Vulnerabilidades de segurança em sistemas baseados na web

sistemas baseados na web contêm muitos componentes, incluindo o código do aplicativo, sistemas de gerenciamento de banco de dados, sistemas operacionais, middleware, eo próprio software de servidor web. Esses componentes podem, individual e coletivamente, têm um design de segurança ou defeitos de implementação. Alguns dos defeitos presentes incluem as seguintes:

Video: Vídeo 12 - Descobrindo vulnerabilidades em serviços WEB

  • A falta de bloquear ataques de injeção. Ataques como javascript injeção e injeção SQL pode permitir que um atacante para causar uma aplicação web a funcionar mal e expor sensíveis dados armazenados internamente.
  • autenticação com defeito. Há muitas, muitas maneiras em que um web site pode implementar a autenticação - eles são numerosos demais para listar aqui. A autenticação é essencial para obter direito; muitos sites não conseguem fazê-lo.
  • gerenciamento de sessão com defeito. servidores Web criar “sessões” lógicas para manter o controle de usuários individuais. mecanismos de gestão de sessão Muitos sites’ são vulneráveis ​​ao abuso, mais notavelmente que permitir a um invasor assumir sessão de outro usuário.
  • A falta de bloquear ataques cross-site scripting. Web sites que não conseguem examinar e higienizar os dados de entrada. Como resultado, os atacantes podem às vezes criar ataques que enviam conteúdo malicioso para o usuário.
  • A falta de bloquear ataques cross-site request forgery. Web sites que não conseguem empregar sessão adequada e gerenciamento de contexto sessão pode ser vulnerável a ataques em que os usuários são levados a enviar comandos para web sites que podem causar-lhes danos.
    Um exemplo é quando um intruso truques um usuário a clicar em um link que realmente leva o usuário para uma URL como esta: https://bank.com/transfer?tohackeraccount:amount=99999.99.
  • Incapacidade de proteger referências objetos diretos. Os sites podem às vezes ser enganado e acessar e enviar dados para um usuário que não está autorizado a ver ou modificá-lo.


Essas vulnerabilidades podem ser mitigados em três formas principais:

  • formação desenvolvedor sobre as técnicas de desenvolvimento de software mais seguro
  • Incluindo a segurança no ciclo de vida de desenvolvimento
  • Uso de ferramentas de verificação de aplicação dinâmica e estática

Video: [HD] Webinar #20 - As Principais Vulnerabilidades em Aplicações Web - OWASP Top 10 2013


Publicações relacionadas