SlideShare uma empresa Scribd logo

Relatório de Pentest com vulnerabilidades

Vitor Melo
Vitor Melo

O relatório descreve os resultados de testes de invasão realizados em sistemas da rede JoãoSupermercados. Foram identificadas vulnerabilidades de alto impacto como acesso remoto ao banco de dados MySQL e ao servidor VNC sem senha e exposição de dados confidenciais de clientes armazenados sem criptografia. Recomenda-se corrigir essas vulnerabilidades e realizar novos testes periodicamente.

Tecnologia
1 de 23
Baixar para ler offline
Página 1 de 23 RELATÓRIO DE TESTE DE INVASÃO DE: PARA: © DEXTERLAB CONSULTORIAS - Todos os direitos reservados 2014 Este documento contém informações confidenciais e proprietárias. É destinado somente para uso exclusivo da rede JOÃOSUPERMERCADOS. A reprodução ou o uso não autorizado deste documento é proibido. Diversos testes foram conduzidos pelos profissionais de segurança da DEXTERLAB CONSULTORIA. A DEXTERLAB garante que todos os pontos apresentados neste relatório são verdadeiros através de provas de conceitos. Estes Testes de Invasão identificou e explorou diversas vulnerabilidades que podem causar grandes prejuízos ao negócio da empresa. Como sempre surgem novas vulnerabilidades, recomenda-se que testes como esses sejam conduzidos a cada mudança realizada no ambiente de TI ou em intervalos de 3 a 6 meses.
Página 2 de 23 DETALHES DO DOCUMENTO Empresa Cliente JoãoSupermercados Título do Documento Relatório dos Testes de Invasão Referência DL-2014010 Classificação Confidencial Tipo de documento Relatório Responsável pelos testes Empresa Contratada Equipe de Pentesting DEXTERLAB CONSULTORIAS HISTÓRICO DO DOCUMENTO Data Versão Autor Comentários 10/11/2014 01.00 Vitor Melo Versão Inicial. 16/11/2014 01.01 Vitor Melo Revisão do documento. CONTATO Para mais informações sobre este documento e seu conteúdo, por favor, entrar em contato com os serviços profissionais da DEXTERLAB CONSULTORIAS. Nome DEXTERLAB CONSULTORIAS Endereço R. Carlos Silveira Santos, 850 - Centro, João Pessoa - PB, 58040-390 Telefone (83) 3241-1989 E-mail dexterlab@consultorias.com
Página 3 de 23 CONTEÚDO 1. RESUMO EXECUTIVO ............................................................................................................ 4 2. ESCOPO ................................................................................................................................. 5 2.1 SISTEMAS ALVOS ........................................................................................................... 5 3. METODOLOGIA ......................................................................................................................... 6 3.1 FERRAMENTAS .................................................................................................................... 6 3.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES ................................................. 7 4.RELATÓRIO TÉCNICO ................................................................................................................. 8 4.1 INFRAESTRUTURA ............................................................................................................... 8 4.1.1 Ausência de senha no acesso remoto ao MySQL ......................................................... 9 4.1.2 Política de Senha fraca no VNC Server ....................................................................... 11 4.2 APLICAÇÕES WEB .............................................................................................................. 13 4.2.1 Injeção no formulário de upload ................................................................................ 13 4.2.2 Referência insegura e direta a objetos ...................................................................... 17 4.2.3 Exposição de dados sensíveis ..................................................................................... 19 4.2.4 Cross-Site-Scripting .................................................................................................... 20 4.2.5 Furo de Autenticação e Gerência de Sessão .............................................................. 21 5. CONCLUSÃO ............................................................................................................................ 23
Página 4 de 23 1. RESUMO EXECUTIVO Este relatório descreve detalhadamente os resultados encontrados dos Testes de Invasão realizados no servidor e aplicações web da rede JOÃOSUPERMERCADOS. Estes testes foram realizados por profissionais qualificados e certificados na área. O objetivo do procedimento efetuado foi identificar e explorar vulnerabilidades de infraestrutura e aplicações que podem impactar nos negócios da rede JOÃOSUPERMERCADOS, antes que um usuário malicioso ou um ataque externo o faça. Para avaliar a segurança da infraestrutura e das aplicações, a DEXTERLAB CONSULTORIAS, durante o período de testes, do dia 10/11 à 14/11/2014, realizou acessos não autorizados, obtenção de informações confidenciais e identificou e explorou outros tipos de vulnerabilidades. Inicialmente o reconhecimento da rede foi executado no endereço IP fornecido pela rede JOÃOSUPERMERCADOS, entendendo entre ambas as partes que estes mesmos fazem parte do escopo do acordo. Apesar da rede JOÃOSUPERMERCADOS ter uma presença externa mínima, com apenas um domínio, pelas vulnerabilidades encontradas neste último, a superfície de ataque para usuários com más intenções é muito grande. Recomenda-se que o resultado destes testes sejam usados pela rede JOÃOSUPERMERCADOS para tomar decisões de melhoria quanto ao seu programa de segurança da informação. É importante enfatizar que todos os resultados transparecem o estado de segurança do ambiente de TI somente no período acordado e por esta razão é interessante que o cliente se submeta novamente aos testes a cada mudança realizada em seu ambiente ou em intervalos de 3 a 6 meses.
Página 5 de 23 2. ESCOPO Assim como todo projeto de segurança da informação, as estratégias e táticas que serão aplicadas nos testes de invasão devem ser muito bem planejadas. Por esta razão juntamente com os diretores da JOÃOSUPERMERCADOS, diversas reuniões foram realizadas para definir bem o escopo do serviço de Pentesting que foi realizado pela equipe de profissionais da DEXTERLAB CONSULTORIAS. A JOÃOSUPERMERCADOS se submeteu aos testes de invasão buscando alcançar os seguintes objetivos:  Testar a efetividade das suas soluções tecnológicas implementadas;  Determinar as medidas que devem ser tomadas para melhor aliviar os riscos provenientes das vulnerabilidades e ameaças detectadas;  E avaliar a habilidade de reação do departamento de TI em identificar e responder aos ataques corretamente. Preocupados com o impacto que os testes poderiam causar ao seu ambiente de TI, foi solicitado à realização de um Pentesting menos agressivo, onde as explorações não causariam a disponibilidade dos sistemas. Por ter um ambiente relativamente pequeno, o prazo estipulado e acordado para os dias, foi de uma semana, sem contar com os dois dias do final de semana, sábado e domingo. Iniciando no dia 10/11/14 com término no dia 14/11/14. Sendo este prazo alterado, se solicitado. O tipo de teste executado foi o não anunciado e o Grey-box. Quando os testes não são anunciados, significa que todos os funcionários não sabem que estão sendo auditados. E por ser Grey-box, a Equipe de Pentesting da DEXTERLAB CONSULTORIAS teve acesso somente algumas informações como endereços IPs, sendo eles responsáveis por descobrir as outras informações. A garantia das informações aqui reportadas foi assegurada por meio da assinatura de um contrato formal, onde a DEXTERLAB CONSULTORIAS juntamente com o JOÃOSUPERMERCADOS concordou em não divulgar as informações compreendidas pelo acordo. 2.1 SISTEMAS ALVOS Segue a lista das URLS e servidor definidos como alvo para os testes de invasão:
Página 6 de 23 APLICAÇÕES URL 1 vitor.physecure.com.br URL2 192.168.56.102/dvwa SERVIDOR (Metasploitable) ENDEREÇO IP 192.168.56.102 3. METODOLOGIA No ambiente da Tecnologia da Informação, diversas metodologias são usadas para diferentes finalidades, compreendendo não só os níveis táticos, mas também o operacional da organização. Dessa forma, é fato concluir que a metodologia é parte fundamental no processo de execução de um Pentesting, pois o mesmo consiste em um conjunto de procedimentos. Apesar de existirem diferentes metodologias no mercado, como OSSTMM, OWASP, ISSAF, NIST, que podem ser executadas para aplicar um Pentesting, a DEXTERLAB CONSULTORIAS baseada na sua experiência de mercado prefere utilizar a sua própria, composta de quatro fases: Os tamanhos das caixas coloridas variam representando a jornada do amplo ao específico ao longo do Pentesting. Por exemplo, a fase inicial de coleta de informações recomenda-se que seja a mais duradora, pois quanto maior o conhecimento sobre o ambiente alvo, mais fácil será invadi-lo. A duração de cada fase pode variar dependendo das informações encontradas. 3.1 FERRAMENTAS Várias ferramentas comerciais e de código aberto foram usadas durante os testes. São elas:
Página 7 de 23 Port Scanning e FootPrinting Nmap, Google Enumeração em Aplicações Web Nikto Identificação de Vulnerabilidades Nessus Teste de Invasão em Redes Metasploit Framework, Hashcat Teste de Invasão em Aplicações Web Burp – Free Edition Verificação e Pesquisa de Vulnerabilidades http://securityfocus.com, http://www.osvdb.org, http://www.metasploit.com, www.exploit-db.com/ 3.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES Ao longo do documento, cada vulnerabilidade descrita foi classificada com níveis de severidade. Esta classificação de severidade foi adotada de acordo com o impacto que as mesmas podem causar se exploradas. As categorias são Baixo, Moderado e Alto: Baixo: São condições identificadas que não resulta diretamente no comprometimento de uma rede, sistema, aplicação ou informação. Mas pode ser usado em conjunto com outras informações para ganhar o conhecimento para comprometer estes recursos. Geralmente apresenta poucas informações sobre um ativo. Como por exemplo, ao banner de algum serviço. Moderado: Vulnerabilidades classificadas com este tipo de severidade incluem sistemas, arquivos e serviços não protegidos que podem causar a negação dos serviços de sistemas não críticos ou exposição de informações de configurações, que podem fornecer detalhes que facilitaram uma futura exploração. Alto: São condições identificadas que podem comprometer diretamente uma rede, sistema, aplicação ou informação. Exemplos de vulnerabilidades altas, incluem buffer overflows, senhas fracas ou a não utilizam delas, não criptografia, o que pode resultar na negação de serviços ou sistemas críticos; acesso não autorizado; e a divulgação de informações.
Página 8 de 23 4.RELATÓRIO TÉCNICO 4.1 INFRAESTRUTURA Segundo o contrato acordado com a JOÃOSUPERMERCADOS, somente o servidor Metasploitable de IP 192.168.56.102 poderia ser testado. Sabendo disso, inicialmente foi realizado um mapeamento, para coleta de informações, do alvo com a ferramenta Nmap. Com a ferramenta foi possível identificar as portas, serviços e sistema operacional em execução. Os parâmetros foram combinados em um mesmo comando por questão de praticidade. O parâmetro usado para mostrar as portas abertas na vítima foi o TCP SYN Scan (-sS), pois apesar de ser mais lento do que o TCP Connect Scan (-sT), é mais difícil de ser detectado. O “-sV” para informar as versões dos serviços que estavam executando em cada porta aberta e o “-O”, para indicar o sistema operacional que o Metasploitable estava rodando. Dentre as vinte e três portas abertas, novecentos e setenta e sete portas foram dadas como fechadas. E em relação à identificação do sistema operacional, ela não foi exata, pois o Nmap indicou corretamente que é uma máquina GNU/LINUX, mas não soube identificar especificamente a versão. O fato das portas apresentadas no screenshot estarem abertas, não são sinônimos da máquina estar vulnerável, mas apenas que há um serviço sendo oferecido naquela porta. Por esta razão, uma análise mais a fundo de cada informação apresentada no mapeamento, foi feita e para auxiliar a identificação de vulnerabilidades, optou-se por usar a ferramenta Nessus.
Página 9 de 23 4.1.1 Ausência de senha no acesso remoto ao MySQL Nível de Severidade Alto Resumo A varredura da ferramenta Nessus nos informou que o banco MySQL que está execução no servidor Metasploitable, pode ser acessado remotamente sem a necessidade de utilizar senhas, o que possibilita a um atacante ter acesso a todo o banco de dados remotamente. Prova de Conceito Para comprovar a vulnerabilidade, foi realizada a tentativa de acesso ao banco, com o usuário administrador, sem senha e de imediato o acesso foi obtido. Estando dentro do banco de dados foi possível conhecer a organização do mesmo. Como evidência, usamos o banco da aplicação dvwa e selecionamos a coluna usuários:
Página 10 de 23 Identificamos que esta base dvwa, as senhas estão sendo armazenadas com os seus respectivos hashes. Como essa não é uma forma segura de armazená-las em um banco, usamos a ferramenta hashcat para realizar um ataque de dicionário, passando arquivos como parâmetros e assim quebramos a senha do administrador: Na base da owasp10 obtivemos acesso a uma informação extremamente confidencial e crítica que são as de cartão de crédito dos clientes: E a senha de cada usuário que está armazenada em texto plano:
Página 11 de 23 Recomendação Como foi possível ter acesso ao banco com privilégios de administrador, a primeira recomendação é criar uma senha forte, com no mínimo dez caracteres, contendo letras maiúsculas e minúsculas, números e caracteres especiais para o acesso remoto. Segunda recomendação é limitar o acesso ao banco através do Firewall, por exemplo, para um IP específico, no caso o administrador do banco. A terceira é atualizar a versão do banco para a mais nova, pois está executando uma versão bastante vulnerável e última, é proteger os dados dos clientes criptografando- os, garantindo uma proteção maior aos dados armazenados na base. Referências http://www.mysql.com/ http://dev.mysql.com/doc/refman/5.6/en/writing-password-validation-plugins.html http://dev.mysql.com/doc/refman/5.0/en/encryption-functions.html http://www.myquerybuilder.com/help/howtosetupaconnection 4.1.2 Política de Senha fraca no VNC Server Nível de Severidade Alto Resumo A varredura da ferramenta Nessus nos informou que o servidor VNC, usado para possibilitar interfaces gráficas remotas no Metasploitable, pode ser acessado com uma senha fraca, ou seja, está utilizando uma Política de Senhas Fraca, possibilitando a um atacante ter acesso e controle da máquina vulnerável com facilidade.
Página 12 de 23 Prova de Conceito Para comprovar a vulnerabilidade, tentamos e conseguimos acesso ao servidor com a senha “password” apresentada pelo Nessus: Estando dentro do servidor Metasploitable, foi possível navegar pelo sistema de arquivos do sistema, encontrando usuários que possuem shell, os bancos e aplicações hospedadas, entre outras coisas. Para garantir que este acesso não seria perdido, a senha de root foi trocada, para possibilitar o acesso posterior à máquina por meio de SSH e ainda outro usuário foi criado:
Página 13 de 23 Recomendação Como foi possível ter acesso ao servidor com privilégios de administrador, a primeira recomendação é seguir a Política de Senhas fortes já comentadas na subseção anterior para o acesso remoto. Substituir o uso do VNC no servidor por um tipo de acesso mais seguro como o SSH, o qual garante que os dados trafegados entre cliente e servidor são criptografados, limitando o acesso a determinadas máquinas por meio de chaves criptográficas. Referências http://www.openssh.com/ https://www.realvnc.com/products/vnc/documentation/5.0/guides/user/aj1074738.html 4.2 APLICAÇÕES WEB DVWA 4.2.1 Injeção no formulário de upload Nível de Severidade Alto Resumo A partir da exploração da vulnerabilidade já apresentada na subseção 4.1.1, obtivemos as credenciais de acesso à aplicação dvwa. Nela exploramos o formulário de upload. Que por falhas de programação não valida adequadamente o tipo de extensão que está sendo enviada para o servidor, o que possibilita a um atacante inserir scripts para obtiver uma shell reversa da máquina vulnerável. Prova de conceito Como não há uma validação apropriada, usando o “msfpayload” da ferramenta Metasploit Framework, foi criado um arquivo com o nome “php_shell_reverso.php”, responsável por montar o túnel reverso com a vítima e inserimos no campo:
Página 14 de 23 Para ativar uma conexão reversa na porta 4444 com a nossa máquina, primeiramente foi setado pelo “msfconsole” do Metasploit Framework um listener, o qual ficou esperando a execução do código. Execução do código php pelo navegador:
Página 15 de 23 Após a execução do código, uma sessão “meterpreter” é retornada. Nela, há a possibilidade de fazer o dump dos hashes de senhas do sistema, migrar para outro processo, além de disponibilizar um shell interativo para que sejam escalados privilégios com a execução de comandos específicos na máquina alvo. Como evidência da exploração, um arquivo chamado “hackeado.html” foi criado e hospedado no servidor, comprovando também que haveria a possibilidade de ser realizar um deface das páginas hospedadas.
