Injeção de Código

Isaque Bressy
José Souza
 AVISO

O que você aprender durante esta apresentação é de

total responsabilidade sua.
Aconselhamos não utilizar estes conhecimentos para
tentar algo em casa.
Se você for pego, não cite nossos nomes. Você nunca
nos viu.

Agradecemos
 O que é
 Utilizar um serviço disponível em um
sistema para executar comandos e ações
não previstas pelo desenvolvedor
 Comandos arbitrários
 Cópia de arquivos
 Acesso a diretórios
 Pré-requisitos
 Conhecer o tipo de serviço fornecido
 Conhecer as linguagens utilizadas no
desenvolvimento
 Criatividade
 Sorte
 Como acontece a injeção
Suponha um campo de formulário de
uma página na internet que espera uma
string e a passa para um programa que
vai realizar uma busca.
O injetor, ao invés de colocar uma string
qualquer para ser buscada, inserirá um
código que pode ser interpretado pelo
programa.
Quando o programa recebe a string ele
confunde com parte do código e a
interpreta como tal.
 Tipos de Injeção
 HTML e JavaScript Injection
 SQL Injection
 PHP Injection
 HTTP Injection
 Email Injection (SMTP Injection)
 Include File Injection
 Shell Injection
 ASP Injection
 GIF Injection
 Como prevenir ataques de
Injeção de Códigos
 Não confie no usuário
 Sempre filtre o que for passado como entrada para o
programa antes de utilizá-lo. Não permita a
passagem de caracteres especiais, tags,...
 Utilizar codificação de entrada e saída
 Utilizar escape de caracteres perigosos
 Não mostrar o conteúdo do banco de dados ao ser
gerado um erro
 Não utilizar scripts no cliente para validação
Go Hack!