Upload
victor-neves
View
1.155
Download
0
Embed Size (px)
Citation preview
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 1/42
UNIÃO EDUCACIONAL DE BRASÍLIA – UNEB
INSTITUTO DE CIÊNCIAS SOCIAIS APLICADAS – ICSA
CURSO DE GRADUAÇÃO EM ADMINISTRAÇÃO DE SISTEMAS DE
INFORMAÇÃO
ANÁLISE DE SEGURANÇA DO PORTAL
CRISTINA LOPES DA SILVAVICTOR NEVES EVANGELISTA
Brasília – DF2011
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 2/42
CRISTINA LOPES DA SILVAVICTOR NEVES EVANGELISTA
ANÁLISE DE SEGURANÇA DO PORTAL
Monografia apresentada como parte dosrequisitos para obtenção do título deTecnólogo em Desenvolvimento deSistemas com enfase em Redes deComputadores , pela União Educacionalde Brasília – UNEBHabilitação: TecnologiaOrientador: Prof. Clauder Costa de Lima
Brasília – DF2011
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 3/42
EVANGELISTA, Victor N. / DA SILVA, Cristina L.Análise de segurança do portal / Victor N. Evangelista, Cristina L. Da Silva. União Educacional de
Brasília UNEB, 2011.Espécie de trabalho (monografia para graduação, Trabalho de Conclusão de Curso TCC, paragraduação em Administração de Sistema de Informação módulo optativo em redes)1. Segurança 2. HTML 3. Sniffer 4. SSL 5. RSA 6. Criptografia
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 4/42
CRISTINA LOPES DA SILVAVICTOR NEVES EVANGELISTA
ANÁLISE DE SEGUNRAÇA DO PORTAL
Monografia aprovada como requisito final para obtenção do grau de Tecnólogo emDesenvolvimento de Sistemas com enfase em Redes de Computadores , pelaUnião Educacional de Brasília – UNEBHabilitação: TecnologiaData de aprovação
______ / ______ / ______
BANCA EXAMINADORA
Nome:Instituição: União Educacional de Brasília – UNEBAssinatura: _____________________________________
Nome:Instituição: União Educacional de Brasília – UNEBAssinatura: _____________________________________
Nome: Clauder Costa de LimaInstituição: União Educacional de Brasília – UNEBAssinatura: _____________________________________
Brasília – DF2011
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 5/42
DedicatóriaDedico este trabalho a meus pais que sempre me motivaram einvestiram em meu desenvolvimento intelectual. Que semprebatalharam, lutaram e tiveram forças para me proporcionar o melhor quepodiam me dar.Desenvolvimento que me permitiu chegar a este trabalho e que meajudará a abrir portas no futuro. Victor Neves.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 6/42
AgradecimentosVictor Neves,
Depois de tanto esforço e dedicação, posso contemplar a realização deum trabalho que marcará para sempre a minha vida acadêmica, o meuprimeiro Trabalho de Conclusão de Curso. Agradeço enormemente atodas as pessoas que ajudaram na construção deste trabalho. Agradeçoem especial à minha amiga Cristina Lopes da Silva que tanto me apoioue me motivou a acreditar que concluiríamos esta etapa de nossas vidas;e a nosso orientador Clauder Costa de Lima que se dedicou tanto quantoeu e Cristina para a realização deste trabalho, cedendo seu tempo epaciência para nos ajudar sempre quando precisávamos. Além daspessoas que nos ajudaram, sem nós três isto não seria possível.
Cristina Lopes,
É um momento muito feliz na minha vida -- é a realização de um sonho --tive que ter coragem, perseverança e dedicação. Contei com o apoio doFernando, meu companheiro que esteve sempre comigo torcendo pelomeu sucesso. Dedico à minha Mãe a quem honro por ser um exemplo demulher; a todos os professores na pessoa do professor Clauder quemuito contribuiu para a minha formação, me ajudando com seusconhecimentos para conclusão do meu curso.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 7/42
RESUMO
Este trabalho trata da utilização da análise de segurança no portal daUNEB, uma ferramenta importante e essencial a alunos e professores. Todos
aqueles que utilizam o portal devem estar e se sentir seguros quanto à privacidade
de seus dados pessoais e acadêmicos. Após a apuração dos dados, verificou-se que
há uma grande deficiência de segurança na arquitetura do atual sistema que permite
ter acesso a informações acadêmicas de alunos e professores. A instituição deve
buscar uma infraestrutura de segurança mais conveniente, possibilitando a alunos e
professores melhor segurança de seus dados pessoais.
