[Reddes.bvs-tech] Contacto de BVS - es seguro?
spinaker
spinaker at adinet.com.uy
Wed May 18 14:15:37 BRST 2011
Prezado Avelino
muito obrigado por todas essas dicas, vou a analisar e implementar
se for bem sucedida vou relatar de volta para la lista
Concordo que a Bireme tem problemas de segurança, mais isso é comum em
todas as aplicaçoes de software
inlcuindo Microsoft.
Acho que a Bireme deberia fazer sería manter os produtos atualizados,
porque
esse é o propósito desta lista técnica
abc
Ernesto Spinak
El 18/05/2011 11:59, davelino at fis.grad.ufmg.br escribió:
> Olá Ernesto
>
> Sem querer despertar um clima de histeria na lista,
> gostaria de alertá-lo[s] que os aplicativos da Bireme
> costumam sofrer de falhas de segurança graves e, desde
> que acompanho os projetos [particularmente o Lildbi-WEB]
> tenho visto pouco esforço [no meu julgamento] para sanar
> estas falhas.
>
> O comportamento que você descreve aqui no meu modo de ver precisa
> ser avaliado com mais detalhes para que possamos classificar o impacto
> do mesmo. No entanto, é um comportamento no mínimo indesejado e existem
> sim mecanismos para mitigá-las.
>
> De imediato, você pode analisar a viabilidade de 2 mecanismos interessantes para
> o seu ambiente:
>
> - um proxy de entrada
> - um web application firewall
>
> Conceitualmente, a idéia destes mecanismos é definir uma lógica
> mais acertada para o acesso ao seu ambiente.
>
> Por exemplo, você poderia filtrar estes padrões estranhos
> [via expressão regular, ou algo do gênero] o que certamente
> trará benefícios não apenas para este problema que você apresentou
> mas problemas como sqlinjection, acesso indevido, etc.
>
> Coloquei estas duas opções pois, pensando de imediato, elas não necessitam
> intervenção direta no código, e devolvem um resultado bastante satisfatório.
> Além disto, são mais abrangentes pois permitem tratar outros problemas nos
> produtos da Bireme.
>
> Se você estiver utilizando o Apache como webserver, existe um web application firewall
> muito bom para ele, chamado mod-security.
>
> http://www.modsecurity.org/
>
> No caso do IIS, não me recordo agora uma referência mas coloco aqui na lista assim que lembrar!
>
> No caso do proxy, esta costuma ser uma solução um pouco mais difícil de se implementar por envolver
> redirecionamento de pacotes mas é uma alternativa também, principalmente se vocês já utilizam algum
> tipo de proxy de entrada. Uma referência neste caso seria utilizando o Squid
>
> http://www.squid-cache.org/
>
> aqui a referência propriamente dita:
>
> http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxRedirect
>
> Outras sugestões que considero importante:
>
> - Faça uma checagem do código fonte dos produtos da Bireme [alguém da Bireme aqui?].
> Existem boas ferramentas para automatizar este processo e que - mesmo não sendo perfeitas -
> podem dar uma boa noção sobre os problemas que estamos falando [mais os que comentei aqui].
> Uma ferramenta que recomendo é o rats
>
> http://www.fortifysoftware.com/security-resources/rats.jsp
>
> Só para você ter uma idéia, vou te encaminhar o resultado do rats contra o código do
> BVS-Site-5.2.14 [meu email aqui está com problemas para anexar arquivos]
>
> - Teste seu ambiente [Bireme?]
> Se você puder aí, teste seu ambiente com as seguintes ferramentas:
>
> * nessus - http://www.nessus.org/
> * sqlmap - http://sqlmap.sourceforge.net/
> * w3af - http://w3af.sourceforge.net/
>
> Se possível, poste os resultados aqui na lista.
>
> [Perdoe a resposta em português mas minha escrita em espanhol ainda deixa muito a desejar]
>
> Atenciosamente,
>
>
> Avelino, Daniel A.
>
> LCC - Laboratório de Computação Científica
> Universidade Federal de Minas Gerais
>
> +55 31 3409-5391
>
> -----reddes.bvs-tech-bounces at listas.bireme.br wrote: -----
>
> To: reddes.bvs-tech at listas.bireme.br
> From: spinaker<spinaker at adinet.com.uy>
> Sent by: reddes.bvs-tech-bounces at listas.bireme.br
> Date: 14/05/2011 09:05AM
> Subject: [Reddes.bvs-tech] Contacto de BVS - es seguro?
>
>
>
>
>
>
>
>
> Prezados
>
>
>
> Esta semana hemos comenzado a recibir mails "extraños" a través de
> la función "contacto" de la BVS.
>
> Analizando el log de apache vemos que alguien (persona o robot)
> está sondeando el Site y usa el "contacto" para enviar mensajes
> extraños, como por ejemplo el que copio (los links fueron
> eliminados por seguridad)
>
>
> SFprcm icjieucvqwdn,
> [url=http://yxdnrovmkrtf.com/]yxdnrovmkrtf[/url],
> [link=http://pozjvmuzvorp.com/]pozjvmuzvorp[/link],
> http://vklvegyhyztv.com/
>
> yzrddozdeh<RnXjjMMBSDwXHuBTd>
>
> 67.192.253.140
>
>
> Ayer viernes hizo por lo menos 6 pruebas en una hora.
>
> Pregunta:
>
> El módulo php que atiende esa función tiene indicado la siguiente
> instrucción:
>
>
> $mail->IsHTML(true); // set email format to HTML
>
> ¿Eso significa que alguien puede insertar un mensaje con
> instrucciones html/php y violar la seguridad del sitio?
>
> ¿No sería mejor poner la función en "false"? Hay algún otro
> mecanismo de filtrar peligros?
>
>
>
> Saludos
>
> Ernesto Spinak
>
>
>
> .^. .^.
> ( ) ( )
> === ===
> =[=]================================[=]=
> | | Ernesto Spinak | |
> | | spinaker at adinet.com.uy | |
> | | Montevideo, Uruguay | |
> | | tel/fax (598) 2622-3352 | |
> | | celular (598) 99612238 | |
> =[=]================================[=]=
> === ===
> ( ) ( )
> V V
>
>
> _______________________________________________
> Reddes.bvs-tech mailing list
> Reddes.bvs-tech at listas.bireme.br
> http://listas.bireme.br/mailman/listinfo/reddes.bvs-tech
>
>
--
.^. .^.
( ) ( )
=== ===
=[=]================================[=]=
| | Ernesto Spinak | |
| | spinaker at adinet.com.uy | |
| | Montevideo, Uruguay | |
| | tel/fax (598) 2622-3352 | |
| | celular (598) 99612238 | |
=[=]================================[=]=
=== ===
( ) ( )
V V
More information about the Reddes.bvs-tech
mailing list