Wondershare

PDFelement

Segurança na Internet:
Sessões, cookies e ataques
a servidores web
 Wondershare
PDFelement

QUEIROZ, Z. C. L. S.
SST Segurança na Internet: Sessões, cookies e ataques a
servidores web / Zandra Cristina Lima Silva Queiroz
Ano: 2020
nº de p.: 10 páginas

Copyright © 2020. Delinea Tecnologia Educacional. Todos os direitos reservados.

 Segurança na Internet: Wondershare
PDFelement

Sessões, cookies e ataques

a servidores web

Apresentação
Vamos conhecer, nesta unidade, algumas formas como empresas captam
informações sobre o histórico de navegação das pessoas dentro da internet. Além
disso, veremos as principais formas de ataques que oferecem riscos à segurança
das informações.

Sessões e cookies
Conhecer o comportamento dos usuários em sites web são informações muito
importantes, principalmente com o surgimento e crescimento dos e-commerce
(comércio eletrônico). Neste sentido, de acordo com Goodrich (2013, p. 336) “o
conceito de uma sessão, encapsula informação sobre um visitante que persiste
além da carga de uma única página”, ou seja, o servidor web armazena todos
os acessos do visitante em uma determinada estrutura, como um carrinho de
compras virtual. Desta forma, o histórico de navegação fica armazenado no
servidor web, não necessitando de autenticação a cada página que visita dentro
do mesmo servidor.

Curiosidade
Carrinho de compras virtual mantém o registro de seus visitantes,
de modo que não seja necessária a autenticação a cada nova página
ou registrar os números dos itens para serem posteriormente
inseridos em um formulário de pedido.

Sob o ponto de vista de segurança da web, as informações de sessão representam

dados que devem ser protegidos adequadamente, pois contêm informações como
números de contas bancárias, números de cartões de crédito, registros de saúde e
outras informações confidenciais.

3
 Wondershare
PDFelement

Neste sentido, um tipo de ataque comum é o sequestro de sessão, no qual o

criminoso obtém informações confidenciais da sessão do usuário e se passa por
ele dentro de um site. Para prevenir este tipo de ataque, deve-se utilizar o protocolo
HTTPS em conjunto com as sessões.

De acordo com Goodrich (2013, p.338), os cookies são estabelecidos no sistema do

usuário no cabeçalho da resposta HTTP e, desta forma, estão sujeitos aos mesmos
ataques de sessão. Para garantir maior segurança, recomenda-se que o cookie seja
transmitido usando HTTPS e adicionalmente pode-se encriptar o seu valor, sendo
que apenas o servidor web poderá decriptar o cookie.

Tipos de ataques a clientes e como

prevenir
O sequestro de sessão HTTP é uma realidade e algumas medidas tornam-se
fundamentais para a sua prevenção, Goodrich (2013, p. 342):

Medida I

Proteção contra espionagem de pacotes e de sequestro de sessão TCP e que

servidores encriptem essas fichas de sessão.

Medida II

Servidores se defendam contra possíveis ataques de repetição (reutilização de

credenciais antigas) incorporando números randômicos nas fichas do cliente,
bem como nas fichas do servidor, e também mudando frequentemente as
fichas de sessões, de modo que essas fichas expirem em uma taxa razoável.

Medida III

Associar uma ficha de sessão com os endereços IP do cliente, de modo que

aquela ficha de sessão seja considerada válida somente quando a conexão é
feita a partir do mesmo endereço IP.

4
 Wondershare
PDFelement

Para implementação destas medidas, são necessárias estruturas potentes de

servidores com espaço e processamento para suportar um grande número de
sessões. Entretanto, é preciso estar atento ao dimensionamento de estrutura que
garanta todos os níveis de segurança desejados para prevenir o sequestro de sessões.