Palavras-chaves: Segurança, HTML, sniffer, SSL, RSA.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 8/42
Resumen
Este trabajo trata del uso del análisis de seguridad en el portal de la
UNEB, una herramienta importante y esencial para alumnos y profesores. Todos
aquellos que usan el portal deben estar y sentirse seguros encuanto a la privacidad
de sus datos personales y académicos. Despues de la análisis de los datos, se
verificó que hay una gran deficiéncia de seguridad en la arquitectura del actual
sistema, que permite tener acceso a informaciones académicas de alumnos y
profesores. La institución debe buscar una infraestructura de seguridad mas
conveniente, posibilitando a alumnos y profesores mejor seguridad de sus datos
personales.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 9/42
Índice de ilustraçõesIlustração 1: Modelo cliente servidor........................................................................................14
Ilustração 2: Requisição e resposta via HTTP. (Basham, Sierra & Bate, 2008) ......................17Ilustração 3: Aparência ta tela descrita no código HTML........................................................18Ilustração 4: Envio de formulário entre usuário e servidor. (Basham, Sierra & Bate, 2008) . .19
Ilustração 5: Demonstração da cifragem de código (ITI, 2005, p.2).......................................22Ilustração 6: Demonstração da encriptação por chave pública e privada (ITI,2005,p.4 – com
alterações do autor)...................................................................................................................23
Ilustração 7: Primeira fase do handshake SSL..........................................................................26Ilustração 8: Segunda fase do handshake SSL..........................................................................26
Ilustração 9: Terceira fase do handshake SSL...........................................................................27Ilustração 10: Quarta fase do handshake SSL...........................................................................28
Ilustração 11: Inclusão do código de autenticação de mensagens (Stallings, p.382, 2008)......29
Ilustração 12: Wireshark capturando login e senha...................................................................30Ilustração 13: Aluno sendo capturado.......................................................................................33
Ilustração 14: Demonstração do atual sistema de login............................................................33Ilustração 15: Demonstração do funcionamento do ataque .....................................................34
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 10/42
SUMÁRIO1. Introdução .............................................................................................................................11
2. Fundamentação teórica ........................................................................................................122.1. Internet ..........................................................................................................................122.1.1. World Wide Web ...................................................................................................12
2.1.2. Correio Eletrônico ................................................................................................132.1.3. Funcionamento Web .............................................................................................13
2.1.4. Definições de portal ..............................................................................................15
2.2. Protocolos .....................................................................................................................152.2.1. O protocolo TCP ...................................................................................................15
2.2.2 O protocolo HTTP .................................................................................................162.3. HTML ...........................................................................................................................17
2.3.1 JavaScript ...............................................................................................................19
2.4. Segurança de Redes ......................................................................................................192.4.1. Definições do MD5 ..............................................................................................21
2.4.2. Criptografia ...........................................................................................................212.4.2. Como RSA calcula suas chaves ............................................................................23
2.4.3. O protocolo SSL ...................................................................................................24
2.4.3.1. Primeira fase..................................................................................................252.5.3.2. Segunda fase..................................................................................................26
2.4.3.3. Terceira fase...................................................................................................262.4.3.4. Quarta fase ....................................................................................................27
2.5. Sniffer de Rede .............................................................................................................29
2.5.1. Wireshark ...................................................................................................................29
2.6. Ferramenta Computacional ..........................................................................................302.6.1. Plataforma utilizada ..............................................................................................30
3. Análise Institucional .............................................................................................................31
3.1. Instituição .....................................................................................................................31
3.2. Portal UNEB .................................................................................................................313.3. Análise da segurança do portal .....................................................................................32
3.4. Apresentação dos resultados .........................................................................................354. Propostas de Segurança ........................................................................................................36
5. Conclusão .............................................................................................................................38
6. Referência.............................................................................................................................397. Apêndices .............................................................................................................................40
7.2. Código HTML da página usada para a intrusão no portal ............................................407.2. Imagem completa do handshake do SSL ......................................................................41
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 11/42
11
1. Introdução
O objetivo principal deste Trabalho de Conclusão do Curso foi avaliar
algumas falhas de segurança no portal da UNEB (União Educacional de Brasília).
Através de técnicas simples e fáceis será exposto como pode-se obter o acesso não
autorizado a uma conta do portal.
Este trabalho abordará desde temas simples como comunicação pela
Internet, programação para Web até temas mais específicos como captura de
pacotes, criptografia e comunicação criptografada, onde será apresentado de forma
clara e objetiva como foram os passos para se chegar ao resultado esperado – a
invasão – e uma possível solução para a segurança.
Durante dois meses foram capturados acessos de usuário no Portal,
através de técnicas próprias com a utilização de um analisador de trafego de redes.
Com isso foi detectado uma vulnerabilidade que permite acesso não autorizado.
A monografia é finalizada explicando o mecanismo de segurança
adotado, seus fundamentos e como ele, basicamente opera.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 12/42
12
2. Fundamentação teórica
Para obter um melhor clareza do assunto apresentado, é necessário a
compreensão de determinados conceitos que tem por função fornecer o
conhecimento mínimo necessário para o entendimento do assunto apresentado.
2.1. Internet
Segundo Kurose&Ross, Internet é “uma rede de computadores mundial,
isto é, uma rede que conecta milhões de equipamentos de computação em todo o
mundo”(Kurose&Ross,p.1,2004).
Já Tanenbaum possui uma visão sutilmente diferente, ao afirmar que:
“Embora possa parecer estranho para algumas pessoas, nem a Internet nem a
World Wide Web é uma rede de computadores. […] A resposta simples é que a
Internet não é uma única rede, mas uma rede de redes” (Tanenbaum, p.2, 2003).
Embora sejam definições sutilmente diferentes, podemos analisar que
ambos concordam que a Internet seja uma enorme conexão entre diversas redes
e/ou equipamentos.
Internet pode ser definido também como “um conjunto de computadores
autônomos interconectados por uma única tecnologia” (Tanenbaum p.2, 2003).
A Internet, sendo uma infra estrutura mundial que conecta milhões de
equipamentos, fornece também vários serviços. Os serviços mais utilizados são osserviços de correio eletrônico e World Wide Web.
2.1.1. World Wide Web
A Internet oferece vários serviços a seus usuários. Um dos serviços
oferecidos pela Internet é o serviço Web. Serviço Web é proveniente de World Wide
Web que “é uma estrutura arquitetônica que permite o acesso a documentos
vinculados espalhados por milhões de máquinas na Internet.” (Tanenbaum, p.651,2004). A World Wide Web, também conhecida apenas como Web “é um sistema
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 13/42
13
distribuído que funcionada na Internet” (Tanenbaum,p.2.2003).
Um sistema distribuído é um sistema onde “um conjunto de computadores
independentes parece ser, para seus usuários, um único sistema coerente.[...]
(Tanenbaum, p.2,2003).
“Vale enfatizar que a Web não é uma rede separada, mas apenas uma
das muitas aplicações distribuídas que utilizam os serviços de comunicação providos
pela Internet” (Kurose&Ross, p.3,2004).
Devido ao fácil manuseio da Web, esta popularizou e virou sinônimo de
ser A Internet.