Página 16 de 23 Recomendação Para evitar que este tipo de vulnerabilidade exista na aplicação e ela seja explorada, é recomendado que em nível de código, seja inserida uma validação das extensões dos arquivos, de acordo com a função do campo, que pode variar desde aceitar documentos como imagens. Referências http://stackoverflow.com/questions/254184/filter-extensions-in-html-form-upload http://stackoverflow.com/questions/310714/how-to-check-file-types-of-uploaded-files-in-php PHYSECURE Na aplicação physecure, disponibilizada no domínio vitor.physecure.com.br (54.173.106.152), por não gerar tantas requisições, o que poderia comprometer a disponibilidade da aplicação, o web server scanner Nikto foi o selecionado para coletar as informações iniciais que auxiliaram a execução das etapas do processo de invasão. Com este scanner open-source as configurações dos servidores foram checadas, foram verificados a presença de diretórios ocultos, opções de HTTP usados, entre outras informações. De fato os resultados do Nikto nos trouxe uma série de detalhes e recursos que são considerados vulnerabilidades, alguns deles foram explorados por nós nas subseções a seguir.
Página 17 de 23 4.2.2 Referência insegura e direta a objetos Nível de Severidade Moderado Resumo A referência direta ao objeto acontece quando um programador expõe a referência de objetos que deveriam ser somente visualizados em ambientes de homologação, como arquivos, diretórios ou chaves do banco. Quando não há uma verificação ou controle de acesso sobre estes objetos, atacantes podem manipular estas referências para obter acesso não autorizado a dados. Prova de conceito A fim de comprovar que de fato a vulnerabilidade da referência direta de objetos apresenta pela ferramenta Nikto existe, a navegação pelos diretórios informados e outros foi executada: No decorrer da navegação o arquivo de backup do banco da aplicação foi encontrado. O fato de não ter um controle de acesso apropriado para um tipo de arquivo tão crítico como este, torna a vulnerabilidade, que tem o seu nível de severidade classificada como moderada, em crítico.
Página 18 de 23 Analisando detalhadamente o arquivo de backup, conhecemos a estrutura e organização do banco da aplicação, como versão, base, tabelas, colunas, usuários e senhas. Com todos os dados em mãos, um usuário da base da aplicação foi selecionado, no caso Ramiro Santos e com suas credenciais, matrícula e senha, acessamos a aplicação:
Página 19 de 23 A mesma vulnerabilidade existente na página principal da aplicação, anteriormente ao processo de logon, que nos permitiu encontrar o arquivo de backup, também existe sobre a perspectiva do usuário logado. Pois, o Ramiro Santos, que deveria visualizar somente os chamados 106, 107 e 108, poderia através da manipulação da URL acessar outros incidentes que não são de sua responsabilidade. Comprovamos este ponto manipulando o parâmetro “seq” para o número 150 na URL: Recomendação Com o uso de boas práticas de desenvolvimento seguro esta vulnerabilidade pode ser facilmente mitigada, bastando aplicar mapeamentos de referências e validações de acessos por cada usuário. Referências https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References 4.2.3 Exposição de dados sensíveis Nível de Severidade Alto Resumo Muitas aplicações web não protegem devidamente os dados sensíveis, tais como cartões de crédito, IDs e credenciais de acesso. Os atacantes podem explorar esta vulnerabilidade para roubar ou modificar esses dados desprotegidos. Por esta razão, parada dados sensíveis é recomendado sempre utilizar a criptografia tanto no armazenamento quanto no trânsito de dados na rede (HTTPS). Prova de conceito Sabe-se que o protocolo HTTP permite a transferência de páginas web entre o cliente web (browser) e o servidor web. Este protocolo deve ser usado somente quando informações
Página 20 de 23 confidenciais não estão sendo transmitidas entre eles. Neste caso, isso significa que por aplicação physecure ter em backend um banco com as credenciais de acesso dos usuários, deveria estar utilizando o protocolo HTTPS para garantir a confidencialidade e integridade dos dados trafegados. Tendo o Burp Suite atuando como proxy, comprovou-se que os dados estão trafegando em texto plano. Evidência coletada após inserir uma matrícula e senha qualquer: Recomendação A utilização do HTTPS como um HTTP com o SSL (Secure Socket Layer) ou, com TLS (Transport Layer Security) adicionam camadas de segurança que fornecem a confidencialidade e integridade das comunicações, por isso é importantíssimo que em aplicações como estas onde são trafegadas informações sensíveis seja utilizado este protocolo. Referências https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure 4.2.4 Cross-Site-Scripting Nível de Severidade Moderado Resumo Falhas de Cross-Site-Scripting, conhecidas como XSS, ocorrem sempre que uma aplicação recebe dados não confiáveis e apresenta ao navegador sem realizar a validação adequada. XSS permite aos atacantes executarem scripts no navegador da vítima, possibilitando-os “sequestrar” sessões do usuário, bem como redirecionar o usuário para sites maliciosos.
Página 21 de 23 Prova de conceito Para validar a existência desta vulnerabilidade, sobre a perspectiva do usuário logado Ramiro Santos, o seguinte código foi inserido na URL: “ <script>alert(document,cookie)</script>”, instantaneamente o navegador trouxe o cookie do usuário logado. Este tipo de exploração é chamado de XSS Stored (XSS Persistente), pois o código malicioso inserido pode ser permanentemente armazenado no servidor web, banco de dados, fórum, campo de comentários e etc. Onde o usuário torna-se vítima ao acessar a área afetada pelo armazenamento do código. Recomendação Deve-se levar em consideração que todas as entradas de dados do usuário não são confiáveis. Por isso todos os dados fornecidos por eles, devem ser verificados para assegurar que não causaram um mau comportamento da aplicação. Referências https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS) 4.2.5 Furo de Autenticação e Gerência de Sessão Nível de Severidade Alto Resumo Um dos mecanismos mais importantes para a segurança das aplicações web é a Autenticação e Gerenciamento de Sessão. Mesmo assim, comumente é possível se deparar com falhas nesses mecanismos, colocando em riscos as credenciais de acesso dos usuários.
Página 22 de 23 Prova de conceito Analisando o processo de autenticação (logon) e o logout da physecure, as vulnerabilidades a seguir foram encontradas:  Para troca de senhas não é exigido nenhuma Política de Senhas robusta;  Na autenticação não é utilizado o CAPTCHA, sistema que impede que ferramentas automatizadas realizem ataques de força bruta na senha;  As credenciais são enviadas para o servidor em texto plano;  Na troca de senhas, um link de uso único deveria ser enviado para o e-mail do solicitante e este mesmo trocaria a senha, mas não deve existir a possibilidade de repetição de credenciais já utilizadas;  Senha atual aparece em texto plano na própria aplicação;  Ao se deslogar, a sessão não é encerrada, apenas há um redirecionamento para a página principal da aplicação. Senha do usuário Ramiro Santos foi trocada para o número “1” sem envio de link por e-mail: Captura da troca da senha pelo Burp Suite: Recomendação Diversos procedimentos de mitigação destas vulnerabilidades são sugeridos pela OWASP, como por exemplo:  Não permitir que o processo de login comece em uma página não criptografada;  Impedir que o usuário possa utilizar senhas antigas;  Exigir uma Política de Senhas robustas;  Assegurar que todas as páginas tenham um link de logout;
Página 23 de 23  Encerrar a sessão do usuário ao deslogar; Entre outras que podem ser encontrados nos links de referências. Referências http://www.webappsec.org/projects/threat/classes/insufficient_authentication.shtml http://www.owasp.org/index.php/Guide_to_Authentication http://www.owasp.org/index.php/Reviewing_Code_for_Authentication http://www.owasp.org/index.php/Testing_for_authentication 5. CONCLUSÃO Durante a execução dos Testes de Invasão, diversas vulnerabilidades foram identificadas. As classificações variaram entre Moderadas e Altas. Onde foi comprovado que a exploração delas, pode causar grandes prejuízos e impactos para o negócio da JOÃOSUPERMERCADOS e seus clientes. Os objetivos principais definidos no escopo como testar a efetividade suas soluções tecnológicas implementadas e determinar as medidas que devem ser tomadas para melhor aliviar os riscos provenientes das vulnerabilidades e ameaças detectadas foram alcançados. Assumindo a identidade de um atacante com más intenções, comprovou-se que com o auxílio de ferramentas comerciais e abertas e com o mínimo de conhecimento técnico sobre elas, é possível comprometer as aplicações e oservidor, se caso boas práticas de segurança não forem aplicadas nestes ativos. Desta maneira a DEXTERLAB CONSULTORIAS sugere fortemente que todas as recomendações sejam aplicadas ou adotadas pela equipe de TI da JOÃOSUPERMERCADOS, pois são elas que irão mitigar riscos maiores ao negócio.

