Cross-Site Scripting / Ataques de Sesso

Anlise de Token / Anlise de Padro Parmetros de URL / Algoritmos de Hash Segurana de Sistemas - Gil Eduardo de Andrade

1. INTRODU O O objetivo desta atividade trabalhar de forma prtica os conceitos introdutrios apresentados em sala de aula referente a Cross-Site Scripting e Ataques de Sesso !ara tal sero utili"ados# cdigos e$emplo em %php&# disponibili"ados pelo professor# para au$iliar o aluno na implementa'o de um mini-sistema com os mtodos de seguran'a necessrios para que as vulnerabilidades apresentadas no possam ser utili"adas por um usua(io malicioso !. D"S"N#O$#I%"NTO )tili"ando como base os cdigos-fonte disponibili"ados nas *ltimas aulas# o aluno dever implementar um sistema que permita+ cadastrar# alterar # visuali"ar e remover usurios ,sse sistema deve conter as seguintes funcionalidades e pginas+ - pgina de cadastro de usurios .cadastrar php/ - pgina de altera'o de usurios .alterar php/ - pgina de remo'o de usurios .remover/ - pgina de visuali"a'o de usurios .visuali"ar php/ - pgina de menu com todas as op'0es anteriores .menu php/ - pgina de autentica'o .autenticar php/ O esquema aseguir especifica como deve ocorrer a navega'o entre as janelas ,ssa navega'o deve acontecer nos dois sentidos# ou seja# a imagem possibilita observar que poss1vel navegar da janela %autenticar php& para %menu php&# sendo assim# deve ser poss1vel navegar da %menu php& para %autenticar php&

&. 'UNCIONA$IDAD"S A janela de autentica'o .autenticar php/ permitir ao sistema identificar se o usurio que est autenticado se trata de um usurio comum ou do adminestrador# essa informa'o deve ser lida do banco de dados de acordo com o login e senha digitados Aps a autentica'o a pgina deve ser redirecionar para a tela de menu .menu php/ e a informa'o sobre o tipo de usurio deve ser passada via )23 A janela de 4enu deve apresentar# caso a autentica'o indique que se trata de um usurio comum# apenas a op'o de visuali"ar usurios cadastrados .visuali"ar php/ !orm se um administrador estiver se autenticando no sistema todas as outras funcionalidades devem estar dispon1veis no menu .alterar php# cadastra php e remover php/ A janela de visuali"a'o .visuali"ar php/ deve apenas apresentar informa'0es sobre os usurios que e$istem cadastrados no banco de dados A janela de cadastro deve permitir a inser'o de novos usurios# atravs da entradas das informa'0es+ nome# login# senha# tipo de usurio 5a tela de altera'o do usurio .alterar php/ ser poss1vel modificar+ o login# a senha# o tipo de usurio 6 na tela de remo'o de usurios .remover php/ ser poss1vel e$cluir usurios cadastrados no banco As janelas de cadastro# altera'o e remo'o devem sempre chamar um arquivo % php&# passando ao mesmo# via url# as informa'0es necesrias para que a opera'o possa ser conclu1da (. CODI'ICA)"S D" S"*URANA

O sistema implementado deve garantir que os seguintes mtodos de ataque no possam ser utili"ados para atacar a aplica'o+ a/ descoberta de senha por for'a bruta 7 ataque a autentica'o do sistema .bloquar usurio aps um n*mero $ de tentativas invlidas de login/8 b/ altera'o do n1vel de privilgio do usurio atravs da manipula'o da )23 .garantir que o usurio no ganhar privilgio alterando a )23/8 c/ 9nje'o de S:3+ para e$ecu'o de instru'0es S:3 maliciosas dentro do banco de dados .obter informa'0e do banco ; burlar autentica'o/8 d/ Cross-Site Scripting para e$ecu'o de cdigos .scripts/ maliciosos com intuito de obter informa'0es que permitam obter informa'0es de sesso .ataques de sesso/8 e/ Anlise de to<ens para ataque de gerenciamento de sesso .utili"a'o de mdulos perl .base=># md? e S@AA/ para identrificar valores passados via url/