Vulnerabilidades de segurança em sistemas baseados na web

sistemas baseados na web contêm muitos componentes, incluindo o código do aplicativo, sistemas de gerenciamento de banco de dados, sistemas operacionais, middleware, eo próprio software de servidor web. Esses componentes podem, individual e coletivamente, têm um design de segurança ou defeitos de implementação. Alguns dos defeitos presentes incluem as seguintes:

Video: Vídeo 12 - Descobrindo vulnerabilidades em serviços WEB

  • A falta de bloquear ataques de injeção. Ataques como javascript injeção e injeção SQL pode permitir que um atacante para causar uma aplicação web a funcionar mal e expor sensíveis dados armazenados internamente.
  • autenticação com defeito. Há muitas, muitas maneiras em que um web site pode implementar a autenticação - eles são numerosos demais para listar aqui. A autenticação é essencial para obter direito; muitos sites não conseguem fazê-lo.
  • gerenciamento de sessão com defeito. servidores Web criar “sessões” lógicas para manter o controle de usuários individuais. mecanismos de gestão de sessão Muitos sites’ são vulneráveis ​​ao abuso, mais notavelmente que permitir a um invasor assumir sessão de outro usuário.
  • A falta de bloquear ataques cross-site scripting. Web sites que não conseguem examinar e higienizar os dados de entrada. Como resultado, os atacantes podem às vezes criar ataques que enviam conteúdo malicioso para o usuário.
  • A falta de bloquear ataques cross-site request forgery. Web sites que não conseguem empregar sessão adequada e gerenciamento de contexto sessão pode ser vulnerável a ataques em que os usuários são levados a enviar comandos para web sites que podem causar-lhes danos.
    Um exemplo é quando um intruso truques um usuário a clicar em um link que realmente leva o usuário para uma URL como esta: https://bank.com/transfer?tohackeraccount:amount=99999.99.
  • Incapacidade de proteger referências objetos diretos. Os sites podem às vezes ser enganado e acessar e enviar dados para um usuário que não está autorizado a ver ou modificá-lo.


Essas vulnerabilidades podem ser mitigados em três formas principais:

  • formação desenvolvedor sobre as técnicas de desenvolvimento de software mais seguro
  • Incluindo a segurança no ciclo de vida de desenvolvimento
  • Uso de ferramentas de verificação de aplicação dinâmica e estática

Video: [HD] Webinar #20 - As Principais Vulnerabilidades em Aplicações Web - OWASP Top 10 2013


Publicações relacionadas
Ameaças à programas de software que você deve saber para um trabalho em segurança da informação
O que você deve saber sobre o controle de acesso para um trabalho em segurança da informação
Linux e algumas vulnerabilidades comuns do computador
Vulnerabilidades de segurança baseadas em cliente
Vulnerabilidades de segurança do sistema de gerenciamento de banco de dados
Vulnerabilidades de segurança em dispositivos embarcados e sistemas cyber-físicos
Vulnerabilidades de segurança em sistemas móveis
Vulnerabilidades de segurança baseadas em servidor
Ataques de hackers baseados em software
Automatizar os controles de segurança de e-mail para evitar hacks através de e-mail
Medidas contra definições de configuração padrão hacks
Script padrão hacks em aplicações web
Ataques de negação de serviço e como se proteger contra eles
Execução dos vários testes que segurança em seu próprio ambiente
Como se proteger contra hacks de estouro de buffer
Como hackers antiética pode prejudicar seus sistemas
Conheça os seus vulnerabilidades de segurança física para evitar hacks
Os hacks seus sistemas enfrentam
Ferramentas de teste de segurança de aplicativos web para identificar vulnerabilidades
De injeção de código e de injeção de sql hacks em aplicações web