Pular para o conteúdo principal

Destaques

Relatório de Vulnerabilidade: Bancos de Dados e Big Data

  Introdução Neste relatorio eu analisei algumas vulnerabilidade em bancos de dados e ambientes de big datas, onde muitas empresas nao tem uma segurança adequada. Esses sistemas armazena grande volume de dados sensiveis e por isso vira alvo facil de atacantes. Objetivo O objetivo desse teste foi indentificar falhas de segurança em banco de dados e tambem em plataformas de big data, avaliando riscos, impacto e meios de atack mais comuns. Principais Vulnerabilidades Encontradas Credenciais fracas: varios sistemas utilizavam senhas simples ou padrão (admin/admin), facilitando acessos indevidos. Falta de criptografia: dados sensiveis estava armazenado sem criptografia, permitindo leitura direta caso haja acesso. Exposição de portas: portas como 3306 (MySQL), 5432 (PostgreSQL) e 27017 (MongoDB) estavam aberta para internet. Configuração incorreta: servidores mal configurado permitindo acesso remoto sem restrição ou whitelist. Backup exposto: arquivos de backup (.sql, .bak) disponivel pu...
Postar um comentário
Read more »
Marcadores

Por que não usar o GitHub para projetos


O GitHub é uma plataforma popular para hospedagem de código-fonte e colaboração em projetos de software. No entanto, quando se trata de projetos relacionados a segurança, pentest e falhas de segurança, o uso do GitHub pode apresentar riscos significativos. Este relatório explora os motivos pelos quais o GitHub pode não ser a melhor escolha para esses tipos de projetos e sugere alternativas mais seguras.

2. Riscos e Problemas de Segurança

2.1. Exposição Pública do Código

Problema: O GitHub é, por padrão, uma plataforma pública. Mesmo repositórios privados podem ser configurados incorretamente ou sofrer vazamentos.

Risco: Códigos relacionados a pentest, exploits ou falhas de segurança podem ser expostos, permitindo que pessoas mal-intencionadas os utilizem de forma indevida.

2.2. Falta de Controle de Acesso Granular

Problema: O GitHub oferece controle de acesso limitado, especialmente em contas gratuitas.

Risco: Colaboradores externos ou usuários não autorizados podem acessar informações sensíveis.

2.3. Rastreamento de Atividades

Problema: Todas as alterações e commits são registrados e podem ser rastreados.

Risco: Em projetos sensíveis, o histórico de atividades pode expor detalhes sobre vulnerabilidades ou técnicas de ataque.

2.4. Falta de Criptografia de Dados

Problema: O GitHub não criptografa os dados armazenados nos repositórios.

Risco: Em caso de violação de dados, informações sensíveis podem ser acessadas por terceiros.

2.5. Problemas Legais e de Conformidade

Problema: Projetos de segurança e pentest podem envolver informações confidenciais ou regulamentadas.

Risco: O uso do GitHub pode violar políticas de conformidade, como GDPR, HIPAA ou LGPD.



3. Erros Comuns de Segurança ao Usar o GitHub

3.1. Uso de Repositórios Públicos

Erro: Hospedar código sensível em repositórios públicos.

Impacto: Exposição de ferramentas, exploits ou informações confidenciais.

3.2. Cmpartilhamento de Chaves e Credenciais

Erro: Incluir chaves de API, senhas ou credenciais no código.

Impacto: Acesso não autorizado a sistemas ou serviços.

3.3. Falta de Revisão de Código

Erro: Não revisar commits e pull requests adequadamente.

Impacto: Introdução de vulnerabilidades ou backdoors no código.

3.4. Uso de Contas Compartilhadas

Erro: Compartilhar contas do GitHub entre vários usuários.

Impacto: Dificuldade em rastrear atividades e responsabilidades.

4. Alternativas ao GitHub para Projetos de Segurança

4.1. GitLab Auto-hospedado

Vantagens: Permite hospedar o GitLab em servidores próprios, com controle total sobre os dados.

Segurança: Oferece criptografia, controle de acesso granular e conformidade com regulamentações.

4.2. Bitbucket Server

Vantagens: Solução auto-hospedada com foco em segurança e privacidade.

Segurança: Suporta integração com ferramentas de segurança e auditoria.

4.3. Gitea

Vantagens: Software leve e auto-hospedado para gerenciamento de repositórios Git.

Segurança: Código aberto e altamente personalizável.

4.4. Repositórios Locais

Vantagens: Uso de repositórios Git locais sem hospedagem em nuvem.

Segurança: Total controle sobre o acesso e armazenamento dos dados.

4.5. Soluções de Criptografia

Vantagens: Criptografar repositórios antes de enviá-los para qualquer plataforma.

Segurança: Protege os dados mesmo em caso de vazamento.

5. Boas Práticas para Projetos de Segurança

5.1. Use Repositórios Privados

Sempre utilize repositórios privados e restrinja o acesso a colaboradores confiáveis.

5.2. Remova Informações Sensíveis

Nunca inclua chaves, senhas ou credenciais no código. Utilize variáveis de ambiente ou gerenciadores de segredos.

5.3. Revise o Código Regularmente

Implemente revisões de código e auditorias para garantir a segurança do projeto.

5.4. Monitore Atividades

Acompanhe as atividades no repositório para detectar acessos ou alterações suspeitas.

5.5. Considere Soluções Auto-hospedadas

Para projetos altamente sensíveis, prefira soluções auto-hospedadas com controle total sobre os dados.

6. Conclusão

O GitHub, embora seja uma ferramenta poderosa para colaboração e gerenciamento de código, não é a melhor escolha para projetos de segurança e pentest devido aos riscos de exposição pública, falta de controle de acesso granular e problemas de conformidade. Para esses tipos de projetos, recomenda-se o uso de soluções auto-hospedadas ou repositórios locais, com práticas robustas de segurança e criptografia.

Uso Responsável: Sempre avalie os riscos antes de hospedar projetos sensíveis em plataformas públicas.


Copyright © 2025 (@zxyurikauan). Todos os direitos reservados 



Labels:

Comentários

Postar um comentário

Postagens mais visitadas