Você está na página 1de 11

Carssimos leitores, o artigo que se segue fruto de uma anlise de segurana ao sistema Wareztuga, um sistema de partilha de filmes e sries

s online. Antecipadamente reuniram-se todos os esforos de modo a contactar a administrao do sistema, mas os mesmo no partilham qualquer contacto na sua pgina. Portanto, o contedo apresentado no artigo meramente informati o e apenas e!p"e as falhas desta plataforma.

- Pgina Inicial
#a imagem acima apresentada uma pgina e!emplo do primeiro contacto que um utili$ador tem com o sistema %website&. 'ma pgina (astante cati ante e funcional, que disponi(ili$a ) partida todos as sec"es para que um utili$ador na egue no sistema de uma forma intuiti a. #o topo da pgina apresentada uma hiperligao que permite aos utili$adores registados efetuar a autenticao, e consequentemente o esta(elecimento de sesso para acesso aos contedos. *eguidamente so apresentados os de idos menus de na egao, assim como, os filmes mais recentes ou em destaque. +!iste tam(m a possi(ilidade do utili$ador reali$ar pesquisas de filmes na cai!a de pesquisa ou no separador disponi(ili$ado %,ilmes, *ries, etc&. #este artigo no ser feita uma anlise a todos os procedimentos e fun"es do sistema. *omente sero discutidos aqueles que foram classificados como perigosos e expostos a furto de informao, que pre-udicam seriamente o (om funcionamento do sistema.

- Pgina de Login
#a pgina login.php podem ser anlisados alguns pormenores interessantes. *egue em seguida o efeti o contedo da pgina.

.ando uma ista de olhos ) formatao da pgina HyperText Markup Language %HTML&, pode afirmar-se que est impec el, mas deri ado da o(ser ao do c/digo-fonte da mesma, foram detectadas algumas curiosidades. +m seguida, apresentado um trecho do c/digo-fonte.

0ogo no incio da incluso de ficheiros Javascript, saltou ) ista um ficheiro con idati o a analisar1 -View/templates/default/includes/js/newfunctions.js 2 nome do ficheiro fala por si, ser maioritriamente a ferramenta de tra(alho do artigo. 'm pouco mais a(ai!o desta incluso, poss el o(ser ar que a plataforma fa$ uso da A ! "lowplayer #http133flo4pla5er.org&, esta usada na isuali$ao dos filmes no sistema. 'm assunto a a(ordar no final do artigo de 6como tirar partido desta funcionalidade6. A ttulo de curiosidade, entre as linhas 175 e 17 e!iste uma <div> marcada como escondida, que contm a informao de contacto do Wareztuga. 7isto no ser disponi(ili$ada qualquer informao de contacto da pgina %pelo menos !is"!el&, foi poss el constatar um endereo de contacto escondido. A seguinte imagem apresenta a informao referente ao endereo de e$%ail.

#o dei!a de ser interessante esta curiosidade. #o entanto, e como compromisso do (em, os administradores do sistema foram notificados atra s do endereo de e$%ail oculto na pgina. #o contedo do e$%ail, foi e!plicito que no presente blog iria ser pu(licado dentro de duas semanas uma anlise em detalhe do sistema Wareztuga. #enhum &ee'back foi rece(ido por parte da administrao do sistema. +m seguimento, outros links com um alto n el de suspeita foram detetados umas linhas de c/digo a(ai!o.

2s links para a pgina %ovie.php carecem de alguma ateno. 8 sa(ido que nos dias de ho-e as aplica"es web$base' sofrem ataques sucessi os de ()) %*ross$site scripting& e )+Li %)+L !n,ection&. ,oi reali$ada uma anlise a este tema, atra s dos links referidos na imagem anterior. 1. #nlise SQLi e XSS Como conhecidos, os ataques de in-eo de )+L %)+Li& e in-eo de Javascript %())& so dos mais usuais na !nternet. Como tal, o presente sistema n$o % excep&$o9 ,oi conseguido o(ter os seguintes links atra s do c/digo-fonte da pgina para uma posterior anlise de la(orat/rio de forma a compro ar a afirmao. Links de teste1

A pgina %ovies.php uma das pginas do sistema. +sta tem parameteri$ao, isto , rece(e argumentos ia -.T. %'onsultar o seguinte link no (log para maior informa&$o) *ttp)//infpta!ares.(logspot.pt/+,1+/,7/metodo-get-post-p*p.*tml & Atra s da parameteri$ao poss el o(ser ar que o sistema % !ulner!el a injec&$o, neste caso apenas de ()). +!plorando as ulnera(ilidades, poss el tirar o m!imo pro eito e efetuar uma intruso, em ltimo caso, no sistema. #a sua maioria, e o mais comum, sem d ida o furto de dados pessoais %dados de autenticao& e desfigurao da pgina. +m seguida segue uma listagem dos tipos de processos usados na in estigao. - -xi(i&$o de uma imagem na pgina. - Inclus$o de iframes. - .edirecionar para links externos ao sistema. :uito resumidamente, poss el o(ser ar como que um sistema pode ser derro(ado atra s deste tipo de ataques, e por consequ;ncia fa$er com que o utili$ador caia inocentemente numa armadilha.

