A Resh Pentest Experts é uma empresa de inteligência cibernética com foco em proteção de dados. No pilar de tecnologia, trabalhamos com a execução de Pentests, também conhecidos como Testes de Intrusão ou Testes de Penetração, que são utilizados para descobrir vulnerabilidades existentes em Aplicações Web (sites, e-commerces, sistemas de gestão e outros), APIs, Redes e Aplicações Mobile em Android e iOS.
Os resultados dos Pentests dão origem a um relatório personalizado e totalmente nacionalizado para orientar nossos clientes nas correções devidas, para, assim, mitigar a possibilidade de hackers concluírem um ataque a esses alvos.
Membro da Equipe de Segurança da Resh, Amanda Barbosa, também pesquisadora no laboratório ACME! A Cybersecurity Research relata que, em média, encontramos pelo menos 10 vulnerabilidades nas aplicações web testadas e, dessas, 3 falhas são comuns. A analista explica que frequentemente ignoramos as configurações específicas no servidor web por não parecerem tão importantes à primeira vista.
A preocupação com a segurança de dados tornou-se uma obrigação legal após a entrada em vigor da Lei Geral de Proteção de Dados, (LGPD). Esta legislação possui tratativas jurídicas e tecnológicas que precisam serem revisitadas para a conformidade. Então, separamos as 3 falhas mais comuns para que você possa verificar, corrigir e estar mais próximo de evitar prejuízos.
1- Falsificação de Requisição Cross-site
Uma vulnerabilidade ocorre em uma aplicação web quando um cliente logado nessa aplicação clica em um link que submete um formulário automaticamente sem qualquer interação do usuário. Os atacantes empregam essa técnica em sites onde realizam funções sensíveis com a submissão de formulários. Eles usam essa técnica para fazer requisições maliciosas contra clientes legítimos, como alterações de dados de login, por exemplo.
Na prática:
A vulnerabilidade permite ataques para apropriar-se de um cadastro de terceiros e assim acessar sua conta, informações pessoais e até mesmo dados bancários.
Os hackers levam o usuário a clicar em um link recebido por e-mail, WhatsApp, Messenger, Skype ou outros meios. Ao clicar no link, o script executa ações no site em que o usuário está logado e realiza operações, como a troca de usuário e senha, sem que o cliente perceba
Dica para correção:
A utilização de token anti-CRSF único nas sessões bem como, o estado controlado pelo servidor impede que esse tipo de ataque obtenha sucesso.
2- Falta ou configuração incorreta de cabeçalhos web
Quando um navegador faz requisição de uma página de um servidor web, ele responde com o conteúdo juntamente com cabeçalhos de resposta HTTP. Esses cabeçalhos oferecem uma camada de segurança a mais, pois, quando configurados corretamente, mitigam ataques e vulnerabilidades. Esses cabeçalhos contêm metadados, como tipo de encoding, controle de cache, mensagens de erro de status, e também informam ao navegador como interpretar o conteúdo do site corretamente.
Na prática:
O cabeçalho de um site possui várias configurações específicas a serem feitas para que, com cada uma, ele possa ficar ainda mais seguro. Quando as configurações não são feitas corretamente, os hackers podem se aproveitar destas falhas para criar, por exemplo, “pop-ups” redirecionando para outros sites, coleta de login e senha durante o envio de informações para o servidor, coleta de cookies do computador do usuário, e outras tantas ações possíveis.
Dica para correção:
Os 5 cabeçalhos que mais aparecem em resultados de pentests com configuração inadequada são: Content Security Policy, X-XSS-Protection, HTTP Strict Transport Security, X-Frame-Options e X-Content-Type-Options. Recomenda-se tratar com bastante atenção as configurações corretas desses cabeçalhos.
3- Falta de limitação de taxa de Resposta
Em geral, desenvolvedores de APIs não limitam a taxa de requisições GET que a API pode receber. Essa limitação garante estabilidade caso algum cliente ou programa malicioso efetue um pico de solicitações, e garante que a API continue respondendo todas as requisições legítimas de clientes.
Na prática:
Em algumas ocasiões usamos alguns softwares para automatizar uma determinada ação e que, para isso, conectam-se diretamente ao software da empresa, site e outros; esses softwares usados para automatização são conhecidos como APIs. Em geral, elas são usadas principalmente para validação, e não estipulam um limite de tentativas de acesso. Desta forma, um hacker pode sobrecarregar o servidor com tantas tentativas até o ponto de tirá-lo do ar, assim impossibilitando os acessos de clientes legítimos.
Dica para correção:
Recomenda-se implementar limitação de respostas na API no próprio servidor web para evitar que a API sofra ataques de negação de serviço.
Um ataque bem-sucedido em uma aplicação ou rede pode levar a diversos danos, dos mais simples até mesmo a paralisação, por tempo indeterminado, das atividades comerciais da sua empresa. Por isso, sempre fique atento às barreiras de segurança.
Informar-se destas vulnerabilidades e testar suas aplicações e redes faz-se necessário para saber se sua empresa está segura. Muitas destas vulnerabilidades são antigas aos olhos de atacantes experientes, mas desconhecida para muitos profissionais que não estão diretamente ligados à área de segurança da informação.
A Lei Geral de Proteção de Dados irá impactar todas as empresas, assim como aconteceu com o Código de Defesa do Consumidor em 1991. Outro ponto interessante é que, as empresas mais preparadas para a lei terão diferencial competitivo para o mercado, vantagens em licitações e ainda maior valor reputacional para seus clientes e parceiros.
