Ferramenta de buscas de códigos-fonte pode ser usada para fins fraudulentos
9 de Outubro de 2006 @ 13:43 - Denny RogerArquivado sob Entrevistas | Link desta publicação | Enviar por e-mail
O Google Code Search, uma ferramenta de buscas de códigos-fonte para programações dos mais diversos tipos, pode ser utilizado por crackers para fins fraudulentos, como identificação de senhas na Web, indicação de vulnerabilidades em sites ou acesso a bancos de dados das empresas. A informação é da empresa de segurança digital Batori Software.
Por meio do aplicativo do Google, os criminosos virtuais podem utilizar diversas modalidades de ataque. Entre eles, está o XSS ou Cross Site Scripting, que induz o navegador do usuário a executar um script malicioso (Javascript ou VBscript) dentro da estrutura de um site confiável; o Sql Injection, cuja técnica consiste em não validar as entradas de usuários permitindo que crackers executem comandos diretamente no banco de dados de uma aplicação. Caso obtenha êxito, o criminoso poderia ter acesso não-autorizado aos dados, manipular registros e comprometer a performance de um determinado servidor. Outro golpe que poderia ser implementado via Google Code Search é o chamado “Seqüestro de Sessão”. Por meio dele, um atacante consegue obter o id da sessão http de um usuário. Feito isso, ele grava esse id no seu próprio navegador enganando a aplicação, se passando indevidamente pelo usuário legítimo.
“É muito provável que um número superior a 80% das empresas no Brasil esteja vulnerável a ataques nas aplicações WEB. Isso ocorre porque elas não investem no treinamento dos seus desenvolvedores de sistema, principalmente quando o assunto é segurança da informação”, diz Denny Roger, diretor da Batori.
Ainda segundo Roger, como recomendações de segurança, as empresas devem treinar constantemente os programadores, abordando os aspectos de segurança da informação, avaliando suas aplicações de acordo com a ISO 15408, que trata apenas de segurança na aplicação.
Outro fator de suma importância em âmbito corporativo é a utilização de um aplicativo chamado WAF (Web Application Firewall). Trata-se de uma de solução de segurança para proteger as aplicações Web e que atuam na camada de aplicação, diferentemente dos firewalls de redes tradicionais. Possuem tecnologias e filtros específicos para HTTP, HTTPS, HTML, Web Service, Cookies, etc.
Em comunicado oficial, o Google recomenda que os desenvolvedores usem técnicas já amplamente utilizadas em suas comunidades, incluindo testes de segurança.
Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=6160
Ainda sem comentários »
RSS de comentários deste artigo. URI para link desta publicação:
Deixe um comentário
Você deve estar conectado para postar um comentário.
Hits para esta publicação: 260
blog.dennyroger.com.br | http://blog.dennyroger.com.br