Relatório Pentest - Segurança
- Patricia Goncalves Custodio
O relatório tem como principal objetivo identificar e reportar as vulnerabilidades remotas presentes nas aplicações. Por testes de vulnerabilidades, entende-se que as aplicações e serviços identificados na aplicação principal serão testados para verificar se podem ser acessados ou invadidos por terceiros a partir da Internet utilizando técnicas de "hacking" de notório conhecimento público e técnicas privadas. Levantamento sobre os pontos a serem tratados em Clube Duratex, Duratex Madeira e Clube Instaladores na pasta do Sharepoint: Segurança
VUL./TESTES | Descrição | Categorias |
GHDB | Mais de 1.200 formas de buscas utilizando a base do Google para identificar arquivos e vazamento de dados do ambiente em questão. | Banco de dados de hackers do Google |
Força Bruta Online | Brute force em tempo real em sistemas Web e serviços que estão sendo executados no ambiente do cliente. | Logins e Senhas |
Força Bruta Offline | Capturar HASHs de senhas de serviços e realizar brute force offline para identificar as senhas e categoriza-las com nível de dificuldade. | Logins e Senhas |
Senha FTP | Tentativas de acesso para burlar sistemas com senhas padrões ou fracas, sem estressar o ambiente como se fosse um Brute Force. | Logins e Senhas |
HTTP Senha | Tentativas de acesso para burlar sistemas com senhas padrões ou fracas, sem estressar o ambiente como se fosse um Brute Force. | Logins e Senhas |
Scripts de shell de trojan (Backdoors) | Buscar shell scripts populares dentro de toda a aplicação Web (ex: r57, c99 e etc.) | Análise de "Texto" |
Microsoft Office | Buscar arquivos confidenciais da suíte Microsoft Office desprotegidos dentro da aplicação Web. | Análise de "Texto" |
Código fonte | Identificar e analisar arquivos que possuem código fonte desprotegido, mostrando informações confidenciais da estrutura e da aplicação Web. | Análise de "Texto" |
Listagem de Diretórios Ativa | Identificar diretórios que estão com a listagem de arquivos habilitada, possibilitando a visualização de todos os conteúdos da pasta. | Análise de "Texto" |
Sistemas e Aplicações | Técnicas de manipulação em sistemas e formulários de upload para burlar validações de arquivos, Mime Type, extensões e etc. (ex: fazer upload de um arquivo malicioso em um formulário que aceita apenas imagens.) | Upload de Arquivos |
Erros em páginas Web | Manipulação de INPUTs em páginas web, forçando o servidor a exibir informações sigilosas do Web Server e do próprio servidor. | Análise e Busca de Arquivos e Diretórios |
Permissionamento de Arquivos e Diretórios | Busca de arquivos e diretórios que estão com o permissionamento fraco ou errado devido a má configuração. | Análise e Busca de Arquivos e Diretórios |
Arquivos sensíveis e confidenciais | Busca de arquivos e diretórios protegidos e confidenciais. | Análise e Busca de Arquivos e Diretórios |
Arquivos "comuns" | Busca de arquivos e diretórios típicos de aplicações, sistemas web, tecnologias e etc. (ex: cms, .htaccess, logs, áreas administrativas e etc.). | Análise e Busca de Arquivos e Diretórios |
Arquivos de Backup e Diretórios | Busca de arquivos e diretórios utilizando a técnica de "Crawler" e também arquivos e diretórios de backup (logs, rastros de aplicações, repositórios WEB CVS e etc). | Análise e Busca de Arquivos e Diretórios |
Validação de entrada | Validação geral de INPUTs que são aceitos no site/aplicação. | Manipulação de Parâmetros |
Scripting cross site baseado em DOM (XSS) | Outra técnica utilizada para explorar XSS, diferente do tradicional, o Dom Based afeta o código fonte do script da aplicação/site. | Manipulação de Parâmetros |
Inclusão remota do XSL | Técnicas de inclusão de arquivos XSL através de falhas localizadas na biblioteca XSLTProcessor, que é padrão em PHP e .NET. | Manipulação de Parâmetros |
Redirecionamento de URL | Quando o Web Server permite a utilização de redirecionamento de URL, podendo ser utilizado em um ataque de phishing. | Manipulação de Parâmetros |
Injeção de e-mail | É a forma de utilizar o formulário de e-mail do site/aplicação para enviar e-mails a outros destinatários. Muito utilizado por pessoas que querem fazer spam utilizando outro servidor (Spammers). | Manipulação de Parâmetros |
Manipulação de cookies | Manipulação de cookie tem como objetivo realizar modificações de requisição para enganar o Web Server e permitir acessos a determinadas áreas restritas. | Manipulação de Parâmetros |
Injeção LDAP | É um ataque que tem como objetivo alterar a estrutura de requisição do LDAP. | Manipulação de Parâmetros |
Divulgação do caminho (Unix e Windows) | Manipulação de erros em páginas web, forçando o servidor a exibir informações sigilosas do diretório (path) interno. | Manipulação de Parâmetros |
Roteiragem de quadros cruzados (XFS) | Ataques de XFS são voltados ao usuário final, fazendo um web site malicioso se passar pelo seu web site, usando o mesmo endereço de domínio de forma legítima. | Manipulação de Parâmetros |
