Academia.eduAcademia.edu

Outline

Title
Abstract
Resultados
References
All Topics
Computer Science

Análise black-box de ferramentas de segurança na Web

Profile image of Isadora Garcia FerrãoIsadora Garcia Ferrão

2018

visibility

description

64 pages

link

1 file

Abstract

Um agradecimento muito especial para a minha melhor amiga, minha fonte inesgotável de força, amor e carinho, minha mãe. Mãe, pode ter certeza que sem ti nada teria sido possível. Tu é o meu maior exemplo de persistência, garra e determinação. Agradeço também aos demais familiares e amigos que torceram por mim durante esses anos de graduação. Agradeço a minha dupla durante o período da faculdade, Sherlon Almeida, pelo companheirismo, coleguismo, amizade, força e por ter me feito acreditar no trabalho em grupo durante a graduação. Foram muitas noites acordados, mas estamos concluindo a faculdade, nós vencemos juntos! Agradeço ao meu orientador, professor Diego Kreutz, pela amizade, pela paciência, pelos métodos diferenciados aplicados em sala de aula, pelas oportunidades, por ter acreditado que eu era capaz e também pelas orientações. Por fim, gostaria de agradecer as Gurias na Computação pela força, incentivo, cuidado e por acreditarem em mim e nas outras meninas. Em especial, as professoras Aline Mello e Amanda Melo pelas oportunidades. Palavras-chave: Segurança na Web, Scanners de vulnerabilidades, frameworks de desenvolvimento Web, Web Applications Firewalls (WAFs).

Related papers

Estudo comparativo utilizando uma ferramenta de avaliação de acessibilidade para web
Cláudia Mont’Alvão

2005

The social inclusion of disabled people demands an realization of resources to become viable and effective. This article presents the question of accessibility for the Brazilian Electronic Government and a Brazilian tool of accessibility validation. An exploratory research was carried through, taking for base the homepage of a governmental site showing that there is a difference in the results obtained

View PDFchevron_right
Análise De Ferramentas Forenses Na Investigação Digital
Cesar Foltran

Revista De Engenharia E Tecnologia, 2010

A Forense Computacional é uma área que tem recebido significativa atenção atualmente. A investigação e extração de vestígios eletrônicos em ambientes computacionais com a finalidade de tentar reconstituir eventos e verificar se o computador foi utilizado para atos ilícitos não se trata de um processo trivial. Além de noções de Forense e Anti-forense Computacional, neste trabalho são analisadas ferramentas que podem ser utilizadas para auxiliar o perito na coleta e análise de evidências digitais.

View PDFchevron_right
Análise De Eficiência Na Detecção De Vulnerabilidades Em Ambientes Web Com O Uso De Ferramentas De Código Aberto
Marcos Flavio Assunção

Projetos e Dissertações em Sistemas de Informação e Gestão do Conhecimento, 2015

Esta pesquisa teve como objetivo identificar as principais vulnerabilidades em aplicacoes web e avaliar o desempenho de ferramentas open source de analise desse tipo de falha. Inicialmente, foi feita uma pesquisa bibliografica e documental para identificar os principais riscos de seguranca em sites da web , assim como as solucoes open source mais recomendadas para detectar essas vulnerabilidades. A seguir, foi desenvolvido um experimento visando a comparacao do desempenho das solucoes open source selecionadas em relacao a capacidade de deteccao dos principais riscos identificados. Para realizacao do experimento, cinco softwares (OWASP ZAP, SQLMap, Nikto, Skipfish, W3af) foram instalados em um ambiente virtualizado e testados contra um sistema web, contendo falhas propositalmente inseridas para fins de pesquisa. O documento Top Ten OWASP foi tomado como referencia para selecao das categorias de risco testadas. Os resultados encontrados mostram que a ferramenta W3af se saiu melhor d...

View PDFchevron_right
Uma Ferramenta Livre e ExtensÍVel Para Detecção de Vulnerabilidades em Sistemas Web
Douglas Rocha

Computer Science and Engineering, 2012

The increasing number of intrusions and data thefts on online systems is one of the triggers of the gro wing concern about security inside organizations. Nowadays, dynamic and extensible detection tools are required and critical to detect and diagnose vulnerabilities in Web systems. In this paper we present the development and evaluation of a vulnerability scanner for online systems. Unlike most existing tools, it is free and open source, available at SourceFo rge, and has a modular and extensible arch itecture. The achieved results show that the proposed tool, called Un iscan, is able to better detect and diagnose vulnerabilit ies such as LFI, RFI and RCE.

