Valide suas entradas, ou o hacker irá fazer um bypass com Burp Suite

Cortes
fabio

Fabio Sobiecki é analista de sistemas, formado pela Unopar e especialista em Segurança da Informação pelo Senac e possui MBA pela FGV. Desde 2004, trabalha com Segurança da Informação, entre 1998 e 2004, trabalhou com tecnologia da informação, na área de infraestrutura e redes de computadores. Fabio Sobiecki é certificado pelo (ISC) 2 como CISSP e CCSP, desde 2008 e 2017, respectivamente. Atualmente, ele é presidente do capítulo de São Paulo (ISC) 2 e é engenheiro de soluções na RSA.

Read more of my posts.

by fabio

Valide suas entradas para evitar ataques de hackers, como demonstrado no vídeo do Fabio Sobiecki. Além das validações no front end, é importante também validar as informações no lado do servidor, para evitar que o hacker faça um bypass utilizando o Burp Suite.

Durante a avaliação de segurança de aplicações, não basta que o front end ou a aplicação cliente faça as validações de campos onde o usuário insere dados, textos ou faz upload de arquivos.

Do lado do servidor também precisa ser validado, sob a pena de ter um hacker como demonstrado aqui, utilizando o Burp Suite, uma ferramenta proxy para alterar o conteúdo de dados enviado para o servidor.

É fundamental garantir a integridade dos dados e a segurança da aplicação, seja ela um site, um sistema web ou um aplicativo. De nada adianta ter uma interface bonita e amigável se qualquer usuário mal-intencionado puder explorar brechas de segurança e comprometer todo o sistema.

Por isso, é essencial implementar validações tanto no front end quanto no back end das aplicações. No front end, pode-se utilizar HTML5 e JavaScript para realizar verificações básicas, como verificar se os campos estão preenchidos corretamente ou se os dados são do tipo esperado. No entanto, essas validações podem ser facilmente burladas pelo usuário utilizando ferramentas como o Burp Suite.

Por outro lado, no lado do servidor, é importante implementar validações robustas e verificar todas as entradas para garantir que os dados enviados estejam corretos e seguros. Por exemplo, ao receber um formulário com campos para nome e email, além de verificar se os campos estão preenchidos, também é necessário validar se o formato do email é válido e se o nome contém apenas caracteres permitidos.

Ao negligenciar a validação das entradas do servidor, o sistema fica vulnerável a ataques como o SQL Injection, Cross-Site Scripting (XSS) e outros exploits. Os hackers são especialistas em encontrar essas brechas e explorá-las para obter acesso não autorizado à aplicação e aos dados armazenados.

Portanto, não deixe a segurança da sua aplicação nas mãos dos usuários. Faça as validações de entrada tanto no front end quanto no back end e utilize ferramentas de segurança, como o Burp Suite, para testar a robustez das suas defesas. Proteja-se contra hackers e assegure a integridade dos seus dados.

#FabioSobiecki #BlueTeamAcademy #SegurançadaInformação