São sites falsos que tentam coletar informações confidenciais de usuários. O

ataque de phishing está baseado na falta de atenção do usuário ao acessar o site.
Tais ataques são muito comuns atualmente, devido ao frequente recebimento
de spams (e-mails) falsos que possuem conteúdo idêntico aos sites originais e
tentam persuadir o usuário a clicar nos endereços falsos fornecidos. Além dos
e-mails, outro meio comum de disseminação são as redes sociais e aplicativos de
mensagem instantânea que, com o rápido poder de disseminação, podem atingir
uma grande quantidade de usuários.

Uma forma de prevenção é observar as informações contidas no site que

informam sobre sua autenticidade (cadeado) e a validade dos certificados. No
caso de envio de links, observar (antes de clicar) se o endereço do link condiz
com o site apresentado.

Cada vez mais a experiência de navegação na web tem proporcionado acesso a

diversos conteúdos de mídia (vídeo, áudio) que permitem às empresas explorarem
estas ferramentas para atrair um público cada vez maior. Em contrapartida, tais
conteúdos trazem uma significativa exposição a riscos para o cliente.

Mídias Digitais

Fonte: Plataforma Deduca (2020).

5
 Wondershare
PDFelement

Para execução das aplicações de mídia, existem no mercado diferentes linguagens

de script e componentes que são executados pelos navegadores web (Javascript
e Adobe Flash). Porém, a cada nova tecnologia, mais vulnerável ele se torna a um
ataque, pois tanto os navegadores quanto as aplicações embutidas neles devem
estar devidamente atualizados e o usuário deve estar atento e acompanhar esta
evolução de correções para vulnerabilidades anteriormente descobertas.

Além disso, a indiscutível a capacidade de informações que a internet é capaz de

disponibilizar, porém, por se tratar de uma rede mundial, é preciso atenção quanto
à disponibilização de informações pessoais que comprometam a privacidade dos
usuários.

Milhões de pessoas armazenam informação pessoal em sites Web, como

sites de redes sociais, e essa informação muitas vezes se torna disponível
publicamente sem o conhecimento do usuário. É importante que usuários
estejam cientes de como um site irá usar essa informação antes de
fornecê-la e que geralmente sejam cuidadosos ao fornecer informação
privada a um site não confiável. (GOODRICH, 2013, p. 367).

Existem atualmente programas especializados em coleta de informações privados

de usuários (adware e spyware) bem como os cookies de terceiros que utilizam os
recursos dos cookies para rastrear os acessos de usuários e obterem os históricos
de comportamento. Esta prática é considerada uma invasão de privacidade, pois é
realizada sem o consentimento do usuário.

Invasão de privacidade

Fonte: Plataforma Deduca (2020).

6
 Wondershare
PDFelement

Como forma de prevenção, os navegadores incluem alguns mecanismos para

garantir a privacidade dos usuários, como o tempo de armazenamento de cookies
e se são permitidos ou não cookies de terceiros (geralmente os navegadores
questionam os usuários quanto à execução do cookie).

Curiosidade
Os navegadores web mais modernos possuem o modo de
“navegação privada”, que evita o armazenamento de qualquer
cookie e o registro do histórico de navegação enquanto estiver
nesse modo.

A redução dos ataques aos usuários pode ser facilitada com o uso de práticas
de navegação segura em conjunto com medidas de segurança incluídas nos
navegadores.

Ataque a soluções web

Estudamos as ameaças que os usuários enfrentam no mundo web. Agora,
verificaremos os momentos em que podemos prevenir as vulnerabilidades
dos servidores web no momento do desenvolvimento de aplicações Web e na
administração destes servidores.

Para execução de mídias digitais é comum o uso de linguagens de script no

servidor web. Segundo Goodrich (2013 p. 362),

São linguagens hipertexto de pré-processamento que permitem a

servidores Web criar, de forma imediata e dinâmica, arquivos HTML
para usuários baseada em diversos fatores, como hora do dia, entradas
fornecidas pelo usuário ou consultas em um banco de dados.