View PDFchevron_right
Breve Comparação de Ferramentas para Análise Estática de Código Malicioso
Cesar Marcondes

Anais do Workshop de Segurança Cibernética em Dispositivos Conectados (WSCDC), 2019

Uma das ameças atualmente mais abundantes no ambiente computacional são os malwares. Uma das formas de preveni-los ou contra-atacá-los é realizando-se uma análise estática dos códigos maliciosos, visando entender a lógica de funcionamento, os algoritmos e especificações utilizadas sem arriscar-se à exposição de executar o código malicioso. Diversas ferramentas disponíveis na literatura e no mercado podem ser usadas nesse tipo de análise. Neste artigo, fazemos uma breve comparação entre o IDA Pro e o Ghidra. Apesar de ser uma ferramenta recentemente lançada, concluímos que o Ghidra é excelente para análise estática de malware.

View PDFchevron_right
GESTÃO DE SEGURANÇA: Ferramentas de análise e Controle estatístico
Ákila Soares de Britto

Ákila Britto, 2016

Centro universitário Leonardo da Vinci-UNIASSELVI Superior Tecnológico em Segurança no Trabalho (SEG 0218) Paper sexto semestre 06/06/2016 Orientadora: Caroline Oliveira RESUMO Uma explanação sobre a Gestão de segurança na linha de produção, suas aplicações e formas de detecção assim como a identificação de falhas, efetuada de maneira teórica e pratica trazendo informações sobre controle estatístico e ferramentas de análise. Palavras-chave Gestão de Segurança, Ferramentas de análise, Controle estatístico. 1 INTRODUÇÃO A proposta do presente trabalho é analisar estatisticamente a linha de produção de uma indústria local, no intuito de discutir a aplicabilidade, controle e eficiência da mesma, tendo como referência a empresa Giga Plas em Feira de Santana-Ba. Para tal pretende-se avaliar os elementos do processo de produção-máquinas, funcionários, tempo, etc.-junto a sua produtividade média diária e os dados observados a fim de identificar variâncias ou linearidades. Sendo assim, é de grande importância para a empresa o conhecimento do processo de produção descrito pelas ferramentas de análise e controle estatístico com a finalidade de identificar possíveis falhas operacionais ou mecânicas. O trabalho tem por meta ampliar o conhecimento especifico da gestão de segurança para os profissionais da área de segurança do trabalho auxiliando em sua formação. As coletas de informações foram dadas através de levantamentos bibliográficos em livros disponíveis na Biblioteca da UNIASSELVI e meio digital. A obtenção dos dados estatísticos da produção por visitas técnicas, analisando a produção em comparativo com os dados coletados aplicando as ferramentas de controle estatístico. O texto foi estruturado da seguinte forma: inicialmente desenvolveu-se uma discussão teórica sobre os conceitos de gestão de segurança, ferramentas de analise e controle estatístico para embasar a discussão do processo de produção observado.

View PDFchevron_right
J-Attack - Injetor de Ataques para Avaliação de Segurança de Aplicações Web
Regina Moraes

2011

The security of software systems is mandatory in current software development scenario. It requires expertise in several areas of knowledge and includes the study of malicious faults, in order to know them and use this knowledge to allow providing computer systems ability to detect and avoid them without compromising the security required by the users. This paper presents the design and development process of a tool that is able to inject attacks in Web applications aims to use it to evaluate the security of the applications. Resumo. A busca por sistemas seguros é uma necessidade no cenário de software atual. A segurança de sistemas computacionais exige conhecimentos específicos em diversas áreas de conhecimento e inclui o estudo de falhas maliciosas, para que, conhecendo-as, seja possível prover aos sistemas computacionais capacidade de detectá-las e evitá-las sem comprometer a segurança exigida pelos usuários. Este artigo apresenta o projeto e o processo de desenvolvimento de uma ferramenta capaz de injetar ataques em aplicações Web para utilização em avaliações de segurança de aplicações.

View PDFchevron_right
Protocolo para análise de ferramentas de mineração de opiniões em redes sociais
Denise F Tsunoda

Revista Tecnologia e Sociedade

A mineração de opinião também conhecida como análise de sentimentos é uma área em constante evolução responsável por analisar opiniões sobre uma determinada entidade, serviço ou produto. Este trabalho propõe-se a criar um protocolo para comparar diferentes ferramentas que realizam a mineração de opinião nas redes sociais. Com base na literatura de apoio foi concebido o protocolo comparativo (constituído por sessenta questões) considerando critérios de recursos, usabilidade e características inerentes à tarefa de mineração de opiniões. Na sequência foram estudas, testadas e selecionadas seis ferramentas que foram comparadas pelos critérios do protocolo proposto. Como resultado foi possível identificar que a ferramenta Seekr destacou-se perante as outras, principalmente por disponibilizar a análise em diversas redes sociais em tempo real e por permitir que a classificação da opinião seja realizada com o apoio de um analista. Por fim este trabalho julga de extrema importância que o est...

