Os exploits são ferramentas criadas por hackers que permitem aos iniciantes (Script Kiddies) praticar invasões a fim de explorar vulnerabilidades de sistemas, sendo que existem várias possibilidades para exploits atacar uma determinada vulnerabilidade. Segundo MALERBA (2010 apud HOGLUND, 2004 p. 35), encontramos a seguinte lista para um exploit bem sucedido:
• Parada parcial ou completa do sistema (DoS);
• Exposição de dados confidenciais;
• Escalada de privilégios;
• Execução de código injetado pelo atacante; Esses exploits podem ser desenvolvidos para atacar um sistema local, existindo como programas executáveis ou atacar remotamente, onde tem a possibilidade de ficarem ocultos, podendo vir dentro de uma mensagem de correio eletrônico, por exemplo. Os exploits variam quanto a sua forma e poder de ataque por serem desenvolvidos para explorar vulnerabilidades especificas, existem vários tipos, como:
• Buffer Overflow: é um dos tipos mais explorados, acontece quando uma aplicação grava os dados a serem lidos dos usuários (ou de qualquer fonte externa) em um buffer alocado na pilha sem verificar o tamanho do buffer, com isso, são passados dados maiores do que o programa previa, fazendo com que o excedente sobrescreva o endereço de retorno da função.
• Heap Overflow: este tipo é semelhante ao buffer overflow, porém o que difere é o armazenamento do buffer a sofrer o estouro, que ao invés de ser armazenado na pilha como o visto anteriormente, é armazenado no heap.
• Injeção de SQL: Neste tipo o sistema é afetado de outra forma, pois permite que seja injetado queries no banco de dados do sistema a ser explorado, se difere dos outros tipos por ocorrer na camada de banco de dados. Possibilita ao atacante realizar uma filtragem dos dados, podendo identificar, alterar e/ou excluir informações sigilosas da base de dados.
• XSS (Cross Site Scripting): é um dos ataques mais realizados na web, neste tipo de exploit, os atacantes injetam códigos maliciosos em