Esta é a sétima parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.


Havia uma multidão em frente à casa dos irmãos. Eram pessoas se acotovelando, se empurrando, uns espremidos, outros praticamente debruçados sobre o colega à sua frente; todos procurando uma visão clara para ver a obra mais recente dos Van Gogh do Lixo.

O Robô, como era chamado, não era apenas um monte de sucata e material reciclado: ele tinha vida: andava, mexia os braços, o pescoço, girava o corpo e, ainda por cima, falava. Victor e Manuel estavam animados com sua mais nova criação. Era um meio de propaganda de seu comércio; até conseguiram uma entrevista com uma jornalista de uma emissora de televisão local. O Robô era a grande atração do bairro.

Aranha e Gafanhoto já estavam sabendo do sucesso da nova arte dos irmãos. Mais tarde iriam até a casa deles conhecer o futurístico Robô.  Agora eles precisavam terminar a análise de vulnerabilidade. Na verdade, eles precisavam terminar as apresentações, e agora era a vez do Aranha expor a próxima vulnerabilidade encontrada.

Cabe lembrar que nem todas vulnerabilidades precisam ser exploradas. Eles escolheram aquelas que mais mereciam atenção devido ao grau de periculosidade.

Gafanhoto pegou seu café matinal e sentou-se com um sorriso desafiador. Embora acostumados com tais brincadeiras, eles sempre as encaravam como um desafio, uma competição, mas sem vencedor.

Aranha se pôs em pé e arrumou seu terno. Gafanhoto não entedia por que as vezes seu colega aparecia de terno no escritório. Principalmente quando eles faziam este tipo de brincadeira, parecia que ele iria ministrar uma palestra para centenas de pessoas. Entre um pigarro e outro, Aranha começou a falar.

— A vulnerabilidade exposta por você, Gafanhoto, Injeção de Código, está entre as primeiras dos dez maiores riscos de segurança do The Open Web Application Security Project (OWASP). A minha, meu caro, está na quarta colocação desta lista e se chama Referência Insegura e Direta a Objetos.

De repente, Aranha começou a estalar os dedos, balançar seu corpo e mexer sua cabeça, como se fosse cantar. Gafanhoto começou a rir, e disse, “Lá vem o MC repentista!”.

Aranha, olhou para o teto da sala e iniciou sua apresentação.

“Preste bem atenção no que vou dizer,
A questão é simples, fácil de entender.
Você não precisa invadir sistema, nada,
Tudo que o que faz, é numa URL dada.
Não há script que faça tal trabalho,
É pura manipulação, como as cartas de um baralho,
Alterar parâmetros na URL mencionada,
Violando a política da empresa atacada,
Basta referenciar objetos escondidos,
Os quais pensaram que foram ocluídos,
Tudo está visível, como no mostruário:
Diretórios, registros e senhas de usuário.
Então pense antes muito bem,
Quem tem controle de quem,
Controle o acesso de cada usuário,
Política de segurança e regime hierárquico
Sua aplicação, ela deve ter,
Somente desta forma, conseguirá se proteger.”

Aranha rodopiou o corpo e no fim deu um grito lembrando Michael Jackson. Gafanhoto deu aquela risada e começou a aplaudir.

Prontamente, o MC Aracnofóbico se recompôs e, com uma voz grossa, disse: – Agora vamos ao exemplo!

Aranha explica a brecha

Um tipo de ataque envolvendo esta vulnerabilidade é o Path Traversal ou Directory Traversal, (vez ou outra referida como DotDotSlash). Claro que temos ferramentas (scripts) que ajudam na busca de algum arquivo/diretório vulnerável, porém, se um deles não estiver listado no arquivo de configuração dela, ele não será encontrado; daí a importância da exploração ser manual. Uma ferramenta que gosto de destacar é DotDotPwn, que nada mais é do que um fuzzer, ou seja, “um programa que injeta automaticamente dados semialeatórios, em um programa/pilha a fim de detectar bugs”, segundo a OWASP.

Temos a seguinte URL:

http://www.exemplo.com.br/download.php?arquivo=notasturma.pdf

A URL acima leva o usuário para o documento em PDF sobre as notas dos alunos da turma de uma sala de aula. Neste caso há uma referência direta a um objeto (notasturma.pdf) para aqueles que buscam esse documento.

Um aluno malicioso, ou apenas querendo verificar a segurança deste sistema, pode fazer o seguinte:

http://www.exemplo.com.br/download.php?arquivo=senhas.txt

Caso o arquivo exista, ele será apresentado e/ou baixado. Porém, se nada acontecer ele poderá tentar subir pela árvore de diretórios do sistema em que o site está hospedado, da seguinte forma:

http://www.exemplo.com.br/download.php?arquivo=../senhas.txt
http://www.exemplo.com.br/download.php?arquivo=../../senhas.txt
http://www.exemplo.com.br/download.php?arquivo=../../../senhas.txt

O uso do ponto ponto barra (dot dot slash) faz com que você percorra pelos diretórios. Por exemplo, imagine você no Windows. Você está pasta (diretório) System32 e quer chegar até o Disco Local (C:). Como procede? Ou você utiliza a seta recuar localizada no canto superior esquerdo do Windows Explorer, ou então vai clicando na pasta Windows para depois clicar no Disco Local (C:), certo?! Então, o “../” faz exatamente isto… simples, não?!

Fim do show de rap

Gafanhoto levantou-se e aplaudiu o colega que, muito animado e com um ar de vitorioso, reverenciou e saiu de cena dançando.

Os dois analistas adoravam essas brincadeiras. O interessante é que eles não descreviam algo encontrado no site sendo testado, e sim, somente a vulnerabilidade em si. Neste caso, por exemplo, não quer dizer que no site dos Não-fiz-teste continha o arquivo senhas.txt exposto, ou, se o mesmo possui Path Traversal Attack, mas somente que ele possui tal vulnerabilidade, Referência Insegura e Direta a Objetos, que ainda carecia de ser explorada pelos dois especialistas.

A hora passou e já era tarde. Os dois estavam cansados. Resolveram então visitar a grande sensação do bairro: o Robô. Pegaram suas coisas e deram aquela passada de olhos para ver se não haviam esquecido algum documento importante. Vestiram uma malha, pois o clima estava mais frio com o cair da tarde. Fecharam as portas do escritório e resolveram cantarolar embalados ao som do rap das vulnerabilidades.


Esta é a sétima parte de uma história fictícia (ou não) sobre testes de invasão. Clique na tag Reciclando Hackers para conferir todas as partes publicadas.

Anúncios

Escrito por dmoicano

2 comentários

  1. Rap das Vulnerabilidades… Haha :D Gostei pra caramba :)

    Curtir

    Responder

    1. Moicano Diego 05/07/2017 às 09:16

      Um dia vira hit hehehe

      Curtir

      Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.