loginteachers.com

VOCÊ NÃO ENCONTRA O QUE PROCURA?

Use nosso mecanismo de busca e encontre tudo que você precisa

Como perfurar um site

conte√ļdo

  • Termos √ļteis
  • Como perfurar um site
    • Vulnerabilidade do servidor
    • Vulnerabilidade de componentes instalados
    • Vulnerabilidade dos sistemas de autentica√ß√£o
    • Vulnerabilidade de CMS e plug-ins

Termos √ļteis

Antes de chegar ao cerne deste guia e mostrar a você algumas das técnicas usadas pelos cibercriminosos para violar a segurança do site, sinto que é meu dever explicar o significado de alguns termos que usarei ao longo deste guia.



  • Bug - este √© o termo t√©cnico para definir um erro de programa√ß√£o de software. Bugs em programas e aplicativos nem sempre s√£o sobre seguran√ßa, no entanto, n√£o √© incomum encontrar problemas desse tipo. Normalmente, os bugs s√£o corrigidos por atualiza√ß√Ķes.
  • Explorar - √© o termo que identifica um programa desenvolvido com a inten√ß√£o espec√≠fica de explorar um bug em benef√≠cio do criminoso.
  • 0-dia - com a palavra ‚Äúnovos‚ÄĚ exploits s√£o definidos, ainda n√£o conhecidos pelas empresas de software de seguran√ßa, nem pelos projetistas do software envolvido.
  • Remendo - √© a solu√ß√£o lan√ßada por programadores para consertar um bug. Normalmente, os patches s√£o lan√ßados como uma atualiza√ß√£o, mas, em alguns casos, eles podem ser aplicados manualmente.
  • Porta dos fundos - literalmente "porta dos fundos", √© um canal de acesso que os cibercriminosos deixam aberto, para acessar o servidor de forma silenciosa e sem perturba√ß√Ķes.
  • Desfigurar - √© a pr√°tica implementada por cibercriminosos para violar um site e distorcer sua p√°gina inicial e / ou todo o seu conte√ļdo.
  • CMS - significa Content Management System e identifica um conjunto de programas que simplificam significativamente a cria√ß√£o de conte√ļdo din√Ęmico (por exemplo, sites).
  • firewall - √© um sistema que protege os dados em tr√Ęnsito de e para dispositivos de TI (servidores, PCs, roteadores, smartphones, tablets e assim por diante). Pode ser software ou hardware.

Como perfurar um site

As t√©cnicas usadas por cibercriminosos para perfurar um site s√£o muitos e, muitas vezes, requerem um estudo aprofundado do "alvo". Portanto, hackear um site n√£o √© simples nem imediato e, na maioria dos casos, o sucesso dos cibercriminosos √© uma consequ√™ncia direta de algum descuido por parte de quem gerencia o site ou de quem hospeda as m√°quinas nas quais ele √© executado.



Nas partes posteriores deste tutorial, listarei algumas das t√©cnicas de hack mais conhecidas de cibercriminosos no modo remoto, ou seja, sem ter acesso f√≠sico √† m√°quina que hospeda o servidor (o que, na pr√°tica, quase nunca acontece).

Vulnerabilidade do servidor

Como tudo o que gira em torno da tecnologia da informação, os sites também são compostos por arquivos, que são gerados e gerenciados por uma série de programas executados em um computador (neste caso específico, por um servidor web).

Geralmente, um servidor executa várias dezenas de software ao mesmo tempo e troca continuamente dados com o mundo exterior: por este motivo, um bug em um dos aplicativos em execução é suficiente para comprometer a integridade do próprio servidor e dos dados que ele contém . estão hospedados.

Normalmente, as vulnerabilidades mais exploradas est√£o relacionadas ao OS rodando no servidor, seus componentes principais ou, √†s vezes, eu driver do dispositivo hardware. Projetar o ataque em um servidor √© bastante complexo: para analisar o software em execu√ß√£o e quaisquer bugs presentes nele, √© necess√°rio contornar as restri√ß√Ķes de seguran√ßa impostas pelo firewall e quaisquer mecanismos de prote√ß√£o adicionais.

Se o servidor realmente for hackeado, por meio de um explorar ou um 0-dia, muitas vezes √© poss√≠vel for√ßar a execu√ß√£o de c√≥digo arbitr√°rio, o que pode envolver o site hospedado, criar um backdoor dedicado a acesso futuro ou realizar outras opera√ß√Ķes desse tipo. Em casos graves, tamb√©m pode haver um vazamento de dados genu√≠no.

Como se defender? Infelizmente, os bugs do sistema operacional s√£o bastante frequentes; √© verdade que, na maioria dos casos, os desenvolvedores est√£o empenhados em lan√ßar atualiza√ß√Ķes que possam corrigi-las imediatamente. Portanto, meu conselho √© sempre atualize o sistema operacional para a vers√£o mais recente dispon√≠vel ou, pelo menos, para aplicar prontamente o patches de seguran√ßa distribu√≠do por desenvolvedores.