View PDFchevron_right
Segurança em Serviços Web
Edson Camargo

The use of open standards and integrative nature are features that made Web Services an interesting area to academic research and to industry. This chapter introduces the concepts behind the Service Oriented Architecture, Web Services, in particular. This text shows, through a use case, the benefits of this architecture and its security challenges. Afterwards, we present some research projects and technologies that deal with these security challenges.

View PDFchevron_right
(SEGURANÇA) - Seguranca em aplicacoes Web
Lord Laws

Você pode discutir sobre este livro no Fórum da Casa do Código: . Caso você deseje submeter alguma errata ou sugestão, acesse . Este já é o segundo livro que escrevo pela editora Casa do Código. Escrever um livro não é fácil. É um enorme desafio, mas um muito prazeroso e que vale a pena, pois, afinal, você está contribuindo para o aprendizado de muitas pessoas. Para mim, ensinar é uma maneira de mudar a vida de uma pessoa, e essa pessoa mudar a vida de outras, com a aplicação e o repasse do conhecimento adquirido. Gostaria de agradecer a editora Casa do Código pela oportunidade de compartilhar meus conhecimentos. A meus amigos e familiares que me incentivaram e me deram apoio. E também a minha esposa Luanna, pela paciência, apoio e por sempre me incentivar, motivar e acreditar que sou capaz. Eu me chamo Rodrigo da Silva Ferreira Caneppele, sou bacharel em Sistemas de Informação pela Universidade Católica de Brasília e trabalho como desenvolvedor de software desde 2008, tendo grande experiência com análise, desenvolvimento e arquitetura de sistemas. Possuo as certificações SCJP, SCWCD, CSM, OCE-JPAD, OCE-EJBD e OCE-WSD. Desde 2012, trabalho na Caelum como desenvolvedor e instrutor, ministrando treinamentos de Java, Java EE, PHP, front-end e Agile. Como desenvolvedor de software, sempre me preocupei bastante com a questão da segurança, e acredito que todo desenvolvedor deveria estudar sobre o assunto, pelo menos para ter noções básicas. Para assim, não delegar tal preocupação apenas para os arquitetos ou especialistas em segurança da informação, pois boa parte das vulnerabilidades presentes nos softwares é gerada por descuidos dos próprios desenvolvedores ao codificarem suas funcionalidades. Ultimamente, tenho pesquisado bastante a respeito desse assunto e, neste livro, pretendo transmitir todo o conhecimento adquirido nos meus estudos e nas minhas experiências em projetos nos quais trabalhei ao longo da minha carreira profissional. Segurança é um tema muito importante. Construir uma aplicação Web segura é uma tarefa bem difícil hoje em dia, pois existem diversos tipos de ataques que podem ser realizados contra ela, sendo que novas vulnerabilidades e ataques vão surgindo com o passar do tempo. Muitos ataques estão relacionados com vulnerabilidades presentes na infraestrutura da aplicação. É bem comum encontrarmos nosso ambiente de produção com softwares desatualizados, como por exemplo, o Sistema Operacional, o SGBD e o Servidor de Aplicações. Mas uma grande parte dos ataques ocorre por conta de vulnerabilidades presentes na própria aplicação, sendo responsabilidade dos desenvolvedores e arquitetos conhecer tais fraquezas e como fazer para evitá-las. Neste livro, vou focar nos ataques relacionados com vulnerabilidades presentes na própria aplicação. Vou explicar de maneira detalhada como funcionam os ataques, como verificar se sua aplicação está vulnerável a eles, e como fazer para corrigir tais inseguranças. Falarei de ataques como: SQL Injection, Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), Session Hijacking, dentre outros. Em cada capítulo, focarei em um tipo de ataque, explicando como funciona e exemplificando com códigos. Você verá como fazer para testar se sua aplicação está vulnerável a ele, e mostrarei como corrigir tal vulnerabilidade. O livro é indicado para desenvolvedores Web, independente da INTRODUÇÃO Público-alvo '; delete from usuarios; Repare como o comando anterior é bem pequeno e simples, sendo inclusive até fácil de ser memorizado. Mas não é o fato do ataque ser simples de realizar que o torna pouco prejudicial. Muito pelo contrário, esse ataque pode gerar danos catastróficos para uma empresa. Repare novamente no comando anterior e perceba que ele tem uma instrução SQL que serve para apagar todos os registros da tabela de usuários da aplicação. Claro, isso assumindo que o nome 1.2 COMO FUNCIONA O SQL INJECTION? 4 1.2 COMO FUNCIONA O SQL INJECTION? ' or 1 or 'a' = 'a E no campo de senha, digitar qualquer coisa, como por exemplo, Testando se uma aplicação está vulnerável 6 1.2 COMO FUNCIONA O SQL INJECTION?

View PDFchevron_right

References (44)

  1. APPELT, D. et al. A machine-learning-driven evolutionary approach for testing web application firewalls. IEEE Transactions on Reliability, IEEE, v. 67, n. 3, p. 733-757, 2018. Citado na página 23.
  2. BALDESSAR, M. J. Noticiário internacional: um mapa de contradições e influências ideológicas e econômicas1. Geografias da Comunicação: espaço de observação, p. 129, 2014. Citado na página 21.
  3. BAU, J. et al. State of the art: Automated black-box web application vulnerability testing. In: IEEE. Security and Privacy (SP), 2010 IEEE Symposium on. [S.l.], 2010. p. 332-345. Citado 5 vezes nas páginas 21, 22, 23, 25 e 26.
  4. BECHER, M. Web application firewalls. [S.l.]: VDM Verlag, 2007. Citado na página
  5. BERTOGLIO, D. D.; ZORZO, A. F. Overview and open issues on penetration test. Journal of the Brazilian Computer Society, v. 23, n. 1, p. 2, Feb 2017. ISSN 1678-4804. Disponível em: <https://doi.org/10.1186/s13173-017-0051-1>. Citado 2 vezes nas páginas 21 e 26.
  6. BOY, M. F.; ARANHA, D. F. Análise preliminar de segurança do sistema expresso. br. 2016. Citado 2 vezes nas páginas 24 e 29.
  7. CAKEPHP. CakePHP Build fast, grow solid. 2018. Acesso em: 2018-09-11. Disponível em: <https://cakephp.org/>. Citado 2 vezes nas páginas 24 e 31.
  8. CARVALHO, F. R. de et al. Vulnerabilidades em aplicações web. RE3C-Revista Eletrônica Científica de Ciência da Computação, v. 8, n. 1, 2013. Citado 2 vezes nas páginas 24 e 29.
  9. CODEIGNITER. CodeIgniter Rocks. 2018. Acesso em: 2018-09-18. Disponível em: <https://codeigniter.com/>. Citado 2 vezes nas páginas 24 e 31.
  10. COELHO, M. S. et al. Identificando vulnerabilidades de segurança em uma aplicação web. In: SBSeg/WTICG. [S.l.: s.n.], 2015. Citado na página 21. COMPUTER-WORLD. Educação formal não é suficiente para preparar desenvolvedores. 2017. Acesso em: 2018-04-02. Disponível em: <http://computerworld. com.br/educacao-formal-nao-e-suficiente-para-preparar-desenvolvedores-diz-pesquisa>. Citado na página 21.
  11. DAEMON, S. Shadow Daemon Open-Source Web Application Firewall. 2018. Acesso em: 2018-11-08. Disponível em: <https://shadowd.zecure.org/overview/ introduction/>. Citado 2 vezes nas páginas 24 e 31.
  12. DOUPÉ, A. et al. Enemy of the state: A state-aware black-box web vulnerability scanner. In: USENIX Security Symposium. [S.l.: s.n.], 2012. v. 14. Citado 2 vezes nas páginas 22 e 26.
  13. DOUPÉ, A.; COVA, M.; VIGNA, G. Why johnny can't pentest: An analysis of black-box web vulnerability scanners. In: SPRINGER. International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. [S.l.], 2010. p. 111-131. Citado 4 vezes nas páginas 22, 23, 25 e 26. DTIC. Coordenação de Infraestrutura e Suporte. 2018. <https://goo.gl/yDL57K>. Citado na página 22.
  14. FERRAO, I. et al. Avaliação de scanners de vulnerabilidades de aplicações web. In: 16a
  15. S.l.: s.n.], 2018. <http://arxiv.kreutz.xyz/errc2018_scanners_trad_saas.pdf>. Citado na página 22.
  16. FERRAO, I. G.; KREUTZ, D. Segurança na web: análise black-box de scanners de vulnerabilidades. In: 1a Escola Regional de Engenharia de Software (ERES).
  17. S.l.: s.n.], 2017. p. 135-142. <http://arxiv.kreutz.xyz/eres2017_seguranca_web.pdf>. Citado 8 vezes nas páginas 21, 22, 23, 25, 26, 29, 37 e 38.
  18. FONG, E. et al. Building a test suite for web application scanners. In: IEEE. Hawaii International Conference on System Sciences, Proceedings of the 41st Annual. [S.l.], 2008. p. 478-478. Citado 3 vezes nas páginas 22, 25 e 26.
  19. FONSECA, J. et al. Analysis of field data on web security vulnerabilities. IEEE Transactions on DSC, v. 11, n. 2, p. 89-100, March 2014. ISSN 1545-5971. Citado 2 vezes nas páginas 21 e 25.
  20. FONSECA, J.; VIEIRA, M.; MADEIRA, H. Testing and comparing web vulnerability scanning tools for sql injection and xss attacks. In: IEEE. Dependable Computing, 2007. PRDC 2007. 13th Pacific Rim International Symposium on. [S.l.], 2007. p. 365-372. Citado 3 vezes nas páginas 22, 25 e 26.
