Auditoria de rede
Por: luciane172 • 29/11/2016 • Relatório de pesquisa • 3.267 Palavras (14 Páginas) • 432 Visualizações
RELATÓRIO DE
AUDITORIA
N° 01/2016
ÁREA: TECNOLOGIA DA INFORMAÇÃO
FACULDADES UNIFICADAS DOCTUM
CATAGUASES -MG
RELATÓRIO DE AUDITORIA INTERNA
Nº 01/2016
Dirigentes:
Prof.: Tiago Bittencourt
Graduando Curso Sistemas de Informação : Alex Monteiro de Castro Silva
Graduando Curso Sistemas de Informação: Luciane Menezes
Graduando Curso Sistemas de Informação: Michelle Eduarda Fernandes
Área:
Departamento de Tecnologia da Informação
Origem da Demanda: Pesquisa Acadêmica Faculdades Unificadas Doctum de Cataguases - MG
- INTRODUÇÃO
As vulnerabilidades Web são o resultado de um conjunto de fatores que, em sua maioria, envolve todo processo de desenvolvimento, de manutenção e de uso. Prazos curtos de entrega das aplicações aliados a processos falhos de desenvolvimento resultam em maior taxa de falhas de segurança nas aplicações. Um ponto importante também é a qualificação técnica dos desenvolvedores e uma política de revisão constante e de melhoria contínua, que se não aplicadas corretamente podem levar a possíveis vulnerabilidades. O Presente Relatório demostrará a vulnerabilidade de três sites selecionados :
- Adx Doctum
- Endereço: http://adx.doctum.edu.br/adx/unidades/cataguases
- Submarino
- Endereço: http://www.submarino.com.br/
- Americanas
- Endereço: http://www.americanas.com.br/
- Negocio Feito
- Endereço: http://www.negociofeito.com/
- OBJETIVO
A presente atividade de auditoria teve por objetivo aferir e avaliar as atuais condições de controle na área de segurança de Websites . Os trabalhos foram realizados durante o mês de agosto de 2016 pelos alunos do curso de sistemas de informação da Faculdade Doctum residente no município de Cataguases .Foram utilizados diversos procedimentos e técnicas de auditoria para a consecução dos objetivos pretendidos, em especial: testes de acesso (Login e senha) .
- METODOLOGIA
O Método utilizado para avaliar os websites foi o programa WireShark, onde foram testadas diversas vulnerabilidades de cada website. Para encontrar informações sobre os protocolos utilizados e possíveis soluções foram utilizadas pesquisas a sites especializados da área de sistemas de Informação e segurança da informação.
- PERÍODO DE REALIZAÇÃO
a) Planejamento: 18/08/2016 a 19/08/2016
b) Execução: 19/08/2016 a 07/08/2016
c) Encerramento : 07 de setembro de 2016
- EQUIPE E HORAS/ATIVIDADES
AUDITORES | ATIVIDADE | HORAS/ATIV. |
Alex Monteiro de Castro Silva | Testes Vulnerabilidade sites | 10h |
Luciane Menezes | Testes Vulnerabilidade sites | 10h |
Michelle Eduarda Fernandes | Testes Vulnerabilidade sites | 10h |
- RESULTADOS DOS TRABALHOS
Informação
A análise de segurança de acesso no site Adx, Americanas, Negocio Feito e Submarino foi realizado no dia 19 de agosto de 2016. O ambiente em que foi feito a análise é composto pelos equipamentos abaixo:
- Notebook Asus K555LF c/ processador core i5 5ª geração
- Placa de Rede Qualcomm Atheros AR9485
- Repetidor Multilaser 300mb RE051 conectado a um Roteador Wireless TP - Link TL - WR740N
- Modem D-Link DSL - 2500E
- Link Velox 2mb
- CONSTATAÇÃO 1 :
Ao efetuar tentativa de login na página do ADX, foi constatado através do monitoramento de pacotes trafegados com a ferramenta WireShark 2.0.5 instalado no sistema operacional Windows 10, conectado em uma rede Wireless, que as variáveis de login e senha estavam com nomes sugestivos permitindo assim a fácil identificação do conteúdo de login e senha digitados. Também foi identificado que o conteúdo das variáveis não possuem encriptação. O site utiliza a versão 4.4.6 do PHP e a versão do Apache 2.2.20. Segue abaixo as vulnerabilidades de cada um.