Recomendados

Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
teste de invasão
teste de invasãoteste de invasão
teste de invasãoClaudio Francisco Joaquim Joaquim
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceJulio Cesar Roque Benatto
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 

Recomendados

Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
teste de invasão
teste de invasãoteste de invasão
teste de invasãoClaudio Francisco Joaquim Joaquim
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Carlos Eduardo Motta de Castro
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosArthur Azevedo
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Segurança em Banco de Dados
Segurança em Banco de DadosSegurança em Banco de Dados
Segurança em Banco de DadosIorgama Porcely
 
Forense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceForense Remota utilizando ferramentas Open Source
Forense Remota utilizando ferramentas Open SourceJulio Cesar Roque Benatto
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 
Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Florin D. Tanasache
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoCarlos Henrique Martins da Silva
 
Modelo documentacao-rede
Modelo documentacao-redeModelo documentacao-rede
Modelo documentacao-redeRod Deville
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaAdriano Teixeira de Souza
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IZabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IAécio Pires
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de RedesClavis Segurança da Informação
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1Fernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim SunumBGA Cyber Security
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Jorge Willians, ITIL®, COBIT®, CompTIA Security, CEH
 
Exemplo de Plano de testes
Exemplo de Plano de testes Exemplo de Plano de testes
Exemplo de Plano de testes Leandro Rodrigues
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaatsPortal_do_Estudante_aud
 
Invasão 2ª ediçao
Invasão 2ª ediçaoInvasão 2ª ediçao
Invasão 2ª ediçaoMalco Daniel
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 

Mais conteúdo relacionado

Mais procurados

Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Florin D. Tanasache
 
Modelo documentacao-rede
Modelo documentacao-redeModelo documentacao-rede
Modelo documentacao-redeRod Deville
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetAndre Henrique
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoFernando Palma
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaAdriano Teixeira de Souza
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IZabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IAécio Pires
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1Fernando Palma
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoMarcelo Martins
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoEmerson Rocha
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaESET Brasil
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Logchuckbt
 

Mais procurados (20)

Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1
 
Aula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da InformaçãoAula 1 - Introdução a Segurança da Informação
Aula 1 - Introdução a Segurança da Informação
 
Modelo documentacao-rede
Modelo documentacao-redeModelo documentacao-rede
Modelo documentacao-rede
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Sistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e ParalelaSistemas Distribuídos - Computação Distribuída e Paralela
Sistemas Distribuídos - Computação Distribuída e Paralela
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.IZabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
Zabbix: Uma ferramenta para Gerenciamento de ambientes de T.I
 
Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes Webinar # 21 – Análise Forense de Redes
Webinar # 21 – Análise Forense de Redes
 
Curso completo COBIT 4.1
Curso completo COBIT 4.1Curso completo COBIT 4.1
Curso completo COBIT 4.1
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
Indicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da InformaçãoIndicadores na Gestão de Riscos de Segurança da Informação
Indicadores na Gestão de Riscos de Segurança da Informação
 
BGA Eğitim Sunum
BGA Eğitim SunumBGA Eğitim Sunum
BGA Eğitim Sunum
 
Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]Forense computacional(ufpe)[1]
Forense computacional(ufpe)[1]
 
Exemplo de Plano de testes
Exemplo de Plano de testes Exemplo de Plano de testes
Exemplo de Plano de testes
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Como implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresaComo implementar um SGSI eficiente na empresa
Como implementar um SGSI eficiente na empresa
 
Understanding the Event Log
Understanding the Event LogUnderstanding the Event Log
Understanding the Event Log
 
01 introducaocaats
01 introducaocaats01 introducaocaats
01 introducaocaats
 

Destaque

Invasão 2ª ediçao
Invasão 2ª ediçaoInvasão 2ª ediçao
Invasão 2ª ediçaoMalco Daniel
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2Designer Info
 
Apresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoApresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoFernando Vargas
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesBruno Alexandre
 
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...Flávio Ferreira
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Exemplo de relatório de pda
Exemplo de relatório de pdaExemplo de relatório de pda
Exemplo de relatório de pdaFred Graef
 
Apresentação coca cola
Apresentação coca colaApresentação coca cola
Apresentação coca colaNeil Azevedo
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Clavis Segurança da Informação
 
Modelo relatório individual
Modelo relatório individualModelo relatório individual
Modelo relatório individualstraraposa
 
Modelo relatorio
Modelo relatorioModelo relatorio
Modelo relatoriorsaloes
 

Destaque (15)

Invasão 2ª ediçao
Invasão 2ª ediçaoInvasão 2ª ediçao
Invasão 2ª ediçao
 
Segurança em redes sem fio 2
Segurança em redes sem fio 2Segurança em redes sem fio 2
Segurança em redes sem fio 2
 
Apresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_maliciosoApresentacao invasao arquivo_malicioso
Apresentacao invasao arquivo_malicioso
 
Pentest Auto-Ensinado
Pentest Auto-EnsinadoPentest Auto-Ensinado
Pentest Auto-Ensinado
 
Segurança de redes wi fi - WPA
Segurança de redes wi fi - WPASegurança de redes wi fi - WPA
Segurança de redes wi fi - WPA
 
Palestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de RedesPalestra: Pentest - Intrusão de Redes
Palestra: Pentest - Intrusão de Redes
 
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...
Tcc 2011 - BSI - Análise de Vulnerabilidades em Redes WI-FI utilizando a Té...
 
