Você está aqui: Página Inicial / Blog / Como criminosos se aproveitam de vulnerabilidades em sistemas web

Como criminosos se aproveitam de vulnerabilidades em sistemas web

Trata-se basicamente da forma mais fácil de invadir a infraestrutura de uma empresa e roubar dados sensíveis, seja para aplicar golpes de extorsão ou causar danos reputacionais ao liberar essas informações particulares em fóruns na web.

Vulnerabilidades em aplicações e sistemas web, ou seja, aquelas que você acessa e utiliza diretamente pelo navegador, sem a necessidade de baixar nada, estão se tornando as favoritas para criminosos cibernéticos. Não faltam motivos: é mais fácil explorar esse tipo de brecha, já que existem uma série de ferramentas automatizadas e técnicas simples de aprender, do que se dedicar a escrever códigos maliciosos ou elaborar complexas campanhas de phishing para enganar internautas.

Vejamos, por exemplo, brechas de má configuração em servidores web. Um agente malicioso consegue usar técnicas de Google Dorking (uso de parâmetros específicos para encontrar conteúdos indexados no buscador) para achar diretórios e documentos sensíveis dentro de um web server que acabou sendo criado como público. A partir daí, fica fácil explorar outras pastas, encontrar arquivos que deveriam ser protegidos a sete chaves e iniciar um vazamento ou campanha de extorsão.

Problemas de injeção SQL também não exigem qualquer tipo de conhecimento técnico para serem exploradas. Existem várias ferramentas que você encontra fácil na web e que automatizam a exploração dessas vulnerabilidades. Com poucos cliques do mouse, o criminoso encontra pontos nos quais é possível injetar códigos maliciosos no interpretador e ter acesso às tabelas do banco de dados SQL. Basta fazer uma cópia local de todo esse database e “se divertir à vontade”.

Risco aos usuários

As vulnerabilidades em aplicações web não são exploradas unicamente para finalidades de roubo de dados sigilosos. Também é possível se aproveitar de brechas como cross-site scripting (XSS) para alterar o comportamento de uma página web quando esta é visitada por um internauta, convencendo-o, por exemplo, a preencher um formulário malicioso que roubará seus dados de cartões de crédito.

Não podemos nos esquecer dos web shells. Tratam-se de malwares enviados para servidores comprometidos e que, uma vez lá dentro, permitem que os criminosos executem códigos arbitrários remotamente, efetivamente tomando controle sobre todo o servidor web.

Preste atenção!

No geral, o que acontece é que aplicações web costumam ganhar menos atenção dos desenvolvedores e da área de segurança da informação em comparação com softwares instaláveis. Porém, com colaboradores trabalhando remotamente por conta da pandemia, esse tipo de aplicação está se tornando cada vez mais comum — que atire a primeira pedra o profissional que não esteja usando um único software-as-a-service (SaaS) para trabalhar durante esta pandemia.

Por isso, é sempre importante garantir que seu projeto de web app ou site esteja em conformidade com o OWASP Top 10, ranking global que lista as vulnerabilidades mais críticas e comuns nesse tipo de projeto. Com base em suas orientações e documentações técnicas, fica mais fácil garantir que a aplicação estará livre de erros que podem causar dores de cabeça no futuro.


Produção: Equipe de Conteúdo Perallis Security