Critica de segurança aos Scripts CGI

Critica de segurança aos Scripts CGI
CGI é um acrónimo para a expressão inglesa Common Gateway Interface. Consiste
numa importante tecnologia que permite gerar páginas dinâmicas, permitindo a um navegador
passar parâmetros para um programa alojado num servidor web. Assim, designam-se por
scripts CGI os pequenos programas que interpretam esses parâmetros e geram a página
depois de os processar.
O funcionamento básico de um programa CGI é parecido ao apontado para o conjunto das
páginas dinâmicas do servidor, com algumas particularidades.
1. Realiza-se uma petição http, a qual podem acompanhar dados que chegam ou por um
formulário, ou também através da URL.
2. O servidor executa os programas CGI aos que se acessa e trabalha com os recursos
necessários para realizar as ações, como por exemplo, as bases de dados.
3. O programa CGI vai escrevendo na saída padrão, o resultado da execução do CGI,
que inclui etiquetas HTML, já que o que se escreve é uma página web.
Vantagens
A interface é o padrão utilizado na construção de sites Web interativos. Originalmente
concebido para o mundo UNIX na Internet, tem por objetivo fornecer um método comum de
tratar os pedidos que procuram informações não residentes em formato HTML. No próximos
itens, relacionamos algumas das vantagens dos aplicativos CGI.
Desvantagens


Os resultados se escrevem diretamente com o CGI, portanto o código do programa se
mistura com o do HTML tornando difícil sua compreensão e manutenção.
Cada programa CGI que se coloca em funcionamento se faz em um espaço de
memória próprio. Sendo assim, se três usuários colocam em funcionamento um CGI ao
mesmo tempo, se multiplicará por três a quantidade de recursos que ocupa esse CGI.
Isto significa uma grave ineficiência.
Isso pode chegar a excitá-lo, mas também deve assustá-lo. Nem todos que usam a Internet
têm intenções honestas. Crackers (invasores) podem tentar vandalizar suas páginas web, para
mostrar a amigos. Competidores ou investidores podem tentar acessar informações internas
sobre sua empresa e seus produtos.
Existem basicamente duas maneiras de um script CGI apresentar falhas de segurança:
Eles podem, intencionalmente ou não, passar informações sobre o sistema que
ajudariam hackers a se infiltrarem.
Scripts que processam informações de usuários remotos podem ser vulneráveis a
ataques em que o usuário se aproveita do script para executar comandos do Sistema
Operacional.
Análise dos Scripts CGI:
Nota-se que foram encontradas duas vulnerabilidades relevantes: Apache httpd remote
denial of service e Apache httpOnly cookie disclosure.
Scripts:
script index.cgi refere-se ao projeto iptables do professor Diogo
script index2.cgi refere-se ao projeto john the ripper do professor Diogo
script index3.cgi refere-se ao projeto serviços do professor Fernando
As vulnerabilidades são sobre o servidor apache, nenhum dos três scripts está
vulnerável conforme a ferramenta Acunetix Web Vulnerability Scanner 9.