Discursiva: TCE – RN Assessor Técnico – Tema: Segurança

Prova: http://www.cespe.unb.br/concursos/tcern2009/arquivos/TCERN09_002_3.pdf

Esboço:

Pela leitura do log, percebe-se que houve um ofuscamento de payload a fim de burlar um IDS, dessa forma camufla-se a assinatura do ataque conduzindo o IDS a um falso negativo. Percebe-se tal técnica ao visualizarmos a substituição dos caracteres da url solicitada pelo seu equivalente em hexadecimal (..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af…%c0%af..%c0%af..%c0%af). Outra técnica usada é a inserção de caracteres “?” antes da requisição verdadeira, haja vista o IDS ignorar o que vier depois desse caracter.

O atacante faz suas investidas sob o manto de que está invocando sua página de troca de senhas (IISADMPWD), entretanto, faz leituras dos diretórios c:\, c:\inetpub e c:\inetpub\wwwroot. Essas leituras são feitas através do prompt de comando.

Após criar uma cópia do cmd.exe como s3.exe noutro diretório, o atacante parte em busca da página default.htm, a fim de modificar seu conteúdo. Como a página não é encontrada, o atacante direciona o ataque para o arquivo myweb.dll. Este arquivo é a página index.htm com outro nome (é uma forma de defesa abrigar a página inicial dentro desse arquivo). O atacante insere o conteúdo “W33 waz h3r3” (Wee was here) na página inicial, caracterizando um ataque do tipo defacement. A vulnerabilidade explorada é a do parsing das requisições de arquivo em servidores Web, também conhecida como ataque de unicode. Para me proteger desse tipo de ataque, eu abandonaria o IIS da Microsoft e partiria para um Apache.

Uma questão bem parecida com esta apareceu na prova de Perito Criminal Federal em 2002.

p3r1t0f3d3r4l

Você pode gostar...

2 Resultados

  1. cafarnaum disse:

    @Ronald: essa eu deixo para os “universitários” que estão estudando para PF responderem, Ok? 😉

    »crosslinked«

  2. Ronald disse:

    Professor,
    qual livro nos dá capacidade de responder essa questão?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *