A partir das perspectivas das ameaças, vulnerabilidades e ataques vamos analisar a segurança da informação nas aplicações web.

Quando você aprender algumas das técnicas utilizadas pelos hackers, antes de executar as atividades de desenvolvimento de software, esse conhecimento permitirá a priorização das ameaças, minimizando o risco para o processo de negócio.

Importante: Embora as organizações implementem diversos mecanismos de segurança, dificultando o acesso indevido as informações, geralmente as aplicações web são vulneráveis a diversos tipos de ataques.

Sistemas de firewall, antivírus, IDS (intrusion detection system), antispam etc. não conseguem detectar e bloquear as técnicas descritas neste artigo.

Conheça aqui algumas técnicas de ataque:

XSS (Cross Site Scripting)

Cross Site Scripting representa um ataque baseado em induzir o navegador web (por exemplo, Internet Explorer, Firefox, Opera etc.) do usuário a executar um script malicioso dentro do contexto de um site confiável.

A exploração bem sucedida deste ataque permite ao hacker embutir um código malicioso (na forma de Javascript ou VBScript) em campos de entrada, os quais são inseridos de volta para a resposta do servidor. Isto permite ao hacker a execução de um código arbitrário em um usuário desatento que tenha acesso permitido ao site escolhido como vítima.

SQL Injection

Algumas aplicações não validam as entradas de usuários permitindo que hackers executem comandos diretamente no banco de dados de uma aplicação. Este ataque permite ao hacker alterar valores do SQL, concatenar declarações SQL, adicionar chamadas de função e procedimentos de armazenagem para uma declaração, entre outras ações.

O sucesso na exploração deste ataque poderia resultar no acesso não autorizado aos dados, manipulação de registro e no comprometimento geral do servidor.