2.1.2. Correio Eletrônico
O correio eletrônico é um dos serviços mais utilizados na Internet, sendo
um serviço muitas vezes importante às pessoas que conectam à Internet. Isso faz
com que ele seja necessário para suas comunicações.
O correio eletrônico funciona de forma análoga ao serviço de caixa postal
tradicional, o remetente manda uma mensagem a um destinatário e coloca na
mensagem o seu endereço de destino, o correio a partir de seu sistema entrega a
mensagem ao devido destino (FILIPPO; SZTAJNBERG, 1996, [1]).
2.1.3. Funcionamento Web
A Web funciona a partir de um modelo chamado cliente/servidor, “umprograma cliente que roda em um sistema final pede e recebe informações que de
um servidor que roda em outro sistema final” (Kurose&Ross, p.7, 2004).
Quando se deseja acessar uma página na World Wide Web (www), a
requisição é enviada pela rede ao servidor Web que hospeda a página, que
imediatamente responde com a página solicitada.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 14/42
14
Esse modelo “é amplamente usado e constitui a base da grande utilização
da rede” (Tanenbaum, p.4, 2003). Um servidor web é uma máquina destinada a
disponibilizar páginas para os clientes. Um servidor web pode armazenar dezenas
ou as vezes centenas de páginas e disponibilizar essas páginas sempre que alguém
requisitar. “Uma página Web é constituída de objetos. Um objeto é simplesmente um
arquivo.” (Kurose&Ross, p.66, 2003)
“Todas as atividades na Internet que envolvem duas ou mais entidades de
comunicação remota são governadas por protocolos.” (Kurose&Ross, p.6, 2004)
“Um protocolo define o formato e a ordem das mensagens trocadas entre
duas ou mais entidades que se comunicam, bem como as ações tomadas durante a
transmissão e/ou recepção da mensagem ou outro evento.” (kurose&Ross, 2006)
“Um conjunto de regras em que controla o formato e o significado dos
pacotes ou mensagens que são trocadas pelas entidades” (Tanenbaum, p.39, 2004).
Existem dezenas de protocolos, um para cada serviço. Quando requisitamos uma
página de um servidor web, o protocolo em que utilizamos, por exemplo, é o
protocolo HTTP.
As informações são armazenadas nos chamados “pacotes”. Pacotes são
como envelopes de correspondência, imagine um texto impresso (a informação), evocê precisa enviar esse texto para outra pessoa em outra cidade. Você decide
Ilustração 1: Modelo cliente servidor
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 15/42
15
enviar por correspondência, mas existe um detalhe, você terá que dividir seu texto
(informação) em páginas e enviar separadamente em vários envelopes (pacotes).
Um protocolo define o formato e a ordem das mensagens trocadas entre
duas ou mais entidades comunicantes, bem como as ações realizadas na
transmissão e/ou no recebimento de uma mensagem ou outro evento. (KUROSE &
ROSS, p.13)
2.1.4. Definições de portal
Um portal é um site na Internet que funciona como centro aglomerador e
distribuidor de conteúdo para uma série de outros sites ou subsites dentro, e
também fora, do domínio ou subdomínios da empresa gestora do portal.
(Wikipédia,Portal Internet)
Na sua estrutura mais comum, os portais constam de um motor de busca,
um conjunto, por vezes considerável, de áreas subordinadas com conteúdos
próprios, uma área de notícias, um ou mais fóruns e outros serviços de geração de
comunidades e um diretório, podendo incluir ainda outros tipos de conteúdos.(Wikipédia, Portal Internet)
2.2. Protocolos
Um protocolo, em contraste, é um conjunto de regras que governa o
formato e significado de quadros, pacotes ou mensagens que são trocados entre
entidades parceiras dentro de uma mesma camada. As usam protocolos para
implementar suas definições de serviços. (Tanenbaum, p.31, 2003)
Uma rede pode usar diversos protocolos como TCP/IP, NetBEUI, SPX/IPX
entre outros. (Torres, p.34 , 2001)
2.2.1. O protocolo TCP
O protocolo TCP (Transmission Control Protocol – Protocolo de Controle
de Transmissão) “foi projetado especialmente para oferecer um fluxo de informações
fim a fim confiável em uma inter-rede não-confiável” (Tanenbaum, p.566, 2004).
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 16/42
16
Este protocolo define como deve ser feita uma conexão entre
cliente/servidor. Existem outros recursos que também são oferecidos pelo TCP como
por exemplo, a garantia de entrega de todos os pacotes ao destinatário, bem como a
confirmação de entrega dos mesmos; Controle de fluxo, “impedindo que um
transmissor rápido sobrecarregue um receptor lento” (TANENBAUM, p.45); entre
outros.
2.2.2 O protocolo HTTP
O protocolo HTTP (HyperText Markup Language - Linguagem de
Marcação de Hipertexto) “define como os clientes web (isto é, os browsers) solicitam
páginas web aos servidores (isto é, os servidores web) e como os servidores
transferem páginas web aos clientes” (Kurose&Ross p.66, 2003)
“Quando um navegador deseja uma página Web, ele envia o nome da
página desejada ao servidor, utilizando o HTTP.” (Tanenbaum, p.44 , 2004)
O protocolo HTTP trabalha utilizando o protocolo TCP e define uma
estrutura de como o cliente e o servidor trocam informações.
Um site www consiste em uma série de documentos hipermídia,
acessados através de um endereço ,também chamado URL (Uniform Resource
Locator). (Torres, p.125, 2001)
Através do protocolo HTTP, a requisição e a resposta são encaminhadas
ao servidor e ao cliente. Para utilizar o protocolo HTTP, basta escrever http:// antes
do endereço do site que se deseja acessar, por exemplo, se ao acessar um
determinado site o caminho for http://www.sitedesejado.com então sabe-se que o
protocolo utilizado é o HTTP.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 17/42
17
2.3. HTML
Todas as páginas na Internet, na verdade, possuem um conjunto de
códigos que são interpretados pelo browser e “traduzidos” em tabelas, cores,
imagens, linhas e etc para os usuários. Quando vemos uma página cheia de tabelas
coloridas existe, na verdade, códigos que quando lidos pelo browser ele osinterpreta como sendo tabelas, cores, linhas e etc. Esse código se chama HTML
(HyperText Markup Language ou, Linguagem de Marcação de Hipertexto).
