Upload
otavio-costa
View
212
Download
0
Embed Size (px)
Citation preview
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLA DA REDE PÚBLICA
1/5
FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLADA REDE PÚBLICA
Brigiada Neta1
Edgard Luz de Oliveira
João Paulo de Sousa Bueno
Naylson Ferreira Da Silva Andrade
Otávio Costa Lia
!enn" Ste#$any Ferreira Dos Santos%
O presente estudo tem como objetivo analisar falhas de segurança em um sistema
escolar da rede pública federal utilizando o scanner de vulnerabilidades chamado
Acunetix, Mantendo-se o foco sempre a busca por falhas de S! "njection ou injeç#o de
S! $Structured uer% !anguage, ou !inguagem de &onsulta 'struturada( pois ) uma
falha bastante explorada por crac*ers $usu+rios com intençes maliciosas( e pela f+cil
exploraç#o e utilizaç#o podendo ser aplicado por alunos da prpria escola para alterar
dados importantes como informaçes de cadastro de alunos, professores e funcion+rios,
fre.u/ncia escolar e notas salvas no banco de dados do sistema podendo comprometer
integridade da base de dados e das informaçes apresentadas pelo sistema0 1usca-se
tamb)m apresentar medidas de segurança .ue devem ser adotadas em relaç#o a
vulnerabilidades encontradas por injeç#o de S! para .ue venha ser tomada 2s devidas
medidas para correç#o das falhas proporcionando maior segurança ao sistema escolar0
3alavras-&have4 5alhas de Segurança0 S!-"njection0 6ulnerabilidades0
1 Alunos do &urso de Analise e 7esenvolvimento de Sistemas - 5loriano83"0
2 Professor do Curso de Analise e Desenvolvimento de Sistemas -Floriano/PI.
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLA DA REDE PÚBLICA
2/5
INTROCUÇÃO
A utilizaç#o de sistemas gerenciais vem crescendo com larga escalado no
mercado por seu potencial no gerenciamento de informaçes, logo com a necessidade
da entrega do sistema em um curto espaço de tempo para pode ocorrer 2 m+
implementaç#o no cdigo fonte podendo ocasionar s)rios riscos como falhas de
segurança tais como o de S! "njection9 .ue ) uma das vulnerabilidades .ue mais se
destacam em sistemas gerencias0 'm "nstituiçes de ensino a crescente utilizaç#o de
sistemas informatizados vem se tornando um mecanismo para agilizar as atividades
acad/micas com finalidade de atribuir maior valor a seus serviços e segundo $7uarte,
:;;su+rios institucionais utilizam novas tecnologias seja por motivos
estrat)gicos, de competitividade ou para prover os serviços e funcionalidades .ue seus
clientes necessitam e exigem0
0 ' uma falha de segurança de tal n?vel seria um grande perigo caso os alunos
obtivessem consci/ncia de sua exist/ncia logo poder-se-ia ter acesso total a base de
dados do sistema alterando assim a integridade das informaçes como notas e
fre.u/ncia escolar e dados de funcion+rios0
&om base no .ue foi exposto acima foi analisado um sistema escolar da rede
pública federal com intuito de encontrar poss?veis falhas de segurança de S! "njection
e informar ao respons+vel medidas de trata-las para .ue n#o ocorra .uebra de
integridade dos dados do sistema0 3ara a an+lise do sistema foi utilizado a ferramenta
Acunetix em sua vers#o de teste para buscar por vulnerabilidades e para gerar relatrios
do scan, foi utilizado testes de intrus#o onde4
@estes de intrus#o n#o s#o mais do .ue tentativas de acesso aos
sistemas da 'mpresa por arte de pessoas n#o autorizadas0 'ste tipo de
an+lise poder+ ser realizado sem .ual.uer conhecimento pr)vio dos
sistemas a testar, ou com a indicaç#o das respectivas caracter?sticas0
Ambas as possibilidades t/m pontos positivos e negativos4 no caso da
primeira, cria-se um cen+rio mais realista, na medida em .ue assumir+
o ponto de vista de um hipot)tico atacante no caso da segunda, em
3 SQL Injection ) um dos muitos mecanismos de ata.ue usados por crac*ers para roubar dadosde organizaçes0
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLA DA REDE PÚBLICA
3/5
.ue existe o conhecimento completo das caracter?sticas dos sistemas a
testar, garante-se a exaustividade os testes, pois estes ir#o
provavelmente deixar menos vulnerabilidades de fora0 &S'L(A)
*+,O ) - .O!!ES) %//0) # 1%230
A partir dos dados coletados foram encontradas duas falhas de S! "njection
$apresentado a figura B0;(, uma delas chama-se injeç#o de S! cego .ue ) um ata.ue
onde o crac*er perguntar ao servidor se algo ) verdade ou mentira0 Se o crac*er solicitar
uma pergunta se o usu+rio ) CxD, o sistema dir+ se isso ) verdade ou n#o, carregando o
sistema ou n#o0 Se o sistema carregar ) verdade caso contr+rio ) mentira0
5igura B0;0
As vulnerabilidades encontradas pelo scanner $Acunectix( s#o consideradas de alto risco
como mostra na figura :0; classificadas por seu n?vel de risco mais alto $n?vel 9(0
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLA DA REDE PÚBLICA
4/5
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLA DA REDE PÚBLICA
5/5