Veja neste artigo o glossário de segurança web e entenda mais sobre alguns termos mais utilizados.
OWASP
Organização sem fins lucrativos dedicada a abordar segurança em TI.
Desde 2004, a OWASP vem lançando a cada três anos uma nova lista dos top 10 das falhas de segurança que mais ocorrem.
Selos de segurança
As empresas que fornecem selos de segurança, fazem com que o site que possui o selo passe por diversas simulações de vulnerabilidades, como se fosse um cracker tentando atacar o site, e emitindo um certificado apenas se o site passar por todos os testes.
Um site que possui um certificado auditado é um site que passou por inúmeros testes e tende a ser um site confiável, mas não necessariamente signifique que ele esteja 100% seguro.
Exploits
Exploits são códigos de programas desenvolvidos para explorar falhas introduzidas em uma aplicação por erros involuntários de programação – Diversos ataques são realizados por ferramentas prontas. Caso seja localizada alguma vulnerabilidade no alvo que possa ser explorada por determinado exploit, então ele poderá ser danificado por quem utilizar o exploit, mesmo que quem esteja efetuando o ataque não tenha um conhecimento técnico avançado.
Kali Linux
O Kali é uma distribuição Linux utilizada para efetuar PenTest.
É utilizada por hackers e por aqueles que pretendem testar a vulnerabilidade da aplicação para evitar que ela seja invadida.
Ele é o sucessor da descontinuada (ao menos para downloads) distribuição BackTrack do Linux.
Brute Force
Força bruta consiste em um dos ataques mais utilizados.
Devido a grande parte das aplicações terem usuário e senha fáceis de serem quebrados, pois, aqueles que administram as página acabam negligenciando a importância de ter usuário e senha inseguro. Tendo acesso a parte administrativa do site, é possível até que o atacante insira um shell, c99 por exemplo, no site da vítima, tendo assim total controle.
Code Injection
Permite explorar as vulnerabilidades de uma aplicação.
Injetar código em uma aplicação web que interpreta e executa o código.
SQL Injection
O SQL injection consiste em inserir uma query SQL em “uma entrada no lado do cliente”.
Com a injeção de SQL, é possível ler, alterar, inserir deletar e exercer outras funções sobre determinada base de dados.
Segundo o site da OWASP, uma forma de se prevenir do SQL Injection, é utilizar códigos que autentiquem/validem o que for recebido de um POST.
WP Scan
O WPScan é uma ferramenta útil para verificar se a aplicação WordPress possui vulnerabilidades.
Ele exibe relatórios das vulnerabilidades conforme a versão do WordPress e dos plugins e temas.
O WPScan consulta as vulnerabilidades que já foram relatadas, é possível que a aplicação WordPress esteja sujeita a uma falha que ainda não foi relatada e oficializada.
Em parte das falhas que ele identifica ele coloca qual versão do WordPress ou plugin em que foi corrigido o problema.
Google Dorks
Este termo se refere a métodos específicos de pesquisa no Google em busca de aplicações com vulnerabilidades.
Web Shell
Web shell é um script que pode efetuar tarefas como incluir, baixar, alterar, remover arquivos e executar comandos em um ambiente de servidor web, sendo o mais comum o c99.
Aquele que acessar um site que possua um web shell terá controle do total do site acessado.
Remote File Inclusion
É um tipo de vulnerabilidade que explora a função include() quando existe uma aplicação que a utiliza e que possui alguma falha que pode ser explorada.
Se a aplicação não for programada com uma verificação de onde o arquivo arquivo incluído esta sendo chamado, então uma inclusão de outro site poderá ser aceita e rodar o conteúdo que está no site malicioso.
A KingHost bloqueia includes de uma URL (links externos), assim, este tipo de ataque não prejudica a KingHost.
Google para webmasters
O Google webmaster auxilia a pessoa que fez o cadastro para que o site tenha um melhor resultado nas buscas, auxilia a identificar bugs de programação e detecta malwares no site, além de outras funções que ele pode ajudar.
Cross-site Scripting – XSS
Ocorre quando um atacante injeta um código no browser através de um campo de entrada.
Neste código, é enviado parâmetros HTTP impropriamente processados e estes podem retornar para a vítima.
Somente é possível quando uma aplicação web é vulnerável ao tipo de script.
Este código somente afetará a vítima e não o servidor.
A linguagem normalmente utilizada é o JavaScript.
A OWASP passa ao menos dois tipos de ataques XSS: Stored XSS Attacks e Reflected XSS Attack.
O Stored XSS Attack (Persistent XSS) é caracterizado quando scripts são injetados permanentemente nos servidores alvos, como em fóruns e campos de comentário. Um usuário se torna vítima quando ele requisita o conteúdo malicioso.
O Reflected XSS Attack é caracterizado por ataques de phishing, que depende da ação do usuário, como um clique em um link malicioso inserido através de XSS.
Quer saber mais? Continue sua leitura no blog da KingHost. Confira abaixo!
Segurança na Internet: como se proteger de ataques e fraudes