- \n
- Inje\u00e7\u00e3o de comandos:<\/strong> \u00e9 uma estrat\u00e9gia onde o atacante injeta comandos atrav\u00e9s de formul\u00e1rios ou pela pr\u00f3pria URL da aplica\u00e7\u00e3o. Ao inv\u00e9s de preencher um formul\u00e1rio com nome e endere\u00e7o por exemplo, o campo \u00e9 preenchido com um comando que pode ser interpretado pela aplica\u00e7\u00e3o.\u00a0Os comandos mais utilizados s\u00e3o os direcionados ao banco de dados, tamb\u00e9m conhecidos como SQL Injection (SQL \u00e9 a linguagem utilizada para manipular dados na maioria dos sistemas gerenciadores de banco de dados). Outro meio muito utilizado \u00e9 o Cross-Site Scripting (XSS), onde o atacante injeta comandos em JavaScript ou HTML, podendo criar ou distorcer funcionalidades da aplica\u00e7\u00e3o. Os principais riscos para seu neg\u00f3cio s\u00e3o: roubo, dano ou exposi\u00e7\u00e3o de dados do seu neg\u00f3cio ou de seus clientes, propaga\u00e7\u00e3o ou infe\u00e7\u00e3o de malwares ou v\u00edrus para os visitantes, extravio de credenciais, dentre outros.<\/li>\n
- DoS ou DDoS (nega\u00e7\u00e3o de servi\u00e7o):<\/strong> S\u00e3o ataques que visam tirar do ar um site ou aplica\u00e7\u00e3o atrav\u00e9s do consumo m\u00e1ximo dos recursos computacionais dispon\u00edveis para a sua hospedagem. O ataque se d\u00e1 atrav\u00e9s de um ou de milhares (ou milh\u00f5es) de computadores que geram v\u00e1rias requisi\u00e7\u00f5es ao site alvo, fazendo com que os recursos de processador, mem\u00f3ria e link cheguem no seu limite, tornando o site inacess\u00edvel ou muito lento. Muitas vezes esses computadores que comp\u00f5em o ataque s\u00e3o utilizados sem que seus donos saibam, pois est\u00e3o infectados com bots. Recentemente, estudos relatam que com o avan\u00e7o da IoT (internet of things), dispositivos diversos conectados \u00e0 internet, como Smart TV, podem ser infectados e utilizados em ataques DDoS. Aqui os principais riscos para o seu neg\u00f3cio est\u00e3o ligados a interrup\u00e7\u00e3o do ciclo normal das atividades institucionais, preju\u00edzo com vendas perdidas (no caso de e-commerce), usu\u00e1rios frustrados e sem confian\u00e7a no servi\u00e7o prestado, e o desgaste geral de sua marca e empresa.<\/li>\n
- Comprometimento de Credenciais:<\/strong> Uma credencial comprometida \u00e9 aquela que \u00e9 conhecida por um agente malicioso. Qual o dano pode ser causado por uma credencial com perfil administrativo do seu site na m\u00e3o de um criminoso? Mas como isso pode ser poss\u00edvel? As causas mais comuns ligadas aos usu\u00e1rios s\u00e3o o uso de senhas fracas, uso de senhas padr\u00e3o, senhas compartilhadas entre usu\u00e1rios, n\u00e3o praticar a altera\u00e7\u00e3o peri\u00f3dica de senhas, utilizar a mesma senha para diversos servi\u00e7os online, dentre outros. No entanto, os usu\u00e1rios podem tamb\u00e9m ser v\u00edtimas de Phishing ou Malwares (mais detalhes adiante), e sem saber, acabam fornecendo suas credencias direto para o agente malicioso. H\u00e1 ainda o brute-force, que s\u00e3o ataques automatizados para tentar autenticar em uma aplica\u00e7\u00e3o utilizando uma base enorme de poss\u00edveis senhas, como palavras comuns, datas, etc. Os impactos no seu neg\u00f3cio s\u00e3o diversos, como roubo e\/ou dano a informa\u00e7\u00f5es, tanto dados de clientes como informa\u00e7\u00f5es estrat\u00e9gias ou propriedade intelectual de sua empresa. H\u00e1 ainda o desgaste com a imagem de sua empresa, desapontamento de usu\u00e1rios, despesas com a\u00e7\u00f5es forenses, dentre outros.<\/li>\n
- Softwares ou Componentes de Terceiros:<\/strong> Um dos fatos mais interessantes da internet \u00e9 poder contar com aplica\u00e7\u00f5es de c\u00f3digo aberto, livres para uso e customiza\u00e7\u00e3o, sem custo. Sem d\u00favida \u00e9 um benef\u00edcio e grande incentivo para qualquer neg\u00f3cio poder economizar ao criar um site, portal, loja virtual, e assim por diante. Dentre as solu\u00e7\u00f5es mais comuns da internet est\u00e3o os gerenciadores de conte\u00fado (CMS) WordPress, Joomla e Drupal, e lojas virtuais Magento, OS Commerce e PrestaShop. Diante do benef\u00edcio que tais solu\u00e7\u00f5es trazem, seu uso \u00e9 muito amplo. Este fato atrai criminosos que passam a se dedicar a encontrar pontos fr\u00e1geis nessas ferramentas, e assim ter uma enorme quantidade de poss\u00edveis alvos para explorar indevidamente. Mesmo com os mantenedores de tais solu\u00e7\u00f5es (que podem ser uma comunidade colaborativa ou uma institui\u00e7\u00e3o privada) empreendendo esfor\u00e7os para evoluir e melhorar seus produtos, nem sempre as empresas que fazem uso possuem uma rotina de atualizar para as novas vers\u00f5es que trazem corre\u00e7\u00f5es e evolu\u00e7\u00f5es, permanecendo vulner\u00e1veis a diversos tipos de ataques, como os j\u00e1 citados aqui e tantos outros.<\/li>\n
