SEGURANÇA EM APLICAÇÕES WEB

precedido da abreviatura de sua titulação. Goiânia 2021 Termo de Aprovação Aluno: Título: Segurança Em Aplicações Web Trabalho de Conclusão apresentado ao curso Desenvolvimento Orientado a Objetos com JAVA oferecido pela Universidade Cândido Mendes – UCAM, como requisito parcial para obtenção do grau de especialista, sob a orientação do Prof. Dr. Goiânia, 13 de Novembro de 2021. Banca examinadora: _________________________________________ Professor (a) orientador (a) _________________________________________ Professor (a) convidado (a) _________________________________________ Professor (a) convidado (a) SEGURANÇA EM APLICAÇÕES WEB ALUNO Acadêmico do Programa de Pós-graduação lato sensu “Desenvolvimento Orientado a Objetos com JAVA” da Universidade Cândido Mendes – UCAM. The analysis produced was qualitative research, so it can be understood as a bibliographical research. The support of this article is a security reference group and a framework design for secure application growth.

This article analyzes the Security in the Development of Web Applications. This question represents an important challenge, due to the development of the internet and according to this the increasing need of the use of web applications for distribution of data by the organizations, if it becomes important to use resources to continue such secure information. Keywords: Security, Applications, Platform. REVISTA SISTEMAS E COMPUTAÇÃO, 2013). Devido ao desenvolvimento e necessidade cada vez maior de aplicações web compartilharem dados, se faz importante o uso de recursos para manter tais processos e informações seguras. Este artigo tem como objetivo compreender algumas das principais vulnerabilidades vistas em aplicações web. PHILIPE, 2017). Referencial teórico Este capítulo apresente o referencial teórico do trabalho, mostrando as características e princípios dos documentos de especificações de software e modelo de aplicação Web similar ao software.

Terto (2011), diz que sistema de software é um grupo de elementos e produtos relacionados e desenvolvidos de modo periódico em uma organização que produz softwares e tendem apresentar aplicações com qualidade. Todas essas empresas utilizam um sistema de desenvolvimento mesmo que ele seja inadequado. A Segurança de aplicações Web Além dos benefícios que são oferecidos pelas aplicações web: diversas pessoas se sentem preocupadas quanto à segurança. Como a web é acessada por muitos usuários, e diversos deles são mal intencionados e trabalha objetivando realmente invadir sistemas, o cuidado com a segurança faz-se uma condição importante. REVISTA SISTEMAS E COMPUTAÇÃO, 2013). Abordagens das Vulnerabilidades Exploradas em uma Aplicação Web A OWASP (2010) apresenta que o grande problema em relação às aplicações web é que ainda a rede de comunicações estando seguro, através de firewall, controle de acesso entre mais recursos de segurança, também é possível que um usuário mal intencionado controle, por meio de entrada de informações em um formulário web, realizar diferentes condições de ataques que escapam muito ao controle do grupo de segurança em redes.

No campo de vulnerabilidades em aplicações web, em seus fatores e riscos, devem-se levar em importância os subsídios da OWASP, que é uma sociedade aberta, sem fins lucrativos que tem por objetivo encontrar e eliminar os fatores e riscos dos problemas em aplicação web, fazendo com que se torne visível aos recursos de segurança em aplicações, para que seja capaz tomar melhores medidas sobre os riscos da falta de segurança nessa aplicação. OWASP, 2008). De acordo com Correia as vulnerabilidades podem ser classificadas de três formas (CORREIA E SOUZA, 2010): • Projeto – Resulta de um falha quando o sistema ou software ainda está na fase de projeto. Por exemplo não considerar um mecanismo de segurança e a troca de informação na rede pode ser acedida indevidamente.

• Cross-Site Scripting (XSS): os furos XSS surgem geralmente que aplicações obtêm os dados fornecidos pelo usuário e as dirige de volta ao navegador sem criar validação ou codificação diferente conteúdo. O XSS possibilita aos invasores roubar sessões de usuários e mudar sitesWeb. • Referência Insegura Direta a Objetos: uma relação prática a objeto ocorre quando um desenvolvedor apresenta a relação a um objeto realizado profundamente, como é o caso de documentos, diretórios, registros da base de dados ou chaves, na forma de uma URL ou processo de formulário. Os invasores podem controlar essas referências para acessar demais objetos sem autorização. • Exposição de Dados Sensíveis: a maioria das aplicações web não guardam direito suas informações mais importantes, ais como cartões de crédito, Ids fiscais e credencias de autenticação.

Estado da Arte das Vulnerabilidades em Aplicação Web Com o passar dos anos está cada vez maior a quantidade de vulnerabilidades presentes nas aplicações que estão sendo utilizadas na maior parte da nossa vida pessoal e das empresas. Estas vulnerabilidades estão igualmente cada vez mais potentes e possíveis de entender. Pela necessidade de analisar, conhecer e comunicar estas vulnerabilidades e tendo em conta o alto-relevo na informática com a questão de segurança aplicacional surgiram empresas internacionais especializadas em segurança da informação. REVISTA PENSAR, 2015). Uma aplicação web é uma aplicação acedida por meio da internet normalmente usando um navegador web. Os invasores manipulam estes dados para conectarem-se demais objetos sem autorização. Falha ao Restringir Acesso à URLs Constantemente, uma aplicação protege suas funções críticas apenas pela execução de dados como links ou URL para usuários não habilitados.