  21. FRUTH, R. C. et al. Passive web application firewall. [S.l.]: Google Patents, 2017. US Patent 9,853,940. Citado na página 23.
  22. FUNK, R.; EPP, N. et al. Anomaly-based web application firewall using http-specific features and one-class svm. Revista Eletrônica Argentina-Brasil de Tecnologias da Informação e da Comunicação, v. 2, n. 1, 2018. Citado 4 vezes nas páginas 21, 22, 23 e 26.
  23. GUPTA, S.; GUPTA, B. B. Php-sensor: A prototype method to discover workflow violation and xss vulnerabilities in php web applications. In: ACM International Conference on Computing Frontiers. [S.l.]: ACM, 2015. (CF '15), p. 59:1-59:8. ISBN 978-1-4503-3358-0. Citado 2 vezes nas páginas 22 e 26.
  24. HACKER, M. Ferramentas para scan de vulnerabilidades web. 2017. <https://goo.gl/VNVcnP>. Disponível em: <http://mundodoshacker.blogspot.com.br/ 2013/04/ferramentas-para-scan-de.html>. Citado na página 29. HARVEY, S. Web application firewall. [S.l.]: Google Patents, 2018. US Patent App. 15/897,670. Citado na página 23.
  25. HOLÍK, F.; NERADOVA, S. Vulnerabilities of modern web applications. In: IEEE. 40th MIPRO. [S.l.], 2017. p. 1256-1261. Citado 5 vezes nas páginas 21, 22, 23, 25 e 26. INDIATESTBOOK. 9 Best PHP Frameworks. 2017. Acesso em: 2018-05-06. Disponível em: <https://www.indiatestbook.com/ 9-best-php-frameworks-modern-web-developers-2017/>. Citado na página 30. INFOSEC. 14 Best Open Source Web Application Vulnerability Scanners. 2017. Acesso em: 2018-05-02. Disponível em: <http://resources.infosecinstitute.com/ 14-popular-web-application-vulnerability-scanners/>. Citado 2 vezes nas páginas 24 e 29. JABALLAH, W. B.; KHEIR, N. A grey-box approach for detecting malicious user interactions in web applications. In: Proceedings of the 8th ACM CCS International Workshop on Managing Insider Security Threats. New York, NY, USA: ACM, 2016. (MIST '16), p. 1-12. ISBN 978-1-4503-4571-2. Disponível em: <http://doi.acm.org/10.1145/2995959.2995966>. Citado 3 vezes nas páginas 22, 25 e 26. JR, A. V. et al. Prevenção de ataques: Xss residente e sql injection em banco de dados postgresql em ambiente web. Caderno de Estudos Tecnológicos, v. 3, n. 1, p. 38-50, 2016. Citado na página 21.
  26. KINGHOST. Frameworks PHP. 2015. Acesso em: 2018-05-06. Disponível em: <https://king.host/blog/2015/09/6-frameworks-php/>. Citado na página 30. KINGHOST. 5 Open Source Web Application Firewall for Bet- ter Security. 2016. Acesso em: 2018-09-06. Disponível em: <https: //geekflare.com/open-source-web-application-firewall/>. Citado na página 31. LARAVEL. Laravel. 2018. Acesso em: 2018-09-22. Disponível em: <https: //laravel.com/>. Citado 2 vezes nas páginas 24 e 31.
  27. LINKS, L. Best Free Web Application Firewalls -Add an External Security Layer. 2018. Acesso em: 2018-09-06. Disponível em: <https://www.linuxlinks.com/ best-free-web-application-firewalls-add-an-external-security-layer/>. Citado na página
  28. MACHADO, C. C. et al. Um web crawler para projeções e análise de vulnerabilidades de segurança e consistência estrutural de páginas web. Revista de Empreendedorismo, Inovação e Tecnologia, v. 2, n. 2, p. 3-12, 2016. Citado 2 vezes nas páginas 24 e 29.
  29. MAKINO, Y.; KLYUEV, V. Evaluation of web vulnerability scanners. In: IEEE. Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), 2015 IEEE 8th International Conference on. [S.l.], 2015. v. 1, p. 399-402. Citado 5 vezes nas páginas 21, 22, 23, 25 e 26. MODSECURITY. ModSecurity: Open Source Web Application Firewall. 2018. Acesso em: 2018-11-02. Disponível em: <https://www.modsecurity.org/>. Citado 2 vezes nas páginas 24 e 31.
  30. MONUS, A. PHP Frameworks For Developers -Best of. 2018. Acesso em: 2018-05-06. Disponível em: <https://www.hongkiat.com/blog/best-php-frameworks/>. Citado na página 30.
  31. MUNIZ, J. Web Penetration Testing with Kali Linux. [S.l.]: Packt Publishing Ltd, 2013. Citado 2 vezes nas páginas 24 e 29.
