Baixe o app para aproveitar ainda mais
Prévia do material em texto
01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 1/11 OWASP - Os 10 riscos críticos em segurança de aplicações web APRESENTAR UMA BREVE INTRODUÇÃO SOBRE OS 10 MAIORES RISCOS DOCUMENTADOS E MONITORADOS EM SEGURANÇA DA INFORMAÇÃO PARA APLICAÇÕES WEB. AUTOR(A): PROF. EDSON MELO DE SOUZA 1. Introdução Uma das medidas protetivas contra falhas de segurança é manter efetivamente um forte controle sobre ocorrências e incidentes reportados pela comunidade de desenvolvedores ao redor do mundo, além de uma Política de Segurança ativa. Portanto, este tópico faz uma introdução ao OWASP, organização a qual mantém os desenvolvedores atualizados sobre ataques e defesas às aplicações web, a fim de fortalecer o assunto entre programadores e empresas de todo o mundo. 2. O Que é o OWASP O OWASP - “Open Web Application Security Project” , em tradução livre “Projeto Aberto de Segurança em Aplicações Web”, é uma comunidade sem fins lucrativos criada em 2001 por Mark Curphey e mantida por especialistas em segurança da informação que atua de forma online disponibilizando relatórios com problemas reportados sobre falhas de segurança, ameaças potenciais detectadas, ferramentas de rastreamento e correção de falhas, metodologias de correção para as falhas, entre outras atividades. 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 2/11 A OWASP mantém uma lista com as 10 falhas de segurança mais perigosas para aplicações, além de disponibilizar também métodos com boas práticas para o combater ataques, prevenir ameaças e remover falhas de segurança. O OWASP é direcionado a: Estudantes da área da informática, principalmente desenvolvedores e de segurança da informação. Pentesters e analistas de segurança. Gerentes de tecnologia e de projetos. Interessados pelo assunto SAIBA MAIS! OWASP Vitória (Brasil) - https://www.owasp.org/index.php/Vitoria (https://www.owasp.org/index.php/Vitoria) OneDayTesting - http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/ (http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/) 2.1. Como Funciona a OWASP Mediante a publicação de artigos nos sites oficiais, além da disponibilização de manuais técnicos, metodologias, ferramentas, os usuários da comunidade tomam conhecimento e fazem uso dos materiais. Mundialmente são realizados encontros onde os participantes disseminam o conhecimento por meio de palestras e há uma grande interação entre os participantes, o que faz com que novos problemas, ideias e soluções sejam compartilhados com a comunidade. Por fim, os resultados são publicados, dando origem aos itens citados anteriormente. https://www.owasp.org/index.php/Vitoria http://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca/ 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 3/11 2.2. Benefícios Seguir as boas práticas da OWASP é importante para as empresas que atuam no mercado com desenvolvimento de software, uma vez que transmitem, além do profissionalismo, segurança para seus clientes, trazendo benefícios como: Proteção contra ataques cibernéticos; Diminuição de erros e falhas operacionais nos softwares desenvolvidos; Aumento no sucesso das aplicações; Melhoria da imagem da empresa no mercado. Além das boas práticas, é importante que a empresa realize, periodicamente, Avaliações de Risco, conforme as diretivas a seguir: 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 4/11 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 5/11 Legenda: VISãO GERAL DA FASE DE ANáLISE/AVALIAçãO DE RISCOS SAIBA MAIS! Conviso - https://blog.conviso.com.br/owasp-e-sua-importancia/ (https://blog.conviso.com.br/owasp-e-sua-importancia/) 2.3. Ranqueamento dos Riscos e Ameaças O primeiro relatório divulgado pelo OWASP, em 2013, trouxe uma listagem com as 10 falhas de segurança e riscos para aplicações web. A lista foi criada considerando o impacto causado por uma falha e, além disso, apresenta exemplos de vulnerabilidades, possibilidades de ataques e como realizar a proteção ou as contramedidas. Em 2017 foi lançada uma segunda versão atualizada, que trouxe alterações significativas, alterando a ordem das ameaças, conforme pode ser visto na figura a seguir: Foram categorizados três novos riscos em relação ao relatório anterior de 2013: XML Entidades Externa (XXE) - permite que um invasor realize um ataque de “falsificação de requisição ao servidor”, fazendo uso indevido dos recursos disponíveis. Desserialização Insegura - A desserialização é a recuperação de dados (ou estado de um objeto) a partir de um conjunto de bytes. Isso garante que os dados recuperados representem as mesmas informações originais. Quando a desserialização não é realizada corretamente, um código remoto https://blog.conviso.com.br/owasp-e-sua-importancia/ 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 6/11 poderá ser executado e o invasor poderá conseguir privilégios de administrador no servidor e/ou na rede. Algumas falhas deste tipo já foram reportadas nas linguagens PHP, Python, Java e ASP.Net. Registro e Monitoramento Insuficientes - no desenvolvimento de uma aplicação não são implementados mecanismos que registrem tentativas de acesso, permitindo que um invasor realize tentativas sem nenhuma restrição quantitativa por meio de força bruta. SAIBA MAIS! Cipher - https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/ (https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/) 2.4. Ataques Reportados no Brasil Segundo o CERT - Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, em 2017 foram reportados 833.775 incidentes de segurança, um número 29% maior do que o ano anterior. Esses números mostram que o crescimento das aplicações web estão crescendo, mas, em contrapartida, também há aumento dos riscos de exposição. Além das aplicações web, o crescimento da IoT - Internet das Coisas vem favorecendo o crescimento de ataques no ambiente da internet, pois, à medida que cresce, expande as possibilidade de apresentarem vulnerabilidades nos sistemas utilizados. Na figura a seguir são mostrados alguns números sobre incidentes ocorridos no Brasil. https://cipher.com/br/2017/04/16/owasp-top-10-2017-release-candidate/ 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 7/11 FIQUE POR DENTRO! DoS ou Denial of Service (do inglês Negação de Serviço) é uma técnica de ataque realizada pela internet que busca tirar de serviço um equipamento conectado à internet. A técnica consiste em enviar um número de requisições muito maior que o servidor pode administrar, levando ao congelamento da sua operação e incapacidade de devolver respostas. Finalizamos este tópico por aqui e, em breve, você estudará separadamente cada tipo de ameaça, podendo se aprofundar no assunto. Caso tenha dúvidas, releia o conteúdo e os links de referência. SAIBA MAIS! 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 8/11 Melhores Práticas OWASP - https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf (https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf) Resumo Neste tópico você aprendeu sobre a OWASP e a importância dos controles na segurança da informação para aplicações web, além da lista dos riscos e ameaças mais recorrentes. Também foram apresentados números sobre os ataques realizados no Brasil e a nova classificação para as 10 ameaças mais perigosas para as aplicações web. ATIVIDADE FINAL A OWASP tem como função A. Divulgar relatórios com problemas reportados sobre falhas de segurança, ameaças, metodologias, documentação, ferramentas de rastreamento e correção de falhas, entre outras atividades. B. Criar políticas de segurança para as empresas utilizarem em suas rotinasde desenvolvimento. C. Realizar auditorias com o CERT.br, a fim de comunicar as empresas e desenvolvedores sobre possíveis ameaças. D. Monitorar sites que possam apresentar vulnerabilidades e sugerir correções. É uma técnica de ataque realizada pela internet que busca tirar de serviço um equipamento conectado à internet. Portanto, o texto fala do A. DoS B. DNS C. SMS D. SQL Injection A recuperação de dados (ou estado de um objeto) a partir de um conjunto de bytes que garante que os dados recuperados representem as mesmas informações originais é uma descrição da categoria A. Desserialização Insegura. B. Entidades Externa (XXE). C. Requisições XML. https://www.owasp.org/images/b/b3/OWASP_SCP_v1.3_pt-BR.pdf 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 9/11 D. Requisições HTML. REFERÊNCIA ASSUNÇÃO, Marcos Flávio Araújo. ANÁLISE DE EFICIÊNCIA NA DETECÇÃO DE VULNERABILIDADES EM AMBIENTES WEB COM O USO DE FERRAMENTAS GRATUITAS. Projetos e Dissertações em Sistemas de Informação e Gestão do Conhecimento, v. 4, n. 1, 2015. DE HOLANDA, Maristela Terto; FERNANDES, Jorge Henrique Cabral. Segurança no desenvolvimento de aplicações. Gestão da Segurança da Informação e Comunicações-CEGSIC2009-2011, 2009. FORBELLONE, André Luiz Villar; EBERSPÄCHER, Henri Frederico. Lógica de programação: a construção de algoritmos e estruturas de dados. São Paulo: Makron Books, 1993. MARINHO, Carlos et al. Experiências no Uso da Metodologia Coding Dojo nas Disciplinas Básicas de Programação de Computadores em um Curso Interdisciplinar do Ensino Superior. In: Anais dos Workshops do Congresso Brasileiro de Informática na Educação. 2016. p. 1097. MOURÃO, Andreza. Uma proposta da eficiência do uso da Metodologia Ativa Baseada em Problemas, utilizando Dojo de Programação, aplicada na disciplina de Lógica de Programação. In: Anais do Workshop de Informática na Escola. 2017. p. 667. OWASP. Open Web Application Security Project. Disponível em: <https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project (https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project)>. Acesso em: 12 out. 2018. OWASP. Top 10 Most Critical Web Application Security Risks. Disponível em: <https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project)>. Acesso em: 12 out. 2018. PRESSMAN, Roger; MAXIM, Bruce. Engenharia de Software-8ª Edição. McGraw Hill Brasil, 2016. SICA, Carlos; REAL, Petter. Programação Segura utilizando PHP. São Paulo: STALLINGS, William. Criptografia e segurança em redes, v. 4, 2007. SOMMERVILLE, Ian; ARAKAKI, Reginaldo; MELNIKOFF, Selma Shin Shimizu. Engenharia de software. Pearson Prentice Hall, 2008. VIANA, Sidney et al. SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB COM A QUALIDADE DOS DADOS. Revista de Sistemas e Computação-RSC, v. 3, n. 2, 2013. https://www.owasp.org/index.php/About_The_Open_Web_Application_Security_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 10/11 01/08/2021 AVA UNINOVE https://aapa.uninove.br/seu/AAPA/topico/container_impressao.php 11/11
Compartilhar