Início
Nº MensagensOlá,
Neste tutorial vamos conhecer uma ferramenta para encontrarmos falhas de segurança em nossos websites.
O intuito deste tutorial não é fazer qualquer tipo de incentivo a práticas crackers e muito menos lhes mostrar como exercer tal tarefa. Tudo que será feito aqui é unicamente e exclusivamente com propósitos didáticos.
Com tudo esclarecido vamos ao tutorial.
A ferramenta que vamos usar chama-se VEGA, e é fornecida pela empresa Subgraph, vocês podem efetuar o download da mesma aqui:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O VEGA é um problema extremamente fácil de usar, a primeira coisa a se fazer logo após ter instalado ele é clicar em Start New Scan [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Em "Enter a URI for scan" você deve inserir a URL do site a ser verificado e logo em seguida clicar em next e selecionar quais módulos você deseja que sejam verificados, ele da suporte a módulos de injeção (como SQL Injection, XSS e outros) e módulos de resposta (verificando os headers do site e afins), escolha os que deseja e clique "Finish"
Agora basta aguardar ele finalizar o scan com um relatório das falhas.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Analisei um site que encontrei que é vulnerável (o qual não vou fornecer o link por questão de ética, né?)
O site em questão está com várias falhas inclusive falhas graves onde podemos ter acesso ao banco de dados do mesmo, logar como admin entre outros.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Através deste scan podemos verificar quais são as falhas de determinados sites (lembre-se nem sempre são verdadeiras, ele indica as possíveis falhas, fica a seu encargo determinar se são verdadeiras ou não).
Com o conhecimento de quais as possíveis falhas deste sistema podemos utilizar outras ferramentas ou inclusive fazer "na raça" alguns testes para verificar se são verdadeiras ou não.
Se constatar que é possível realizar um ataque contra o site verifique com seu desenvolvedor quais as soluções para tentar "fechar" essas falhas, caso ele não saiba uma solução viável, entre em contato com um profissional da área de segurança.
Espero que façam bom uso deste conhecimento.
Abraços, e até breve...
Neste tutorial vamos conhecer uma ferramenta para encontrarmos falhas de segurança em nossos websites.
O intuito deste tutorial não é fazer qualquer tipo de incentivo a práticas crackers e muito menos lhes mostrar como exercer tal tarefa. Tudo que será feito aqui é unicamente e exclusivamente com propósitos didáticos.
"Conhecimento não é crime!! O que você faz com ele, pode virar um!!"
Com tudo esclarecido vamos ao tutorial.
A ferramenta que vamos usar chama-se VEGA, e é fornecida pela empresa Subgraph, vocês podem efetuar o download da mesma aqui:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
O VEGA é um problema extremamente fácil de usar, a primeira coisa a se fazer logo após ter instalado ele é clicar em Start New Scan [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Em "Enter a URI for scan" você deve inserir a URL do site a ser verificado e logo em seguida clicar em next e selecionar quais módulos você deseja que sejam verificados, ele da suporte a módulos de injeção (como SQL Injection, XSS e outros) e módulos de resposta (verificando os headers do site e afins), escolha os que deseja e clique "Finish"
Agora basta aguardar ele finalizar o scan com um relatório das falhas.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Analisei um site que encontrei que é vulnerável (o qual não vou fornecer o link por questão de ética, né?)
O site em questão está com várias falhas inclusive falhas graves onde podemos ter acesso ao banco de dados do mesmo, logar como admin entre outros.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
Através deste scan podemos verificar quais são as falhas de determinados sites (lembre-se nem sempre são verdadeiras, ele indica as possíveis falhas, fica a seu encargo determinar se são verdadeiras ou não).
Com o conhecimento de quais as possíveis falhas deste sistema podemos utilizar outras ferramentas ou inclusive fazer "na raça" alguns testes para verificar se são verdadeiras ou não.
Se constatar que é possível realizar um ataque contra o site verifique com seu desenvolvedor quais as soluções para tentar "fechar" essas falhas, caso ele não saiba uma solução viável, entre em contato com um profissional da área de segurança.
Espero que façam bom uso deste conhecimento.
Abraços, e até breve...
