ATPS SEGURANÇÃ E AUDITORIA

SQL Injection

É uma Injeção de SQL é uma técnica onde os usuários mal-intencionados podem injetar comandos SQL em uma instrução SQL, através da entrada de página web.

De acordo com a OWASP as melhores práticas para se previnir de um ataque de SQLi são:

Parametrização das consultas

Usar "stored procedures"

Escapar toda entrada fornecida pelo usuário

Limitar privilégios aos acessos

Usando a função addslashes() tem o mesmo efeito que habilitar magic quotes, porém só aplica onde for conveniente. O que ela faz é colocar um caracter de escapa antes das aspas simples ou dupla, antes da barra invertida e do caracter NULL.

Usar 'prepared statements' ao invés do próprio código SQL atribuíndo todas as outras medidas de prevenção usar esta, nos daria mais performace e segurança, além de ser mais simples de ler e escrever. Porem só pode ser usado em SELECT, INSERT, UPDATE, REPLACE, DELETE e CREATE TABLE.

Quebra de Código JavaScript

Sem poder chamar o arquivo diretamente ou recupera-lo do cache, já ficou muito mais difícil para um intruso obter o arquivo javascript conforme deseja. Poucos intrusos saberiam recuperar esse arquivo javascript, mas ainda existe um recurso para fazer isso. O intruso pode chamar sua página e, após carregada, digitar a seguinte linha na URL :javascript:void(document.body.innerHTML+="clique aqui")

Um novo link será incluido na sua página. Clicando nele o intruso verá seu código javascript. Isso porque o referer, ou seja, a origem do clique, foi a sua própria página.

É muito difícil impedir que isso ocorra. Já vi alguns tentando programar o evento onpropertychange do objeto window, mas nesse caso basta utilizar :

javascript:void(window.onpropertychange="") e depois usar a instrução logo acima novamente.

Alguns truques com variáveis de sessão também são possíveis, mas muito pouco práticos e ainda assim quebráveis. Pelo menos, consegue-se dificultar muito o acesso aos scripts client.

Cross Site Scripting

O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.

Tecnicamente, este problema ocorre quando um parâmetro de entrada do usuário é apresentado integralmente pelo navegador, como no caso de um código javascript que como parte da aplicação legítima e com acesso a todas as entidades passa a ser interpretado do documento (DOM). Na prática, o responsável pelo ataque executar instruções no navegador da vítima usando um aplicativo web vulnerável, modificar estruturas do documento HTML e até mesmo utilizar o golpe para perpetrar fraudes como phishing.

Upload de Arquivos

Praticamente todas as operações que realizamos em uma rede de computadores dependem da comunicação entre duas partes ou mais. No caso de páginas que são acessados pelo navegador, por exemplo, existe o computador que está disponibilizando as informações para serem acessadas e outro PC que está requisitando estas informações.

Técnicos chamam a máquina que dispõe as informações de “Servidor”, enquanto que os computadores que acessam as páginas são chamados de “Clientes”. Durante visitas a uma página no browser, informações são trocadas entre estas duas partes o tempo todo, com o cliente realizando pedidos de imagens, textos, vídeos e o servidor entregando o conteúdo.

O ato de enviar dados do servidor para o cliente é chamado de download. Já o caminho inverso, quando a máquina do usuário envia algum conteúdo para o “server” na internet, é chamado de upload.

ETAPA2 (tempo para realização: 5 horas)

2.2 Controles Gerais de Segurança:

Controle de Software: O Controle de Software (versão) apóia o desenvolvimento de diversas maneiras: Histórico. Registra toda a evolução do projeto, cada alteração sobre cada arquivo. Com essas informações sabe-se quem fez o que, quando e onde. Além disso, permite reconstruir uma revisão específica do arquivo sempre que desejado;

Colaboração. O controle de versão possibilita que vários desenvolvedores trabalhem em paralelo sobre os mesmo arquivos sem que um sobrescreva o código de outro, o que traria reaparecimento de defeitos e perda de funcionalidades;

Variações no Projeto. Mantém linhas diferentes de evolução do mesmo projeto. Por exemplo, mantendo uma versão 1.0 enquanto a equipe prepara uma versão 2.0. Enfim, controle de versão é fundamental para o desenvolvimento de software. Todos os ambientes de desenvolvimento modernos, tais como o Eclipse e o NetBeans, já possuem plugins para integração com algum sistema de controle de versão.

Controle de Hardware: Computadores possui seus números de patrimônio, queria cadastrar tal patrimônio e inserir dados como por exemplo, o Hardware da máquina, usuário da máquina, observações sobre a máquina. Coisas que precisamos saber quando se tem um numero alto de usuários utilizando as máquinas sem ter que sair pela empresa procurando aonde tá tal máquina quem ta usando se queimou o processador não ter de abrir pra ver qual era o processador para ir mandar comprar e sim simplesmente comprar pois já temos registrado no "sistema"

Controle de Operações do Computador: Responsável por gerar todos os sinais que controlam as operações no exterior do CPU, e ainda por dar todas as instruções para o correto funcionamento interno doCPU; a apoiá-la/o terá a colaboração de uma outra estrutura/actor (o decodificador de instruções).

A unidade de controle executa três ações básicas intrínsecas e pré-programadas pelo próprio fabricante do processador, são elas: busca (fetch), decodificação e execução.

Assim sendo, todo processador, ao iniciar sua operação, realiza uma operação cíclica, tendo como base essas três ações. Dependendo do tipo de microprocessador, a unidade de controle pode se ser fixa ou programável. A unidade fixa é aquela unidade que já vem com todo o conjunto de instrução programado em uma PLA que

...