{"id":703,"date":"2015-05-21T11:03:46","date_gmt":"2015-05-21T14:03:46","guid":{"rendered":"https:\/\/www.kinghost.com.br\/wiki\/?post_type=article&p=703"},"modified":"2024-10-04T16:20:42","modified_gmt":"2024-10-04T19:20:42","slug":"glossario-de-seguranca-web","status":"publish","type":"article","link":"https:\/\/king.host\/wiki\/artigo\/glossario-de-seguranca-web\/","title":{"rendered":"Gloss\u00e1rio de seguran\u00e7a web"},"content":{"rendered":"

Veja neste artigo o gloss\u00e1rio de seguran\u00e7a web e entenda mais sobre alguns termos mais utilizados.<\/em><\/p>\n

<\/span>OWASP<\/span><\/h2>\n

Organiza\u00e7\u00e3o sem fins lucrativos dedicada a abordar seguran\u00e7a em TI.
\nDesde 2004, a OWASP vem lan\u00e7ando a cada tr\u00eas anos uma nova lista dos top 10 das falhas de seguran\u00e7a que mais ocorrem.<\/p>\n

<\/span>Selos de seguran\u00e7a<\/span><\/h2>\n

As empresas que fornecem selos de seguran\u00e7a, fazem com que o site que possui o selo passe por diversas simula\u00e7\u00f5es de vulnerabilidades, como se fosse um cracker tentando atacar o site, e emitindo um certificado apenas se o site passar por todos os testes.
\nUm site que possui um certificado auditado \u00e9 um site que passou por in\u00fameros testes e tende a ser um site confi\u00e1vel, mas n\u00e3o necessariamente signifique que ele esteja 100% seguro.<\/p>\n

<\/span>Exploits<\/span><\/h2>\n

Exploits s\u00e3o c\u00f3digos de programas desenvolvidos para explorar falhas introduzidas em uma aplica\u00e7\u00e3o por erros involunt\u00e1rios de programa\u00e7\u00e3o \u2013 Diversos ataques s\u00e3o realizados por ferramentas prontas. Caso seja localizada alguma vulnerabilidade no alvo que possa ser explorada por determinado exploit, ent\u00e3o ele poder\u00e1 ser danificado por quem utilizar o exploit, mesmo que quem esteja efetuando o ataque n\u00e3o tenha um conhecimento t\u00e9cnico avan\u00e7ado.<\/p>\n

<\/span>Kali Linux<\/span><\/h2>\n

O Kali \u00e9 uma distribui\u00e7\u00e3o Linux utilizada para efetuar PenTest.
\n\u00c9 utilizada por hackers e por aqueles que pretendem testar a vulnerabilidade da aplica\u00e7\u00e3o para evitar que ela seja invadida.
\nEle \u00e9 o sucessor da descontinuada (ao menos para downloads) distribui\u00e7\u00e3o BackTrack do Linux.<\/p>\n

<\/span>Brute Force<\/span><\/h2>\n

For\u00e7a bruta consiste em um dos ataques mais utilizados.
\nDevido a grande parte das aplica\u00e7\u00f5es terem usu\u00e1rio e senha f\u00e1ceis de serem quebrados, pois, aqueles que administram as p\u00e1gina acabam negligenciando a import\u00e2ncia de ter usu\u00e1rio e senha inseguro. Tendo acesso a parte administrativa do site, \u00e9 poss\u00edvel at\u00e9 que o atacante insira um shell, c99 por exemplo, no site da v\u00edtima, tendo assim total controle.<\/p>\n

<\/span>Code Injection<\/span><\/h2>\n

Permite explorar as vulnerabilidades de uma aplica\u00e7\u00e3o.
\nInjetar c\u00f3digo em uma aplica\u00e7\u00e3o web que interpreta e executa o c\u00f3digo.<\/p>\n

<\/span>SQL Injection<\/span><\/h2>\n

O SQL injection consiste em inserir uma query SQL em \u201cuma entrada no lado do cliente\u201d.
\nCom a inje\u00e7\u00e3o de SQL, \u00e9 poss\u00edvel ler, alterar, inserir deletar e exercer outras fun\u00e7\u00f5es sobre determinada base de dados.
\nSegundo o site da OWASP, uma forma de se prevenir do SQL Injection, \u00e9 utilizar c\u00f3digos que autentiquem\/validem o que for recebido de um POST.<\/p>\n

