Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Entenda o Google Hacking


Google hacking é uma técnica de hacking que usa o Google Search e outras aplicações do Google para encontrar falhas de segurança na configuração e nos códigos dos sites.

O Google é um sistema de busca muito poderoso e é capaz de fornecer muitas informações que são úteis para um hacker ou cracker. Usando Google dorks , é possível realizar diversos filtros e procurar por determinados sistemas ou configurações de aplicações. Por exemplo, o atacante pode extrair diversas informações como os detalhes de configuração de banco de dados, nome de usuário, senhas, listas de diretório, mensagens de erro, lista de emails, arquivos de backup, etc.

Um dos principais motivos de ocorrer esta exposição de dados é a falta de uma política de segurança relacionada aos servidores e dados que serão expostos na internet.

Existem alguns métodos que podemos utilizar para proteger os servidores que ficarão expostos na web.
Quando disponibilizamos um servidor público, normalmente esse servidor apenas armazena dados irrelevantes, que são na sua maioria, acessados pelo público em geral, mas se você está realmente preocupado de manter o acesso de alguns dados privados, então o melhor caminho é mantê-lo com acesso restrito.

Acredito que todos saibam sobre o risco associado com listagens de diretórios, o que permite usuário mal intencionado visualizar a maioria dos arquivos armazenados dentro de um diretório, sub-diretórios, etc. Algumas vezes até mesmo o arquivo .htaccess pode ser listado, que normalmente é usado para proteger o conteúdo de um diretório de acessos não autorizados, mas um erro de configuração pode permitir que o arquivo seja listado e lido.

Quando um servidor possui dados importantes, onde existe a necessidade em permitir o acesso de qualquer lugar, esses dados podem ser indexados pelos crawlers dos buscadores. Uma das regras simples é que os administradores podem criar um arquivo chamado robots.txt, que especifica determinados locais, de modo que esses motores de busca não devem explorar e armazenar em cachê determinado site ou diretório.

Por exemplo, para proteger um determinado diretório, podemos usar a seguinte configuração no robots.txt

User-agent: *
Disallow: /documentos

Caso você deseje bloquear o acesso a páginas individuais ou se você deseja que qualquer página não seja indexada pelos mecanismos de busca, podemos utilizar os meta tags como – , que irá prevenir os robots de verificar os links de um determinado site.
Maiores informações sobre robots e meta tags podem ser obtidas no endereço http://www.robotstxt.org

Neste caso acima, citamos apenas o exemplo do uso dos robots.txt, porém, o Google hacking pode ser usado para diversos fins e ataques específicos, por exemplo, procurar sites que exijam autenticação para testar ataques de SQL Injection.

Por isso, é muito importante seguir práticas seguras no desenvolvimento de uma aplicação web, implementar revisões de códigos e realizar a aplicação de configurações seguras nos servidores. Para o desenvolvimento de aplicações web, recomendamos uma consulta no projeto OWASP (Open Source Web Application Security Project), que possuí diversas dicas e práticas seguras de desenvolvimento.

Fonte: Security