Você não está conectado. Conecte-se ou registre-se

Procurando Falhas de SQL/XSS/RFI entre outros em seu website

Ver o tópico anterior Ver o tópico seguinte Ir para baixo  Mensagem [Página 1 de 1]

waghcwb

waghcwb
Novato
Olá,

Neste tutorial vamos conhecer uma ferramenta para encontrarmos falhas de segurança em nossos websites.

O intuito deste tutorial não é fazer qualquer tipo de incentivo a práticas crackers e muito menos lhes mostrar como exercer tal tarefa. Tudo que será feito aqui é unicamente e exclusivamente com propósitos didáticos.

"Conhecimento não é crime!! O que você faz com ele, pode virar um!!"


Com tudo esclarecido vamos ao tutorial.

A ferramenta que vamos usar chama-se VEGA, e é fornecida pela empresa Subgraph, vocês podem efetuar o download da mesma aqui:
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

O VEGA é um problema extremamente fácil de usar, a primeira coisa a se fazer logo após ter instalado ele é clicar em Start New Scan [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Em "Enter a URI for scan" você deve inserir a URL do site a ser verificado e logo em seguida clicar em next e selecionar quais módulos você deseja que sejam verificados, ele da suporte a módulos de injeção (como SQL Injection, XSS e outros) e módulos de resposta (verificando os headers do site e afins), escolha os que deseja e clique "Finish"

Agora basta aguardar ele finalizar o scan com um relatório das falhas.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Analisei um site que encontrei que é vulnerável (o qual não vou fornecer o link por questão de ética, né?)

O site em questão está com várias falhas inclusive falhas graves onde podemos ter acesso ao banco de dados do mesmo, logar como admin entre outros.
[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Através deste scan podemos verificar quais são as falhas de determinados sites (lembre-se nem sempre são verdadeiras, ele indica as possíveis falhas, fica a seu encargo determinar se são verdadeiras ou não).

Com o conhecimento de quais as possíveis falhas deste sistema podemos utilizar outras ferramentas ou inclusive fazer "na raça" alguns testes para verificar se são verdadeiras ou não.

Se constatar que é possível realizar um ataque contra o site verifique com seu desenvolvedor quais as soluções para tentar "fechar" essas falhas, caso ele não saiba uma solução viável, entre em contato com um profissional da área de segurança.

Espero que façam bom uso deste conhecimento.

Abraços, e até breve...

Manhut

Manhut
Moderador
Muito bom, continua com estes tópicos Wink

mentorman

mentorman
V.I.P II
V.I.P II
Bom tutorial.. Continua

waghcwb

waghcwb
Novato
Em breve posto mais coisas pessoal...

Só esqueci de deixar um aviso. O programa vai testar alguns tipos de ataques em seu site, ou seja se estiver vulnerável, algum ataque como Loops em Javascript vão funcionar por exemplo em um formulário de contato e floodar o seu sistema, então fiquem atentos a este detalhe ao testar em seu próprio sistema

E nunca esqueçam do backup é claro!

StreetGT

StreetGT
VIP
VIP
Para quem quiser aprender mais um bocadinho, deixo aqui um projeto que eu utilizei na faculdade.

WebGoat
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

DaViD-DaViD

DaViD-DaViD
Warez
Simplesmente fantástico! Very Happy

Moonshine

Moonshine
Warez
Ya concordo desconhecia mesmo esse sistema bem fixe obrigado pela informaçao.

Conteúdo patrocinado


Ver o tópico anterior Ver o tópico seguinte Ir para o topo  Mensagem [Página 1 de 1]

Permissões neste sub-fórum
Não podes responder a tópicos