Toda página HTML é delimitado pelas tags <html> </html>, tudo o que
tiver entre essas tags será interpretado como código HTML. A primeira marca o
início, a segunda marca o fim. E dentro de cada página HTML existe o que
chamamos de formulário, um fomulário tem seu início marcado por <form> e seu fim
por </form>, todos os campos que estiverem dentro do formulário e forem
preenchidos,marcados ou selecionados serão enviados ao servidor de destino. No
Ilustração 2: Requisição e resposta via HTTP. (Basham, Sierra & Bate,
2008)
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 18/42
18
servidor existe um arquivo específico que irá receber o que o usuário marcou,digitou
ou selecionou dentro do formulário.
Dentro das tags existem os chamados parâmetros, um desses
parâmetros diz ao formulário para qual o endereço ele deve enviar os dados do
usuário, o parâmetro responsável por essa ação é o parâmetro action.
E dentro dos fomulários temos também os campos, que são o que
preenchemos ou selecionamos, os campos são inseridos usando a tag <input
type=”text”>, e definimos no parâmetro type se ele é texto (text), selecionável
(select), um botão (buton), enviar um formulário (submit) e etc.
Então suponha que exista o seguinte código:
<html>
<form action=”paginaDestino” >
<span>Apos digitar login e senha clique em enviar</span>
Login:<input type=”text” name=”login” value=”” /><br>
Senha:<input type=”text” name=”senha” value=””/><br>
<input type=”submit” name=”Acessar” value=”Acessar” />
</form>
</html>
O resultado do código exemplificado anteriormente seria mostrado assim
ao usuário final:
Esse código nos diz que, os campos de login e senha (identificados pelo
parâmetro name), serão enviados à paginaDestino, informado pelo parâmetro
action. Ou seja, a valor que será escrito será enviado ao servidor após clicar no
botão Enviar. Para melhor entendimento, veja a imagem seguinte:
Ilustração 3: Aparência ta tela descrita no código HTML
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 19/42
19
2.3.1 JavaScript
Javascript é uma linguagem “que liga uma página web a uma experiência
interativa.” (Morrison, p.4, 2008) proporcionando ao cliente uma interatividade maior
com os recursos que uma página web proporciona. Códigos javascript, como pode-
se deduzir, rodam no browser, ou seja, rodam no lado do cliente.
A tecnologia javascript funciona juntamente com HTML como um dos
modernos componentes para a construção de uma página web (Morrison, p.4, 2008)
e entra em ação sempre que solicitado.
Javascript possui, dentre suas várias opções, a opção de enviar valores
do HTML para um destino através do método submit(). O código é delimitado pelas
tags <script type="text/javascript"> </script>
Com javascript é possível enviar ao destinatário os parâmetros que
desejado, e como desejarmos, inclusive, se pode pegar parâmetros digitados pelo
usuário e modificar, adicionando, retirando ou alterando de alguma forma o
conteúdo.
2.4. Segurança de Redes
O que é segurança? Estado, condição, qualidade ou efeito de seguro
(Dicionario Aurélio, p.730, 2004)
Ilustração 4: Envio de formulário entre usuário e servidor. (Basham, Sierra & Bate, 2008)
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 20/42
20
Segurança de redes está ligada diretamente à Internet, pois é nessa rede
mundial que a maioria dos ataques ocorrem. É fato que à cada dia que passa se
torna mais difícil manter informações seguras nas redes de computadores.
Para Tanembaum “A segurança é um assunto abrangente e inclui
inúmeros tipos de pecados. Em sua forma mais simples, a segurança se preocupa
em garantir que as pessoas mal-intencionadas não leiam ou, pior ainda, modifiquem
mensagens enviadas a outros destinatários.”
“A segurança são procedimentos para minimizar a vulnerabilidade de
bens (qualquer coisa de valor) e recursos, onde a vulnerabilidade é qualquerfraqueza que pode ser explorada para violar um sistema de informação que ele
contém.”(Soares 1995, p. 448)
Outra preocupação da segurança se volta para as pessoas que tentam ter
acesso a serviços remotos, os quais elas não estão autorizadas a usar. Ela também
permite que você faça uma distinção entre uma mensagem supostamente
verdadeira e um trote, a segurança trata de situações mensagens legítimas são
capturadas e reproduzidas , alem de lidar com pessoas que negam terem enviado
determinadas mensagens
“Confidencialidade, autenticação, integridade e não-repudiaçãovem sendo considerados componentes fundamentais da comunicaçãosegura há bastante tempo”.(McCumber, 1991)
Segundo Kurose&Ross não existe uma rede inacessível, porém o que
deve ser feito para evitar um ambiente propício a ataques, mais seguro e menos
vulnerável é atender os elementos básicos de segurança.
Confidencialidade - Somente o remetente e o destinatário pretendido
devem poder entender o conteúdo da mensagem transmitida.
Autenticação - O remetente e o destinatário precisam confirmar a
identidade da outra parte envolvida na comunicação - confirmar que a outra parte é
mesmo quem alega ser.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 21/42
21
Integridade e não repudiação de mensagem - Mesmo que o remetente e
o destinatário consigam se autenticar reciprocamente, eles também querem
assegurar que o conteúdo de sua comunicação não seja alterado, por acidente, ou
por má intenção, durante a transmissão.
Disponibilidade e controle de acesso – A necessidade imperiosa de
segurança na rede ficou dolorosamente obvia nos últimos anos a numerosos
ataques de recusa de serviço (denial of service DoS) que utilizaram uma rede, um
hospedeiro ou qualquer outro componente da infraestrutura de rede, para usuários
legitmos.
