Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da .net Magazine DIGITAL
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
código fonteCaptcha e SQL Injection - Revista .Net Magazine 97
A finalidade deste artigo é discutir aspectos relativos à segurança de aplicações Web, como o uso de Captcha, onde você tem a possibilidade de verificar se o usuário é realmente uma pessoa. Além disso, também será mostrado como se defender de at
[fechar]
Você não gostou da qualidade deste conteúdo?
(opcional) Você gostaria de comentar o que não lhe agradou?
.net Magazine 97
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da .net Magazine 97
[Artigo disponível no Leitor Digital DevMedia. Clique aqui para acessá-lo]
> Clique aqui para ler todos os artigos da .net Magazine 97
Em inúmeras ocasiões a utilização de um site envolverá a manipulação de dados de caráter privativo, sendo essencial manter a integridade e a confidencialidade dos mesmos. A ideia de integridade deve ser encarada como uma garantia de que os dados empregados não sofrerão modificações, por acidente ou de forma deliberada, durante a transferência de informações entre o browser e o site considerado. Já a noção de confidencialidade diz respeito a um pré-requisito de que somente pessoas autorizadas terão acesso a determinados dados.
A finalidade deste artigo é fornecer uma visão geral de alguns tipos de ataques (que podem ocorrer em uma aplicação Web) e como os mesmos podem estar sendo evitados. Assim, iremos desenvolver alguns exemplos tanto no ASP.NET MVC como em Web Forms.
Evitando spam com o uso de CAPTCHAs
Nem sempre temos a garantia de que o visitante de um Web Site é realmente um ser humano, assim, é preciso criar formas de garantir esta informação.
Atualmente, existe um recurso denominado CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”), uma técnica utilizada em aplicações Web que garante (na maioria das vezes) que o usuário é um visitante real. Este mecanismo, geralmente, consiste na geração automática de uma imagem levemente distorcida e contendo uma pequena sequência de caracteres. A distorção é proposital, já que embora não comprometa a leitura por uma pessoa, dificultará a ação de possíveis boots.
Embora a implementação própria de um CAPTCHA não represente uma tarefa de grande complexidade, o comum é que se escolha componentes disponibilizados por terceiros, existindo inclusive soluções sofisticadas e sem nenhum custo. Um exemplo disto é o serviço reCAPTCHA, uma opção gratuita e disponibilizada pela Google a fim de permitir o uso deste tipo de recurso em aplicações Web.
A integração de aplicações Web com o serviço reCAPTCHA é feita por meio de plug-ins. Além de ser possível você utilizar o mesmo no próprio ASP.NET, também tem a possibilidade de utilizá-lo em outras linguagens, como Ruby e PHP.
Entendendo a Segurança do reCAPTCHA
O reCAPTCHA possui os mais altos padrões de segurança. Outras implementações de CAPTCHAs utilizam textos sem distorções ou texto com poucas. Essas implementações são vulneráveis a simples ataques automatizados. Existem alguns que apenas realizam perguntas baseadas em texto aritméticas como "o que é 1 + 1". Estes podem ser quebrados facilmente por qualquer invasor, visto pela simplicidade que é o mesmo.
Para proteger seu site, o reCAPTCHA utiliza duas camadas de segurança ao gerar imagens. Ela começa com imagens que não podem ser lidos por computadores e depois distorce ainda mais. Veja um exemplo na Figura 1.
Figura 1. Exemplo distorções de imagens reCAPTCHA
O reCAPTCHA é um serviço Web, assim, todas as imagens são geradas pelos servidores da Google. Além da simplicidade que este oferece (visto que você não precisa executar scripts de geração de imagens em seus próprios servidores), este também oferece um nível extra de proteção: os CAPTCHAs do mesmo são atualizados automaticamente sempre que uma vulnerabilidade de segurança é encontrada. Um exemplo comum é quando algum desenvolvedor escreve um programa que pode ler as imagens distorcidas do reCAPTCHA, assim, quando isso acontece, ele adiciona ainda mais distorções em pouco tempo (sem que a página necessite ser acessada novamente). Isso é muito importante, visto que não há necessidade de reinstalar um CAPTCHA (com uma versão atualizada) cada vez que uma vulnerabilidade é encontrada.