Injeção de CRLF | É uma falha voltada a manipulação do cliente que irá acessar o seu Web Server, um pouco parecido com o XSS. | Manipulação de Parâmetros |
Divulgação do código fonte do script | É possível visualizar o código fonte da página manipulando a requisição Web, geralmente utilizando o mesmo nome da requisição. | Manipulação de Parâmetros |
Inclusão de arquivos | Técnicas voltadas a realizar inclusão de arquivos maliciosos dentro do Web Server. | Manipulação de Parâmetros |
HTTP Poluição por parâmetros | São ataques que tem como objetivo confundir o Web Server enviando comandos confusos, ótimos para realizar "bypass" em sistemas de proteção WAF e de códigos "anti sql injection". | Manipulação de Parâmetros |
Diretório Traversal | É uma falha no HTTP que permite o atacante acessar diretórios restritos que estão fora do diretório "root" da página Web e também a executar comandos no servidor. | Manipulação de Parâmetros |
Execução de código | São técnicas para manipular o Web Server e suas tecnologias (PHP, .NET e etc) e executar comandos diretamente no sistema operacional, de forma remota via o site/aplicação. | Manipulação de Parâmetros |
Falsificação de Solicitações de Local Cruzado (CSRF) | São formas de manipular o Web Server através do Browser do cliente, podendo ser realizados ataques de "bypass" e outros. | Manipulação de Parâmetros |
Scripting cross-site (XSS) | São formas de manipular o Web Browser do cliente que está acessando aquele determinado site/aplicação. | Manipulação de Parâmetros |
Injeção cega SQL/XPath | Verifica se as requisições Web (GET e POST) e os Headers estão vulneráveis a Blind SQL/XPath Injection, que é uma técnica diferente de explorar essa vulnerabilidades. | Manipulação de Parâmetros |
Injeção SQL | Verifica se as requisições Web (GET e POST) e os Headers estão vulneráveis a SQL Injection e até aonde o atacante consegue chegar. | Manipulação de Parâmetros |
Verifica a tecnologia utilizada no Web Server (Ex: PHP, .NET | Com base nessa identificação é feito uma busca de vulnerabilidades voltadas para essas tecnologias. | Manipulação de Parâmetros |
Configurações gerais do Web Server e suas tecnologias | São feitas buscas relacionadas a problemas de configuração, permissões e privilégios, serviços que não são necessários, senhas e usuários padrões e etc. | Manipulação de Parâmetros |
Identificar problemas de configuração no Web Server | Verifica se métodos HTTP (ex: GET, POST, PUT, TRACE e outros) que podem ser utilizados de maneira maliciosa estão ativos no Web Server, possibilitando a criação e modificação de arquivos via manipuladores de HTTP. | Manipulação de Parâmetros |
Vulnerabilidades em Web Server | É feito o correlacionamento de vulnerabilidades VS a versão do Web Server empregada, identificando vulnerabilidades e brechas de configuração. | Manipulação de Parâmetros |
Glossário:
Pentest | Teste de penetração. Um método de avaliar a segurança de um sistema de computador ou rede, simulando um ataque de um invasor malicioso. |
RIS | Risk Information Security. Um conjunto de políticas voltadas para a gestão de riscos relacionados à segurança da informação. |
GHDB | Google Hacking Database. Uma base de dados que reúne consultas que identificam informações potencialmente sensíveis de um sistema e servem para encontrar falhas em um site. |
Força Bruta Online | Um método de descoberta de senhas ou chaves que tenta adivinhar a senha correta através da tentativa e erro de uma lista de senhas. |
Força Bruta Offline | Similar ao método online, mas é executado offline após a obtenção de hashes de senha. |
Senha FTP | Tentativas de acesso a sistemas que utilizam o protocolo FTP com senhas padrão ou fracas. |
HTTP Senha | Tentativas de acesso a sistemas que utilizam o protocolo HTTP com senhas padrão ou fracas. |
Scripts de shell de trojan (Backdoors) | Scripts maliciosos que permitem o acesso não autorizado a um computador. |
Código fonte | A base do programa ou site que geralmente contém informações sensíveis que não devem ser expostas. |
Listagem de Diretórios Ativa | A exposição de todos os arquivos e pastas de um diretório web ao público. |
Sistemas e Aplicações | Conjunto de procedimentos e métodos usados para realizar uma tarefa específica em um sistema de computador. |
Erros em páginas Web | Erros que ocorrem em uma página da web que podem revelar informações sensíveis. |
Permissionamento de Arquivos e Diretórios | As configurações de permissão em arquivos e diretórios que determinam quem pode acessá-los. |
Arquivos sensíveis e confidenciais | Arquivos que contêm informações que não devem ser expostas. |
Arquivos "comuns" | Arquivos típicos que são frequentemente encontrados em sistemas web. |
Arquivos de Backup e Diretórios | Arquivos e diretórios que contêm cópias de segurança de informações importantes. |
Scripting cross site baseado em DOM (XSS) | Uma forma de ataque que injeta código malicioso em páginas web, afetando os usuários que as visitam. |
Inclusão remota do XSL | Um tipo de vulnerabilidade que permite a um atacante incluir um documento XSL de uma fonte externa. |