Grandes navegações1
Grandes navegações1Grandes navegações1
Grandes navegações1
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Exemplo de relatório de pda
Exemplo de relatório de pdaExemplo de relatório de pda
Exemplo de relatório de pda
 
Apresentação coca cola
Apresentação coca colaApresentação coca cola
Apresentação coca cola
 
Modelo parecer social
Modelo parecer socialModelo parecer social
Modelo parecer social
 
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13 Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
Palestra "Teste de Invasão com o Nmap Scripting Engine"" FISL 13
 
Modelo relatório individual
Modelo relatório individualModelo relatório individual
Modelo relatório individual
 
Modelo relatorio
Modelo relatorioModelo relatorio
Modelo relatorio
 

Semelhante a Relatório de Pentest com vulnerabilidades

[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azureEnrique Gustavo Dutra
 
Aula 3 - Introdução ao Teste.pptx
Aula 3 - Introdução ao Teste.pptxAula 3 - Introdução ao Teste.pptx
Aula 3 - Introdução ao Teste.pptxALEXANDRELISBADASILV
 
Aula 5 - Introdução ao Teste.pptx
Aula 5 - Introdução ao Teste.pptxAula 5 - Introdução ao Teste.pptx
Aula 5 - Introdução ao Teste.pptxAlexandreLisboadaSil
 
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...GUTS-RS
 
Conceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidadeConceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidaderzauza
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Rafael Targino
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Marena Cutnei
 
Segurança da informação em ambientes corporativos: analise de segurança da in...
Segurança da informação em ambientes corporativos: analise de segurança da in...Segurança da informação em ambientes corporativos: analise de segurança da in...
Segurança da informação em ambientes corporativos: analise de segurança da in...Diego Villendel Rodrigues Rocha
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecJoas Antonio dos Santos
 
ITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - ApresentaçãoITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - ApresentaçãoJefferson Andrade
 
Tcc lucas rodrigues-14986
Tcc lucas rodrigues-14986Tcc lucas rodrigues-14986
Tcc lucas rodrigues-14986Elisabete Vidal
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
Palestra Fundamentos de Testes - Tche linux POA
Palestra Fundamentos de Testes - Tche linux POAPalestra Fundamentos de Testes - Tche linux POA
Palestra Fundamentos de Testes - Tche linux POAAline Zanin
 
TheDevConf - DEVTEST - POA - 2023.pdf
TheDevConf - DEVTEST - POA - 2023.pdfTheDevConf - DEVTEST - POA - 2023.pdf
TheDevConf - DEVTEST - POA - 2023.pdfBrunoLusadaCosta
 
Teste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSTeste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSFabrício Campos
 
Projeto Aplicado 4°Ciclo Grp01 Testes De Software
Projeto Aplicado 4°Ciclo Grp01 Testes De SoftwareProjeto Aplicado 4°Ciclo Grp01 Testes De Software
Projeto Aplicado 4°Ciclo Grp01 Testes De SoftwareLuiz Nakazone
 
Fundamentos de testes de Software
Fundamentos de testes de SoftwareFundamentos de testes de Software
Fundamentos de testes de SoftwareThayse Severiano
 

Semelhante a Relatório de Pentest com vulnerabilidades (20)

[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure[Pt br] - 36751 - mitre att&amp;ck - azure
[Pt br] - 36751 - mitre att&amp;ck - azure
 
Aula 3 - Introdução ao Teste.pptx
Aula 3 - Introdução ao Teste.pptxAula 3 - Introdução ao Teste.pptx
Aula 3 - Introdução ao Teste.pptx
 
Aula 5 - Introdução ao Teste.pptx
Aula 5 - Introdução ao Teste.pptxAula 5 - Introdução ao Teste.pptx
Aula 5 - Introdução ao Teste.pptx
 
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
[GUTS-RS] Evento julho 2017 - Como iniciar os testes de performance em uma a...
 
Conceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidadeConceitos e fundamentos sobre testes de software e garantia da qualidade
Conceitos e fundamentos sobre testes de software e garantia da qualidade
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
 
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
Scrum Gathering Rio 2016 - Cinco Desafios na Definição de uma Metodologia Ági...
 
Teste de Software
Teste de SoftwareTeste de Software
Teste de Software
 
Segurança da informação em ambientes corporativos: analise de segurança da in...
Segurança da informação em ambientes corporativos: analise de segurança da in...Segurança da informação em ambientes corporativos: analise de segurança da in...
Segurança da informação em ambientes corporativos: analise de segurança da in...
 
Como começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day FatecComo começar na área de PenTest - Womcy Security Day Fatec
Como começar na área de PenTest - Womcy Security Day Fatec
 
ITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - ApresentaçãoITA CE-230 Lista de Exercício 3 - Apresentação
ITA CE-230 Lista de Exercício 3 - Apresentação
 
Tcc lucas rodrigues-14986
Tcc lucas rodrigues-14986Tcc lucas rodrigues-14986
Tcc lucas rodrigues-14986
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
Palestra Fundamentos de Testes - Tche linux POA
Palestra Fundamentos de Testes - Tche linux POAPalestra Fundamentos de Testes - Tche linux POA
Palestra Fundamentos de Testes - Tche linux POA
 
TheDevConf - DEVTEST - POA - 2023.pdf
TheDevConf - DEVTEST - POA - 2023.pdfTheDevConf - DEVTEST - POA - 2023.pdf
TheDevConf - DEVTEST - POA - 2023.pdf
 
Teste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATSTeste de Performance - 3º Encontro da ALATS
Teste de Performance - 3º Encontro da ALATS
 
Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urna
 
Questionario CTFL - Foundation Level
Questionario CTFL - Foundation LevelQuestionario CTFL - Foundation Level
Questionario CTFL - Foundation Level
 
Projeto Aplicado 4°Ciclo Grp01 Testes De Software
Projeto Aplicado 4°Ciclo Grp01 Testes De SoftwareProjeto Aplicado 4°Ciclo Grp01 Testes De Software
Projeto Aplicado 4°Ciclo Grp01 Testes De Software
 
Fundamentos de testes de Software
Fundamentos de testes de SoftwareFundamentos de testes de Software
Fundamentos de testes de Software
 

