Segurança em Aplicações Web

AVM FACULDADE INTEGRADA

PROGRAMA DE PÓS-GRADUAÇÃO

EM ENGENHARIA DE SOFTWARE

SEGURANÇA EM APLICAÇÕES WEB

ERIC LUCAS DE LIMA

Aracaju

2013

ERIC LUCAS DE LIMA

SEGURANÇA EM APLICAÇÕES WEB

Projeto de pesquisa apresentado na disciplina de Trabalho de Conclusão de Curso - Programa de Pós-graduação em Engenharia de Software da AVM Faculdade Integrada, sob a orientação da Professora Ludmilla Flôres.

Aracaju

2013

SUMÁRIO

1.TEMA        

2.PROBLEMA        

3.JUSTIFICATIVA        

4.OBJETIVOS        

4.1.Objetivo Geral        

4.2.Objetivos específicos        

5.REVISÃO DA LITERATURA        

6.METODOLOGIA        

7.REFERÊNCIAS        

1.TEMA

        Os princípios fundamentais de segurança necessários ao desenvolvimento de aplicações Web.

2.PROBLEMA

Seguindo a tendência da modernização, novos serviços são constantemente disponibilizados na internet, muitos em sua grande maioria com informações privativas e sigilosas, mas, em virtude da necessidade de um rápido desenvolvimento, a qualidade da aplicação Web geralmente não prioriza a segurança, produzindo como consequência um software frágil e potencial alvo de hackers da Internet. Vivo (VIVO et al., 1998), esclarece que a Internet foi desenvolvida por meio de esforços acadêmicos, objetivando o compartilhamento de informações, e dentre alguns componentes da Internet, a segurança foi conscientemente tratada para facilitar o compartilhamento dos dados, entretanto, esta “liberdade” negociada estimula, indiretamente, a fraqueza dos softwares. Dessa maneira, junto com a falta de conhecimento prévio do assunto, uma grande quantidade de usuários está vulnerável aos ataques virtuais.

Assim posto, devemos nos perguntar, o nível de segurança é adequado ao sistema de informação que está sendo disponibilizado na Web? Quais mecanismos estão sendo utilizados para potencializar a segurança do sistema na Internet? Existe algum padrão de segurança adotado no sistema? Essas perguntas necessitam de respostas em conjunto, a fim de assegurar o melhor desenvolvimento de aplicações modernas.

3.JUSTIFICATIVA

Com a popularização constante da grande rede mundial de comunicações, a Internet, e toda a facilidade que esta provê para disponibilização de informações, o desenvolvimento de aplicações para esta plataforma, Web, também cresce a passos largos.

Nesse cenário, é importante perceber que com a mesma intensidade que é facilitado o acesso as serviços e sistemas, a segurança se torna mais frágil em um ambiente tão vasto e inseguro como o da Internet.

É imprescindível um conjunto básico de normas para o desenvolvimento de um sistema Web seguro em relação ao nível de sigilo percebido na aplicação.

4.OBJETIVOS

4.1.Objetivo Geral

Analisar e avaliar as modernas metodologias de desenvolvimento de aplicações Web, direcionando o estudo para a área de segurança da informação.

4.2.Objetivos específicos

Listar as principais vulnerabilidades dos sistemas Web, bem como descrever mecanismos para impedir ou dificultar os acessos indevidos.

Elaborar um fluxo de validação, capaz de verificar o nível de segurança e garantir o mínimo necessário para a disponibilização do sistema na Web.

5.REVISÃO DA LITERATURA

        No âmbito computacional, o desenvolvimento de aplicações geralmente esteve direcionado a uma infraestrutura fechada de uma empresa, onde o acesso estava restrito somente aos funcionários ou pessoas dentro de suas instalações. Com o advento da Internet, um novo mundo se abriu, e a facilidade de se disponibilizar aplicativos para qualquer usuário da grande rede se tornou um grande diferencial. Em contrapartida, a segurança nesse novo ambiente precisa ser muito bem estudada, pois, conforme Wadlow e Vlad (WADLOW; GORELIK, 2009), os browsers, ou navegadores, são o centro da experiência com a Internet e, consequentemente, o centro de muitos dos problemas de segurança que afligem os usuários e desenvolvedores de aplicações Web.

        Conforme Salomon (SALOMON,2003), a insegurança das aplicações Web associado ao pensamento de que nenhum intruso descobrirá suas vulnerabilidades, pode ou irá resultar em um risco ainda maior, pois será uma questão de tempo para que algum invasor descubra brechas na aplicação. Os prejuízos podem ser tanto financeiros quanto morais.

        No âmbito de segurança, autores importantes como Stallings (STALLINGS, 2007) descrevem o padrão Recomendation X.800 (ITU-T, 1991) junto com as especificações da ISO (ISO, 2013) (International Organization for Standardization), como os serviços de segurança para garantir uma proteção adequada na transferência de dados entre sistemas. São eles:

a. Autenticação

Para garantir a veracidade do elemento da comunicação, podendo confirmar a identidade de uma pessoa, as origens de um objeto ou assegurar se algum software é confiável. Em suma, deve garantir se cada entidade é realmente o que declara ser.

b. Confidencialidade

Definida pela ISO como a garantia de que a informação seja somente acessível entre os indivíduos autorizados. Este serviço é a essência dos sistemas criptográficos, colocando em prática as modernas técnicas de codificação. A confidencialidade é necessária, mas não o suficientemente para manter a privacidade das informações.

...