RPC (Chamada de procedimento remoto)

Etapa 4

Passo 1

Ler atentamente os capítulos do livro texto ou complementar sobre RPC (Remote Procedure Call), Active X e proteção a ataques DDOS (Distributed Denial-of-Service Attack).

Passo 2

O RPC (Remote Procedure Call) define um protocolo para execução remota de procedures em computadores ligados em rede. O protocolo RPC pode ser implementado sobre diferentes protocolos de transporte. Não cabe ao RPC especificar como a mensagem é enviada de um processo para outro, mas somente especificá-la e interpretá-la.

Uma mensagem RPC tem três campos inteiros:

• Remote Program Number;

• Remote Program Version Number;

• Remote Procedure Number.

Algumas Praticas de Segurança:

Exija conexões autenticadas: Os ataques podem ser reduzidos simplesmente exigindo que os clientes se autentiquem.

Utilize retorno de chamada de segurança: para manter seguras as funções do seu servidor RPC é utilizar funções de retorno de chamadas (callback). Ela consiste em verificar se o cliente tem permissão de chamar funções nessa interface.

Usando o atributo [range]: utilizados em arquivos IDL. O desenvolvedor pode utilizar esse atributo para restringir o tamanho de u bloco de dados reduzindo assim a probabilidade de ataque.

Utilizando privacidade e integridade de pacote: é uma simples alteração de flag em RpcBindingSetAuthInfo que torna os pacotes mais íntegros e provados.

ActiveX é um conjunto de tecnologias (software) criado pela Microsoft para facilitar a integração entre diversas aplicações. Atualmente esta tecnologia foi substituída pelo .NET(também da Microsoft).

Controles activeX mal projetados ou mal escritos podem ser inseguros em navegadores web e clientes de correios eletrônicos.

Uma opção de tornar seguro o uso de controles activeX é a implementação do IObjectSafety. Isso permite que um aplicativo contêiner consulte o objeto e determine se ele é seguro ou não para inicialização ou script.

Algumas Praticas de Segurança:

Sempre manter uma boa vigilância dos pacotes trafegados na rede.

Sempre atualizar a firmware de roteadores e dispositivos semelhantes.

Criar regras exclusivas e consistentes para o Firewall.

Utilizar um bom Firewall.

Passo 3

DDoS (Distributed Denial of Service) constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à Internet.

O ataque DDoS acontece da seguinte forma: os hackers organizam uma sobrecarga no servidor de um site ou produto específico, normalmente com um grande número de tráfego simultâneo direcionado para o site. Estes acessos acontecem através de computadores controlados remotamente pelo hacker (o controle acontece com PCs infectados com malwares). A sobrecarga simultânea faz o servidor do site cair e a página sair do ar.

Não é só o site que pode sair do ar com um ataque DDoS. Serviços de e-mail, de cloud computing, e outros que estejam no mesmo servidor podem ser tirados do ar.

O risco de sofrer um ataque do tipo DDoS é inerente a qualquer tipo de site, principalmente se você não está preparado para se defender. Felizmente, há duas boas notícias em relação ao ataque DDoS. A primeira é que ele não rouba dados confidenciais, apenas tira o site do ar. A segunda é que com algumas precauções simples, você consegue se defender do temido Denial-of-Service Attack.

A primeira coisa que você tem que fazer para evitar um ataque DDoS é verificar quais são os riscos que o seu site sofre. E-commerces, sites governamentais ou polêmicos têm mais riscos de serem atacados.

Garantir uma hospedagem com capacidade de receber muito tráfego também garante a defesa contra este tipo de ataque.

Outra medida de segurança é se preparar para se recuperar rapidamente dos ataques. Se seu site sair do ar, minimize o tempo do prejuízo – você deve sempre ter backup dos arquivos do site, de modo que seja possível restaurar tudo no mesmo servidor ou em outra empresa caso algo do tipo aconteça. Caso todas as tentativas de defesa não derem certo, a sua saída vai ser recuperar, recomeçar do zero e se preparar melhor contra o próximo ataque.

Etapa 5

Passo 2

Sql Injection

String status = “no”;

String sqlstring =””;

{

Sql connection sql = new sql connection (

@”data source=lacl host;”+

“User id=sa; password=password ;”);

Sql.open ();

Sqlstring=”select has shi pped”+

“from detail where id=”+id+””;

Sql command cmd = new sql command (sqlstring,sql);

If ((int) cmd.executescalar ()! =0)

Status=”yes”;

}

...