  32. NAGPAL, B. et al. Tool based implementation of sql injection for penetration testing. In: International Conference on Computing, Communication Automation.
  33. S.l.: s.n.], 2015. p. 746-749. Citado 2 vezes nas páginas 22 e 26. NAXSI. NAXSI, a web application firewall for Nginx. 2018. Acesso em: 2018-09-14. Disponível em: <https://www.nbs-system.com/en/blog/ naxsi-web-application-firewall-for-nginx/>. Citado 2 vezes nas páginas 24 e 31. ONAIRCODE. Free Best PHP Frameworks for 2018. 2017. Acesso em: 2018-05-06. Disponível em: <https://onaircode.com/free-best-php-frameworks/>. Citado na página 30.
  34. OWASP. Top Ten 2013 Project. 2013. <https://www.owasp.org/index.php/ Top_10-2017_Top_10>. Disponível em: <https://www.owasp.org/index.php/Top_ 10-2017_Top_10>. Citado 2 vezes nas páginas 24 e 25.
  35. PALSETIA, N. et al. Securing native xml database-driven web applications from xquery injection vulnerabilities. Journal of Systems and Software, v. 122, p. 93 -109, 2016. ISSN 0164-1212. Disponível em: <http://www.sciencedirect.com/science/article/pii/ S0164121216301571>. Citado 2 vezes nas páginas 22 e 26.
  36. PELLEGRINO, G.; BALZAROTTI, D. Toward black-box detection of logic flaws in web applications. In: USENIX NDSS. [S.l.: s.n.], 2014. Citado 2 vezes nas páginas 22 e 26. PHALCON. Phalcon. 2018. Acesso em: 2018-09-21. Disponível em: <https: //phalconphp.com/pt/>. Citado 2 vezes nas páginas 24 e 31. RedMonk. The RedMonk Linguagem de Programação. 2014. Acesso em: 2018-11-12. Citado na página 31.
  37. ROCHA, D.; KREUTZ, D.; TURCHETTI, R. A free and extensible tool to detect vulnerabilities in web systems. In: 7th Iberian CISTI. [S.l.: s.n.], 2012. Citado 7 vezes nas páginas 21, 22, 23, 24, 25, 26 e 29.
  38. SCHWALENBERG, D. Web Applications Under Attack: Tenable.io and the 2017
  39. Verizon DBIR. 2017. Https://www.tenable.com/blog/web-applications-under- attack-tenable-io-and-the-2017-verizon-dbir. Citado na página 21.
  40. SHI, H.-z.; CHEN, B.; YU, L. Analysis of web security comprehensive evaluation tools. In: IEEE. Networks Security Wireless Communications and Trusted Computing (NSWCTC), 2010 Second International Conference on. [S.l.], 2010. v. 1, p. 285-289. Citado 2 vezes nas páginas 24 e 29. Symantec. Internet Security Threat Report. 2017. <https://goo.gl/iuhLPX>. Disponível em: <https://www.symantec.com/security-center/threat-report>. Citado 2 vezes nas páginas 21 e 24. SYMFONY. Symfony, High Performance. 2018. Acesso em: 2018-09-02. Disponível em: <https://symfony.com/>. Citado na página 31.
  41. TEODORO, N.; SERRÃO, C. Automating web applications security assessments through scanners. Web Application Security, p. 48, 2011. Citado 2 vezes nas páginas 24 e 29. Terminal Root. 100 Melhores Ferramentas Open Source de Segurança. 2017. <https://goo.gl/9ksoXR>. Disponível em: <http://terminalroot.com.br/2017/02/ 100-melhores-ferramentas-de-seguranca-de-codigo-aberto.html>. Citado na página 29.
  42. VIEIRA, M.; ANTUNES, N.; MADEIRA, H. Using web security scanners to detect vulnerabilities in web services. In: IEEE. Dependable Systems & Networks, 2009. DSN'09. IEEE/IFIP International Conference on. [S.l.], 2009. p. 566-571. Citado 4 vezes nas páginas 21, 22, 25 e 26.
  43. WILMSHURST, J. F.; FRYXELL, J. M.; HUDSONB, R. J. Forage quality and patch choice by wapiti (cervus elaphus). Behavioral Ecology, Oxford University Press, v. 6, n. 2, p. 209-217, 1995. Citado 2 vezes nas páginas 24 e 29. YII. Yii PHP Framework. 2018. Acesso em: 2018-09-16. Disponível em: <https://www.yiiframework.com/>. Citado 2 vezes nas páginas 24 e 31. ZEND. Zend Framework. 2018. Acesso em: 2018-09-13. Disponível em: <https: //framework.zend.com/>. Citado 2 vezes nas páginas 24 e 31.
  44. ZHOU, Y.; EVANS, D. SSOScan: Automated testing of web applications for single sign-on vulnerabilities. In: 23rd USENIX Security Symposium. [s.n.], 2014. ISBN 978-1-931971-15-7. Disponível em: <https://www.usenix.org/conference/ usenixsecurity14/technical-sessions/presentation/zhou>. Citado 2 vezes nas páginas 22 e 26.