"
Este é um post disponível para assinantes MVP
A finalidade deste artigo é fornecer uma visão geral de alguns tipos de ataques (que podem ocorrer em uma aplicação Web) e como os mesmos podem estar sendo evitados. Assim, iremos desenvolver alguns exemplos tanto no ASP.NET MVC como em Web Forms.
Evitando spam com o uso de CAPTCHAs
Nem sempre temos a garantia de que o visitante de um Web Site é realmente um ser humano, assim, é preciso criar formas de garantir esta informação.
Atualmente, existe um recurso denominado CAPTCHA (“Completely Automated Public Turing test to tell Computers and Humans Apart”), uma técnica utilizada em aplicações Web que garante (na maioria das vezes) que o usuário é um visitante real. Este mecanismo, geralmente, consiste na geração automática de uma imagem levemente distorcida e contendo uma pequena sequência de caracteres. A distorção é proposital, já que embora não comprometa a leitura por uma pessoa, dificultará a ação de possíveis boots.
Embora a implementação própria de um CAPTCHA não represente uma tarefa de grande complexidade, o comum é que se escolha componentes disponibilizados por terceiros, existindo inclusive soluções sofisticadas e sem nenhum custo. Um exemplo disto é o serviço reCAPTCHA, uma opção gratuita e disponibilizada pela Google a fim de permitir o uso deste tipo de recurso em aplicações Web.
A integração de aplicações Web com o serviço reCAPTCHA é feita por meio de plug-ins. Além de ser possível você utilizar o mesmo no próprio ASP.NET, também tem a possibilidade de utilizá-lo em outras linguagens, como Ruby e PHP.
Entendendo a Segurança do reCAPTCHA
O reCAPTCHA possui os mais altos padrões de segurança. Outras implementações de CAPTCHAs utilizam textos sem distorções ou texto com poucas. Essas implementações são vulneráveis a simples ataques automatizados. Existem alguns que apenas realizam perguntas baseadas em texto aritméticas como "o que é 1 + 1". Estes podem ser quebrados facilmente por qualquer invasor, visto pela simplicidade que é o mesmo.
Para proteger seu site, o reCAPTCHA utiliza duas camadas de segurança ao gerar imagens. Ela começa com imagens que não podem ser lidos por computadores e depois distorce ainda mais. Veja um exemplo na Figura 1.
Figura 1. Exemplo distorções de imagens reCAPTCHA
O reCAPTCHA é um serviço Web, assim, todas as imagens são geradas pelos servidores da Google. Além da simplicidade que este oferece (visto que você não precisa executar scripts de geração de imagens em seus próprios servidores), este também oferece um nível extra de proteção: os CAPTCHAs do mesmo são atualizados automaticamente sempre que uma vulnerabilidade de segurança é encontrada. Um exemplo comum é quando algum desenvolvedor escreve um programa que pode ler as imagens distorcidas do reCAPTCHA, assim, quando isso acontece, ele adiciona ainda mais distorções em pouco tempo (sem que a página necessite ser acessada novamente). Isso é muito importante, visto que não há necessidade de reinstalar um CAPTCHA (com uma versão atualizada) cada vez que uma vulnerabilidade é encontrada.
"
A exibição deste artigo foi interrompida.
Este é um post disponível para assinantes MVPEste post também está disponível para assinantes da .net Magazine DIGITAL
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
ou para quem possui Créditos DevMedia. Clique aqui para saber mais!
Renato Jose Groffe
Atua como consultor em atividades voltadas ao desenvolvimento de softwares há mais de 10 anos. Bacharel em Sistemas de Informação, com especialização em Engenharia de Software. Microsoft Certified Technology Specialist (Web, WCF, Distributed Applications, ADO.NET, Windows Forms), Microsoft Specialis...
O que você achou deste post?
Cursos relacionados
Publicidade
