Análise de desempenho/segurança

Olá pessoal,

estive conversando com o Yves a respeito de alguns pontos que precisamos pensar/repensar. São eles:

  • segurança:
    Hoje não se sabe, ou pelo menos não se tem registrado, testes que asseguram o ambiente contra vulnerabilidades. Me refiro a testes de Cross-Site-Script, enumeração de usuários, sequestro de sessão, DoS, Etc.

  • Performance:
    Hoje não se sabe, ou pelo menos não se tem registrado, testes de carga e performance.
    Precisa-se da definição de métricas em tempos de resposta, por exemplo, dos requests.
    Também a análise no total de usuários simultâneos.
    Teste de carga automatizado, por exemplo: uso do JMeter para bombardear o serviço e ver até quando o mesmo suporta.

Outras observações: além dessas verificações, também é necessário verificar um ponto de cunho social da rede: “Report de abuso”. Como é verificado, tratado, a postagem abusiva de informações ?

2 Curtidas

Testes e Análise de Vulnerabilidade

Nobre Marcos e comunidade OpenRedu :smiley:

Eu [aluno de m.sc. em cc e sob orientação do prof. Silvio Meira e Coorientação do prof. Vinicius Garcia Cin/UFPE] com todo apoio e suporte do especialista em S.I. Milton Morais [aluno de m.sc. em cc e sobre orientação do prof. Ricardo Massa Cin/UFPE] realizei alguns testes e análises de vulnerabilidade usando a ferramenta #Uniscan project V. 6.3.

Tenho a grande satisfação de compartilhar os resultados com todos deste maravilhoso projeto, segue os resultados:

Analisamos os logs (3) e observamos que os resultados foram iguais, isso mesmo, para os 3 links citados abaixo, segue detalhamento:

1. Domain: (openredu.cin...)
Scan date: 1-10-2016 23:41:20
Server: Apache/2.4.7 (Ubuntu)
IP: 150.161.2.9

2. Domain: (openredu.com)
Scan date: 1-10-2016 21:46:31
Server: Apache/2.4.7 (Ubuntu)
IP: 150.161.2.21

3 . Domain: (ead.openredu...)
Scan date: 1-10-2016 20:20:19
Server: nginx/1.8.0 + Phusion Passenger 5.0.20
IP: 187.33.66.226

Problema 1 - Lista de E-mails

E-mails: //@car2 não são de usuários ativos – total de e-mails = 4
| [+] E-mail Found: ryan@wonko.com //E-mail inválido.
| [+] E-mail Found: klaus.hartl@stilbuero.de //E-mail inválido.
| [+] E-mail Found: contato@redu.com.br //E-mail inválido.

[+] E-mail Found: privacidade@redu.com.br //E-mail inválido.

