SóProvas

ID
2734105
Banca
CESPE / CEBRASPE
Órgão
EMAP
Ano
2018
Provas
Disciplina
Segurança da Informação
Assuntos

A equipe de segurança da informação de determinado órgão identificou uma tentativa de ataque com as seguintes características:

• IP de origem: identificado no roteador de Internet e no firewall (200.20.30.45)
• IP de origem: identificado na aplicação web (200.20.30.45)
• payload de HTTP: GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  
Os analistas de segurança levantaram hipótese de existência de regras no firewall que permitiam o acesso de todos os segmentos, internos e externos, ao servidor web na porta 80 com o protocolo TCP. Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa.


Considerando essa situação hipotética e as boas práticas de segurança da informação, julgue o item a seguir.

O atacante em questão usou a técnica de Hijacking de sessão, buscando burlar alguma possível filtragem por IP de origem, ao tentar acessar o servidor web.

Alternativas
Comentários

  • Acho que tá mais ligado a um ataque de injeção, com a manipulação dos dados de entrada diretamente na url da aplicação vulnerável. O atacante insere uma condição que será sempre verdadeira e, dessa forma, faz logon no servidor como admin.

     

    O sequestro de sessão é sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário e um host. A relação usuário-host pode se aplicar ao acesso de qualquer recurso autenticado, como um servidor da Web, uma sessão Telnet ou outra conexão baseada em TCP. Os atacantes se colocam entre o usuário e o host, permitindo que eles monitorem o tráfego do usuário e lancem ataques específicos. Uma vez que aconteça um sequestro de sessão bem-sucedido, o invasor pode assumir o papel do usuário legítimo ou simplesmente monitorar o tráfego para injetar ou coletar pacotes específicos a fim de criar o efeito desejado.

  • O seqüestro de sessão é sinônimo de uma sessão roubada, na qual um invasor intercepta e assume uma sessão legitimamente estabelecida entre um usuário e um host. A relação usuário-host pode se aplicar ao acesso de qualquer recurso autenticado, como um servidor da Web, uma sessão Telnet ou outra conexão baseada em TCP. Os atacantes se colocam entre o usuário e o host, permitindo que eles monitorem o tráfego do usuário e lancem ataques específicos. Uma vez que aconteça um sequestro de sessão bem-sucedido, o invasor pode assumir o papel do usuário legítimo ou simplesmente monitorar o tráfego para injetar ou coletar pacotes específicos a fim de criar o efeito desejado. Todas estas coisas que são alteradas em seu navegador normalmente linkam para publicidade e, na maioria das vezes, têm inclusive pornografia envolvida. E quem sai ganhando com esta invasão em seu PC é o desenvolvedor deste Hijack, já que ele é pago por cada vez que estas páginas com publicidade são abertas. Fonte: Tecmundo. Gabarito: Errado

  • Parece ser um ataque de manipulação de URL, se aproveitando do método GET (que passa os valores por URL). 

     GET http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1  

  • Gabarito errado

     

    hijacker (ou sequestrador, em português). Spywares invasores que se instalam furtivamente em computadores por meio de protocolos ActiveX ou na instalação de programas gratuitos e suspeitos. Altera a página inicial, instalando barras de ferramentas pra lá de suspeitas e até impedindo que o usuário acesse determinados sites, como páginas de softwares antivírus.

     

    Os hijackers também mudam seu mecanismo de busca padrão, colocando no lugar um sistema de busca com um nome desconhecido. Além disso, depois de um certo tempo páginas aleatórias começam a abrir sem intenção do usuário, geralmente contendo propagandas e até pornografia.

    A ideia dos hijackers, em geral, é forçar o usuário a visitar páginas que ele não quer, gerando tráfego e publicidade para determinados sites, que pagam aos desenvolvedores dessas ameaças pelo número de cliques e visitas.

     

    Hijackers também chamados de spyware, os hijackers (”seqüestradores”) são Cavalos de Tróia que modificam a página inicial do navegador e, muitas vezes, também redirecionam toda página visitada para uma outra página escolhida pelo programador da praga. A ideia é vender os cliques que o usuário faz nessas páginas, o que gera lucro para o criador do hijacker.

     

    https://pt.wikipedia.org/wiki/Hijacker

    http://www.techtudo.com.br/noticias/noticia/2014/02/o-que-sao-hijackers-e-como-eles-podem-colocar-o-seu-pc-em-risco.html

  • Gabarito Errado

    O ataque em questão é de manipulação de URL.

     

    Ao manipular certas partes de um URL, um hacker pode levar um servidor web a emitir páginas web às quais, supostamente, não teria acesso. Nos sites web dinâmicos, as configurações são, em sua maioria, transferidas pelo URL da seguinte maneira: 

    http://target/forum/?cat=2

     

    A página web cria, automaticamente, os dados contidos no URL ao navegar normalmente, o usuário apenas clica nos links propostos pelo site. Assim, se um usuário alterar manualmente a configuração, ele pode testar diferentes valores, como por exemplo: 

    http://target/forum/?cat=6

    . Se o desenvolvedor não previu esta eventualidade, o hacker pode, eventualmente, ter acesso a uma área geralmente protegida. Além disso, o hacker pode levar o site a tratar um caso inesperado, como por exemplo: 

    http://target/forum/?cat=***********



    No exemplo acima, se o desenvolvedor do site não tiver previsto a possibilidade do dado não ser representado por um número, o site pode entrar num estado não previsto e revelar informações numa mensagem de erro. 

