-
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA
ESCOLA DA REDE PÚBLICA
1/5
FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA ESCOLADA REDE
PÚBLICA
Brigiada Neta1
Edgard Luz de Oliveira
João Paulo de Sousa Bueno
Naylson Ferreira Da Silva Andrade
Otávio Costa Lia
!enn" Ste#$any Ferreira Dos Santos%
O presente estudo tem como objetivo analisar falhas de segurança
em um sistema
escolar da rede pública federal utilizando o scanner de
vulnerabilidades chamado
Acunetix, Mantendo-se o foco sempre a busca por falhas de S!
"njection ou injeç#o de
S! $Structured uer% !anguage, ou !inguagem de &onsulta
'struturada( pois ) uma
falha bastante explorada por crac*ers $usu+rios com intençes
maliciosas( e pela f+cil
exploraç#o e utilizaç#o podendo ser aplicado por alunos da
prpria escola para alterar
dados importantes como informaçes de cadastro de alunos,
professores e funcion+rios,
fre.u/ncia escolar e notas salvas no banco de dados do sistema
podendo comprometer
integridade da base de dados e das informaçes apresentadas pelo
sistema0 1usca-se
tamb)m apresentar medidas de segurança .ue devem ser adotadas em
relaç#o a
vulnerabilidades encontradas por injeç#o de S! para .ue venha
ser tomada 2s devidas
medidas para correç#o das falhas proporcionando maior segurança
ao sistema escolar0
3alavras-&have4 5alhas de Segurança0 S!-"njection0
6ulnerabilidades0
1 Alunos do &urso de Analise e 7esenvolvimento de
Sistemas - 5loriano83"0
2 Professor do Curso de Analise e Desenvolvimento de Sistemas
-Floriano/PI.
-
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA
ESCOLA DA REDE PÚBLICA
2/5
INTROCUÇÃO
A utilizaç#o de sistemas gerenciais vem crescendo com larga
escalado no
mercado por seu potencial no gerenciamento de informaçes, logo
com a necessidade
da entrega do sistema em um curto espaço de tempo para pode
ocorrer 2 m+
implementaç#o no cdigo fonte podendo ocasionar s)rios riscos
como falhas de
segurança tais como o de S! "njection9 .ue ) uma das
vulnerabilidades .ue mais se
destacam em sistemas gerencias0 'm "nstituiçes de ensino a
crescente utilizaç#o de
sistemas informatizados vem se tornando um mecanismo para
agilizar as atividades
acad/micas com finalidade de atribuir maior valor a seus
serviços e segundo $7uarte,
:;;su+rios institucionais utilizam novas tecnologias seja por
motivos
estrat)gicos, de competitividade ou para prover os serviços e
funcionalidades .ue seus
clientes necessitam e exigem0
0 ' uma falha de segurança de tal n?vel seria um grande perigo
caso os alunos
obtivessem consci/ncia de sua exist/ncia logo poder-se-ia ter
acesso total a base de
dados do sistema alterando assim a integridade das informaçes
como notas e
fre.u/ncia escolar e dados de funcion+rios0
&om base no .ue foi exposto acima foi analisado um sistema
escolar da rede
pública federal com intuito de encontrar poss?veis falhas
de segurança de S! "njection
e informar ao respons+vel medidas de trata-las para .ue n#o
ocorra .uebra de
integridade dos dados do sistema0 3ara a an+lise do sistema foi
utilizado a ferramenta
Acunetix em sua vers#o de teste para buscar por vulnerabilidades
e para gerar relatrios
do scan, foi utilizado testes de intrus#o onde4
@estes de intrus#o n#o s#o mais do .ue tentativas de acesso
aos
sistemas da 'mpresa por arte de pessoas n#o autorizadas0 'ste
tipo de
an+lise poder+ ser realizado sem .ual.uer conhecimento pr)vio
dos
sistemas a testar, ou com a indicaç#o das respectivas
caracter?sticas0
Ambas as possibilidades t/m pontos positivos e negativos4 no
caso da
primeira, cria-se um cen+rio mais realista, na medida em
.ue assumir+
o ponto de vista de um hipot)tico atacante no caso da segunda,
em
3 SQL Injection ) um dos muitos mecanismos de ata.ue usados
por crac*ers para roubar dadosde organizaçes0
-
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA
ESCOLA DA REDE PÚBLICA
3/5
.ue existe o conhecimento completo das caracter?sticas dos
sistemas a
testar, garante-se a exaustividade os testes, pois estes
ir#o
provavelmente deixar menos vulnerabilidades de fora0
&S'L(A)
*+,O ) - .O!!ES) %//0) # 1%230
A partir dos dados coletados foram encontradas duas falhas de S!
"njection
$apresentado a figura B0;(, uma delas chama-se injeç#o de S!
cego .ue ) um ata.ue
onde o crac*er perguntar ao servidor se algo ) verdade ou
mentira0 Se o crac*er solicitar
uma pergunta se o usu+rio ) CxD, o sistema dir+ se isso )
verdade ou n#o, carregando o
sistema ou n#o0 Se o sistema carregar ) verdade caso contr+rio )
mentira0
5igura B0;0
As vulnerabilidades encontradas pelo scanner $Acunectix( s#o
consideradas de alto risco
como mostra na figura :0; classificadas por seu n?vel de risco
mais alto $n?vel 9(0
-
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA
ESCOLA DA REDE PÚBLICA
4/5
-
8/17/2019 FALHAS DE SEGURANÇA EM UM SISTEMA GERENCIAL DE UMA
ESCOLA DA REDE PÚBLICA
5/5