| E-mails: //@car2 não são de usuários ativos - total de e-mails = 123
| [+] E-mail Found: pac@di.ufpe.br
| [+] E-mail Found: feg083@mail.usask.ca
| [+] E-mail Found: pcom@cyb.com.br
| [+] E-mail Found: mundi@di.ufpe.br
| [+] E-mail Found: inst-java@di.ufpe.br
| [+] E-mail Found: nicholas@media.mit.edu
| [+] E-mail Found: gustp@elogica.com.br
| [+] E-mail Found: jhcf@di.ufpe
| [+] E-mail Found: planus@truenet.com.br
| [+] E-mail Found: falcao@sitesbr.com.br
| [+] E-mail Found: mathewhendry@hotmail.com
| [+] E-mail Found: nicholas@mit.media.edu
| [+] E-mail Found: gsemane@elogica.com.br
| [+] E-mail Found: citi@di.ufpe.br
| [+] E-mail Found: efm@di.ufpe.br
| [+] E-mail Found: gerino@elogica.com.br
| [+] E-mail Found: takayukister@gmail.com
| [+] E-mail Found: cgcs@cin.ufpe.br
| [+] E-mail Found: rodrigues@elogica.com.br
| [+] E-mail Found: trk@bilbo.wipsys.soft.net
| [+] E-mail Found: jftm@di.ufpe.br
| [+] E-mail Found: rdenny@dc3.com
| [+] E-mail Found: er@di.ufpe.br
| [+] E-mail Found: faxaway@poboxes.com
| [+] E-mail Found: jvsf@di.ufpe.br
| [+] E-mail Found: calado@npd1.ufpe.br
| [+] E-mail Found: lnc@elogica.com.br
| [+] E-mail Found: jhcf@di.ufpe.br
| [+] E-mail Found: saulo@newstorm.com.br
| [+] E-mail Found: eduardo@incorptech.com.br
| [+] E-mail Found: miguel@imag.imag.fr
| [+] E-mail Found: m@tidakada.com
| [+] E-mail Found: bitsafe@execpc.com
| [+] E-mail Found: dhs@orbits.com
| [+] E-mail Found: alcarc@aol.com
| [+] E-mail Found: schalaer@psi.ch
| [+] E-mail Found: silvio@di.ufpe.br
| [+] E-mail Found: info@getid3.org
| [+] E-mail Found: fabio@us4.com.br
| [+] E-mail Found: mmesel@elogica.com.br
| [+] E-mail Found: hvvliet@inter.nl.net
| [+] E-mail Found: hotjava-comments@java.sun.com
| [+] E-mail Found: sniper@sniper.com.br
| [+] E-mail Found: getsemane@elogica.com.br
| [+] E-mail Found: fsr@di.ufpe.br
| [+] E-mail Found: axon@swsolucoes.itep.br
| [+] E-mail Found: staff@staff.com.br
| [+] E-mail Found: juliana@mobile.com.br
| [+] E-mail Found: cesar@cesar.org.br
| [+] E-mail Found: domingos@hotlink.com.br
| [+] E-mail Found: lark@uk.ac.warwick
| [+] E-mail Found: ffa@di.ufpe.br
| [+] E-mail Found: 11048@18423-news.bilbo.wipsys.soft.net
| [+] E-mail Found: 6@psi.ch
| [+] E-mail Found: 20mirante@cin.ufpe.br
| [+] E-mail Found: hermano@di.ufpe.br
| [+] E-mail Found: joa@di.ufpe.br
| [+] E-mail Found: lmso@di.ufpe.br
| [+] E-mail Found: hoa@fx.ri.ccf.org
| [+] E-mail Found: bruna@jc.com.br
| [+] E-mail Found: 1du@daily-planet.execpc.com
| [+] E-mail Found: albali@di.ufpe.br
| [+] E-mail Found: contato@hightechinfo.com.br
| [+] E-mail Found: info@orbits.com
| [+] E-mail Found: srlm@di.ufpe.br
| [+] E-mail Found: dcsa@di.ufpe.br
| [+] E-mail Found: ac@axon.com.br
| [+] E-mail Found: datamicro@netcdl.com.br
| [+] E-mail Found: ine@comp.vuw.ac.nz
| [+] E-mail Found: jr@di.ufpe.br
| [+] E-mail Found: jose.sayago@laelite.info
| [+] E-mail Found: 11531@bbs.elogica.com.br
| [+] E-mail Found: dmosses@daimi.aau.dk
| [+] E-mail Found: efa@di.ufpe.br
| [+] E-mail Found: educandus@educandus.com.br
| [+] E-mail Found: email@company.co.nz
| [+] E-mail Found: phmb@di.ufpe.br
| [+] E-mail Found: ilvio@di.ufpe.br
| [+] E-mail Found: miguel@imag.fr
| [+] E-mail Found: albali@elogica.com.br
| [+] E-mail Found: ear@di.ufpe.br
| [+] E-mail Found: araa@di.ufpe.br
| [+] E-mail Found: jfsp@di.ufpe.br
| [+] E-mail Found: dcsa@cin.ufpe.br
| [+] E-mail Found: 28113@bbs.elogica.com.br
| [+] E-mail Found: celsoc@elogica.com.br
| [+] E-mail Found: junior@elogica.com.br
| [+] E-mail Found: fabiano@mobile.com.br
| [+] E-mail Found: novaera@novaera.com.br
| [+] E-mail Found: java-bugs@java.sun.com
| [+] E-mail Found: inet-submissions@isoc.org
| [+] E-mail Found: cfs@cssun.mathcs.emory.edu
| [+] E-mail Found: mirante@cin.ufpe.br
| [+] E-mail Found: bcox@gmu.edu
| [+] E-mail Found: webmaster@java.sun.com
| [+] E-mail Found: iteci@iteci.com.br
| [+] E-mail Found: suruagy@uol.com.br
| [+] E-mail Found: miranda@elogica.com.br
| [+] E-mail Found: java-l@di.ufpe.br
| [+] E-mail Found: nelson@cs.ualberta.ca
| [+] E-mail Found: dbrown@cs.hope.edu
| [+] E-mail Found: tullemans@apolloway.prl.philips.nl
| [+] E-mail Found: nikos@cbl.leeds.ac.uk
| [+] E-mail Found: info@bvr.com.br
| [+] E-mail Found: fabio@newstorm.com.br
| [+] E-mail Found: pointer@pointersoftware.com.br
| [+] E-mail Found: opensource@laelite.info
| [+] E-mail Found: mldourado@jc.com.br
| [+] E-mail Found: hare@di.ufpe.br
| [+] E-mail Found: hinck@pegasus.montclair.edu
| [+] E-mail Found: licensing@java.sun.com
| [+] E-mail Found: issi@nutecnet.com.br
| [+] E-mail Found: andrep@elogica.com.br
| [+] E-mail Found: idevan@newstorm.com.br
| [+] E-mail Found: java@java.sun.com
| [+] E-mail Found: aaa@di.ufpe.br
| [+] E-mail Found: jairson@mundi.com.br
| [+] E-mail Found: bgsc@di.ufpe.br
| [+] E-mail Found: mesel@elogica.com.br
| [+] E-mail Found: kevs@cin.ufpe.br
| [+] E-mail Found: recine@aptness.com.br
| [+] E-mail Found: javalunches@di.ufpe.br
| [+] E-mail Found: bm@bminformatica.com.br