    Teste e erro

    Um hacker pode testar diretórios e extensões de arquivo aleatoriamente, para encontrar informações importantes. Veja alguns exemplos clássicos: 

    Busca de diretórios para poder administrar o site: 
     

    http://target/admin/ http://target/admin.cgi


    Busca de uma sequência de comandos para revelar informações sobre o sistema remoto: 
     

    http://target/phpinfo.php3


    Busca de backups. Geralmente, usa-se a extensão BAK, a que não é interpretada por padrão pelos servidores, para que você possa visualizar uma sequência de comandos: 
     

    http://target/.bak


    Procura de arquivos ocultos no sistema remoto. Nos sistemas UNIX, podemos acessar os arquivos criados pelos sistema pela web sempre que o diretório raiz da página web corresponda ao diretório de um usuário: 
     

    http://target/.bash_history http://target/.htaccess

     

     

    "Retroceder Nunca Render-se Jamais !"
    Força e Fé !
    Fortuna Audaces Sequitur !

  • Para matar a questão é simples - Hijacker são os sequestradores de navegador, na situação hipotética não houve sequestro, então pode marcar o gabarito como errada, sem medo de ser feliz!

  • O que burla filtragem de ips de origem ser spoof

     

     

  • Alguém me explica o erro da questão?

  • Errada.

    "buscando burlar alguma possível filtragem por IP de origem, ao tentar acessar o servidor web." 

    O IP de origem que bate no firewall e no servidor de aplicação é o 200.20.30.45, ou seja, um endereço IP válido na Internet, como o esperado. O firewall deve permitir a passagem de pacotes com endereços de origem válidos na Internet, como o próprio 200.20.30.45, quando destinados à porta 80. Afinal, se isso for bloqueado, por que existir esse servidor web? 

    Assim, a situação não apresenta qualquer indicação de tentativa de ataque mediante alteração do endereço IP de origem.

     

  • SQL Injection maroto

  • Hijacking - sequestradores Acesso a páginas >>>lucro.

  • Apesar de se utilizar da manipulação da URL, o ataque em questão é o SQL Injection. Este se distingue daquele por buscar acesso ao sistema através de consultas no banco de dados, enquanto aquele busca acesso à um recurso não disponibilizado livremente na página ou aos dados de arquivos do servidor web, como arquivos de configuração, backup, etc.

     

    Na questão, o atacante manipula as variáveis, passadas através da URL via método GET, de modo a montar uma cláusula que será sempre verdadeira, ignorando a autenticação padrão do sistema.

    A URL é http:/servidor.com.br/admin/index.php?username=1'%20or%20'1'%20=%20'1&password =1'%20or%20'1'%20=%20'1

     

    Primeiramente, devemos perceber que o conjunto de caracteres "%20" representa o caractere "espaço" na codificação ASCII em formato hexadecimal.

    Tabela de conversão: http://blog.desenvolvedorsa.com/codificacao-de-caracteres-em-url-tabela-conversao/

     

    Portanto, podemos reescrever cada variável utilizada na url como:

    username=1' or '1'='1

    e

    password=1' or '1'='1

     

    Podemos imaginar que essa consulta está sendo utilizada para realizar autenticação do sistema através de uma consulta em um banco de dados. Consideremos que exista o usuário de nome tom, com a senha tom. Uma possível consulta, em que retornaria todos os dados de um usuário, caso usuário e senha estivessem corretos será apresentada a seguir:

     

    S E L EC T * FROM users WHERE username='tom' and password='tom'

     

    Perceba que foi adicionada a aspas simples (') para avaliar o valor recebido como string (cadeia de caracteres). Utilizando os valores passados pela URL, teremos a seguinte consulta:

     

    S E L E C T * FROM users WHERE username='1' or '1'='1' and password='1' or '1'='1'
     

    Nesse caso, como a condição '1'='1' é sempre verdadeira, então a verificação do usuário e senha são ignoradas, visto que para uma expressão composta contendo o conectivo OU (or) ser verdadeira, basta que uma das expressões simples o seja, tornando a consulta logicamente equivalente a uma muito mais simples, que retorna todos os dados da tabela:

     

    S E L E C T * FROM users

     

    A declaração acima, na verdade, retorna os dados de todos os usuários da tabela, ignorando o processo de autenticação, sendo portanto uma falha de segurança.

     

    Fontes: https://sechow.com/bricks/docs/login-1.html

    https://www.owasp.org/index.php/SQL_Injection

  • Hijacker: muda a tela inicial do navegador, área pincipal.

    Foco e Fé!

