprio sistema operacional, a fim de extrair informações de serviços da rede. Após identificar serviços e protocolos do servidor, foram estudadas informações do domínio na internet, com objetivo de encontrar possíveis vulnerabilidades já exploradas.

3.3 Explorar vulnerabilidades

A última etapa integrou a exploração das vulnerabilidades utilizando outras ferramentas do Kali Linux. Utilizou-se a ferramenta Zed Attack Proxy(ZAP), esta é uma ferramenta de teste de penetração que fornece scanners de um serviço web. Averiguou-se se de fato algo da rede poderia ser acessado remotamente por algum potencial invasor, para esta atividade, recorreu-se à ferramenta Ncat para enviar instruções ao servidor de rede. No Ncat, foi posto

Figura 3. apresentação da vulnerabilidade encontrada. Falha: “Remove the private IP address from the HTTP response body”.

5. CONCLUSÃO

A investigação resultou na identificação de duas falhas importantes. Além de enfatizar aspectos de segurança sob o olhar da Lei Geral de Proteção de Dados vigente desde 2020 no Brasil. A primeira falha, relacionada com o cabeçalho não incluso na resposta HTTP, possibilita a falta de integridade da informação acessada, expondo a página a ataques de clickjacking, pois o usuário pode não ser capaz de identificar a veracidade daquele conteúdo. A situação apresentada não atende ao princípio VII da lei 13.789, que suporta a informação do usuário contra a manipulação ilícita e/ou acidental de seus dados. A segunda, que diz respeito à obtenção de informações do servidor de maneira remota, tem potencial de prejudicar a confidencialidade das informações e, dependendo da criticidade do conteúdo, pode gerar vazamento de dados. Neste cenário, o artigo 52 parágrafo 7 determina que o controlador dos dados está sujeito a aplicação de penalidades, que podem ser multas e/ou sanções. Para a defesa contra “Clickjacking”, a maioria dos navegadores Web oferece suporte ao cabeçalho “HTTP X-Frame-Options”, recomenda-se certificar que o cabeçalho está definido em todas as páginas web retornadas pelo site alvo. já para defesa contra “Remove the private IP address from the HTTP response body” pode ser solucionado configurando o servidor para filtrar as respostas entregues à requisições de usuários, bloqueando o acesso em informações que possam ser usadas contra a organização e monitorar preventivamente comportamentos incomuns de usuários. Diante da situação descrita, a organização Independence pode rever sua Gestão de Risco, considerar que as falhas representam um risco elevado e aplicar boas práticas na segurança e configuração correta de ferramentas de rede com a intenção de prevenir incidentes posteriores.

REFERÊNCIAS BIBLIOGRÁFICAS

KALI LINUX TOOLS. Nmap Usage. Disponível em: www.kali.org/tools/nmap.

Acesso em: 26 ago.2021.

GITLAB. ncat-W32. Disponível em: gitlab.com/kalilinux/packages/ncat-W32.

Acesso em: 27 ago. 2021.

OWASP-ZAP. Getting Started. Disponível em:

https://www.zaproxy.org/getting-started/. Acesso em: 27 ago. 2021.