Executando verificação de segurança...
12
DevNegoplay
1 min de leitura ·

Como fui invadido e o que aprendi com isso!

Recentemente, um sistema no qual já fui desenvolvedor chefe (e que hoje só ajudo quando aparece algum B.O. grande) foi invadido.

Graças a Deus, a invasão foi feita por um pessoal bem-intencionado, com o objetivo apenas de mostrar as vulnerabilidades do sistema. Enfim, pagamos o preço, e agora vou realizar todas as correções e revalidações.

Mas quero falar o que aprendi com essa experiência…
*
Só pra resumir: o ataque foi XSS.*

O que aprendi?

1 – Validação de campos
Seja em áreas internas do sistema ou externas (como formulários de assinatura), a validação é essencial.
No meu caso, o “cliente” invadiu via formulário de assinatura e também internamente. Por exemplo, no campo de nome do cliente, em vez de digitar um nome, ele enviou um <script ...> e assim conseguiu acessar informações valiosas do sistema.

2 – Não confiar 100% no código gerado por IA
Revisar é sempre a melhor opção. Tenho certeza de que, se eu tivesse revisado algumas partes feitas por IA, cerca de 40% dos problemas não teriam acontecido.

E aí, você já passou por algo assim? 😅
Se quiser, depois conto mais detalhes… kkk

Carregando publicação patrocinada...
3
JonnyD

Massa, eu passei por uma meio cômica, a tenros 10 anos atrás quando eu ainda mexia em Wordpress

Um ex-colega de trabalho abriu uma empresa e fez o site dele em wordpress, não sei se foi o template que ele usou de uma fonte escusa ou um plugin safado, mas quando vc acessava o site dele através de um Link em outra pagina (com um referer) o site era redirecionado para uma pagina de Scammers, se vc acessasse diretamente ele acessava o site normal, só com um link vindo de outro site fazia o redirecionamento.

O negócio era tão rebuscado, que ele até identificava se era o Dono do site acessando e não redirecionava... aparentemente até salvava no navegador, para continuar enganando mesmo depois que saisse da sessão do wordpress... como eu sei disso? o meu ex-colega não acreditou em mim e ficou muito chateado.

Eu entrei em contato com ele, mandei uns prints, expliquei como funcionava... o cara ficou bravo comigo, não quis testar numa aba anonima e me mandou catar coquinho.

O site ficou quase um ano com esse problema e no fim ele pivotou a empresa e trocou o site. Acho que até hoje ele acredita que eu estava de sacanagem com ele.

1