Ataques ao servidor web


A vulnerabilidade dos serviços na web

Os primeiros ataques de rede exploravam as vulnerabilidades relacionadas com a implementação de conjuntos de protocolos TCP/IP. Ao corrigi-las gradualmente, os ataques se dirigirão para as camadas aplicativas e, em especial, para a web, considerando que a maioria empresas abre o seu sistema de firewall para o tráfego na Internet.


O protocolo HTTP (ou HTTPS) representa o padrão que permite veicular as páginas web através de um mecanismo de pedidos e respostas. Utilizada essencialmente para transportar páginas web informativas (páginas web estáticas), a web tornou-se rapidamente um suporte interativo que permite fornecer serviços online. O termo aplicativo web se refere a qualquer aplicativo cuja interface pode ser acessada pela web, com a ajuda de um simples navegador. Transformado no suporte de um certo número de tecnologias (SOAP, Javascript, XML RPC, etc.), o protocolo HTTP possui atualmente um papel estratégico na segurança dos sistemas de informação. Já que os servidores web são cada vez mais protegidos, os ataques deslocaram-se progressivamente para a exploração das falhas dos aplicativos web. Assim sendo, a segurança dos serviços web deve ser um elemento a ser considerado na sua concepção e em seu desenvolvimento.

Quais são os diferentes tipos de ataques na web

As vulnerabilidades dos aplicativos web podem ser catalogadas da seguinte maneira:
vulnerabilidades do servidor web, cada vez mais raras, já que a maioria dos programadores de servidores web reforçaram a sua segurança; manipulação de URL, que consiste em alterar manualmente as configurações do URL para mudar o comportamento esperado do servidor web; proveitamento das fraquezas dos identificadores de sessão e sistemas de autenticação; injeção de código HTML e sequência de comandos entre sites (Cross-Site Scripting); injeção de comandos SQL:

vulnerabilidades do aplicativo web

Como os dados de entrada são verificados

Por natureza, o protocolo HTTP é usado para gerenciar solicitações, ou seja, para receber e enviar dados de entrada e saída. Os dados podem ser enviados de várias maneiras: pelo URL da página web, nos cabeçalhos HTTP, no corpo da solicitação (pedido POST) e através dos cookies (arquivos de internet que armazenam, temporariamente, os dados das visitas do usuário na net).


O princípio básico durante qualquer desenvolvimento informático, é que não se deve confiar nos dados enviados pelo cliente. Quase todas as vulnerabilidades dos serviços web estão relacionadas à negligência dos desenvolvedores, que não são cuidadosos o suficiente em relação ao formato dos dados inseridos pelos usuários.

Qual o impacto dos ataques na web

Os ataques contra os aplicativos web são sempre prejudiciais, porque denigrem a imagem da empresa. As consequências de um ataque bem sucedido podem resultar na desfiguração do web site; no roubo de informações; na modificação de dados e, em particular, na alteração de dados pessoais dos usuários; e na intrusão no servidor web.
Este documento, intitulado 'Ataques ao servidor web', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (https://br.ccm.net/) ao utilizar este artigo.