ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS DE CÓDIGO ABERTO

Marcos Flavio Araujo Assunção

Resumo


Esta pesquisa teve como objetivo identificar as principais vulnerabilidades em aplicações web e avaliar o desempenho de ferramentas open source de análise desse tipo de falha. Inicialmente, foi feita  uma pesquisa bibliográfica e documental para identificar os principais riscos de segurança em sites da web, assim como as soluções open source mais recomendadas para detectar essas vulnerabilidades. A seguir, foi desenvolvido  um experimento visando à comparação do desempenho das soluções open source selecionadas em relação à capacidade de detecção dos principais riscos identificados. Para realização do experimento, cinco softwares (OWASP ZAP, SQLMap, Nikto, Skipfish, W3af) foram instalados em um ambiente virtualizado e testados contra um sistema web, contendo falhas propositalmente inseridas para fins de pesquisa. O documento Top Ten OWASP foi tomado como referência para seleção das categorias de risco testadas. Os resultados encontrados mostram que a ferramenta W3af se saiu melhor do que as demais no contexto geral. Entretanto, verifica-se que cada uma das soluções testadas apresentou um desempenho de nível médio a alto, quando consideramos as categorias individuais de teste. 


Texto completo:

PDF

Referências


ASSUNÇÃO, Marcos F. Honeypots e Honeynets. Florianópolis: Visual Books, 2009.

ASSUNÇÃO, Marcos F. Segredos do Hacker Ético. 5 ed. Florianópolis: Visual Books, 2014.

BASSO, Tania. Uma abordagem para avaliação da eficácia de scanners de vulnerabilidades em aplicações web. Dissertação e Apresentação de Mestrado, 2010.

CAMPOS, André. Sistema de Segurança da Informação. 3 ed. Florianópolis: Visual Books, 2014.

CARVALHO, Alan Henrique Pardo. Segurança de aplicações web e os dez anos do relatório OWASP Top Ten: o que mudou? Fasci-Tech – Periódico Eletrônico da FATEC-São Caetano do Sul, São Caetano do Sul, v.1, n. 8, Mar./Set. 2014, p. 6 a 18.

CERON, João; FAGUNDES, Leonardo; LUDWIG, Glauco; TAROUCO, Liane; BERTHOLDO, Leandro. Vulnerabilidades em Aplicações Web: uma Análise Baseada nos Dados Coletados nos honeypots. VIII Simposio Brasileiro de Segurança. 2008 Disponível em .

COSTA, D.G. Administração de Redes com scripts: Bash Script, Python e VBScript. Rio de Janeiro: Brasport, 2010.

CURPHEY, Mark; ENDLER, David.; HAU, William; TAYLOR, Steve.; SMITH, Tim; RUSSELL,Alex.; MCKENNA, Gene; PARKE, Richard; MCLAUGHLIN, Kevin.; TRANTER, Nigel. A guide to building secure web applications and web services. The Open Web Application Security Project, v. 1, 2005.

SILVA, Rodrigo; LIMA, Rommel; LEITE, Cicilia; SILVA, Romero. Investigação de segurança no moodle. Renote, v. 12, n. 2, 2014.

DOUPÉ, Adam; CAVEDON, Ludovico; KRUEGEL, Christopher; VIGNA. Enemy of the State: A State-Aware Black-Box Web Vulnerability Scanner. In: USENIX Security Symposium. 2012. Disponível em < www.usenix.org/system/files/conference/usenixsecurity12/sec12-final225.pdf >. Acesso em 22 de dezembro de 2014.

ENGEBRETSON, Patrick. Introdução ao Hacking e aos Testes de Invasão. São Paulo: Novatec, 2013.

GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 5. ed. São Paulo: Atlas, 2010.

HOLZ, T.; MARECHAL, S; RAYNAL, F. New threats and attacks on the World Wide Web. IEEE Security & Privacy Magazine, v. 4, n. 2, p. 45-50, março. 2006.

ISECOM. Open Source Security Testing Methodology Manual. Disponível em < www.isecom.org/osstmm/>. Acesso em 07 de Janeiro de 2015.