Os invasores podem fazer uso desta vulnerabilidade para conectar-se e fazer operações não autorizadas por meio do acesso direto às URLs. Cross Site Request Forgery (CSRf) O navegador reconhecido em uma aplicação é forçado a comunicar um recursos pré-autenticada a uma aplicação web que, por sua vez, faça o navegador da vítima a realizar um processo malicioso em proteção do invasor. Falha de Autenticação e Gerência de Sessão Credenciais de acesso e tokens de sessão não protegidos aproximadamente. Na segurança o risco maior é apresentado por acessos inadequados as informações e, que podem afetar dados sigilosos e também deixar o software fora do ar. UCHÔA, 2011). Utilizando recursos bem simples, ao longo do tempo o programador poderá facilmente criar projetos seguros.

Se o desenvolvedor estiver usando o Framework. NET e ASP. A OWASP (2008) descreve o CLASP segundo um conjunto de elementos de processo que consegue ser utilizado em qualquer sistema de desenvolvimento de software. O objetivo da segurança em aplicação é manter a confiabilidade, integridade e liberdade dos meios de informação a fim de proporcionar que os resultados de negócios estejam muito realizados. Esse objetivo é obtido durante a prática de recursos de segurança. Este modelo trabalha nos recursos profissionais, próprios para reduzir os casos de vulnerabilidades mais comuns no software. TERTO, 2011) 2. Porém ataques profissionais dependem do desenvolvimento de código seguro e de conhecimento profissional dos envolvidos com o desenvolvimento e manutenção das aplicações. ULBRICH,2009). Framework de Alto Nível para Desenvolvimento de Aplicações Seguras Existem outros termos sobre framework na literatura, porém segundo Gamma: Um framework é um conjunto de classes que cooperam entre si provendo assim um projeto reutilizável para um domínio específico de classes de sistema.

O padrão Model View Controller conhecido como MVC encaixa-se perfeitamente para a aplicação web, e é mais bem utilizado quando explorado por um framework. Frameworks realizam o padrão MVC de modo efetivamente padronizado, o que acaba às vezes variando, é a nomenclatura como no Djando, analisado ao máximo o padrão MVC. • Cordava: tem como finalidade a reduzir e uniformizar o desenvolvimento de aplicações híbridas para móbile. Como os princípios naturais de iOS e Android são muito diferentes, o framework atua reunindo e traduzindo uma linguagem de HTML, por exemplo, para a linguagem do sistema operacional usado no celular. Então, a sua aplicação consegue trabalhar da mesma forma em qualquer dispositivo. • Angular: é usado principalmente para realizar a ligação através do front-end e o back-end em web desktop.

Ele possibilita a produção de um modelo de aplicação baseado em Single Page Application apresentado pela sigla SPA. Trata-se de uma entidade sem fins lucrativos e com reconhecimento internacional, representando com foco na participação para o fortalecimento da segurança de softwares em todo o mundo. OWASP, 2013. As pesquisas e registros da OWASP (2007) estão disponibilizadas para toda a comunidade internacional, e aplicados como modelo por entidades como U. S. Defense Information Systems Angency (DISA), U. A lista de vulnerabilidades é desenvolvida e atualizada a partir de serviços realizados junto a especialistas em Segurança da Informação e desenvolvimento de aplicação web de instituições e empresas de porte e ramos diferentes, no meio público ou privado, em diferentes países. A primeira versão do Top Tem foi publicada em 2003, houve algumas pequenas atualizações que geram a edição de 2004 e houve edições em 2007, 2010 e 2013.

OWASP, 2010). Método O trabalho desenvolvido seguiu os preceitos do estudo exploratório, por meio de uma pesquisa bibliográfica. Foram utilizados 10 livros, dentre eles normas, conceitos, informações diversas sobre aplicações web, em idioma português, disponíveis em várias bibliotecas, e publicados no período de 2000 à 2013. Na verificação em questão, além do pesquisador que estabeleceu a principal compreensão do acordo, dois especialistas verificaram o mesmo e contribuíram a estabelecer os termos. OWASP, 2008). No caso de vulnerabilidade especialmente de acordo com o grande nível de risco. Uma solução para o problema, seria desenvolver os recursos de programação, utilizando boas praticas, exemplo: utilizar parametrização e escape de aspas simples, para início de informações fornecidas pelo usuário, discriminação e controle do comprimento dos caracteres de entrada.

Boyd e Angelos, 2004). CABRAL, Maristela e TERTO, Holanda. Segurança no Desenvolvimento de Aplicações. CEGSIC 2009-2011. Desenvolvido em atendimento ao plano de trabalho do Programa de Formação de Especialistas para a Elaboração da Metodologia Brasileira de Gestão de Segurança da Informação e Comunicações. CHESWICK, Willian R. FCA. HARRIS, Shon. All In One CISSP Exame Guide, SixthEdition. New York: McGraw-Hill, 2013. GAMMA, Eric, HELM, Richard, JOHNSON, Ralph, VLISSIDES, John. KITCHENHAM, B. Procedures for performing systematic reviews. Technical Report TR/SE-0401, Keele University and NICTA. MCAFFE FOR BUSINESS. Criando Software seguro. owasp. org/images/4/42/OWASP_ TOP_10_2007_PT-BR. pdf. Acesso em 08 de Nov. de 2021. org/images/b/b3/>. Acesso em: 17 out. OWASP. Testing for Cross site scripting. p. Acesso em 16 out. PHILIPE, Thulio. Segurança de Aplicações Web.

Disponível em: <https://medium. com/labcodes/seguran%C3%A7a-de-aplica%C3%A7%C3%B5es-web-101-c425f49e4941 > Acesso em 20 out. unifacs. br/index. php/rsc/article/view/2745/2101 > Acesso em 20 out. REVISTA PENSAR. SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÃO WEB. São Paulo: Artliber, 2009. p. UCHÔA, Q. J. Introdução à Segurança Computacional.