Insegurança de sistemas relacionados a senhas: sonhos caídos

Existem muitas técnicas

O “Path Traversal” (também conhecido como “Directory Traversal”) é um tipo de ataque que explora uma vulnerabilidade dentro de uma determinada aplicação (não suficientemente protegida), para obter acesso a determinados caminhos no sistema de arquivos, ou seja, às pastas no disco que não deveria, na realidade, ser acessível a um usuário não autorizado. Por exemplo, digamos que temos uma árvore do servidor da web Apache e estamos no diretório raiz do próprio servidor da web, em nosso exemplo / var / www / html.

Em qualquer aplicação web que forneça o uso de GET, é possível em alguns passos chegar ao arquivo de senha em um sistema Linux; na prática, inserindo o dir / var / www / html, após iniciar o serviço apache2 e renomear o index.html e substituí-lo por um index.html malicioso, introduzindo por exemplo o caminho onde o passwd reside, você obteria a exibição de a senha sem que o usuário perceba.

Esta é uma das muitas técnicas que podem ser usadas para localizar informações relacionadas à identidade de um usuário. Uma vez que o usuário foi identificado e como fazer o login em seu nome, basta adicionar um código escrito, por exemplo em php, que pode ser salvo em qualquer diretório e recuperado de uma página da web. O código malicioso poderia estudar o sistema, acumular informações relacionadas ao acesso a outros caminhos onde residem outras informações e em pouco tempo o usuário seria despido em silêncio absoluto. Mas como podemos nos proteger? Como podem ser evitados ataques transversais de caminho? Você pode evitar esses ataques não passando dados de entrada para a API do sistema de arquivos. Portanto, o aplicativo valida a entrada do usuário de uma forma completamente diferente do que no passado, usando um método que exige a entrada não com base no usuário e senha, mas apenas por meio de acreditação biométrica. My-ID (https://bit.ly/My-ID_la_chiave_sei_tu) pode ser uma resposta a este tipo de ataque.

O sistema prevê o uso de reconhecimento biométrico multifatorial (um SSO) em que o uso de uma senha, um pin, um token (https://bit.ly/My-ID_passwordless) não é necessário: a fórmula para acessar o sistema requer o reconhecimento de múltiplos fatores biométricos (https://bit.ly/My-IDCheckIdentity) Portanto My-ID é um método inovador de acesso a sistemas que não requer a digitação de informações (https: // bit .ly / My-ID_Biometric_Login), uma plataforma aplicável a sistemas de TI para evitar roubo de identidade.

Compartilhar

Share on linkedin
Share on whatsapp
Share on facebook
Share on twitter
Share on email