<\/span>WP Scan<\/span><\/h2>\n

O WPScan \u00e9 uma ferramenta \u00fatil para verificar se a aplica\u00e7\u00e3o WordPress possui vulnerabilidades.
\nEle exibe relat\u00f3rios das vulnerabilidades conforme a vers\u00e3o do WordPress e dos plugins e temas.
\nO WPScan consulta as vulnerabilidades que j\u00e1 foram relatadas, \u00e9 poss\u00edvel que a aplica\u00e7\u00e3o WordPress esteja sujeita a uma falha que ainda n\u00e3o foi relatada e oficializada.
\nEm parte das falhas que ele identifica ele coloca qual vers\u00e3o do WordPress ou plugin em que foi corrigido o problema.<\/p>\n

<\/span>Google Dorks<\/span><\/h2>\n

Este termo se refere a m\u00e9todos espec\u00edficos de pesquisa no Google em busca de aplica\u00e7\u00f5es com vulnerabilidades.<\/p>\n

<\/span>Web Shell<\/span><\/h2>\n

Web shell \u00e9 um script que pode efetuar tarefas como incluir, baixar, alterar, remover arquivos e executar comandos em um ambiente de servidor web, sendo o mais comum o c99.
\nAquele que acessar um site que possua um web shell ter\u00e1 controle do total do site acessado.<\/p>\n

<\/span>Remote File Inclusion<\/span><\/h2>\n

\u00c9 um tipo de vulnerabilidade que explora a fun\u00e7\u00e3o include() quando existe uma aplica\u00e7\u00e3o que a utiliza e que possui alguma falha que pode ser explorada.
\nSe a aplica\u00e7\u00e3o n\u00e3o for programada com uma verifica\u00e7\u00e3o de onde o arquivo arquivo inclu\u00eddo esta sendo chamado, ent\u00e3o uma inclus\u00e3o de outro site poder\u00e1 ser aceita e rodar o conte\u00fado que est\u00e1 no site malicioso.
\nA KingHost bloqueia includes de uma URL (links externos), assim, este tipo de ataque n\u00e3o prejudica a KingHost.<\/p>\n

<\/span>Google para webmasters<\/span><\/h2>\n

O Google webmaster auxilia a pessoa que fez o cadastro para que o site tenha um melhor resultado nas buscas, auxilia a identificar bugs de programa\u00e7\u00e3o e detecta malwares no site, al\u00e9m de outras fun\u00e7\u00f5es que ele pode ajudar.<\/p>\n

<\/span>Cross-site Scripting \u2013 XSS<\/span><\/h2>\n

Ocorre quando um atacante injeta um c\u00f3digo no browser atrav\u00e9s de um campo de entrada.
\nNeste c\u00f3digo, \u00e9 enviado par\u00e2metros HTTP impropriamente processados e estes podem retornar para a v\u00edtima.
\nSomente \u00e9 poss\u00edvel quando uma aplica\u00e7\u00e3o web \u00e9 vulner\u00e1vel ao tipo de script.
\nEste c\u00f3digo somente afetar\u00e1 a v\u00edtima e n\u00e3o o servidor.
\nA linguagem normalmente utilizada \u00e9 o JavaScript.
\nA OWASP passa ao menos dois tipos de ataques XSS: Stored XSS Attacks e Reflected XSS Attack.
\nO Stored XSS Attack (Persistent XSS) \u00e9 caracterizado quando scripts s\u00e3o injetados permanentemente nos servidores alvos, como em f\u00f3runs e campos de coment\u00e1rio. Um usu\u00e1rio se torna v\u00edtima quando ele requisita o conte\u00fado malicioso.
\nO Reflected XSS Attack \u00e9 caracterizado por ataques de phishing, que depende da a\u00e7\u00e3o do usu\u00e1rio, como um clique em um link malicioso inserido atrav\u00e9s de XSS.<\/p>\n\n\n

Quer saber mais? Continue sua leitura no blog da KingHost. Confira abaixo!
Seguran\u00e7a na Internet: como se proteger de ataques e fraudes<\/a><\/p>\n","protected":false},"author":9,"featured_media":0,"menu_order":150,"comment_status":"closed","ping_status":"closed","template":"","format":"standard","article-category":[33],"article-tag":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/703"}],"collection":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article"}],"about":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/types\/article"}],"author":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/comments?post=703"}],"version-history":[{"count":2,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/703\/revisions"}],"predecessor-version":[{"id":25529,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article\/703\/revisions\/25529"}],"wp:attachment":[{"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/media?parent=703"}],"wp:term":[{"taxonomy":"article-category","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-category?post=703"},{"taxonomy":"article-tag","embeddable":true,"href":"https:\/\/king.host\/wiki\/wp-json\/wp\/v2\/article-tag?post=703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}