[MASOCH-L] Bloquear softwares como WebZip, Web Reaper em servidores web

Leonardo Rodrigues Magalhães leolistas at solutti.com.br
Fri Sep 30 16:14:15 -03 2005 


Lisandro Weissheimer escreveu:

>Olá Pessoal!
>
>Os softwares acima são os famosos usados para baixar sites inteiros para
>computadores e navegar neles offline. Porém isso traz alguns problemas.
>Alguns desenvolvedores colocam as strings de conexão em arquivos dentro da
>hospedagem sem criptografia ou quando criptografam é necessário colocar a
>chave de descriptografia junto. Com isso se baixarmos um site e pegarmos
>esses dados teremos as senhas de banco do cliente e acessar áreas restritas.
>
>Isso abre uma brecha de segurança, que por muitos já é conhecida.
>
>Minha pergunta é:
>
>Existe alguma maneira de impedir a ação desses programas (WebZip, Web Reaper
>e Teleport, por exemplo) num webserver rodando Windows Server 2000 com IIS
>5.0 ou Windows Server 2003 com IIS 6.0?
>  
>

    Acho difícil ....... a princípio você poderia até tentar bloquear a 
identificação de navegador que eles usam, mas todos esses softwares 
permitem que você configure como ele deve se identificar ... como IE, 
como Netscape ou com qualquer texto que você digitar. Desse jeito, é 
impossível você reconhecer, no servidor, se é um IE de verdade ou algum 
outro agente se passando por IE.

    Quanto a desenvolvedores colocarem as senhas dentro dos scripts, 
isso não é um problema real SE o desenvolvedor tiver o mínimo de noção 
de programação segura.

    Num PHP por exemplo, se voce definir o arquivo conexao.inc e jogar 
os trecos lá e der um include nele, o cara vai realmente conseguir 
baixar o conexao.inc se souber o endereço dele. Porém se esse arquivo 
chamar eusouburro.inc o cara provavelmente nunca vai achar ele, a não 
ser que ele esteja linkado em algum lugar. Mas se voce chamar de 
conexao.inc.php e criar algo assim:

<?php
$userdb = 'usuario';
$senhadb = 'senha';
?>

    E alguem chamar o conexao.inc.php no navegador, esse arquivo será 
INTERPRETADO pelo engine PHP e vai retornar uma inútil tela em branco. O 
cara só vai conseguir ver o código FONTE do seu PHP se ele usar alguma 
vulnerabilidade e fizer isso, nada haver com o fato de estar ou não 
usando um Teleport da vida.

    Se um arquivo existe dentro do site mas não possui nenhum LINK pra 
ele, nenhum 'roubador' de sites vai descobrir que esse arquivo está lá.

    Não é tarefa simples evitar o uso desses softwares. Também não é 
tarefa simples (pra não dizer que é impossível) proteger sites 
desenvolvidos por desenvolvedores burros que não possuem a MENOR noção 
de segurança e de como desenvolver aplicações que funcionem de forma segura.

-- 


	Atenciosamente,
	Leonardo Rodrigues
	Solutti Tecnologia
	http://www.solutti.com.br

	Minha armadilha de SPAM, NÃO mandem email
	gertrudes at solutti.com.br
	My SPAMTRAP, do not email it

More information about the masoch-l mailing list