Vulnerabilidade dos serviços web

Os primeiros ataques rede exploravam vulnerabilidades ligadas à aplicação dos protocolos da sequência TCP/IP. Com a correcção progressiva dessas vulnerabilidades, os ataques deslocaram-se para as camadas aplicativas e em especial a web, na medida em que a maior parte das empresas abre o seu sistema firewall para o tráfego destinado à web.

O protocolo HTTP (ou HTTPS) é o standard que permite veicular as páginas web através de um mecanismo de pedidos e de respostas. Utilizado essencialmente para transportar páginas web informativas (páginas web estáticas), o web tornou-se rapidamente um apoio interactivo que permite fornecer serviços em linha. O termo “ aplicação web” designa, assim, qualquer aplicação cujo interface está acessível através da web com a ajuda de um simples navegador. Transformado no apoio de um certo número de tecnologias (SOAP, Javascript, XML RPC, etc.), o protocolo HTTP possui doravante seguramente um papel estratégico na segurança dos sistemas de informação.

Dado que os servidores web estão cada vez mais protegidos, os ataques deslocaram-se progressivamente para a exploração das falhas das aplicações web.

Assim, a segurança dos serviços web deve ser um elemento a ter em conta desde a sua concepção e o seu desenvolvimento.

Tipos de vulnerabilidades

/s/image-http-static-commentcamarche-net-pt-kioskea-net-pictures-assemblage-attaques-images-schema-vulnerabilites-web-png

As vulnerabilidades das aplicações web podem catalogadas da seguinte forma :

• Vulnerabilidades do servidor web. Este tipo de caso é cada vez mais raro porque progressivamente os principais programadores de servidores web reforçaram a sua segurança;
• Manipulação dos URL, consistindo em alterar manualmente os parâmetros dos URL a fim de alterar o comportamento esperado do servidor web;
• Exploração das fraquezas dos identificadores de sessão e os mecanismos de autenticação;
• Injecção de código HTML e Cross-Site Scripting;
• Injecção de comandos SQL.

Verificação dos dados de entrada

O protocole HTTP deve, por natureza, gerir pedidos, quer dizer, receber dados que entram e enviar dados de retorno. Os dados podem ser enviados de diversas maneiras:

• Através da URL da página web
• Nas rubricas HTTP
• No corpo do pedido (pedido POST)
• Através de um cookie

O princípio básico a reter geralmente, aquando de qualquer desenvolvimento informático, é que não deve confiar nos dados enviados pelo cliente.

Assim, a quase totalidade das vulnerabilidades dos serviços web está ligada às negligências dos criadores, que não fazem verificações sobre o formato dos dados apreendidos pelos utilizadores.

Impacto dos ataques web

Os ataques contra as aplicações web são sempre prejudiciais porque dão uma má imagem da empresa. As consequências de um ataque bem sucedido podem nomeadamente ser uma das seguintes:

• Apagamento do web site;
• Roubo de informações;
• Modificação de dados, nomeadamente modificação de dados pessoais de utilizadores;
• Intrusão no servidor web.