Related papers

Estudo e Análise de Vulnerabilidades Web
Wagner Monteverde

Web security is important to provide protection to clients and services in Web. Several Web vulnerabilities are exploited every day and the attacks have increased due to new tools and Web applications. In this work is carried out an analysis of Web vulnerabilities in different kinds of applications. A set of heterogeneous and brazilian Web sites was selected and analysed by open source tools. Consequently, the main forms of attacks used in Web applications have been investigated. Our results show how Web vulnerabilities can be exploited easily. So, it is verified that websites need to improve their security urgently.

View PDFchevron_right
Ferramentas para analise no ciberjornalismo.pdf
Andressa Souza
View PDFchevron_right
UNIVERSIDADE FEDERAL DO ESTADO DO RIO DE JANEIRO CENTRO DE CIÊNCIAS EXATAS E TECNOLOGIA ESCOLA DE INFORMÁTICA APLICADA AVALIAÇÃO DE SCANNERS DE VULNERABILIDADES Dez riscos mais críticos em aplicações Web
Paulino pau

FALHAS NO SITE, 2024

Agradecimentos Gostaria, primeiramente, de agradecer aos meus pais, Leila e Marcello por nunca terem me deixado faltar apoio, incentivo, ensinamentos e amor. Vocês são a minha inspiração, e tudo para mim. À minha irmã Leticia, por, mesmo tão pequena, ser grande o suficiente para me mostrar o quanto a vida é mais bela com um sorriso. Você é a pequena que eu amo. À minha namorada, Thaíssa, por todo companheirismo, paciência, carinho e incentivo em tudo. Com você quero sempre caminhar. Aos meus amigos, Octávio, Pedro, Raphael, Tiago e William. Vocês são os irmãos que a vida me deu. À minha orientadora, professora doutora Leila Andrade, pela oportunidade e incentivo como monitor, pela orientação e pelo apoio em toda minha caminhada dentro da UNIRIO. Ao meu coorientador, professor doutor Davidson Boccardo, sempre disponível para orientar, ensinar e ajudar. Suas contribuições foram muito enriquecedoras para o trabalho e para minha vida profissional. À professora doutora Lucila Bento e ao professor doutor Luiz Amancio, pela disponibilidade em participarem da banca. RESUMO Nos dias atuais, são cada vez mais frequentes ataques virtuais. É importante que se conheça o contexto que possibilita esses ataques, os tipos de vulnerabilidades presentes na Web e as ferramentas de detecção de ameaças. A melhor maneira para minimizar a quantidade de vulnerabilidades em uma aplicação Web é a realização de varreduras por scanners de vulnerabilidades. Existem inúmeras ferramentas, livres ou comerciais, disponíveis para esse fim. Portanto, é fundamental que seja estudado se há diferença em seus resultados quanto a detecção de vulnerabilidades. Assim, este trabalho teve como objetivo avaliar a eficácia das ferramentas Arachini, Nessus e Vega na detecção dos dez riscos mais críticos de segurança levantados pelo OWASP. O Nessus destacou-se como um scanner eficaz para encontrar as vulnerabilidades que pertencem às categorias do OWASP Top Ten. São sugeridos estudos futuros comparativos entre soluções open source e pagas quanto a eficácia na detecção de vulnerabilidades, pesquisas qualitativas sobre scanners de vulnerabilidades e um maior investimento em segurança digital.