[+] E-mail Found: dhuff@eng.sun.com

Problema 2 - Links expostos em .htm e .java – total de links = 1552

Exemplo 1 -
/////////////////////////////////////////////////////////////////////
// Index.java – LED Sign V2.5
//
// This is just a small class used for a struct
//
// Revisions:
// V2.7: See “Revisions” doc for more info
//
// V2.5: Fixed all known bugs in previous versions! Added
// the new feature of ledsize, which allows the user
// to specify in pixels how big the LED’s (1-4).
// Thanks to Robert B. Denny (rdenny@dc3.com) for
// code and input!
// Modified Dec 20-26, 1995
//
// V2.0beta: Modified V1.0 to comply with Pre-Beta java.
// A problem with delay causes a jerky display.
// Modified Oct 20 - 29, 1995
//
// V1.0: Written July 13 - 14, 1995
//
// By Darrick Brown
// dbrown@cs.hope.edu
// http://www.cs.hope.edu/~dbrown/
//
// © Copyright 1995
/////////////////////////////////////////////////////////////////////

import java.awt.;
import java.io.
;
import java.net.*;

//////////////////////////////////////////////////////////////////
// The Index Class (struct)
//////////////////////////////////////////////////////////////////
public class Index
{
public byte ch;
public int width;
public boolean letter[][];

Index(byte b, int w, int h)
{
letter = new boolean[w][h];
width = w;
ch = b;
}
}
Exemplo 2
import java.awt.*;

class CanvasContas extends Canvas {
Image image;

BancoApplet banco;

CanvasContas(BancoApplet banco) {
    this.banco = banco;
}

public Dimension preferredSize() {
    return new Dimension(195, 300);
}

public void paint(Graphics g) {
    g.drawRect(0, 0, size().width-2, size().height-2);
}

}
Exemplo 3
Um applet que funciona como relógio:
Código fonte do applet:
import java.applet.Applet;
import java.awt.Graphics;
import java.util.Date;

public class Clock
extends Applet
implements Runnable {

Thread updater;

public void start() {
    if (updater == null) {
        updater = new Thread(this);
        updater.start();
    }
}

public void stop() {
    updater.stop();
    updater = null;
}

public void run() {
    while (true) {
        repaint();
        try {
            updater.sleep(1000);
        } catch (InterruptedException e){
        }
    }
}

public void paint(Graphics pen) {
    Date date = new Date();
    pen.drawString(date.getHours() + ":" + 
                   date.getMinutes() + ":" + 
                   date.getSeconds(), 5, 15);
}

}

Finalizando galera!

Caso alguém queira mais informações e acesso aos logs segue o link do drive ~> http://bit.ly/2d1FIUL

Em breve novas contribuições sobre ataques DDos com apoio de Milton Morais @mvml

#Sinergia! Cloves Rocha.

Já está pronta a nova contribuição sobre Testes de Seguranca DDos disponivel no Link: Testes de Segurança - DDOS

Autor: Milton Morais @mvml