“Se sua empresa gasta mais em café do que em segurança de TI, terá
um incidente de segurança” (Richard Clarke)
2.4.1. Definições do MD5
Message Digest 5: É universalmente adotado de conhecimento publico,
fornece o resumo criptográfico de 128 bits a partir de um conjunto de dados. De
acordo com Tanenbaum MD5 é o quinto de uma série de sumário de mensagenscriadas por Ronald Rivest. Ele opera desfigurando os bits de uma forma tão
complicada que todos os bits de saídas são afetados por todos os bits de entrada.
O MD5 já é usado há mais de uma década, e muitas pessoas o tem
atacado. Foram encontradas algumas vulnerabilidades, mas certas etapas internas
impedem que ele seja rompido. Porem se as barreiras restantes dentro do MD5
caírem ele poderá falhar eventualmente, apesar disso no momento em queescrevemos ele ainda resiste. (Tanembaun 2004, pag 571).
2.4.2. Criptografia
Primeiramente é de fundamental importância entender o que é uma
conexão criptografada. Uma conexão criptografada é um canal de comunicação
onde toda a informação transitada entre os pontos são criptografadas com o objetivo
de garantir sua confidencialidade. Uma das implementações mais utilizadas nos diasde hoje é a implementação de certificados digitais e o protocolo Secure Sockets
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 22/42
22
Layer (SSL).
Um certificado digital é um documento eletrônico que fornece dados sobre
seu remetente denominado chave pública, esse documento eletrônico serve para
garantir a autenticidade de uma informação, ou seja, se sua fonte é realmente quem
ela diz ser. A tecnologia de certificação digital foi desenvolvida graças aos avanços
na área de criptografia (processo de escrever em códigos visando deixar um texto
incompreensível para pessoas não autorizadas).
O processo de ocultação é chamado de cifragem, e o processo inverso,
de decifragem. Portanto, manter uma informação secreta basta cifrá-la e manter achave segura.
“Atualmente existem dois tipos de criptografia: a simétrica e a de chave
pública” (ITI,p.3, 2005 ).
A criptografia por chave simétrica realiza a cifragem e a decifragem a
partir de uma única chave, a mesma que cifra, é a mesma que decifra.
A criptografia por chave pública (também conhecida como chave
assimétrica) utiliza dois tipos de chaves, a chave pública e a chave privada. A chave
pública está à disposição para todo o mundo, já a chave privada é de conhecimento
apenas do emissor da chave pública. Utilizando um tradicional exemplo no mundo
dos estudos de chaves criptográficas, se Alice quer falar com Bob, Alice busca a
chave pública de Bob e em seguida ela criptografa usando essa mesma chave, eenvia a mensagem criptografada para Bob. Bob utiliza sua chave privada (que
Ilustração 5: Demonstração da cifragem de código (ITI, 2005, p.2)
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 23/42
23
somente ele tem conhecimento dessa chave) para descriptografar a mensagem
enviada por Alice.
Existem vários algoritmos que tratam de chaves privadas, no entanto, a
chave mais utilizada hoje em dia é o RSA, ”que se tornou quase um sinônimo de
criptografia de chave pública” (Kurose&Ross, 2003, p.450). Há dois componentes
inter-relacionados no RSA:
Escolha de chave pública e chave privada;
O algoritmo de criptografia/decriptografia.
2.4.2. Como RSA calcula suas chaves
Para escolher a chave pública e a chave privada o RSA realiza osseguintes procedimentos:
1. Escolher dois números grandes, p e q. Quanto maior os valores, mais
difícil será quebrar o RSA, porém, mas tempo levará para cifrar e decifrar.
Recomenda-se o tamanho mínimo de 1024 bits;
2. Calcular n=pq e z=(p-1)(q-1);
3. Escolher um número e menor que n e que não tenha fatores comuns
Ilustração 6: Demonstração da encriptação por chave pública e privada(ITI,2005,p.4 – com alterações do autor)
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 24/42
24
com z. A letra e é usada na criptografia;
4. Achar um número d , tal que ed-1 seja exatamente divisível por z (ou
seja, não haja resto na divisão). Em outras palavras, escolhemos d tal que ed mod z
= 1.
O número inteiro , que é o resto da divisão de um número x por um
número n, é chamado de x mod n.
Portanto, a nossa chave pública é o par de números (n,e); e a chave
privada, (n,d).
Para Alice enviar um padrão de bits m a Bob, Alice precisa calcular o resto
inteiro da divisão de me por n, expressado por
c=memod n
Para decifrar, Bob processa
m=cdmod n
2.4.3. O protocolo SSL
O SSL foi desenvolvido em 1995 pela empresa Netscape como resposta
a uma necessidade de criação de uma conexão segura entre cliente e servidor. Tal
protocolo “constrói uma conexão segura entre dois soquetes, incluindo:
1. Negociação de parâmetros entre cliente e servidor;
2. Autenticação mútua entre cliente e servidor;
3. Comunicação secreta, e
4. Proteção da integridade dos dados.” (Tanenbaum, 2003 , p.364)
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 25/42
25
Dois conceitos importantes que são necessários entender são os
conceitos de sessão e conexão:
Conexão: é, de fato, o envio de informação.”Para o SSL, as conexões
são relacionamentos peer-to-peer” (Stallings,2008,p381) e uma conexão está
associada a apenas um sessão.
Sessão: “uma sessão SSL é uma associação entre um cliente e um
servidor” (Stallings,2008,p381). A sessão define parâmetros de segurança (como
algoritmos, identificadores de sessão) para as conexões, parâmetros que podem ser
usadas por várias conexões, ou seja, de uma sessão, podem haver várias conexõesestabelecidas.
Para entender o seu funcionamento, vamos dividí-lo em duas partes.
A primeira trata do Handshake, ou seja, do estabelecimento da sessão. A
segunda, do envio da mensagem.
