Como retratado no artigo anterior, para melhor entendimento de correções e proteções para sua loja virtual, é necessário entender as principais vulnerabilidades e problemas retratados no mundo digital. Nesse artigo, vamos falar um pouco sobre as principais vulnerabilidades retratadas e como elas agem, e em próximos artigos como corrigi-las.
Vulnerabilidade XSS: esse é um tipo de falha muito comum em aplicações web e permite que o atacante insira códigos maliciosos para que sejam executados quando a página for acessada ou ainda roubar as credenciais de acesso do usuário. Causa danos aos usuários legítimos de uma aplicação vulnerável, podendo ser utilizado para phishing e facilitação de fraudes.
SQL Injection: essa técnica se aproveita de falhas nos sistemas que interagem com bases de dados via SQL. A injeção SQL acontece quando o hacker mal intencionado consegue colocar uma série de instruções SQL por meio da manipulação das entradas de dados em uma aplicação.
SSL em geral: a maioria das falhas de SSL são geradas muitas vezes pelo nível de criptografia ser muito baixo, esse determina a dificuldade da quebra da chave. Mesmo que uma pessoa intercepte os dados, ela não conseguirá decifrar, caso se o número de códigos é elevado e caso seja baixo é de fácil descobrimento.
Erros de programação: existem alguns erros comuns de programação, vamos citar três para que você entenda melhor. O primeiro é o erro de compilação, esse impede que seu programa execute, quando a página é acessada, um código é compilado e acaba dando erro no acesso. Outro erro é o tempo de execução, normalmente acontecem quando a ação é impossível de executar.
Erros de lógica: esses erros impedem que você realiza o que queria fazer no seu site, são difíceis de corrigir e de serem localizados. Esses não executam da forma que o programador quer.
CSRF: cross-site request forgery é a falsificação de solicitações no site, por meio de comandos não autorizados é realizada uma exploração maliciosa dos como se fossem outros usuários que confiam no site. Os riscos desse são as aplicações web que executam ações baseando-se na confiança dos usuários.
Blind SQL Injection: no caso do SQL injection o site revela as informações, já no Blind SQL, o invasor descobre os dados lentamente realizando consultas que retornam verdadeiro ou falso mas também é possível descobrir os dados caractere por caractere.
Http methods: quando um site é acessado, existem tipos de chamadas que o browser realiza no servidor, dependendo da configuração do mesmo, é possível executar mais de um método. O protocolo HTTP define oito métodos (GET, HEAD, POST, PUT, DELETE, TRACE, OPTIONS e CONNECT) que indicam a ação a ser realizada no recurso especificado. O método determina o que o servidor deve fazer com o URL fornecido no momento da requisição de um recurso. Um servidor HTTP deve implementar ao menos os métodos GET e HEAD.
Essas vulnerabilidades abriram um pouco o entendimento para que nos próximos artigos da série possamos falar sobre a importância da gestão dessas e outras vulnerabilidades em geral. No próximo, você irá entender a importância da gestão de uma vulnerabilidade.
Leia o primeiro artigo aqui.