Segurança de site e e-commerce
Você já ouviu falar de defacement? Ele também pode ser chamado de deface e ainda tem quem se refira a ele como “pichação”.
No final das contas, dafacement é nome que é dado quando pessoas mal intencionadas realizam alterações em páginas web. Essas mudanças podem ser relacionadas aos conteúdos existentes na página, no caso de e-commerces, até mesmo a descrição dos produtos e valores.
Também podem ser alterados aspectos gráficos, como por exemplo, a posição do logo ou inserção de outros elementos, como mensagens com os mais diversos objetivos, desde ativismo, posições políticas, vinganças pessoais de ex-funcionários ou ainda desmoralizar uma pessoa, negócio ou instituição.
As principais modalidades para a práticas do defacement são: exploração das vulnerabilidades em códigos de linguagens e a invasão do servidor onde o site está instalado.
Para ter acesso a sites esses “pichadores digitais” buscam por brechas ou vulnerabilidades no servidor web, erros na aplicação web ou mesmo em aplicações da hospedagem onde o site se encontra.
Geralmente os ataques são feitos explorando erros na programação do site como um todo , formulários que permitem a inserção de dados são bem comuns não possuírem os filtros adequados . O atacante identifica a brecha e faz a inserção de um código malicioso que pode resultar na alteração da página principal ou parte dela.
O problema é que vulnerabilidades como Injection (SQL injection, XML Injection, etc), e XSS (Cross Site Scripting) são algumas das técnicas utilizadas para realizar esse ataque e elas fazem parte do Top 10 da OWASP (Open Web Application Security Project). Se alguém consegue explorá-las para “pichar” seu site, é bem possível que esteja vulnerável a ataques mais sérios, talvez mais graves do que apenas inserir uma mensagem de erro.
Por isso é importante não ignorar um ataque defacement, por mais insignificante que ele possa parecer em um primeiro momento, na verdade ele vai indicar que existe alguma brechá em seu site ou servidor.
Como já foi dito antes, esses ataques apresentam vulnerabilidades que podem ser exploradas para ações mais graves. Por isso, depois de subir a página original do seu site, não esqueça de corrigir as vulnerabilidades, muitos profissionais apenas sobem o arquivo e não fazem outras alterações.
Leia também:
Como identificar vulnerabilidades em aplicações web (e se proteger delas)
5 dicas de segurança para quem vende online
segurança da informação, segurança para e-commerce, segurança para site