Samy is my hero

Ola pessoal,

Pra começar a falar de Segurança em Aplicações Web vou citar um ataque ao site de relacionamento MySpace.

Um pouco de história:

No ano de 2005 Samy Kankar não estava satisfeito com sua pequena quantidade de amigos no MySpace, escreveu um worm (depois batizado de JS.Spacehero) para turbinar sua lista de amigos.

O script rodava quando alguém visitava o perfil de Samy. Então o worm adicionava o visitante à sua lista de amigos e colocava no perfil do infectado a frase “samy is my hero“. Pra melhorar, o script se propagava para o perfil do usuário infectado, possibilitando que esse infectasse mais pessoas.

Em menos de 20 horas, Samy tinha um milhão de amigos e o MySpace foi tirado do ar.

Isso lhe rendeu, em 2007, uma condenação nos tribunais com direito à multa, serviço comunitário e afastamento de computadores.

Bem! aí você se pergunta: se este site estava vulnerável então quantos outros por aí também estão?

Mais adiante postarei o porquê dessa invasão.

Isso foi apenas um exemplo de como as aplicações Web estão vulneraveis. Falhas de segurança podem ser fatais. Imaginem se um bankline qualquer esteja vulnerável, isso pode gerar prejuízos em grande escala para a empresa e clientes.

Vamos, aqui, publicar algumas formas de ataque e sua prevenção.

abraços,