+m seguida apresentada uma string de dados de modo a compro ar uma das falhas de segurana do sistema. mo!ies.p*p/p011(tn0mo!iesfeatured0234/a34img src0223 2 trecho de c/digo anterior permite a in-eo de c/digo relati o a uma imagem na pgina %ovies.php. 8 possi el erificar em seguida o resultado.

Atra s desta ulnera(ilidade poss el ela(orar pequenos trechos de c/digo, por forma a enganar um utili$ador, por e!emplo, formlarios falsos de login, links para 'ownloa' de %alware alo-ados e!ternamente ao sistema entre outras ariantes. A e!ecuo e!terna de pginas tam(m uma realidade. ,oram mencionados neste artigo o uso de formulrios de login, porm o uso de i&ra%es ideal para esses atos. A seguinte imagem compro a o uso de i&ra%es para importao de c/digo e!terno ao sistema.

'm procedimento muito usado atra s desta ulnera(ilidade a hiperligao. Por norma, um indi duo mal intencionado, tenta sempre que o utili$ador descarregue da pgina uma aplicao %%alware&. 'ma das medidas adotadas o uso de hiperliga"es e!ternas ao sistema.

.e tal forma, um utili$ador ao clicar na imagem apresentada redirecionado para uma pgina destino %vulneravel.php&. Assim que esta pgina se-a acedida no browser da tima %utili$ador&, o 'ownloa' automtico para o computador iniciado, e pro elmente en iar o utili$ador para a pgina inicial do sistema. +ste um dos mtodos mais perigoso, isto que poss el tomar posse e controlar o computador da tima por meio de tro,ans ou ser informado das suas a"es atra s de spywares. *egue a(ai!o um e!emplo de uma string maliciosa por forma a manipular as a"es do utili$ador. series.p*p/p011media56pe0series1order0!iews234/a34a *ref0*ttp)//google.pt34img src0224/a3 Perante isto, ca(e ao programador ser cuidadoso aquando da implementao de qualquer sistema, isto estas serem uma das ulnera(ilidades mais comuns em sistemas web$base'. 0em(rar que, todo o input de dados e!terno %oriundo do utili$ador& de e ser sempre erificado de modo a e itar o furto de dados pessoais. #a maior parte, este tipo de ulnera(ilidades passa ao lado de qualquer pro-etista de sistemas, parecendo uma ulnera(ilidade inofensi a, por e$es e!istem mesmo a falta de erificao por puro esquecimento. Como foi poss el compro ar, e!tremamente fcil a in-eo de c/digo malicioso e as consequ;ncias esto ) ista.

+. 7ic*eiro newfunctions.js +ste o ficheiro mais crtico do sistema, como chamado na gria 6uma mina de ouro6. #ele poss el encontrar todos os re/uests ao sistema, e de igual forma, o sistema responde ao pedido. A este tipo de fun"es chamamos 6fun&8es orculo6. +stas t;m como principal caraterstica informar e responder so(re as funcionalidades do sistema, para o qual no e!iste permisso. 'm aspeto curioso no sistema, que, foi poss el e!ecutar e efetuar uma anlise sem autentica&$o pr%!ia, o que no dei!a de ser preocupante, isto que, como o(ser ado acima, poss el atra s de phishing indu$ir em erro os utili$adores. %7er um artigo relacionado no blog1 http133infpta ares.(logspot.pt3<=>?3><3analise-de-phishing-pa5pal.html & Continuando, este ficheiro contm informao de quais as pginas que o sistema chama aquando um re/uest. Por e!emplo, como foi isto na pgina inicial, e!iste um &ee' e a possi(ilidade de pesquisar por um determinado filme. Aquando da pesquisa, o sistema chama a funo1 moviesGenres deste ficheiro. +sta funo retorna os dados em forma de listagem, numa outra pgina e!terna ao sistema, consequentemente esta pgina includa na pgina inicial. 2(ser ando a seguinte funo1

. 2 resultado apresentado nesta pgina atra s do link apresentado acima o seguinte.

@oda a informao relati a ) pesquisa listada, posteriormente quando a pgina for includa na pgina principal formatada ia *)) #*asca'ing )tyle )heets0. -Listagem dos 9ltimos comentrios no sistema A primeira funo orculo do sistema em anlise a updateComments. Atra s desta funo poss el isuali$ar todos os comentrios )s diferentes sries efetuados pelos utili$adores. .esta maneira, poss el o(ter total controlo de quais os filmes que determinado utili$ador isuali$a e comenta.

