Divulgação de informações, roubo de identidade, a injeção de SQL, a injeção de código, bypass de autenticação, Cross site scripting e Cruz falsificação de solicitação. Typo3 lançou o guia de segurança de aplicativos web para proprietários de sites e abaixo está a discussão detalhes sobre as vulnerabilidades de aplicativos comuns e mais perigosos da web.
Divulgação de informações
Isso significa que o sistema (em determinadas circunstâncias) disponibilizar informações a uma pessoa de fora que possa usá-lo para elaborar um ataque contra o sistema. Essas informações incluem detalhes da estrutura do sistema de arquivos ou detalhes sobre o software instalado, tais como opções de configuração ou números de versão. Um atacante pode obter informações importantes sobre a configuração do sistema que faz com que um possível ataque.
Há uma linha tênue entre a protecção contra a divulgação de informações e os chamados "segurança por obscuridade". Significa este último, que os administradores de sistemas ou desenvolvedores tentam proteger suas infra-estruturas ou software, escondendo-se ou obscurecê-la. Um exemplo seria a de não revelar que TYPO3 é usado como o sistema de gerenciamento de conteúdo ou uma versão específica do TYPO3 é usado. Especialistas em segurança dizem que a "segurança por obscuridade" não é de segurança, simplesmente porque isso não resolve a raiz de um problema (por exemplo, uma vulnerabilidade de segurança), mas tenta obscurecer os fatos apenas.
Roubo de identidade
Sob certas condições, pode ser possível que o sistema revela dados pessoais, tais como listas de clientes, endereços de email, senhas, histórico de pedidos ou transações financeiras. Esta informação pode ser usada por criminosos para fraudes ou ganhos financeiros. O servidor que executa um site TYPO3 devem ser protegidos de modo que os dados não podem ser recuperadas sem o consentimento do proprietário do site.
SQL injection
Com injeção de SQL que o atacante tenta apresentar as declarações modificadas SQL para o servidor de banco de dados a fim de obter acesso ao banco de dados. Isto poderia ser usado para recuperar informações, como dados do cliente ou senhas de usuários ou até mesmo modificar o conteúdo do banco de dados como adicionar contas de administrador para a mesa do usuário. Por isso, é necessário analisar cuidadosamente e filtrar os parâmetros que são usados em uma consulta de banco de dados.
Injeção de código
Similar à injeção de SQL descritos acima, "a injeção de código" inclui comandos ou arquivos de instâncias remotas (RFI: inclusão remota de arquivos) ou do sistema de arquivos local (LFI: Inclusão Arquivo Local). O código torna-se buscado parte do script de execução e é executado no contexto do site TYPO3 (por isso tem o mesmos privilégios de acesso em nível de servidor). Ambos os ataques, RFI e LFI, são muitas vezes desencadeada por verificação imprópria e neutralização de entrada do usuário.
Inclusão de arquivos locais pode levar à divulgação de informações (veja acima), por exemplo, revelam arquivos do sistema interno, que contém definições de configuração, senhas, chaves de criptografia, etc
Desvio autorização
Em um ataque de bypass autorização, o cracker explora vulnerabilidades em aplicações mal projetado ou formulários de login (por exemplo, do lado do cliente de validação de entrada de dados). Módulos de autenticação fornecido com o núcleo TYPO3 estão bem testados e revisados. No entanto, devido à arquitetura aberta do TYPO3, este sistema pode ser prorrogado por soluções alternativas. A qualidade do código e aspectos de segurança pode variar, ver o capítulo "Diretrizes para TYPO3 Integradores: extensões TYPO3" para mais detalhes.
Cross Site Scripting (XSS)
Cross-site scripting ocorre quando os dados que está sendo processado por uma aplicação não é filtrado por qualquer conteúdo suspeito. É mais comum com as formas em sites onde o usuário insere dados que é então processada pelo aplicativo. Quando os dados são armazenados ou enviados de volta para o navegador de uma forma não filtrada, o código malicioso pode ser executado. Um exemplo típico é um formulário de comentário para um blog ou livro de visitas. Quando os dados apresentados é simplesmente armazenados no banco de dados, será enviado de volta para o navegador de visitantes se eles vêem o blog ou entradas de livro de visitas. Isso poderia ser tão simples como a inserção de texto adicionais ou imagens, mas também pode conter código de JavaScript iframes que o código de carga de um site 3o partido.
Cross site request forgery (XSRF)
Neste tipo de ataque comandos não autorizados são enviadas de um usuário uma confia website. Considere um editor que está conectado a um aplicativo (como um serviço bancário on-line ou CMS) e, portanto, está autorizado no sistema. A autorização pode ser armazenado em um cookie de sessão no navegador do usuário. Um invasor pode enviar um e-mail para a pessoa com um link que aponta para um site com imagens elaboradas. Quando o browser está carregando as imagens, pode realmente enviar uma solicitação para o sistema onde o usuário está logado e executar comandos no contexto do usuário conectado.
0 comentários:
Postar um comentário