



Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Encontra documentos específicos para os exames da tua universidade
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Um estudo sobre testes de intrusão em sistemas web, onde um time de segurança ofensiva testa a segurança de uma aplicação web real, chamada independence. O objetivo é identificar vulnerabilidades e sugerir melhorias para melhorar a segurança da informação. O processo é dividido em três etapas: preparar o ambiente de trabalho, identificar vulnerabilidades e explorar vulnerabilidades, utilizando ferramentas como nmap, zed attack proxy e ncat.
Tipologia: Manuais, Projetos, Pesquisas
1 / 5
Esta página não é visível na pré-visualização
Não perca as partes importantes!




Fernando Araujo Alves Filho 1 , Adevan Neves Santos 1 , Paulo Eduardo Ribeiro Cativo 1
1 (^1) Escola Superior de Tecnologia (EST) – Universidade do Estado do Amazonas (UEA) CEP 69050-020 – Manaus – AM – Brasil [email protected], [email protected], [email protected], [email protected]
O experimento foi conduzido com apoio de ferramentas de exploração que são usadas por invasores em situações reais de ataque, que permite obter a visão de um agente externo. Utilizou-se ferramentas do Kali, uma distribuição Linux empregada em tarefas de auditoria de segurança da informação. Pode-se dividir o processo em 3 etapas, descritas a seguir.
Esta etapa consistiu em mascarar o proxy, a fim de garantir o anonimato no processo, para isso foi utilizado um Proxy Chain(Cadeia de proxy), usufruiu-se do Dynamic Chain para mascarar o proxy, esta cadeia de proxy funciona da seguinte forma: A informação que o atacante passa para o servidor alvo passa por diversos servidores proxy antes de chegar ao alvo, dificultando a identificação do atacante em caso de investigação policial. Figura 1. Funcionamento do Dynamic Chain. Todos os endereços de IP mostrados são fictícios. Fonte: Apresentação STEM - Fernando Araujo Alves Filho
A segunda etapa consistiu na identificação de vulnerabilidades. Utilizou-se a ferramenta Nmap, presente no próprio sistema operacional, a fim de extrair informações de serviços da rede. Após identificar serviços e protocolos do servidor, foram estudadas informações do domínio na internet, com objetivo de encontrar possíveis vulnerabilidades já exploradas.
A última etapa integrou a exploração das vulnerabilidades utilizando outras ferramentas do Kali Linux. Utilizou-se a ferramenta Zed Attack Proxy(ZAP), esta é uma ferramenta de teste de penetração que fornece scanners de um serviço web. Averiguou-se se de fato algo da rede poderia ser acessado remotamente por algum potencial invasor, para esta atividade, recorreu-se à ferramenta Ncat para enviar instruções ao servidor de rede. No Ncat, foi posto
Figura 3. apresentação da vulnerabilidade encontrada. Falha: “Remove the private IP address from the HTTP response body”.
A investigação resultou na identificação de duas falhas importantes. Além de enfatizar aspectos de segurança sob o olhar da Lei Geral de Proteção de Dados vigente desde 2020 no Brasil. A primeira falha, relacionada com o cabeçalho não incluso na resposta HTTP, possibilita a falta de integridade da informação acessada, expondo a página a ataques de clickjacking, pois o usuário pode não ser capaz de identificar a veracidade daquele conteúdo. A situação apresentada não atende ao princípio VII da lei 13.789, que suporta a informação do usuário contra a manipulação ilícita e/ou acidental de seus dados. A segunda, que diz respeito à obtenção de informações do servidor de maneira remota, tem potencial de prejudicar a confidencialidade das informações e, dependendo da criticidade do conteúdo, pode gerar vazamento de dados. Neste cenário, o artigo 52 parágrafo 7 determina que o controlador dos dados está sujeito a aplicação de penalidades, que podem ser multas e/ou sanções. Para a defesa contra “Clickjacking”, a maioria dos navegadores Web oferece suporte ao cabeçalho “HTTP X-Frame-Options”, recomenda-se certificar que o cabeçalho está definido em todas as páginas web retornadas pelo site alvo. já para defesa contra “Remove the private IP address from the HTTP response body” pode ser solucionado configurando o servidor para filtrar as respostas entregues à requisições de usuários, bloqueando o acesso em informações que possam ser usadas contra a organização e monitorar preventivamente comportamentos incomuns de usuários. Diante da situação descrita, a organização Independence pode rever sua Gestão de Risco, considerar que as falhas representam um risco elevado e aplicar boas práticas na segurança e configuração correta de ferramentas de rede com a intenção de prevenir incidentes posteriores.