  • Questão Pesadinha

    Como disse Lucas Penz, está ocorrendo um ataque SQL Injection.

     

    Example 1 (classical SQL Injection):

    Consider the following SQL query:

    SELECT * FROM Users WHERE Username='$username' AND Password='$password'


    A similar query is generally used from the web application in order to authenticate a user. If the query returns a value it means that inside the database a user with that set of credentials exists, then the user is allowed to login to the system, otherwise access is denied. The values of the input fields are generally obtained from the user through a web form. Suppose we insert the following Username and Password values:

    $username = 1' or '1' = '1

    $password = 1' or '1' = '1


    The query will be:

    SELECT * FROM Users WHERE Username='1' OR '1' = '1' AND Password='1' OR '1' = '1'


    If we suppose that the values of the parameters are sent to the server through the GET method, and if the domain of the vulnerable web site is www.example.com, the request that we'll carry out will be:

    http://www.example.com/index.php?username=1'%20or%20'1'%20=%20'1&password=1'%20or%20'1'%20=%20'1

     

    Foi retirado daqui: https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005)

  • Muitos comentários falando em Hijacker, mas a questão está tratando de Hijacking de Sessão (Session Hijacking), são coisas diferentes.

    Hijacker nada mais é que um malware que modifica a página inicial do bowser.

    Session Hijacking: Consiste em de explorar ou controlar uma sessão de comunicação TCP/IP válida entre computadores sem o conhecimento ou permissão dos donos dos mesmos. O session hijacking normalmente implica explorar o mecanismo que controla a conexão entre um servidor web e um navegador, o que se conhece como "token de sessão". Este token consiste em uma cadeia de caracteres que um servidor web envia para um cliente que se autentica. Ao prever ou roubar o token de sessão, um atacante pode obter acesso ao servidor e dispor dos mesmos recursos que o usuário comprometido.

  • A questão diz

    ... Identificaram também que a aplicação web atacada possuía controle de acesso ao ambiente de administração baseado nos perfis das credenciais e do range de IPs internos da rede corporativa

    Logo, o IP identificado faz parte do rage permito nas regras do firewall

    Trata-se de IP Spoofing

    Técnica que consiste em mascarar o endereço IP do atacante

    Utilizada em sistemas que tem o endereço IP como base de autenticação

    Ataques DDoS também se utilizam desta técnica. Pois as respostas das requisições são enviadas para o endereço forjado, não permitindo a identificação do atacante.

    Enquanto que Session Hijacking(sequestro de conexão) (sequestro de sessão)

    Consiste em um ataque ativo que redireciona as conexões TCP para outra maquina (man-in-the-middle)

    Dribla proteções de protocolos de autenticação como o kerberos

    O atacante descobre o numero de sequencia de um dos pacotes e cria a partir desse numero de sequencia validos

    E então envia pacotes para ambos

  • ERRADO

    HIJACKERS - São programas ou scripts que "SEQUESTRAM" navegadores de internet, principalmente o internet explorer.

  • Hijackers também chamados de , os hijackers (”sequestradores”) são  que modificam a página inicial do navegador e, muitas vezes, também redirecionam toda página visitada para uma outra página escolhida pelo programador da praga. A ideia é vender os cliques que o usuário faz nessas páginas, o que gera lucro para o criador do hijacker.

  • GABARITO: ERRADO.

  • HIJACKER -> Ataque utilizado para alterar o registro do windows e causar por exemplo a mudança da página inicial do usuário de forma que este não consiga modificá-la

    Para lembrar eu uso aquele site que nunca saía da tela antigamente (era um hijacker)

    Hao123 = Hijacker

  • HIJACKERS

    ➥ Do Português - sequestradores - são spywares invasores que realizam mudanças no browser do usuário sem a sua autorização.

    ➥ Em outras palavras, o Browser Hijacker é um software malicioso que modifica o registro do sistema operacional, alterando o funcionamento do navegador, modificando sua página inicial, abrindo páginas automaticamente ou inserindo botões inadvertidamente.

    [...]

    Como eles atuam?

    ➥ Eles alteram a página inicial do navegador, redirecionando qualquer página visitada para outra, escolhida pelo criador da praga.

    [...]

    RESUMO:

    ✓ Fixa uma página falsa no navegador;

    ✓ Sequestra o browser  a página de navegação;

    ✓ Captura os dados inseridos na página falsa;

    ✓ Faz com que o navegador fique desordenado  botões, propagandas, páginas; e

    ✓ Usufrui de diversas técnicas para tentar confundir a vítima.

    [...]

    Questão Cespiana:

    O Browser Hijacker é um software malicioso que modifica o registro do sistema operacional, alterando o funcionamento do navegador, modificando sua página inicial, abrindo páginas automaticamente ou inserindo botões inadvertidamente. (CERTO)

    [...]

    ____________

    Fontes: Estratégia Concursos; CanalTech; Questões da CESPE; Colegas do QC.

  • GAB: ERRADO

    HIJACKERS - São programas ou scripts que "SEQUESTRAM" navegadores de internet e geralmente às suas páginas iniciais.