O cenário em que este projeto é criado é uma conexão entre cliente aservidor (empresa).
Vamos começar examinando o Handshake, que é dividido em 4 fases:
2.4.3.1. Primeira fase
O cliente envia para o servidor um client_hello contendo a versão do SSL
mais alta que é entendida pelo cliente, com seu número randômico (RNc) gerado equais cifras ele pode entender (Kurose&Ross,p.476 , 2004 ).
O servidor responde ao cliente com um server_hello, com a informação
de qual versão do SSL será usada, obviamente, a versão utilizada será a maior
versão admitida tanto pelo cliente quanto pelo servidor. É enviado também qual o
número randômico do servidor (RNs) e qual será a chave criptográfica a ser usada,
normalmente é a chave RSA devido ao seu amplo aceitamento e por seu nível desegurança. (Stallings ,p.386, 2008 )
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 26/42
26
2.5.3.2. Segunda fase
Inicialmente, o servidor envia seus certificados x509 caso precise ser
autenticado. “Se esse certificado não for assinado por alguma autoridade conhecida,
ele também envia uma cadeia de certificados que pode ser seguida de volta até
chegar a uma autoridade original” (Tanenbaum, p. 865,2003). Todos os navegadores
são pré-carregados com cerca de 100 chaves públicas, o que permite estabelecer
uma cadeia entre as chaves. Em seguida, o servidor pode ou não, enviar um
server_key_exchange. Isso vai depender da chave usada, em caso de chave RSA
essa mensagem não é necessária. O servidor solicita um certificado do cliente com
a mensagem certificate_request e por fim encerra a segunda fase com um
server_done.“Depois de enviar essa mensagem, o servidor esperará pela resposta
de um cliente. Essa mensagem não possui parâmetros” (Stallings,2008,p.388) .
2.4.3.3. Terceira fase
Essa fase é a fase mais complexa do Handshake.
Ilustração 8: Segunda fase do handshake SSL
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 27/42
27
O cliente verifica a veracidade do certificado do servidor, ou seja, se o
certificado é válido e se os parâmetros do server_hello são válidos. O cliente envia
também seu certificado (aquele pedido na segunda fase pelo servidor), se ele não
possuir um certificado próprio, ele envia uma uma mensagem de alerta
no_certificate. Caso o cliente tenha informado seu certificado, o servidor verifica se o
mesmo é válido.
Nessa fase é necessário o envio da client_key_exchange, e seu conteúdo
dependerá do tipo de troca de chaves, no caso RSA.
Tendo a RSA como chave criptográfica, o cliente gera um pre-master-secret (pms), e envia ao servidor na mensagem client_key_exchange.
O cliente com seu RNc, com o RNs e com o pms gera o master_secret
(ms). O master_secret é um valor de 384 bits (48 bytes) de uso único gerado por
essa sessão por meio da troca de números randômicos RNc e Rns.
2.4.3.4. Quarta fase
“Essa fase não é considerada parte do Protocolo de Estabelecimento de
Sessão” (Stallings,2008,p.389), essa fase é parte do Protocolo de Mudança de
Especificação de Cifra. O cliente envia então um “finished message” (mensagem deconclusão) e especifica o master_secret como a nova chave de sessão com o
parâmetro change_cipher_spec. Após essa resposta, o servidor envia seu próprio
Ilustração 9: Terceira fase do handshake SSL
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 28/42
28
“finished message” com seu change_cipher_spec. Aqui termina a fase do handshake
, onde o cliente e o servidor poderão trocar dados na camada de aplicação.
Para uma compreensão mais clara e ampla do funcionamento do
handshake, todas as quatro fases se encontram em anexo.
Após a fase do handshake, é hora do transporte real das informações
utilizando o SSL. Inicialmente, cada mensagem é fragmentada em blocos de 16384
bytes (Stallings, p. 383, 2008), em seguida é aplicada – opcionalmente – a
compactação deste fragmento (Stallings, p. 383, 2008). Após a fragmentação e a
compactação opcional “uma chave secreta derivada dos dois nonces e da chave
pré-mestre é concatenada com o texto compactado, e o resultado passa por um
hash com o algoritmo hash combinado (normalmente, o MD5). Esse hash é anexado
a cada fragmento como o MAC” (Tanenbaum, p.867, 2003). Ou seja, o MAC (código
de autenticação de mensagens) é derivado de um cálculo dos dois nonces e do
PMS trocados na fase do handshake juntamente com o tamanho do fragmento a ser
transportado, como mostra a figura a seguir:
Ilustração 10: Quarta fase do handshake SSL
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 29/42
29
“Observe que o MAC é calculado antes que a criptografia ocorra e que o
MAC é então criptografado juntamente com o texto claro ou texto claro compactado”
(Stallings, p.383, 2008). Após este processo, o fragmento poderá ser enviado ao
cliente.
2.5. Sniffer de Rede
Um sniffer é um analisador de tráfego de rede. Tudo o que trafega na
rede, trafega dentro de pacotes, ou seja, todas as informações são subdivididas em
partes menores, armazenadas em pacotes e enviados ao seu destino. Um
analisador de tráfego intercepta esses pacotes, “desembrulha-os” e mostra ao
usuário todas as informações contidas naquele pacote.
2.5.1. Wireshark
Wireshark atua como um Sniffing na rede, sedo um analisador de
protocolos de rede para o Unix e o Windows. Permite a interatividade com o browser
dos dados analisados, checagem em nível detalhado do pacote, inclusive de dados
gravados em discos.
O Wireshark destacou-se pelo filtro apurado de protocolos e a
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 30/42
30
possibilidade de visualizar o fluxo reconstruído de uma sessão TCP. (site oficial
wareshark: http//www.wireshark.org)
A ferramenta Wireshark pode capturar valores de campos HTML, o
parâmetro elogin refere-se ao campo que contém o valor da matrícula do aluno ou
professor; o parâmetro esenha refere-se ao campo que contém o valor da senha do
aluno ou professor. Na imagem exemplificada abaixo, um usuário com a matrícula
01234567-8 deseja acessar sua página em um portal. Então são enviados login e
senha (no caso,encriptada em MD5) ao servidor.