Vulnerabilidade de componentes instalados

O mesmo discurso visto há pouco vale não só para o sistema operacional a bordo de um servidor Web, mas também para todos os demais. programas instalados na máquina: um bug em qualquer software (até mesmo no gerenciador de banco de dados!) pode ser suficiente para permitir que um cibercriminoso assuma o controle do próprio programa, dos arquivos / pastas inerentes ao site ou, pior ainda, de todo o servidor .

Como se defender? Tamb√©m neste caso, o meu conselho √© manter o software servidor constantemente actualizado, aplicando tamb√©m, o mais rapidamente poss√≠vel, quaisquer patches de seguran√ßa disponibilizados pelos programadores.

Vulnerabilidade dos sistemas de autenticação

Outro problema s√©rio diz respeito ao sistemas de autentica√ß√£o em uso para v√°rios sites: pode acontecer que um protocolo desatualizado, um algoritmo de criptografia quebrado ou, novamente, uma troca de senha desprotegida, pode permitir que um cibercriminoso adquira a propriedade doconta de administra√ß√£o do portal ou, pior ainda, de todos os dados presentes na base de dados e / ou na pasta do site.

Normalmente, essa t√©cnica de ataque tem a consequ√™ncia direta do desfigurar do portal web, ou seja, a distor√ß√£o total do conte√ļdo da p√°gina principal ou de outras p√°ginas do site. Se o sistema de gerenciamento do site permitir, por meio de sua interface, visualizar os dados salvos na mem√≥ria, o criminoso tamb√©m poder√° ter acesso gratuito a esta √ļltima.

Como defenda-se? Em primeiro lugar, √© fundamental proteger os dados em tr√Ęnsito de e para o site criptografado SSL, configurando o servidor para usar o protocolo de conex√£o segura HTTPS. Em segundo lugar, se o site contiver p√°ginas de login, √© aconselh√°vel verificar se funcionam corretamente e se o c√≥digo relativo n√£o d√° origem a eventos inesperados que possam comprometer a integridade do site.



Por fim, é claro, todo acesso ao site deve ser protegido com senhas seguras difíceis de adivinhar, mas não acho que haja muito o que dizer sobre isso: deve ser o ABC da vida na web.

Vulnerabilidade de CMS e plug-ins

V√°rios sites existentes na Internet s√£o criados usando CMS, ou seja, atrav√©s de sistemas que permitem criar, atualizar, manipular e gerenciar portais simples e complexos, sem a necessidade de escrever manualmente o c√≥digo de cada uma das p√°ginas, por exemplo o muito famoso WordPress.

CMSs também são programas e, infelizmente, podem estar sujeitos a bugs e mau funcionamento de vários tipos. Em particular, os problemas de segurança do CMS de código aberto são frequentemente divulgados para a comunidade: se isso, por um lado, ajuda os desenvolvedores a implementar patches de segurança o mais rápida e eficazmente possível, por outro lado ajuda os cibercriminosos. exploits e 0 dias para um determinado bug.

Infelizmente, esses exploits s√£o normalmente usados ‚Äč‚Äč(com sucesso) em todos os sites constru√≠dos com CMS desatualizado, com todas as consequ√™ncias √≥bvias do caso. Ent√£o, se voc√™ fosse, sua inten√ß√£o era entender como perfurar um site WordPress ou qualquer outro portal criado atrav√©s de um CMS, a resposta √© dada logo: basta analisar a vers√£o do CMS em uso e fazer uma pequena pesquisa na Internet sobre as vulnerabilidades ativas. Um pouco de experi√™ncia e muita paci√™ncia podem fazer o resto!

O mesmo vale para o plug-in instalado nos v√°rios CMS: um bug dentro de um add-on pode comprometer a estabilidade de todo o site e seu sistema de gerenciamento, mesmo que este seja nativamente livre de bugs.

Como se defender? Mais uma vez atualiza√ß√£o √© a palavra-chave: se voc√™ gerencia um site, √© muito importante estar bem ciente de seus m√©todos de implementa√ß√£o, do CMS em uso e de quaisquer plug-ins instalados, e perguntar constantemente sobre a integridade desses componentes. Dessa forma, voc√™ pode ficar ciente de quaisquer vulnerabilidades antes mesmo que os criminosos comecem a explor√°-las, aplicando as atualiza√ß√Ķes e patches necess√°rios no menor tempo poss√≠vel.

Como perfurar um site

√Āudio v√≠deo Como perfurar um site
Adicione um coment√°rio a partir de Como perfurar um site
Comentário enviado com sucesso! Vamos revisá-lo nas próximas horas.