Escolar Documentos
Profissional Documentos
Cultura Documentos
Injeção de Código
Injeção de Código
Isaque Bressy
José Souza
AVISO
Agradecemos
O que é
Utilizar um serviço disponível em um
sistema para executar comandos e ações
não previstas pelo desenvolvedor
Comandos arbitrários
Cópia de arquivos
Acesso a diretórios
Pré-requisitos
Conhecer o tipo de serviço fornecido
Conhecer as linguagens utilizadas no
desenvolvimento
Criatividade
Sorte
Como acontece a injeção
Suponha um campo de formulário de
uma página na internet que espera uma
string e a passa para um programa que
vai realizar uma busca.
O injetor, ao invés de colocar uma string
qualquer para ser buscada, inserirá um
código que pode ser interpretado pelo
programa.
Quando o programa recebe a string ele
confunde com parte do código e a
interpreta como tal.
Tipos de Injeção
HTML e JavaScript Injection
SQL Injection
PHP Injection
HTTP Injection
Email Injection (SMTP Injection)
Include File Injection
Shell Injection
ASP Injection
GIF Injection
Como prevenir ataques de
Injeção de Códigos
Não confie no usuário
Sempre filtre o que for passado como entrada para o
programa antes de utilizá-lo. Não permita a
passagem de caracteres especiais, tags,...
Utilizar codificação de entrada e saída
Utilizar escape de caracteres perigosos
Não mostrar o conteúdo do banco de dados ao ser
gerado um erro
Não utilizar scripts no cliente para validação
Go Hack!