2.6. Ferramenta Computacional
2.6.1. Plataforma utilizada
Todas as capturas de pacote, testes e intrusões foram feitas em
plataforma Linux Ubuntu 9.10 Karmic Koala, um Sistema Operacional de código
aberto e livre.
Para as capturas de pacotes foi usado o programa Wireshark versão
1.2.2. A página HTML usada para o ataque ao portal foi feito em um arquivo simples
de texto.
Ilustração 12: Wireshark capturando login e senha
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 31/42
31
3. Análise Institucional
Neste capítulo, faremos uma breve análise institucional do objeto de
estudo, no caso, a faculdade UNEB.
3.1. Instituição
A faculdade oferece cursos de graduação, pós-graduação e extensão nas
áreas de ciências sociais e exatas.
A União Educacional de Brasília (UNEB) foi criada em 06 de
agosto de 1979, a fim de desenvolver o ensino nas diversas áreas doconhecimento humano. Iniciou suas atividades em abril de 1981, com arealização do primeiro concurso vestibular para três cursos autorizadosnaquela oportunidade. Atualmente, a UNEB é mantenedora dos Institutosde Ciências Sociais Aplicadas (ICSA) e de Ciências Exatas (ICEX),possuindo cursos de graduação, pós-graduação e seqüenciais e ensino àdistância. (www.uneb.com.br)
3.2. Portal UNEB
O Portal da UNEB é a ferramenta da instituição – que foi posta em
funcionamento a partir do segundo semestre de 2004 – na qual é feita a
comunicação direta com os alunos, contendo informações da Faculdade,
professores, alunos e disciplinas, além disso consta históricos escolares, notas,
presenças, faltas e o resultado final de cada matéria. No portal os professores
lançam a vida acadêmica dos seus alunos e por esse motivo é necessário que o
mesmo seja seguro. Segundo pesquisas realizadas, foram constatados algumas
falhas de segurança no Portal. Atualmente, são feitas cerca de 80 mil acessos por
mês.
Desde o término de sua construção, foi iniciada a utilização com as
seguintes funcionalidades de disponibilizar as notas de cada aluno, bem como seus
histórico de notas; disponibilizar as matérias em que o aluno está cadastrado;
Visualizar dados pessoais; disponibilizar caixa de e-mail; e para professores, lançar
notas, pautas e arquivos para as matérias ministradas. “O portal atende a todas as
propostas idealizadas” (Rogério Franco).
O portal conta com informações importantes para o aluno tanto da vida
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 32/42
32
acadêmica quando da vida pessoal.
Uma vez que o portal possui informações que podem comprometer tanto
a vida acadêmica e pessoal dos alunos, deveria este obedecer as normas de
segurança atentando para:
Confidencialidade: visa garantir que a informação seja acessível somente
por quem tiver autorização para isso. O portal da UNEB não garante a
confidencialidade das informações de alunos e/ou professores;
Integridade: procura assegurar que a informação não seja adulterada
durante uma transmissão entre duas partes. Uma vez dentro do portal de um aluno
ou professor, é possível alterar alguns dados confidenciais;
Disponibilidade: funcionamento contínuo e com bom desempenho do
sistema. O portal, aparentemente, demonstra estar disponível na maior parte do
tempo;
Não-repúdio: evita que uma das partes na comunicação negue a autoriada informação por ele produzida.
3.3. Análise da segurança do portal
A pesquisa para o desenvolvimento deste Trabalho de Conclusão de
Curso foi motivado pelo interesse em medir a segurança das informações do portal
da Faculdade UNEB. Onde foram realizadas várias pesquisas que resultou nas
falhas que serão expostas.
Com o auxílio de uma ferramenta que é usada para analisar o tráfego na
rede, conhecido como sniffer de rede, foram coletados pacotes que trafegavam entre
o cliente o servidor em diversas datas. A imagem abaixo mostra um login e uma
senha sendo capturadas na data de 03/03/2011 às 19:02:46. O login foi parcialmente
censurado para respeitar a privacidade do aluno; A senha, encriptada em MD5, está
logo ao lado.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 33/42
33
Um dos pacotes possuía o número de matrícula e a senha do aluno.
Porém, antes da senha ser enviada ao servidor, ela é encriptada utilizando a chave
simétrica MD5. Então, os campos de login e senha (com os nomes elogin e esenha,
respectivamente) são enviados ao servidor, mas interceptados pelo sniffer. A figura a
seguir exemplifica o simples processo de envio de parâmetros ao servidor que
hospeda o portal:
A arquitetura atual do sistema de login demonstrada na figura anterior
Ilustração 13: Aluno sendo capturado
Ilustração 14: Demonstração do atual sistema de login
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 34/42
34
possibilita que seja criada uma página em HTML que submeteria ao servidor
responsável pela autenticação logins e senhas capturadas
Foi então criado uma página em HTML para enviar ao servidor que
hospedava o portal os campos de login e senha. Com um detalhe, era enviado a
senha encriptada, direto ao servidor. Não era necessário saber a senha, e sim, o seu
valor encriptado e a matrícula do aluno. Tais valores foram obtidos durante uma
captura de pacotes, como mostra a imagem a seguir:
O servidor, ao receber a matrícula e a senha encriptada, verificava se
existe tal aluno e se a senha está correta, caso estiver, o servidor devolveria ao
atacante o acesso ao portal do aluno referente à matrícula capturada.
O código da página criada para burlar o servidor está em apêndice.
Os parâmetros da página criada devem conter os mesmos nomes dapágina do portal da UNEB. Pois o servidor espera os valores de um campo com um
Ilustração 15: Demonstração do funcionamento do ataque
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 35/42
35
nome já pré determinado no sistema de login, no caso, os nomes dos parâmetros
são elogin e esenha. A página deve conter também o mesmo action, para que os
valores sejam enviados ao mesmo arquivo para onde seriam se o login fosse feito
pela página original da UNEB.