Relatório de Pentest com vulnerabilidades

  • 1. Página 1 de 23 RELATÓRIO DE TESTE DE INVASÃO DE: PARA: © DEXTERLAB CONSULTORIAS - Todos os direitos reservados 2014 Este documento contém informações confidenciais e proprietárias. É destinado somente para uso exclusivo da rede JOÃOSUPERMERCADOS. A reprodução ou o uso não autorizado deste documento é proibido. Diversos testes foram conduzidos pelos profissionais de segurança da DEXTERLAB CONSULTORIA. A DEXTERLAB garante que todos os pontos apresentados neste relatório são verdadeiros através de provas de conceitos. Estes Testes de Invasão identificou e explorou diversas vulnerabilidades que podem causar grandes prejuízos ao negócio da empresa. Como sempre surgem novas vulnerabilidades, recomenda-se que testes como esses sejam conduzidos a cada mudança realizada no ambiente de TI ou em intervalos de 3 a 6 meses.
  • 2. Página 2 de 23 DETALHES DO DOCUMENTO Empresa Cliente JoãoSupermercados Título do Documento Relatório dos Testes de Invasão Referência DL-2014010 Classificação Confidencial Tipo de documento Relatório Responsável pelos testes Empresa Contratada Equipe de Pentesting DEXTERLAB CONSULTORIAS HISTÓRICO DO DOCUMENTO Data Versão Autor Comentários 10/11/2014 01.00 Vitor Melo Versão Inicial. 16/11/2014 01.01 Vitor Melo Revisão do documento. CONTATO Para mais informações sobre este documento e seu conteúdo, por favor, entrar em contato com os serviços profissionais da DEXTERLAB CONSULTORIAS. Nome DEXTERLAB CONSULTORIAS Endereço R. Carlos Silveira Santos, 850 - Centro, João Pessoa - PB, 58040-390 Telefone (83) 3241-1989 E-mail dexterlab@consultorias.com
  • 3. Página 3 de 23 CONTEÚDO 1. RESUMO EXECUTIVO ............................................................................................................ 4 2. ESCOPO ................................................................................................................................. 5 2.1 SISTEMAS ALVOS ........................................................................................................... 5 3. METODOLOGIA ......................................................................................................................... 6 3.1 FERRAMENTAS .................................................................................................................... 6 3.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES ................................................. 7 4.RELATÓRIO TÉCNICO ................................................................................................................. 8 4.1 INFRAESTRUTURA ............................................................................................................... 8 4.1.1 Ausência de senha no acesso remoto ao MySQL ......................................................... 9 4.1.2 Política de Senha fraca no VNC Server ....................................................................... 11 4.2 APLICAÇÕES WEB .............................................................................................................. 13 4.2.1 Injeção no formulário de upload ................................................................................ 13 4.2.2 Referência insegura e direta a objetos ...................................................................... 17 4.2.3 Exposição de dados sensíveis ..................................................................................... 19 4.2.4 Cross-Site-Scripting .................................................................................................... 20 4.2.5 Furo de Autenticação e Gerência de Sessão .............................................................. 21 5. CONCLUSÃO ............................................................................................................................ 23
  • 4. Página 4 de 23 1. RESUMO EXECUTIVO Este relatório descreve detalhadamente os resultados encontrados dos Testes de Invasão realizados no servidor e aplicações web da rede JOÃOSUPERMERCADOS. Estes testes foram realizados por profissionais qualificados e certificados na área. O objetivo do procedimento efetuado foi identificar e explorar vulnerabilidades de infraestrutura e aplicações que podem impactar nos negócios da rede JOÃOSUPERMERCADOS, antes que um usuário malicioso ou um ataque externo o faça. Para avaliar a segurança da infraestrutura e das aplicações, a DEXTERLAB CONSULTORIAS, durante o período de testes, do dia 10/11 à 14/11/2014, realizou acessos não autorizados, obtenção de informações confidenciais e identificou e explorou outros tipos de vulnerabilidades. Inicialmente o reconhecimento da rede foi executado no endereço IP fornecido pela rede JOÃOSUPERMERCADOS, entendendo entre ambas as partes que estes mesmos fazem parte do escopo do acordo. Apesar da rede JOÃOSUPERMERCADOS ter uma presença externa mínima, com apenas um domínio, pelas vulnerabilidades encontradas neste último, a superfície de ataque para usuários com más intenções é muito grande. Recomenda-se que o resultado destes testes sejam usados pela rede JOÃOSUPERMERCADOS para tomar decisões de melhoria quanto ao seu programa de segurança da informação. É importante enfatizar que todos os resultados transparecem o estado de segurança do ambiente de TI somente no período acordado e por esta razão é interessante que o cliente se submeta novamente aos testes a cada mudança realizada em seu ambiente ou em intervalos de 3 a 6 meses.
  • 5. Página 5 de 23 2. ESCOPO Assim como todo projeto de segurança da informação, as estratégias e táticas que serão aplicadas nos testes de invasão devem ser muito bem planejadas. Por esta razão juntamente com os diretores da JOÃOSUPERMERCADOS, diversas reuniões foram realizadas para definir bem o escopo do serviço de Pentesting que foi realizado pela equipe de profissionais da DEXTERLAB CONSULTORIAS. A JOÃOSUPERMERCADOS se submeteu aos testes de invasão buscando alcançar os seguintes objetivos:  Testar a efetividade das suas soluções tecnológicas implementadas;  Determinar as medidas que devem ser tomadas para melhor aliviar os riscos provenientes das vulnerabilidades e ameaças detectadas;  E avaliar a habilidade de reação do departamento de TI em identificar e responder aos ataques corretamente. Preocupados com o impacto que os testes poderiam causar ao seu ambiente de TI, foi solicitado à realização de um Pentesting menos agressivo, onde as explorações não causariam a disponibilidade dos sistemas. Por ter um ambiente relativamente pequeno, o prazo estipulado e acordado para os dias, foi de uma semana, sem contar com os dois dias do final de semana, sábado e domingo. Iniciando no dia 10/11/14 com término no dia 14/11/14. Sendo este prazo alterado, se solicitado. O tipo de teste executado foi o não anunciado e o Grey-box. Quando os testes não são anunciados, significa que todos os funcionários não sabem que estão sendo auditados. E por ser Grey-box, a Equipe de Pentesting da DEXTERLAB CONSULTORIAS teve acesso somente algumas informações como endereços IPs, sendo eles responsáveis por descobrir as outras informações. A garantia das informações aqui reportadas foi assegurada por meio da assinatura de um contrato formal, onde a DEXTERLAB CONSULTORIAS juntamente com o JOÃOSUPERMERCADOS concordou em não divulgar as informações compreendidas pelo acordo. 2.1 SISTEMAS ALVOS Segue a lista das URLS e servidor definidos como alvo para os testes de invasão:
  • 6. Página 6 de 23 APLICAÇÕES URL 1 vitor.physecure.com.br URL2 192.168.56.102/dvwa SERVIDOR (Metasploitable) ENDEREÇO IP 192.168.56.102 3. METODOLOGIA No ambiente da Tecnologia da Informação, diversas metodologias são usadas para diferentes finalidades, compreendendo não só os níveis táticos, mas também o operacional da organização. Dessa forma, é fato concluir que a metodologia é parte fundamental no processo de execução de um Pentesting, pois o mesmo consiste em um conjunto de procedimentos. Apesar de existirem diferentes metodologias no mercado, como OSSTMM, OWASP, ISSAF, NIST, que podem ser executadas para aplicar um Pentesting, a DEXTERLAB CONSULTORIAS baseada na sua experiência de mercado prefere utilizar a sua própria, composta de quatro fases: Os tamanhos das caixas coloridas variam representando a jornada do amplo ao específico ao longo do Pentesting. Por exemplo, a fase inicial de coleta de informações recomenda-se que seja a mais duradora, pois quanto maior o conhecimento sobre o ambiente alvo, mais fácil será invadi-lo. A duração de cada fase pode variar dependendo das informações encontradas. 3.1 FERRAMENTAS Várias ferramentas comerciais e de código aberto foram usadas durante os testes. São elas:
  • 7. Página 7 de 23 Port Scanning e FootPrinting Nmap, Google Enumeração em Aplicações Web Nikto Identificação de Vulnerabilidades Nessus Teste de Invasão em Redes Metasploit Framework, Hashcat Teste de Invasão em Aplicações Web Burp – Free Edition Verificação e Pesquisa de Vulnerabilidades http://securityfocus.com, http://www.osvdb.org, http://www.metasploit.com, www.exploit-db.com/ 3.2 CLASSIFICAÇÃO DOS IMPACTOS DAS VULNERABILIDADES Ao longo do documento, cada vulnerabilidade descrita foi classificada com níveis de severidade. Esta classificação de severidade foi adotada de acordo com o impacto que as mesmas podem causar se exploradas. As categorias são Baixo, Moderado e Alto: Baixo: São condições identificadas que não resulta diretamente no comprometimento de uma rede, sistema, aplicação ou informação. Mas pode ser usado em conjunto com outras informações para ganhar o conhecimento para comprometer estes recursos. Geralmente apresenta poucas informações sobre um ativo. Como por exemplo, ao banner de algum serviço. Moderado: Vulnerabilidades classificadas com este tipo de severidade incluem sistemas, arquivos e serviços não protegidos que podem causar a negação dos serviços de sistemas não críticos ou exposição de informações de configurações, que podem fornecer detalhes que facilitaram uma futura exploração. Alto: São condições identificadas que podem comprometer diretamente uma rede, sistema, aplicação ou informação. Exemplos de vulnerabilidades altas, incluem buffer overflows, senhas fracas ou a não utilizam delas, não criptografia, o que pode resultar na negação de serviços ou sistemas críticos; acesso não autorizado; e a divulgação de informações.
  • 8. Página 8 de 23 4.RELATÓRIO TÉCNICO 4.1 INFRAESTRUTURA Segundo o contrato acordado com a JOÃOSUPERMERCADOS, somente o servidor Metasploitable de IP 192.168.56.102 poderia ser testado. Sabendo disso, inicialmente foi realizado um mapeamento, para coleta de informações, do alvo com a ferramenta Nmap. Com a ferramenta foi possível identificar as portas, serviços e sistema operacional em execução. Os parâmetros foram combinados em um mesmo comando por questão de praticidade. O parâmetro usado para mostrar as portas abertas na vítima foi o TCP SYN Scan (-sS), pois apesar de ser mais lento do que o TCP Connect Scan (-sT), é mais difícil de ser detectado. O “-sV” para informar as versões dos serviços que estavam executando em cada porta aberta e o “-O”, para indicar o sistema operacional que o Metasploitable estava rodando. Dentre as vinte e três portas abertas, novecentos e setenta e sete portas foram dadas como fechadas. E em relação à identificação do sistema operacional, ela não foi exata, pois o Nmap indicou corretamente que é uma máquina GNU/LINUX, mas não soube identificar especificamente a versão. O fato das portas apresentadas no screenshot estarem abertas, não são sinônimos da máquina estar vulnerável, mas apenas que há um serviço sendo oferecido naquela porta. Por esta razão, uma análise mais a fundo de cada informação apresentada no mapeamento, foi feita e para auxiliar a identificação de vulnerabilidades, optou-se por usar a ferramenta Nessus.
  • 9. Página 9 de 23 4.1.1 Ausência de senha no acesso remoto ao MySQL Nível de Severidade Alto Resumo A varredura da ferramenta Nessus nos informou que o banco MySQL que está execução no servidor Metasploitable, pode ser acessado remotamente sem a necessidade de utilizar senhas, o que possibilita a um atacante ter acesso a todo o banco de dados remotamente. Prova de Conceito Para comprovar a vulnerabilidade, foi realizada a tentativa de acesso ao banco, com o usuário administrador, sem senha e de imediato o acesso foi obtido. Estando dentro do banco de dados foi possível conhecer a organização do mesmo. Como evidência, usamos o banco da aplicação dvwa e selecionamos a coluna usuários:
  • 10. Página 10 de 23 Identificamos que esta base dvwa, as senhas estão sendo armazenadas com os seus respectivos hashes. Como essa não é uma forma segura de armazená-las em um banco, usamos a ferramenta hashcat para realizar um ataque de dicionário, passando arquivos como parâmetros e assim quebramos a senha do administrador: Na base da owasp10 obtivemos acesso a uma informação extremamente confidencial e crítica que são as de cartão de crédito dos clientes: E a senha de cada usuário que está armazenada em texto plano:
  • 11. Página 11 de 23 Recomendação Como foi possível ter acesso ao banco com privilégios de administrador, a primeira recomendação é criar uma senha forte, com no mínimo dez caracteres, contendo letras maiúsculas e minúsculas, números e caracteres especiais para o acesso remoto. Segunda recomendação é limitar o acesso ao banco através do Firewall, por exemplo, para um IP específico, no caso o administrador do banco. A terceira é atualizar a versão do banco para a mais nova, pois está executando uma versão bastante vulnerável e última, é proteger os dados dos clientes criptografando- os, garantindo uma proteção maior aos dados armazenados na base. Referências http://www.mysql.com/ http://dev.mysql.com/doc/refman/5.6/en/writing-password-validation-plugins.html http://dev.mysql.com/doc/refman/5.0/en/encryption-functions.html http://www.myquerybuilder.com/help/howtosetupaconnection 4.1.2 Política de Senha fraca no VNC Server Nível de Severidade Alto Resumo A varredura da ferramenta Nessus nos informou que o servidor VNC, usado para possibilitar interfaces gráficas remotas no Metasploitable, pode ser acessado com uma senha fraca, ou seja, está utilizando uma Política de Senhas Fraca, possibilitando a um atacante ter acesso e controle da máquina vulnerável com facilidade.
  • 12. Página 12 de 23 Prova de Conceito Para comprovar a vulnerabilidade, tentamos e conseguimos acesso ao servidor com a senha “password” apresentada pelo Nessus: Estando dentro do servidor Metasploitable, foi possível navegar pelo sistema de arquivos do sistema, encontrando usuários que possuem shell, os bancos e aplicações hospedadas, entre outras coisas. Para garantir que este acesso não seria perdido, a senha de root foi trocada, para possibilitar o acesso posterior à máquina por meio de SSH e ainda outro usuário foi criado:
  • 13. Página 13 de 23 Recomendação Como foi possível ter acesso ao servidor com privilégios de administrador, a primeira recomendação é seguir a Política de Senhas fortes já comentadas na subseção anterior para o acesso remoto. Substituir o uso do VNC no servidor por um tipo de acesso mais seguro como o SSH, o qual garante que os dados trafegados entre cliente e servidor são criptografados, limitando o acesso a determinadas máquinas por meio de chaves criptográficas. Referências http://www.openssh.com/ https://www.realvnc.com/products/vnc/documentation/5.0/guides/user/aj1074738.html 4.2 APLICAÇÕES WEB DVWA 4.2.1 Injeção no formulário de upload Nível de Severidade Alto Resumo A partir da exploração da vulnerabilidade já apresentada na subseção 4.1.1, obtivemos as credenciais de acesso à aplicação dvwa. Nela exploramos o formulário de upload. Que por falhas de programação não valida adequadamente o tipo de extensão que está sendo enviada para o servidor, o que possibilita a um atacante inserir scripts para obtiver uma shell reversa da máquina vulnerável. Prova de conceito Como não há uma validação apropriada, usando o “msfpayload” da ferramenta Metasploit Framework, foi criado um arquivo com o nome “php_shell_reverso.php”, responsável por montar o túnel reverso com a vítima e inserimos no campo:
  • 14. Página 14 de 23 Para ativar uma conexão reversa na porta 4444 com a nossa máquina, primeiramente foi setado pelo “msfconsole” do Metasploit Framework um listener, o qual ficou esperando a execução do código. Execução do código php pelo navegador:
  • 15. Página 15 de 23 Após a execução do código, uma sessão “meterpreter” é retornada. Nela, há a possibilidade de fazer o dump dos hashes de senhas do sistema, migrar para outro processo, além de disponibilizar um shell interativo para que sejam escalados privilégios com a execução de comandos específicos na máquina alvo. Como evidência da exploração, um arquivo chamado “hackeado.html” foi criado e hospedado no servidor, comprovando também que haveria a possibilidade de ser realizar um deface das páginas hospedadas.
