![Page 1: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/1.jpg)
Impacto sobre o Negócio da Exploração Impacto sobre o Negócio da Exploração de Vulnerabilidades de injeção em de Vulnerabilidades de injeção em
Aplicações WebAplicações Web
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
![Page 2: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/2.jpg)
$ whoami
• Analista do Grupo Clavis
• Mestre em Informática pela UFRJ
• Detecção e resposta a incidentes de segurança
• Testes de invasão em redes, sistemas e aplicações.
![Page 3: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/3.jpg)
Agenda
Injeções
•Descrição
•Impactos
• Como se Prevenir
![Page 4: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/4.jpg)
Injeções
Descrição
![Page 5: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/5.jpg)
Descrição
• Ocorre quando a aplicação envia dados não tratados para algum serviço interno.
• Pode ser feita via SQL, LDAP, Xpath, comandos de sistema operacional, argumentos de programas, etc.
• O que “vai ser injetado” depende da tecnologia adotada no back end.
![Page 6: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/6.jpg)
Descrição
•Descoberta através de varreduras identificando e manipulando vetores de entrada
•Tais vetores podem ser implícitos ou explícitos
![Page 7: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/7.jpg)
Descrição
•Representa falta de aderência com boas práticas de programação.
•Ou seja, também pode ser detectado em processos de revisão/auditoria de código.
![Page 8: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/8.jpg)
Injeções
Impactos
![Page 9: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/9.jpg)
Impactos
• Dependendo do tipo de injeção os danos causados podem ser de vários tipos.
• A injeção serve como porta de entrada, falhas de configuração do sistema/serviço podem agravar o problema.
![Page 10: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/10.jpg)
Impactos
Perda ou corrupção de dados
•Instruções a banco de dados para remoção ou alteração de dados.
•Remoção, alteração ou Substituição de arquivos no servidor.
![Page 11: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/11.jpg)
Impactos
Negação de Serviço
•Remoção de Arquivos Críticos.
•Consultas altamente custosas.
•Loops infinitos arbitrários.
•Esgotamento de Recursos.
![Page 12: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/12.jpg)
Impactos
Falhas de autenticação
•Manipulação de Campos Condicionais.
•Uso de usuários legítimos ou bypass.
![Page 13: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/13.jpg)
Impactos
Execução arbitrária de código
•Integração do backend com o sistema operacional.
• Comprometimento Total do Sistema.
![Page 14: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/14.jpg)
Injeções
Como se Previnir
![Page 15: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/15.jpg)
Como se Prevenir
• Política de uso / desenvolvimento.
• Implantação de Firewall de Aplicação.
• Monitoramento de submissões do usuário.
![Page 16: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/16.jpg)
Conclusões
• Injeções são falhas que podem impactar em muito mais do que a aplicação.
• Boas práticas em vários níveis podem conter os impactos.
• É preciso a cooperação entre desenvolvimento, processos e infraestrutura.
![Page 17: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/17.jpg)
Siga a Clavis
![Page 18: Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplicações Web](https://reader035.vdocuments.pub/reader035/viewer/2022062313/55758d36d8b42ae7708b4b6f/html5/thumbnails/18.jpg)
Henrique SoaresHenrique SoaresAnalista de SegurançaAnalista de Segurança
Muito Obrigado!Muito Obrigado!