3.4. Apresentação dos resultados
Durante um certo período foram coletados logins de alunos ao portal da
UNEB, os resultados foram os seguintes:
Data Período (horas) Total de acessos
28/02/11 09:40 - 10:50 502/03/11 07:20 - 10:50 4
03/03/11 19:00 - 21:15 5
16/04/11 07:20 - 11:00 2
O conhecimento do problema surgiu ao analisar a comunicação entre o
portal da UNEB e o servidor Web destino. Ao realizar login, e com o auxílio de um
analisador de tráfego, notou-se que é possível ter acesso ao login e à senha que o
usuário inseriu.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 36/42
36
4. Propostas de Segurança
A proposta para contornar o problema de segurança no portal da UNEB é
a utilização da tecnologia de criptografia conhecida como Secure Socket Layer, SSL.
Com essa tecnologia, as informações trafegadas entre cliente e servidor serão
criptografadas, dificultando um acesso indevido.
Para implementar esta tecnologia pode ser usado quase qualquer
plataforma, porém, normalmente, usa-se a combinação Apache com o Sistema
Operacional Linux. O Apache é um servidor Web que pode fornecer uma conexão
criptografada após devidas configurações. O Linux é amplamente usado devido à
sua confiabilidade em segurança, por ser um sistema em que sua implementação
relativo à segurança é mundialmente conhecida como fortemente bem desenvolvida.
A chave privada pode ser gerada através de vários sistemas geradores de
certificados para autenticação, a mais conhecia é o OpenSSL, uma ferramenta
opensource e gratuita que pode gerar diversos certificados utilizando diversas
chaves criptográficas.
Este certificado, que na verdade é a chave pública do servidor, é então
submetido ao que é conhecido como Autoridade Certificadora.
Autoridade Certificadora ou simplesmente AC é a principal componente de uma
Infra-Estrutura de Chaves Públicas e é responsável pela emissão dos certificados
digitais (ITI ,p.11 ,2005). “Entre as atividades de uma AC, a mais importante é
verificar a identidade da pessoa ou da entidade antes da emissão do certificado
digital. O certificado digital emitido deve conter informações confiáveis que permitam
a verificação da identidade do seu titular.” (ITI, p. 12, 2005)
“A principal função de um certificado é vincular uma chave pública a um
protagonista (indivíduo,empresa,etc)” (Tanenbaum, p. 814, 2003)
A vantagem mais notável após a utilização do SSL é o fato da mesma
disponibilizar todas as primitivas necessárias para conexões seguras, a saber:Autenticação, troca de chaves de sessão com o uso de criptografia assimétrica
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 37/42
37
prévia, encriptação com métodos simétricos, MAC e certificação (Largura,p.5 ,
2000).
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 38/42
38
5. Conclusão
Apesar do sistema atual fornecer uma encriptação em MD5 antes de
submeter os campos de login e senha ao servidor, este não isenta o sistema de uma
invasão a contas de alunos e professores. É possível a criação de uma página
HTML e submeter login e senha (ainda que encriptada) ao servidor responsável pela
autenticação, e com isso, obter acesso.
Com a atual arquitetura é possível obter acesso não autorizado a contas
do portal e, com isso, obter acesso a informações pessoais das vítimas como
endereço, telefone residencial e histórico de notas. O fato de ser possível obter
acesso não autorizado também às contas dos professores permite alterar notas de
alunos, comprometendo assim a vida acadêmica dos mesmos.
A proposta é implementar uma conexão criptografada utilizando a
tecnologia Secure Sockets Layer, popularmente conhecida também como SSL.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 39/42
39
6. Referência
STALLINGS, William. Criptografia e segurança de redes - Princípios e
práticas. 4.ed. Prentice Hall,2008.
TANENBAUM, Andrew S. Redes de computadores. 4.ed. Campus,
2003.
KUROSE, James & ROSS, Keith. Redes de compuatdores e a internet
– Uma abordagem top down. 3.ed. Addison-Wesley, 2004.
TORRES, Gabriel. Redes de computadores – Curso completo. 15.ed.
Axcel Books, 2001.
BEZERRA, Marcos. Certificação digital – Utilização em aplicações
Web. Instituto de Educação Superior da Paraíba, 2008.
O que é Certificação Digital? ITI, Brasília, 29 jul. 2005. Disponível em:
<http://www.iti.br/twiki/bin/view/Main/Cartilhas/CertificacaoDigital.pdf>. Acesso em:
17 Jan. 2011, 22:26.
LARGURA, Luiz. Monografia sobre SSL para o Curso de Extensão
Segurança em Redes de Computadores. UnB, 2000.
http//www.wireshark.org acessado em : 20 Fev. 2011, 08:35
BASHAM, Bryan&SIERRA, Kathy& BATES, Bert. Head First Servlets &
JSP. 2.ed. O'Reilly, 2008.
MORRISON, Michael. Head First Javascript. 1.ed. O'Reilly, 2008.
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 40/42
40
7. Apêndices
7.2. Código HTML da página usada para a intrusão no portal <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<title> UNEB login </title>
</head>
<body>
<center>
<span> Apos digitar login e senha clique em enviar</span>
<form action="http://portal.uneb.com.br/login.asp" method="post"
id="portal" >
Login: <input type="text" name="elogin" id="elogin" value="" /> <br>
Senha: <input type="text" name="esenha" id="esenha" value="" /> <br><input type="submit" name="Acessar" value="Acessar" />
</form>
</center>
</body>
</html>
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 41/42
41
7.2. Imagem completa do handshake do SSL
5/13/2018 TCC-0.12-final-1 - slidepdf.com
http://slidepdf.com/reader/full/tcc-012-final-1 42/42
42