Segurança de aplicativos da web - Web application security

Parte de uma série sobre
Segurança da informação
Categorias de segurança relacionadas
Ameaças
Defesas

A segurança de aplicativos da web é um ramo da segurança da informação que lida especificamente com a segurança de sites , aplicativos da web e serviços da web . Em um alto nível, a segurança de aplicativos da web baseia-se nos princípios de segurança de aplicativos, mas os aplica especificamente à Internet e aos sistemas da web .

Ameaças à segurança

O Open Web Application Security Project ( OWASP ) oferece recursos abertos e gratuitos. É liderado por uma organização sem fins lucrativos chamada The OWASP Foundation. O OWASP Top 10 - 2017 é o resultado publicado de uma pesquisa recente com base em dados abrangentes compilados de mais de 40 organizações parceiras. A partir desses dados, aproximadamente 2,3 milhões de vulnerabilidades foram descobertas em mais de 50.000 aplicativos. De acordo com o OWASP Top 10 - 2017, os dez riscos de segurança de aplicativos da web mais críticos incluem:

  1. Injeção
  2. Autenticação quebrada
  3. Exposição de dados sensíveis
  4. Entidades externas XML (XXE)
  5. Controle de acesso quebrado
  6. Configuração incorreta de segurança
  7. Scripts entre sites (XSS)
  8. Desserialização insegura
  9. Usando componentes com vulnerabilidades conhecidas
  10. Registro e monitoramento insuficientes

Recomendação de melhores práticas

O desenvolvimento seguro de aplicativos da web deve ser aprimorado pela aplicação de pontos de verificação e técnicas de segurança nos estágios iniciais de desenvolvimento, bem como em todo o ciclo de vida de desenvolvimento de software . Ênfase especial deve ser aplicada à fase de codificação de desenvolvimento. Os mecanismos de segurança que devem ser usados ​​incluem modelagem de ameaças, análise de risco , análise estática , análise dinâmica , análise interativa, entre outros.

Padrões de segurança

OWASP é o órgão de padrões emergentes para segurança de aplicativos da web. Em particular, eles publicaram o OWASP Top 10, que descreve em detalhes as principais ameaças contra aplicativos da web. O Web Application Security Consortium (WASC) criou o Web Hacking Incident Database (WHID) e também produziu documentos de melhores práticas de código aberto sobre segurança de aplicativos da web. O WHID se tornou um projeto OWASP em fevereiro de 2014.

Tecnologia de segurança

Embora a segurança seja fundamentalmente baseada em pessoas e processos, há uma série de soluções técnicas a serem consideradas ao projetar, construir e testar aplicativos da web seguros. Em um alto nível, essas soluções incluem:

Veja também

Referências

  1. ^ "Visão geral da segurança do aplicativo da Web" . 23/10/2015.
  2. ^ Korolov, Maria (27 de abril de 2017). "O mais recente OWASP Top 10 olha para APIs, aplicativos da web: a nova lista do OWASP Top 10 foi lançada e, embora a maior parte dela permaneça a mesma, há novas adições com foco em aplicativos da web e APIs". CSO . ProQuest  1892694046 .
  3. ^ "OWASP Top 10 - 2017: Os dez riscos mais críticos para a segurança de aplicativos da Web" (PDF) . Abra o projeto de segurança de aplicativos da Web . 2017 . Recuperado em 30 de junho de 2018 .
  4. ^ Shuaibu, Bala Musa; Norwawi, Norita Md; Selamat, Mohd Hasan; Al-Alwani, Abdulkareem (2013-01-17). "Revisão sistemática do modelo de desenvolvimento de segurança de aplicativos web". Revisão de Inteligência Artificial . 43 (2): 259–276. doi : 10.1007 / s10462-012-9375-6 . ISSN  0269-2821 . S2CID  15221613 .
  5. ^ OWASP Top 10
  6. ^ "O Projeto WHID é agora um Projeto Conjunto WASC / OWASP" . WASC. 18 de fevereiro de 2014.
  7. ^ "Scanners de vulnerabilidade de aplicativos da Web" . NIST.
  8. ^ "Analisadores de segurança do código fonte" . NIST.
  9. ^ "Fuzzing" . OWASP.
  10. ^ "Firewalls de aplicativos da Web para segurança e conformidade regulatória" . Blog do TestingXperts. Março de 2017.