- Malwares:<\/strong> S\u00e3o pequenos aplicativos desenvolvidos para desempenharem fun\u00e7\u00f5es maliciosas em um computador ou site. O Malware pode ser instalado em um computador e se propagar atrav\u00e9s da rede. Tamb\u00e9m \u00e9 poss\u00edvel que um Malware infecte um site que por sua vez infecta seus visitantes. Algumas empresas de seguran\u00e7a, como as que fabricam antiv\u00edrus e at\u00e9 mesmo o Google, compartilham informa\u00e7\u00f5es sobre sites que est\u00e3o infectados com Malware. Estes sites acabam em uma \u201cBlacklist\u201d, que \u00e9 uma rela\u00e7\u00e3o de sites que podem levar amea\u00e7as para seus usu\u00e1rios. Esta informa\u00e7\u00e3o \u00e9 compartilhada publicamente na internet, e logo o pr\u00f3prio Google ou os antiv\u00edrus bloqueiam ou alertam os usu\u00e1rios quando tentam acessar um site infectado. Um Malware pode tamb\u00e9m danificar seu site, ou dar acesso indevido a uma pessoa com inten\u00e7\u00f5es maliciosas, de forma silenciosa, sem que cause um dano que seja rapidamente descoberto. Estes tamb\u00e9m s\u00e3o conhecidos como backdoors.<\/li>\n
- Phishing:<\/strong> \u00c9 uma t\u00e9cnica de engenharia social usada para roubar informa\u00e7\u00f5es dos usu\u00e1rios alvos. O caso mais cl\u00e1ssico \u00e9 o do e-mail que chega do banco solicitando que o cadastro do correntista seja atualizado. O usu\u00e1rio ent\u00e3o clica em um link que o remete a um site que \u00e9 uma c\u00f3pia muito fiel do site do banco, e sem perceber que na realidade ele est\u00e1 no site de um criminoso, preenche um formul\u00e1rio com seus dados, dentre eles ag\u00eancia, conta, cart\u00e3o de cr\u00e9dito, endere\u00e7o, etc. O Phishing n\u00e3o chega somente por e-mail. Tamb\u00e9m est\u00e1 nas redes sociais, mensagens de texto (SMS), dentre outros. O Phishing tem rela\u00e7\u00e3o direta com o comprometimento de credenciais, j\u00e1 citado nesse post, por isso resolvemos aborda-lo nesse artigo que \u00e9 voltado para seguran\u00e7a de aplica\u00e7\u00f5es. H\u00e1 investidas que utilizam o Phishing para obter credenciais do registro.br, e com essa informa\u00e7\u00e3o na m\u00e3o, as consequ\u00eancias s\u00e3o as piores poss\u00edveis, pois o dom\u00ednio do seu site est\u00e1 sob-controle de um terceiro com m\u00e1s inten\u00e7\u00f5es. N\u00e3o s\u00f3 o seu site poder\u00e1 ser comprometido, mas tamb\u00e9m o servi\u00e7o de e-mails.<\/li>\n<\/ul>\n
- DoS ou DDoS (nega\u00e7\u00e3o de servi\u00e7o):<\/strong> S\u00e3o ataques que visam tirar do ar um site ou aplica\u00e7\u00e3o atrav\u00e9s do consumo m\u00e1ximo dos recursos computacionais dispon\u00edveis para a sua hospedagem. O ataque se d\u00e1 atrav\u00e9s de um ou de milhares (ou milh\u00f5es) de computadores que geram v\u00e1rias requisi\u00e7\u00f5es ao site alvo, fazendo com que os recursos de processador, mem\u00f3ria e link cheguem no seu limite, tornando o site inacess\u00edvel ou muito lento. Muitas vezes esses computadores que comp\u00f5em o ataque s\u00e3o utilizados sem que seus donos saibam, pois est\u00e3o infectados com bots. Recentemente, estudos relatam que com o avan\u00e7o da IoT (internet of things), dispositivos diversos conectados \u00e0 internet, como Smart TV, podem ser infectados e utilizados em ataques DDoS. Aqui os principais riscos para o seu neg\u00f3cio est\u00e3o ligados a interrup\u00e7\u00e3o do ciclo normal das atividades institucionais, preju\u00edzo com vendas perdidas (no caso de e-commerce), usu\u00e1rios frustrados e sem confian\u00e7a no servi\u00e7o prestado, e o desgaste geral de sua marca e empresa.<\/li>\n
![\"\"](\"https:\/\/www.guardti.com.br\/blog\/wp-content\/uploads\/2018\/08\/CTA.jpg\")
<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"