  • 16. Página 16 de 23 Recomendação Para evitar que este tipo de vulnerabilidade exista na aplicação e ela seja explorada, é recomendado que em nível de código, seja inserida uma validação das extensões dos arquivos, de acordo com a função do campo, que pode variar desde aceitar documentos como imagens. Referências http://stackoverflow.com/questions/254184/filter-extensions-in-html-form-upload http://stackoverflow.com/questions/310714/how-to-check-file-types-of-uploaded-files-in-php PHYSECURE Na aplicação physecure, disponibilizada no domínio vitor.physecure.com.br (54.173.106.152), por não gerar tantas requisições, o que poderia comprometer a disponibilidade da aplicação, o web server scanner Nikto foi o selecionado para coletar as informações iniciais que auxiliaram a execução das etapas do processo de invasão. Com este scanner open-source as configurações dos servidores foram checadas, foram verificados a presença de diretórios ocultos, opções de HTTP usados, entre outras informações. De fato os resultados do Nikto nos trouxe uma série de detalhes e recursos que são considerados vulnerabilidades, alguns deles foram explorados por nós nas subseções a seguir.
  • 17. Página 17 de 23 4.2.2 Referência insegura e direta a objetos Nível de Severidade Moderado Resumo A referência direta ao objeto acontece quando um programador expõe a referência de objetos que deveriam ser somente visualizados em ambientes de homologação, como arquivos, diretórios ou chaves do banco. Quando não há uma verificação ou controle de acesso sobre estes objetos, atacantes podem manipular estas referências para obter acesso não autorizado a dados. Prova de conceito A fim de comprovar que de fato a vulnerabilidade da referência direta de objetos apresenta pela ferramenta Nikto existe, a navegação pelos diretórios informados e outros foi executada: No decorrer da navegação o arquivo de backup do banco da aplicação foi encontrado. O fato de não ter um controle de acesso apropriado para um tipo de arquivo tão crítico como este, torna a vulnerabilidade, que tem o seu nível de severidade classificada como moderada, em crítico.
  • 18. Página 18 de 23 Analisando detalhadamente o arquivo de backup, conhecemos a estrutura e organização do banco da aplicação, como versão, base, tabelas, colunas, usuários e senhas. Com todos os dados em mãos, um usuário da base da aplicação foi selecionado, no caso Ramiro Santos e com suas credenciais, matrícula e senha, acessamos a aplicação:
  • 19. Página 19 de 23 A mesma vulnerabilidade existente na página principal da aplicação, anteriormente ao processo de logon, que nos permitiu encontrar o arquivo de backup, também existe sobre a perspectiva do usuário logado. Pois, o Ramiro Santos, que deveria visualizar somente os chamados 106, 107 e 108, poderia através da manipulação da URL acessar outros incidentes que não são de sua responsabilidade. Comprovamos este ponto manipulando o parâmetro “seq” para o número 150 na URL: Recomendação Com o uso de boas práticas de desenvolvimento seguro esta vulnerabilidade pode ser facilmente mitigada, bastando aplicar mapeamentos de referências e validações de acessos por cada usuário. Referências https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References 4.2.3 Exposição de dados sensíveis Nível de Severidade Alto Resumo Muitas aplicações web não protegem devidamente os dados sensíveis, tais como cartões de crédito, IDs e credenciais de acesso. Os atacantes podem explorar esta vulnerabilidade para roubar ou modificar esses dados desprotegidos. Por esta razão, parada dados sensíveis é recomendado sempre utilizar a criptografia tanto no armazenamento quanto no trânsito de dados na rede (HTTPS). Prova de conceito Sabe-se que o protocolo HTTP permite a transferência de páginas web entre o cliente web (browser) e o servidor web. Este protocolo deve ser usado somente quando informações
  • 20. Página 20 de 23 confidenciais não estão sendo transmitidas entre eles. Neste caso, isso significa que por aplicação physecure ter em backend um banco com as credenciais de acesso dos usuários, deveria estar utilizando o protocolo HTTPS para garantir a confidencialidade e integridade dos dados trafegados. Tendo o Burp Suite atuando como proxy, comprovou-se que os dados estão trafegando em texto plano. Evidência coletada após inserir uma matrícula e senha qualquer: Recomendação A utilização do HTTPS como um HTTP com o SSL (Secure Socket Layer) ou, com TLS (Transport Layer Security) adicionam camadas de segurança que fornecem a confidencialidade e integridade das comunicações, por isso é importantíssimo que em aplicações como estas onde são trafegadas informações sensíveis seja utilizado este protocolo. Referências https://www.owasp.org/index.php/Top_10_2013-A6-Sensitive_Data_Exposure 4.2.4 Cross-Site-Scripting Nível de Severidade Moderado Resumo Falhas de Cross-Site-Scripting, conhecidas como XSS, ocorrem sempre que uma aplicação recebe dados não confiáveis e apresenta ao navegador sem realizar a validação adequada. XSS permite aos atacantes executarem scripts no navegador da vítima, possibilitando-os “sequestrar” sessões do usuário, bem como redirecionar o usuário para sites maliciosos.
  • 21. Página 21 de 23 Prova de conceito Para validar a existência desta vulnerabilidade, sobre a perspectiva do usuário logado Ramiro Santos, o seguinte código foi inserido na URL: “ <script>alert(document,cookie)</script>”, instantaneamente o navegador trouxe o cookie do usuário logado. Este tipo de exploração é chamado de XSS Stored (XSS Persistente), pois o código malicioso inserido pode ser permanentemente armazenado no servidor web, banco de dados, fórum, campo de comentários e etc. Onde o usuário torna-se vítima ao acessar a área afetada pelo armazenamento do código. Recomendação Deve-se levar em consideração que todas as entradas de dados do usuário não são confiáveis. Por isso todos os dados fornecidos por eles, devem ser verificados para assegurar que não causaram um mau comportamento da aplicação. Referências https://www.owasp.org/index.php/Top_10_2013-A3-Cross-Site_Scripting_(XSS) 4.2.5 Furo de Autenticação e Gerência de Sessão Nível de Severidade Alto Resumo Um dos mecanismos mais importantes para a segurança das aplicações web é a Autenticação e Gerenciamento de Sessão. Mesmo assim, comumente é possível se deparar com falhas nesses mecanismos, colocando em riscos as credenciais de acesso dos usuários.
  • 22. Página 22 de 23 Prova de conceito Analisando o processo de autenticação (logon) e o logout da physecure, as vulnerabilidades a seguir foram encontradas:  Para troca de senhas não é exigido nenhuma Política de Senhas robusta;  Na autenticação não é utilizado o CAPTCHA, sistema que impede que ferramentas automatizadas realizem ataques de força bruta na senha;  As credenciais são enviadas para o servidor em texto plano;  Na troca de senhas, um link de uso único deveria ser enviado para o e-mail do solicitante e este mesmo trocaria a senha, mas não deve existir a possibilidade de repetição de credenciais já utilizadas;  Senha atual aparece em texto plano na própria aplicação;  Ao se deslogar, a sessão não é encerrada, apenas há um redirecionamento para a página principal da aplicação. Senha do usuário Ramiro Santos foi trocada para o número “1” sem envio de link por e-mail: Captura da troca da senha pelo Burp Suite: Recomendação Diversos procedimentos de mitigação destas vulnerabilidades são sugeridos pela OWASP, como por exemplo:  Não permitir que o processo de login comece em uma página não criptografada;  Impedir que o usuário possa utilizar senhas antigas;  Exigir uma Política de Senhas robustas;  Assegurar que todas as páginas tenham um link de logout;
  • 23. Página 23 de 23  Encerrar a sessão do usuário ao deslogar; Entre outras que podem ser encontrados nos links de referências. Referências http://www.webappsec.org/projects/threat/classes/insufficient_authentication.shtml http://www.owasp.org/index.php/Guide_to_Authentication http://www.owasp.org/index.php/Reviewing_Code_for_Authentication http://www.owasp.org/index.php/Testing_for_authentication 5. CONCLUSÃO Durante a execução dos Testes de Invasão, diversas vulnerabilidades foram identificadas. As classificações variaram entre Moderadas e Altas. Onde foi comprovado que a exploração delas, pode causar grandes prejuízos e impactos para o negócio da JOÃOSUPERMERCADOS e seus clientes. Os objetivos principais definidos no escopo como testar a efetividade suas soluções tecnológicas implementadas e determinar as medidas que devem ser tomadas para melhor aliviar os riscos provenientes das vulnerabilidades e ameaças detectadas foram alcançados. Assumindo a identidade de um atacante com más intenções, comprovou-se que com o auxílio de ferramentas comerciais e abertas e com o mínimo de conhecimento técnico sobre elas, é possível comprometer as aplicações e oservidor, se caso boas práticas de segurança não forem aplicadas nestes ativos. Desta maneira a DEXTERLAB CONSULTORIAS sugere fortemente que todas as recomendações sejam aplicadas ou adotadas pela equipe de TI da JOÃOSUPERMERCADOS, pois são elas que irão mitigar riscos maiores ao negócio.