View PDFchevron_right
Caracterização Escalável de Vulnerabilidades de Segurança: um Estudo de Caso na Internet Brasileira
Lucas Ponce, Matheus Gimpel

Anais do XL Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos (SBRC 2022)

Serviços de monitoramento como o Shodan são cada vez mais populares no rastreamento de aplicações e vulnerabilidades na Internet. Neste artigo caracterizamos e discutimos vulnerabilidades encontradas na Internet brasileira utilizando dados de monitoramento provenientes do Shodan. Além disso, discutimos métodos de Ciências dos Dados para melhorar a escalabilidade e a qualidade de análises; também combinamos metadados de fontes complementares sobre rede e vulnerabilidades para extrair resultados e conclusões mais assertivos. Nossa caracterização expõe diversas vulnerabilidades de alta severidade na rede brasileira, algumas catalogadas há mais de cinco anos e que continuam prevalentes até hoje. Esperamos que as análises apresentadas neste artigo incentivem organizações a implantarem atualizações e mecanismos de proteção para mitigar essas ameaças.

View PDFchevron_right
Nível de conhecimento de desenvolvedores sobre segurança em aplicações web: Pesquisa e análise
Nilson Lazarin

Anais da V Escola Regional de Sistemas de Informação do Rio de Janeiro, 2018

The use of web applications grows in Brazil along with a big number of virtual attacks once this kind of application are usually more vulnerable to malicious users that intend to compromise the quality, authenticity, privacy and availability of the information. Considering this context, it is assumed that web developers must be prepared to deal with these attacks. This paper shows the result of a survey research made through an interview with web developers that tries to measure their level of knowledge about some of the main types of web application attacks and their ability to identify, analyze and correct such threats in vulnerable pieces of source code. Resumo. O crescimento do uso de aplicac ¸ões web no Brasil está acompanhado de um grande número de ataques virtuais uma vez que tais tipos de programas tendem a ser mais vulneráveis a usuários mal-intencionados que buscam comprometer a qualidade, autenticidade, privacidade e disponibilidade de informac ¸ões. Tendo isso em mente, entende-se que os desenvolvedores web devem estar preparados para lidar com estes ataques. Este artigo apresenta o resultado de um survey realizado através da entrevista com desenvolvedores web visando mensurar seu nível de conhecimento sobre alguns dos principais tipos de ataque a aplicac ¸ões web e sua capacidade de identificar, analisar e corrigir tais ameac ¸as em trechos de código-fonte vulneráveis. Em 2015 57,5% dos domicílios brasileiros já tinham acesso à internet e até 2021 haverá um crescimento médio de 12.4%, ao ano, das vendas realizadas pela internet, atingindo um total de R$ 85 bilhões [Oliveira 2016] [IBGE 2016]. O crescimento do acesso à internet e do comércio eletrônico no Brasil é acompanhado pelo aumento dos ataques a sites e lojas virtuais. Em 2017, a NETSCOUT Arbor registrou um total de 264.900 ataques DDoS (Ataques de Negac ¸ão de Servic ¸o) no Brasil [Digital 2018]. No mundo todo foram registrados 7,5 milhões de ataques, colocando o Brasil entre os cinco primeiros alvos deste tipo de ataque [Digital 2018]. De acordo com o estudo Norton Cyber Security Report [Norton 2017], em 2017, crimes cibernéticos que incluem, entre outros tipos, ataques a aplicac ¸ões web, causaram prejuízos de US$ 22 bilhões ao Brasil, sendo que cada vítima perdeu uma média 34 horas com as consequências dos ataques.

View PDFchevron_right

Related topics

  • Computer Science
    • 580 California St., Suite 400
    San Francisco, CA, 94104
    © 2025 Academia. All rights reserved