Ateno

O contedo deste arquivo destinado a estudo e

conhecimento o uso indevido de inteira responsabilidade do
praticante o MIB repudia o uso deste contedo para atos de
vandalismo.
- Conhecendo o terreno
ervidor !"B
#ost
$a%ina da !eb
istema de &erenciamento !eb
- Onde nos encai'amos(
$enetration )ests o mesmo que *e+ace(
O ,eque Mate do *e+aceMan
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
1
Conhecendo o terreno
Muitas pessoas tentam entra na -rea do de+acement mais no procura conhecer
como +unciona a estrutura do seu alvo .!eb ite/.
ervidor !"B
O servidor 0eb nada mais que um super computador com processamento e
tra+e%o superior ao computador convencional1 este servidor roda +erramentas
como .e'.2 apache1 II1 $!/ que da a possibilidade de acesso de outros
computadores atravs do #))$ alem de ter sistema operacional espec3+icos para
servidor...
Alem de ter um banco de dados .e'.2 M456/ p7 cadastro de contas1 senhas e
dados.
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
2
8amos di9er que nosso servidor tem o !amperver rodando com isso ele vai criar
uma pasta no diret:rio ;C2<0amp<000; todo o contedo dentro desta pasta pode
ser acessado atravs do #))$.
#ost
8oc= que >- teve um 0eb site deve esta +amiliari9ado para os lei%os host um local
para voc= hospedar sua pa%ina na internet estas host no passa de pastas criadas
dentro do ;C2<0amp<000; de um servidor 0eb.
O dono de um servidor 0eb comerciali9a estas pastas .#ost/ e com uma
con+i%urao *? determina o endereo #))$ de cada uma delas assim ele pode
ter v-rios sites em seu servidor.
$opularmente +alando cada pasta dentro do diret:rio ;C2<0amp<000; do
servidor vai ser um site que pode ser acessado por I$ di+erente ou @A6 di+erente.
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
3
$a%ina da !eb
5ualquer usu-rio da 0eb pode adquirir uma host a depender da sua necessidade
ele pode ter ou no um Banco de *ados >unto para cadastro de produtos ou
clientes1 este banco de dados esta rodando em seu servidor 0eb ento quando voc=
adquire uma host com banco de dados ele limita um espao para voc= adicionar...
"'.2 senha de acesso do administrador a -rea da administrao do site1 senha de
acesso de membro ou cadastro de produtos.
O usu-rio que adquire uma host esta adquirido um pasta no servidor dentro do
;C2<0amp<000; +icando assim ;C2<0amp<000<seuBsite; de inicio ele tem acesso
a esta pasta atravs da porta CD E)$ toda a con+i%urao dentro da pasta
;<seuBsite<; +eita pelo usu-rio que adquire a host ele s: tem acesso a esta pasta do
servidor 0eb ali vai ser posta a pa%ina 0eb que vai ser acessada atravs de uma
@A6.
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
4
istema de &erenciamento !eb
Com a populari9ao da criao de 0eb sites muitas pessoas no tem
conhecimento na criao de um 0eb site ou no quer pa%ar para um pro%ramador
0eb1 assim eles recorrem a empresas que vende sistema de 0eb sites >- prontos
com -rea de %erenciamento temas diversos para o 0eb site tudo >- pronto s:
instalar no host1 ou se>a na pasta ;<seuBsite<;.
"'. destes sistemas2
O %rande problema destes sistemas assim como os sistemas operacionais estes
sistemas so +eitos e vendidos sem ter DFFG de se%urana +a9endo seus utili9adores
de cobaia e lanando atuali9aHes para a verso ate que se>a lanada outra verso
e a anti%a que voc= comprou se>a descartada obri%ando a compra a mais nova
verso.
Mais o risco de uma +alha pode causar srios problemas pois quando encontrada
uma +alha em uma destas versHes pode atin%ir no s: um ou dois 0eb sites mais
milhares1 ate que se>a +eita uma correo e os utili9adores se>am noti+icado
milhares de utili9adores pode ter sido pre>udicado.
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
5
Onde nos encai'amos(
Ao +a9er uma $enetration )ests vamos nos concentra em +a9er v-rios testes tanto
no sistema operacional como +erramentas deste servidor a+im de encontrar uma
+alha no "A8I*OA assim tendo acesso ao super computador e todas suas host.
Ao +a9er um *e+ace vamos nos concentrar em +a9er v-rios testes a +im de encontra
uma +alha no I)"MA *" &"A"?CIAM"?)O !"B assim tendo acesso a
#O).
$enetration )ests o mesmo que *e+ace(
eria muito vul%ar +a9er esta comparao1 pois $enetration )ests e'i%e muito mais
do que o ato de praticar um de+ace voc= pode comparar pelo conhecimento dos
atin%idos com este ato1 o praticante de $enetration tests en+renta a se%urando de
um super computador e seu administradores de alto conhecimento muitas ve9es
empresas especiali9ada enquanto o de+aceman en+renta muitas ve9es
pro%ramadores de 0eb lei%os e despreparados ou sistemas de %erenciamento +ail.
O ,eque Mate do *e+aceMan
Ao reali9ar um de+ace seu principal ob>etivo ter acesso total ao #ost1 ou se>a ter o
mesmo acesso total a pasta ;<seuBsite<; que o verdadeiro dono tem1 mais tendo
acesso a ele e'iste a possibilidade de ter acesso tambm ao servidor sem ter o
mesmo trabalho de uma $enetration )ests.
Copyright 2012 Made In Brazil Solutions
Powered by Hannibal
6