Não é difícil hoje em dia fazer a invasão em um determinado site, o lado bom para os administradores é que os crackers ou script-kiddies assim como macacos que pulam de galho em galho, gostam de pular de site em site. A internet está cheia de sites com vulnerabilidade e algumas pessoas fazem questão de publicar tais vulnerabilidades. Estamos em ano de copa e eleição, grandes ataques já foram feitos e estão por vir mesmo sem a divulgação da mídia, aliás, as redes sociais já fazem bem esse trabalho de divulgação.
Pensando nisso tudo eu resolvi publicar algumas vulnerabilidades e falso-positivos em grandes sites (e sites pequenos mesmo). Todo o conteúdo desse post eu juntei com amigos, outros blogs e procurando, é bem interessante as pessoas que frequentam sites governamentais e que são administradores lerem essa postagem… Pense bem, seus dados estão totalmente seguros?
Imaginem só um dia vocês checarem a conta de poupança e verem o saldo negativo. Está certo que o banco se responsabiliza em alguns casos, mas… e a dor de cabeça? Quem pagaria a dor de cabeça e horas perdidas em um banco cheio? Pois é, tomem muito cuidado com quem cuida de seus dados, virtualmente eles são seus bens mais preciosos. Eu não digo isso em relação só ao banco, pessoas que trabalham em órgãos públicos ou que tem algum vínculo também sofrem desse problema. Vamos começar pegando leve então, a seguir tem uma lista de sites do governo vulneráveis a um ataque BASTANTE conhecido… SQL Injection:
http://www.camarajuquitiba.com.br/leisdomunicipio/verlei.php?codigo=570%27
http://www.eavparquelage.rj.gov.br/eavText.asp?sMenu=APOI%27
http://www.iac.sp.gov.br/noticiasdetalhes.php?id=748%27
http://www.casaruibarbosa.gov.br/interna.php?ID_S=11%27
http://www.ribeiraopires.sp.gov.br/interno.php?id=405%27
http://arcoverde.pe.gov.br/webnoticias_ler.php?id=1775%27
http://www.cprm.gov.br/publique/cgi/cgilua.exe/sys/start.htm?sid=%Inject_Here%93
Pequena a lista, não? Esses são sites de prefeituras com o erro mais infeliz que já vi na vida, é claro que outros sites rodam CMS como joomla ou wordpress, aliás… 80% dos sites do governo federal são feitos em joomla.
Sites de compra nem se fale né? Muitos sites dizem ter certificado de blindagem, mas é blindado por uma pessoa, e se essa pessoa falhar? Selos de blindagem só funcionam quando o profissional conhece os dois lados da moeda, ou seja, se ele já foi do “lado negro da força” e tem uma ética impecável hoje em dia. Um exemplo? Pois não:
E para finalizar temos uma lista de falhas no site da caixa, imaginem só uma falha no banco de seu coração? O problema é que não é só uma falha, são várias e algumas podem até mesmo alterar seus dados apenas com seu CPF:
É claro que existem outros milhões de sites importantes que não postarei aqui por… “ética”. Essa postagem foi só para mostrar que por onde trafegam seus dados não é tão seguro assim, mesmo com selos e certificados SSL… Vale ressaltar para as pessoas que têm empresas, o administrador de vocês é um profissional competente? O Webmaster que criou o site, fez ele baseado em otimização e segurança?
Cuidado com quem vocês deixam seus sites e dados na mão. Suas informações são seus bens mais preciosos no mundo virtual, com elas qualquer um pode estragar sua vida ou se beneficiar nas suas costas.
Abraços e até mais.
fonte: http://securityattack.com.br/