Segurança de aplicativos da web - Web application security
A segurança de aplicativos da web é um ramo da segurança da informação que lida especificamente com a segurança de sites , aplicativos da web e serviços da web . Em um alto nível, a segurança de aplicativos da web baseia-se nos princípios de segurança de aplicativos, mas os aplica especificamente à Internet e aos sistemas da web .
Ameaças à segurança
O Open Web Application Security Project ( OWASP ) oferece recursos abertos e gratuitos. É liderado por uma organização sem fins lucrativos chamada The OWASP Foundation. O OWASP Top 10 - 2017 é o resultado publicado de uma pesquisa recente com base em dados abrangentes compilados de mais de 40 organizações parceiras. A partir desses dados, aproximadamente 2,3 milhões de vulnerabilidades foram descobertas em mais de 50.000 aplicativos. De acordo com o OWASP Top 10 - 2017, os dez riscos de segurança de aplicativos da web mais críticos incluem:
- Injeção
- Autenticação quebrada
- Exposição de dados sensíveis
- Entidades externas XML (XXE)
- Controle de acesso quebrado
- Configuração incorreta de segurança
- Scripts entre sites (XSS)
- Desserialização insegura
- Usando componentes com vulnerabilidades conhecidas
- Registro e monitoramento insuficientes
Recomendação de melhores práticas
O desenvolvimento seguro de aplicativos da web deve ser aprimorado pela aplicação de pontos de verificação e técnicas de segurança nos estágios iniciais de desenvolvimento, bem como em todo o ciclo de vida de desenvolvimento de software . Ênfase especial deve ser aplicada à fase de codificação de desenvolvimento. Os mecanismos de segurança que devem ser usados incluem modelagem de ameaças, análise de risco , análise estática , análise dinâmica , análise interativa, entre outros.
Padrões de segurança
OWASP é o órgão de padrões emergentes para segurança de aplicativos da web. Em particular, eles publicaram o OWASP Top 10, que descreve em detalhes as principais ameaças contra aplicativos da web. O Web Application Security Consortium (WASC) criou o Web Hacking Incident Database (WHID) e também produziu documentos de melhores práticas de código aberto sobre segurança de aplicativos da web. O WHID se tornou um projeto OWASP em fevereiro de 2014.
Tecnologia de segurança
Embora a segurança seja fundamentalmente baseada em pessoas e processos, há uma série de soluções técnicas a serem consideradas ao projetar, construir e testar aplicativos da web seguros. Em um alto nível, essas soluções incluem:
- Ferramentas de teste de caixa preta , como scanners de segurança de aplicativos da Web , scanners de vulnerabilidade e software de teste de penetração
- Ferramentas de teste de caixa branca , como analisadores de código-fonte estáticos
- Fuzzing , ferramentas usadas para teste de entrada
- Scanner de segurança de aplicativo da Web (scanner de vulnerabilidade)
- Firewalls de aplicativos da Web (WAF), usados para fornecer proteção do tipo firewall na camada de aplicativos da Web
- Ferramentas de quebra de senha para testar a força e implementação da senha
Veja também
- Arquitetura de serviço de aplicativo (ASA)
- Autenticação eletrônica
- w3af , um scanner de segurança de aplicativos da web de código aberto gratuito
- Scanner de segurança de aplicativos da web
- Autoproteção de aplicativo em tempo de execução
Referências
- ^ "Visão geral da segurança do aplicativo da Web" . 23/10/2015.
- ^ Korolov, Maria (27 de abril de 2017). "O mais recente OWASP Top 10 olha para APIs, aplicativos da web: a nova lista do OWASP Top 10 foi lançada e, embora a maior parte dela permaneça a mesma, há novas adições com foco em aplicativos da web e APIs". CSO . ProQuest 1892694046 .
- ^ "OWASP Top 10 - 2017: Os dez riscos mais críticos para a segurança de aplicativos da Web" (PDF) . Abra o projeto de segurança de aplicativos da Web . 2017 . Recuperado em 30 de junho de 2018 .
- ^ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). "Revisão sistemática do modelo de desenvolvimento de segurança de aplicativos web". Revisão de Inteligência Artificial . 43 (2): 259–276. doi : 10.1007 / s10462-012-9375-6 . ISSN 0269-2821 . S2CID 15221613 .
- ^ OWASP Top 10
- ^ "O Projeto WHID é agora um Projeto Conjunto WASC / OWASP" . WASC. 18 de fevereiro de 2014.
- ^ "Scanners de vulnerabilidade de aplicativos da Web" . NIST.
- ^ "Analisadores de segurança do código fonte" . NIST.
- ^ "Fuzzing" . OWASP.
- ^ "Firewalls de aplicativos da Web para segurança e conformidade regulatória" . Blog do TestingXperts. Março de 2017.