A vulnerabilidade nos servidores quanto a ataques reside quando são incluídos

códigos script maliciosos que realizam ações desejadas pelos invasores que é o
ataque de inclusão de arquivo local (local file inclusion, LFI). Nesta modalidade, o
invasor pode acessar informações privadas burlando mecanismos de autenticação
do servidor.

7
 Wondershare
PDFelement

Existe também a possibilidade de que estes scripts redirecionem a execução de

outros scripts fora do servidor web invadido. Este tipo de ataque é conhecido como
ataque de inclusão de arquivo remoto (remote-file inclusion, RFI). Como medida de
segurança, a linguagem PHP possui uma proteção contra-ataques RFI que é não
permitir a execução de scritps fora do servidor web.

Os bancos de dados são estruturas importantes que armazenam informações de

conteúdo confidencial e também utilizados por muitos sites; neste sentido, são
também alvos de ataques web. A primeira medida de segurança é a prevenção
contra acessos indevidos a estes servidores.

O acesso ao banco de dados é realizado por meio da construção de programas

desenvolvidos com a linguagem SQL (Structured Query Language). Segundo
Goodrich (2013, p.383), a “SQL suporta diversas operações para facilitar o acesso
e a modificação de informação de um banco de dados, incluindo: SELECT, UPDATE,
INSERT, DELETE, AND, OR, UNION”.

Os ataques à bancos de dados são realizados por meio de injeção de comandos

SQL em um fluxo de dados interceptado pelo invasor, permitido por uma falha na
validação de entrada pelo servidor. Com o acesso sem a validação, o invasor poderá
acessar informações de qualquer tabela do banco de dados (ex.: informações
pessoais, número do cartão de créditos, senhas etc.).

Acesso banco de dados web

Acesso protegido
Servidor e controlado Banco de
Cliente
WEB Dados

Acesso indevido
Invasor (não controlado)

Fonte: Goodrich (2013, p. 363).

Outra forma de ataque de injeção SQL ocorre quando além do acesso indevido
ao banco, os invasores manipulam as informações do banco de dados (incluindo,
alterado ou removendo registros).

Para evitar este tipo de ataque, deve-se contar com profissionais especializados
em banco de dados para o desenvolvimento de páginas web. Devido à
popularização de códigos abertos e à facilidade de desenvolvimentos de páginas

8
 Wondershare
PDFelement

web, muitas pessoas não devidamente qualificadas produzem sites que podem
conter vulnerabilidades. Neste caso, o profissional deve se preocupar em se
atualizar quanto às novas técnicas de desenvolvimento e prevenção contra-
ataques a vulnerabilidades.

Diante de tais ameaças aos servidores web, uma importante questão deve ser
lembrada ao adotar medidas de prevenção de ataques a servidores web, pois estes
são a porta de entrada para os demais sistemas existentes na organização.

Riscos

Caso o invasor obtenha sucesso para romper a porta de entrada, poderá

em seguida explorar as vulnerabilidades dos demais sistemas existentes a
empresa.

O que fazer?

Desta forma, o controle de privilégios de acesso é a melhor medida que deve

ser seguida em todo o ciclo de vida do desenvolvimento de sistemas web.

No âmbito do desenvolvimento, os meios de prevenção estão baseados no

princípio de validação de entrada. De acordo com Goodrich (2013, p.374), “os
problemas variam desde vulnerabilidades em relação a scripts por meio de sites
(XSS), injeção SQL e inclusão de arquivos até erros de programação em servidores
Web” e o autor aponta que a solução está na validação da identidade do usuário.

Fechamento
Neste material, estudamos que os bancos de dados como estruturas importantes no
armazenamento de informações e como protegê-los. Vimos, ainda, os conceitos do
mundo web e suas vulnerabilidades, as formas de ataque e prevenção de usuários
web e as medidas importantes para garantir a segurança de servidores web.

9
 Wondershare
PDFelement

Referências
GOODRICH, M. T. Introdução à segurança de computadores.1. ed. Porto Alegre:
Bookman, 2013.

10