ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS GRATUITAS

Marcos Flávio Araujo Assunção

Resumo


As aplicações web vêm se popularizando cada vez mais com a expansão da Internet, oferecendo soluções a usuários e instituições, sejam do setor público ou privado. Entretanto, nem sempre a segurança acompanha a evolução dessas aplicações o que pode levar ao comprometimento de um sistema web, causando prejuízos a empresas e clientes. Entre os problemas decorrentes de uma invasão podemos citar: vazamento de informações, espionagem comercial, utilização do servidor para ataque a terceiros, entre diversos outros. Realizar uma varredura no ambiente web, à procura de vulnerabilidades, é importante em qualquer instituição. Em muitos casos as empresas não possuem verba para adquirir ferramentas comerciais de Penetration Test, então os responsáveis pela Segurança muitas vezes utilizam-se de soluções gratuitas. Desta forma, esse trabalho analisa a eficácia das ferramentas gratuitas de análise de vulnerabilidades, baseando-se nas dez principais falhas de ambientes web de acordo com a organização Open Web Application Security Project (OWASP). Cinco soluções foram escolhidas e utilizadas em um ambiente de simulação que continha as dez vulnerabilidades focadas no estudo.


Texto completo:

PDF

Referências


TANENBAUM, Andrew Stuart. Redes de computadores. 4 ed. Rio de Janeiro: Campus, 2003

KUROSE, James; ROSS, Keith. Redes de Computadores e a Internet: uma abordagem top-down. 3. ed. São Paulo: Pearson, 2005.

COMER, Douglas. Interligação de redes com TCP/IP. 5 ed. Rio de Janeiro: Elseviere, 2006.

CAMPOS, André. Sistema de Segurança da Informação. 3 ed. Florianópolis: Visual Books, 2014.

ASSUNÇÃO, Marcos. Segredos do Hacker Ético. 5 ed. Florianópolis: Visual Books, 2014.

LIMA, João P. Administração de Redes Linux. Goiânia: Terra, 2003.

MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hackers Expostos. 7 ed. São Paulo: Bookman. 2014.

MUNIZ, Joseph; LAKHANI, Aamir. Web Penetration Testing with Kali Linux. Birmingham: Packt. 2013.

PAULI, Josh. Introdução ao WebHacking. São Paulo: Novatec, 2014.

PESSOA, Márcio. Segurança em PHP. São Paulo: Novatec, 2007.

ASSUNÇÂO, Marcos. Honeypots e Honeynets. Florianópolis: Visual Books, 2009.

SICA, Carlos; REAL, Petter. Programação Segura utilizando PHP. São Paulo: Ciência Moderna, 2007.SCHILDT, Hebert; SKRIEN, Dale. Programação com Java: Uma introdução abrangente. São Paulo: McGraw-Hill, 2013.

COSTA, D.G. . Administração de Redes com scripts: Bash Script, Python e VBScript. Rio de Janeiro: Brasport, 2010.

ENGEBRETSON, Patrick. Introdução ao Hacking e aos Testes de Invasão. São Paulo: Novatec, 2013.

STALLINGS, William. Criptografia e segurança em redes. 4.ed. São Paulo: Person Prentice Hall, 2008.

GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2010.

LAKATOS, Eva M.; MARCONI, Marina A. Fundamentos de metodologia científica. 5. ed. São Paulo: Atlas. 2003.

WELLING, Luke; THOMSON, Laura. Tutorial MySQL. Rio de Janeiro: Ciência Moderna, 2004.

CURPHEY, M.; ENDLER, D.; HAU, W.; TAYLOR, S.; SMITH, T.; RUSSELL,

A.; MCKENNA, G.; PARKE, R.; MCLAUGHLIN, K.; TRANTER. A guide to building secure web applications and web services. The Open Web

Application Security Project, v. 1, 2005.

OLIVEIRA, Túlio. Testes de Segurança em Aplicações Web segundo a metodologia OWASP. Projeto de TCC. Universidade Federal de Lavras. 2012. Disponível em

MACÊDO, Márcio A.; QUEIROZ, Ricardo G.; DAMASCENO, Julio C..jShield: Uma Solução Open Source para Segurança de Aplicações Web. Universidade Federal de Pernambuco. 2010.

MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation. 2008.

CERON, J; FAGUNDES, Leonardo; LUDWIG, Glauco; TAROUCO. Liane; BERTHOLDO, Leadro. Vulnerabilidades em Aplicações Web: uma Análise Baseada nos Dados Coletados nos honeypots. VIII Simposio Brasileiro de Segurança. 2008 Disponível em .

HOLZ, T.; MARECHAL, S; RAYNAL, F. New threats and attacks on the World Wide Web. IEEE Security &Privacy Magazine, v. 4, n. 2, p. 45-50, março. 2006.

ROCHA, Douglas; KREUTZ, Diego; TURCHETTI, Rogério (2012). Uma Ferramenta Livre e Extensível Para Detecção de Vulnerabilidades em Sistemas Web. Disponível em . Acesso em 21 de dezembro de 2014.

DOUPÉ, Adam et al. Enemy of the State: A State-Aware Black-Box Web Vulnerability Scanner. In: USENIX Security Symposium. 2012. Disponível em < www.usenix.org/system/files/conference/usenixsecurity12/sec12-final225.pdf >. Acesso em 22 de dezembro de 2014.

OWASP. 10 Top Web Vulnerabilities. Disponível em

. Acesso em 15 de Dezembro de 2014.

SECTOOLS. Top 125 security tools. Disponível em.Acesso

em 07 de Janeiro de 2015.

ISECOM. Open Source Security Testing Methodology Manual. Disponível em

< www.isecom.org/osstmm/>. Acesso em 07 de Janeiro de 2015.

OISSG. Information Systems Security Assessment Framework. Disponível em

< www.oissg.org/issaf>. Acesso em 07 de Janeiro de 2015.


Apontamentos

  • Não há apontamentos.




Projetos, Dissertações e Teses em Sistemas de Informação e Gestão do Conhecimento
ISSN 2358-5501 (Online)