Como possi el o(ser ar, esta funo foi comentada, mas dei!ada no ficheiro. 2lhando para a linha 6url6 poss el a in-eo de c/digo e o(ter a informao relati a ao comentrio dos utili$adores. 2 pior, n$o existir a necessidade de autenticao pr ia no sistema. *egue uma imagem que apresenta o relati o &ee' de comentrios.

'ma simples soluo para precauo seria a implementao de erificao de sesso ati a. +ste um dos grandes pro(lemas dos re/uests ia Javascript, como mostra a seguinte instruo. update'omments.ajax.p*p/media56pe0series1mode011lcI:01 -Verificar dados de autentica&$o 'ma das fun"es mais gra es e que e!p"em a segurana do sistema a funo orculo apresentada em seguida.

/login.ajax.p*p/username0teste1pasword01+; A funo apresentada tem um retorno esperado de quatro diferentes alores inteiros. - ,) Para redirecionamento. - 1) <tili=ador n$o existente na (ase de dados. - +) # password para o seguinte utili=ador est incorrecta. - ;) Indefinido.. Para o e!emplo acima, foi erificado que o retorno foi como o apresentad em seguida.

#este caso, a passwor' para o seguinte utili$ador est errada. +sta uma falha gra issma do sistema, pois poss el tirar o m!imo pro eito dela. A poss el criao de um bot com o intuito de en iar rios re/uests ao ser idor atra s de um dicionrio de pala ras uma soluo mais que natural para derro(ar a passwor' de qualquer utili$ador. +ste tipo de ulnera(ilidades (astante comum e um indicio para o furto de contas de utili$adores, e tam(m su( erter os pri ilgios do sistema. Por norma, nos sistemas web$base' os back$o&&ices sofrem imenso com este tipo de ataques dicionrio %/admin/login.p*p&.

-.egisto de conta 'ma outra funo pro(lemtica a validateRegister(). +sta funo est atualmente desati ada, mas permite o registo de um no o utili$ador na (ase de dados. A composio do link o seguinte1 register.ajax.p*p/username0221email0221password0221rePassword022 #o entando, os administradores do sitema por sua e$, - desati aram esta funo. Como curiosidade seu retorno (astante esclarecedor e encantador. +m seguida poss el o(ser -lo.

8 possi el atra s do link registar utili$adores, apesar do sistema ter essa opo de registo (loqueada para a comunidade. #este ficheiro e!istem mais umas quantas fun"es, mas contudo so opera"es que apenas o utili$ador com sesso iniciada poder consumar. #o so istas com tanto risco como as mencionadas anteriormente no artigo.

Visuali=a&$o de 7ilmes
Como sa(ido, este sistema permite a isuali$ao dos filmes e sries na sua pr/pria pgina. #a maioria das e$es, e!istem quei!as dos utili$adores, deri ado a interrup"es no deo. Auando tentam re erter o pro(lema e re ;-lo no amente, t;m de esperar at que o loa'ing chegue ao sitio onde tinha interrompido. 'ma das solu"es que o utili$ador pode adotar o 'ownloa' direto do deo e da legenda. +m seguida apresentada uma imagem representati a da pgina de isuali$alo de um filme no sistema.

Para proceder a esta operao, apenas necessrio a(rir a pgina relati a )s informa"es do filme. Como percepti el, o sistema disponi(ili$a tr;s ser idores de 'ownloa'. Bndependentemente da escolha, a seguinte -anela aparecer no brownser.

Para prosseguir com o 'ownloa' do filme e da respecti a legenda apenas ser necessrio cumprir dois passos (sicos1

Copiar o link de 'ownloa' do 12L do browser %*ttp)//www.putloc>er.com/file/??& e prosseguir com o respecti o 'ownloa'. #o caso da legenda, e!iste a necessidade de copiar o argumento associado ao elemento m do 12L, neste caso , TheCWarriors. Consequentemente, concaten-lo com 6S!.str6 para que se-a poss el o(ter um nome semelhante a D TheCWarriors)3.str4. Por fim, (asta aceder ao seguinte link5 su"s#$%e&'arriorsS!.srt ,inalmente, poss el isuali$ar o filme num ulgar so&tware para o de ido efeito, como por e!emplo o 6) layer. Permanece apenas a necessidade de arrastar o ficheiro %em 'ownloa'& do filme e a legenda para cima do reprodutor para que a reproduo inicie. Eelati amente ao artigo, estes foram os t/picos de anlise. +sta ltima parte ser iu so(retudo para au!iliar o utili$ador comum aquando a isuali$ao de filmes. A respeito do contedo do artigo, como mencionado, o wareztuga no contm qualquer informao de contacto v7sivel no sistema. .eri ado ) analise do sistema, foi-nos poss el en iar um e-mail de forma a notificar os administradores do sistema so(re a pu(licao deste artigo no presente blog. 8 necessrio dei!ar claro que, o presente artigo isa esclarecer e e!por as falhas de segurana do sistema e no incenti ar ) prtica de maus h(itos. Foa Continuao9