ISO 27001. ABNT NBR ISO/IEC 27001:2013 – Tecnologia da Informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas – Rio de Janeiro: ABNT, 2013.

ITU-T. Recommendation X.509 - Open Systems Interconnection - The directory: authentication framework. Disponível em . Acesso em 02 de junho de 2015.

KUROSE, James; ROSS, Keith. Redes de Computadores e a Internet: uma abordagem top-down. 3. ed. São Paulo: Pearson, 2005.

LAKATOS, Eva M.; MARCONI, Marina A. Fundamentos de metodologia científica. 5. ed. São Paulo: Atlas. 2003.

LIMA, João P. Administração de Redes Linux. Goiânia: Terra, 2003.

MACÊDO, Márcio A.; QUEIROZ, Ricardo G.; DAMASCENO, Julio C..jShield: Uma Solução Open Source para Segurança de Aplicações Web. Universidade Federal de Pernambuco. 2010.

MARTINELO, Clériston Aparecido Gomes; BELLEZI, Marcos Augusto. Análise de Vulnerabilidades com OpenVAS e Nessus. T.I.S. São Carlos, v. 3, n. 1 , p. 34-44, 2014.

MCCLURE, Stuart; SCAMBRAY, Joel; KURTZ, George. Hackers Expostos. 7 ed. São Paulo: Bookman. 2014.

MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation. 2008.

MUNIZ, Joseph; LAKHANI, Aamir. Web Penetration Testing with Kali Linux. Birmingham: Packt. 2013.

OISSG. Information Systems Security Assessment Framework. Disponível em < www.oissg.org/issaf>. Acesso em 07 de Janeiro de 2015.

OLIVEIRA, Túlio. Testes de Segurança em Aplicações Web segundo a metodologia OWASP. Projeto de TCC. Universidade Federal de Lavras. 2012. Disponível em

OWASP. 10 Top Web Vulnerabilities. Disponível em . Acesso em 15 de Dezembro de 2014.

PAULI, Josh. Introdução ao WebHacking. São Paulo: Novatec, 2014.

PESSOA, Márcio. Segurança em PHP. São Paulo: Novatec, 2007.

ROCHA, Douglas; KREUTZ, Diego; TURCHETTI, Rogério. Uma Ferramenta Livre e Extensível Para Detecção de Vulnerabilidades em Sistemas Web. Disponível em . Acesso em 21 de dezembro de 2014.

SCHILDT, Hebert; SKRIEN, Dale. (2013). Programação com Java: Uma Introdução Abrangente. São Paulo: McGraw-Hill.

SECTOOLS. Top 125 security tools. Disponível em.Acesso em 07 de Janeiro de 2015.

SICA, Carlos; REAL, Petter. Programação Segura utilizando PHP. São Paulo: STALLINGS, William. Criptografia e segurança em redes. 4.ed. São Paulo: Person Prentice Hall, 2008.

STALLINGS, William. Redes e sistemas de comunicação de dados: teorias e aplicações corporativas. 5 ed. Rio de Janeiro: Elsevier, 2005.

TORRES, André Felipe F. Os referenciais de segurança da informação e a melhoria contínua: um caso exploratório. Dissertação e Apresentação de Mestrado. 2014.

VIEIRA, Marco; ANTUNES, Nuno; MADEIRA, Henrique. Using web security scanners to detect vulnerabilities in web services. Dependable Systems & Networks, 2009. DSN'09. IEEE/IFIP International Conference on. IEEE, 2009. p. 566-571.

WEB APPLICATION SECURITY CONSORTIUM . Disponível em: . Acesso em: 01 de junho de 2015.

WELLING, Luke; THOMSON, Laura. Tutorial MySQL. Rio de Janeiro: Ciência Moderna, 2004.


Apontamentos

  • Não há apontamentos.




Projetos, Dissertações e Teses em Sistemas de Informação e Gestão do Conhecimento
ISSN 2358-5501 (Online)