Vulnerabilidades PHP 4.4.6
- A primeira vulnerabilidade envolve vários erros na biblioteca PCRE (Perl Compatible Regular Expression) que poderiam ser exploradas para acessar informações confidenciais, causar uma negação de serviço ou comprometer um sistema vulnerável.
- A segunda vulnerabilidade é causada por um erro não especificado na função “imageloadfont". Um atacante remoto poderia provocar que o sistema parasse de responder usando uma fonte inválida.
- A terceira vulnerabilidade consiste em um erro não especificado na extensão “curl” relacionado com a manipulação da função "open_basedir".
- A última vulnerabilidade é causada por um erro de estouro de memória na função “memnstr”, que pode ser explorada por um invasor que executa um código arbitrário.
Vulnerabilidades Apache 2.2.20
- O módulo mod_cgid no Apache HTTP Server antes de 2.4.10 não tem um mecanismo de tempo limite, o que permite que atacantes remotos possam causar uma negação de serviço (não reagir a processo) através de um pedido para um script CGI que não lê a partir do seu descritor de arquivo stdin.
- A função log_cookie em mod_log_config.c no módulo mod_log_config no Apache HTTP Server antes 2.4.8 permite que atacantes remotos possam causar uma negação de serviço (falha de segmentação) através de um cookie trabalhado que não é tratado adequadamente durante o truncamento.
- A função dav_xml_get_cdata no main / util.c no módulo mod_dav no Apache HTTP Server antes da versão 2.4.8 não remove corretamente caracteres em branco a partir de seções CDATA, o que permite que atacantes remotos possam causar uma negação de serviço (daemon crash) através de uma DAV trabalhada por solicitação de gravação.
- mod_session_dbd.c no módulo mod_session_dbd no Apache HTTP Server antes da versão 2.4.5 prossegue com salvamento de operações para uma sessão, sem considerar a bandeira suja e a exigência de uma nova ID de sessão, que tem impacto não especificado e vetores de ataque remotos.
- O módulo mod_proxy_ajp no Apache HTTP Server versão 2.2.12 através da versão 2.2.21 coloca um nó trabalhador em um erro após a detecção de um longo tempo de processamento de pedido, que permite que atacantes remotos possam causar uma negação de serviço (worker consumption) através de uma requisição.
- Multiple cross-site scripting (XSS) vulnerabilidades no 2.2.x do Apache HTTP Server antes da versão 2.2.24-dev e 2.4.x antes 2.4.4 permitir que atacantes remotos injetem script web ou HTML arbitrários através de vectores envolvendo nomes de máquinas e URIs no ( 1) mod_imagemap, (2) mod_info, (3) mod_ldap, (4) mod_proxy_ftp, e (5) mod_status módulos.
- Multiple cross-site scripting (XSS) vulnerabilidade na função make_variant_list em mod_negotiation.c no módulo mod_negotiation na 2.4.x do Apache HTTP Server antes 2.4.3, quando a opção MultiViews está habilitado, permitir que atacantes remotos injetem script web arbitrário ou HTML através de um arquivo criado que não é tratada adequadamente durante a construção de uma lista variante.
- envvars (aka envvars-STD) no Apache HTTP Server antes da versão 2.4.2 lugares um nome de diretório de comprimento zero no LD_LIBRARY_PATH, que permite que os usuários locais possam obter privilégios por meio de um cavalo de Tróia DSO no diretório de trabalho atual durante a execução do apachectl.
- protocol.c na 2.2.x do Apache HTTP Server através da versão 2.2.21 não restringe adequadamente informações de cabeçalho durante a construção de Bad Request (aka 400) documentos de erro, o que permite que atacantes remotos para obter os valores de cookies HttpOnly através de vectores envolvendo um (1 ) de comprimento ou (2) cabeçalho mal formado em conjunto com o script web concebida para o efeito.
- scoreboard.c no Apache HTTP Server 2.2.21 e anteriores pode permitir que os usuários locais possam causar uma negação de serviço (daemon crash durante o desligamento) ou, eventualmente, não ter especificado outro impacto modificando um determinado tipo de campo dentro de um placar de segmento de memória compartilhada, levando a uma chamada inválida para a função livre.
- A função log_cookie em mod_log_config.c no módulo mod_log_config no Apache HTTP Server versão 2.2.17 através de 2.2.21, quando uma tarefa MPM é usado, não lida corretamente com a% {} cadeia de formato C, o que permite que atacantes remotos possam causar uma negação de serviço (daemon crash) através de um cookie que não tem um nome e um valor.
- A função ap_pregsub no servidor / util.c na 2.0.x do Apache HTTP Server através 2.0.64 e 2.2.21 2.2.x através de, quando o módulo mod_setenvif está habilitado, não restringe o tamanho dos valores de variáveis de ambiente, que permite usuários locais possam causar uma negação de serviço (consumo de memória ou referência de ponteiro nula) através de um arquivo .htaccess com uma diretiva SetEnvIf trabalhada, em conjunto com um cabeçalho de solicitação HTTP trabalhada, relacionadas com (1) a "len + =" instrução e ( 2) a chamada de função apr_pcalloc, uma vulnerabilidade diferente do CVE-2011-3607.
- O módulo mod_proxy no 1.3.x do Apache HTTP Server através da versão 1.3.42, 2.0.x através de 2.0.64, e 2.2.x através de 2.2.21, quando o patch Revisão 1.179.239 está no lugar, não interage adequadamente com uso de ( 1) RewriteRule e (2) ProxyPassMatch padrão corresponde a configuração de um proxy reverso, o que permite que atacantes remotos possam enviar solicitações para servidores de intranet através de um URI mal formado contendo um caractere @ (arroba) e um: caractere (cólon) em posições inválidas. NOTA: esta vulnerabilidade existe devido a uma correção incompleta para CVE-2011-3368.
- integer overflow na função ap_pregsub no servidor / util.c na 2.0.x do Apache HTTP Server através 2.0.64 e 2.2.21 2.2.x através de, quando o módulo mod_setenvif estiver ativada, permite que os usuários locais possam obter privilégios por meio de um .htaccess arquivo com uma diretiva SetEnvIf trabalhada, em conjunto com um cabeçalho de solicitação HTTP trabalhada, levando a um buffer overflow baseado em pilha.
- O módulo mod_proxy na versão 1.3.x do Apache HTTP Server através da versão 1.3.42, 2.0.x através de 2.0.64, e 2.2.x através 2.2.21 não interage adequadamente com uso de (1) RewriteRule e (2) ProxyPassMatch padrão que corresponde para a configuração de um proxy reverso, o que permite que atacantes remotos possam enviar solicitações para servidores de intranet através de um URI mal formado contendo um caractere @ inicial (arroba).
- O módulo mod_proxy_ajp no Apache HTTP Server antes da versão 2.2.21, quando usado com mod_proxy_balancer em determinadas configurações, permite que atacantes remotos causem uma negação de serviço ( "estado de erro" temporário no servidor back-end) através de uma solicitação HTTP mal formado.
Para exibir as vulnerabilidades do site, abra o arquivo de monitoramento com o nome adxwireshark.pcapng
1º passo: Na tela principal do WireShark clique em File → Open→ Selecione o arquivo, e clique em abrir.
2º passo: Digite http no campo de filtro para filtrar todos os pacotes que contenham o protocolo http.
3º passo:
[pic 1]
4º passo: Clicar com o botão direito do mouse → Follow→ TCP Stream
5º passo: Irá ser exibido a tela abaixo, conforme destacado
...