Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração

Detalhes bibliográficos
Autor(a) principal: Novaski Neto, David
Data de Publicação: 2019
Tipo de documento: Dissertação
Idioma: por
Título da fonte: Repositório Institucional da UFPR
Texto Completo: https://hdl.handle.net/1884/65693
Resumo: Orientadora: Profa. Dra. Letícia Mara Peres
id UFPR_87973ab359462d9f8f0db6df64d1020d
oai_identifier_str oai:acervodigital.ufpr.br:1884/65693
network_acronym_str UFPR
network_name_str Repositório Institucional da UFPR
repository_id_str 308
spelling Novaski Neto, DavidPeres, Leticia Mara, 1972-Grégio, André Ricardo Abed, 1983-Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática2021-06-21T19:10:44Z2021-06-21T19:10:44Z2019https://hdl.handle.net/1884/65693Orientadora: Profa. Dra. Letícia Mara PeresCoorientador: Prof. Dr. André GrégioDissertação (mestrado) - Universidade Federal do Paraná, Setor de Ciências Exatas, Programa de Pós-Graduação em Informática. Defesa : Curitiba, 14/08/2019Inclui referências: p. 66-72Área de concentração: Ciência da ComputaçãoResumo: As aplicações Web evoluíram de somente apresentar páginas estáticas para aplicações transacionais que suportam conteúdo dinâmico, na qual diversas organizações oferecem seus serviços pela Internet, muito deles considerados críticos, como serviços financeiros. Em função da criticidade destes serviços, as aplicações Web são alvos de constantes ataques. Neste sentido, testes de segurança devem ser executados visando tornar as aplicações Web mais seguras. Diante deste contexto, o objetivo deste trabalho é levantar e explorar pela execução ferramentas de código aberto para testes de intrusão em aplicaçõesWeb, abordando o estado das ferramentas em relação ao panorama de tecnologias Web e aspectos relacionados à integração entre as ferramentas. A partir do estudo dos riscos presentes em todas as publicações do projeto OWASP Top 10, identifica-se que o principal problema de segurança em aplicações Web é ocasionado pela falta de validação nos dados de entrada, assim, foram selecionadas três vulnerabilidades para serem exploradas: Injeção de SQL (A1), Cross Site Scripting (A7) e Entidades Externas de XML (A4). O alvo selecionado para execução dos testes de intrusão foi a aplicação WebGoat, a qual trata-se de uma Single-Page Application. Foram encontradas 104 ferramentas de código aberto para execução de testes de intrusão em aplicaçõesWeb, com foco nas etapas de análise e exploração de vulnerabilidades da metodologia PTES. Dentre as 104 ferramentas, foram selecionadas 14 para serem aplicadas na execução dos testes de intrusão, a saber: Arachni, Beef, Htcap, IronWASP, Metasploit, Skipfish, SQLMap, Vega, W3af, Wapiti, Wfuzz, XSSer, Xenotix e ZAP. O resultados dos testes indicam que o componente crawler das ferramentas não está preparado para trabalhar com aplicações Single-Page Application, uma vez que somente duas ferramentas conseguem obter os pontos de entrada da aplicação WebGoat, a saber: Arachni e Htcap. O componente de detecção teve baixo percentual de identificação, somente as ferramentas IronWASP, Vega, ZAP e SQLmap detectaram a vulnerabilidade Injeção de SQL, enquanto que a vulnerabilidade XSS refletido, somente foi detectada pelas ferramentas ZAP e Xenotix. Nenhuma das ferramentas detectou as vulnerabilidades XSS armazenado, XSS DOM e XXE. As ferramentas para explorar Cross Site Scripting não foram avaliadas em função das validações que a aplicação WebGoat implementa. Com relação à vulnerabilidade XXE, não foi encontrada nenhuma ferramenta para explorá-la. Somente foi possível executar um teste de intrusão completo na vulnerabilidade Injeção de SQL, e para executá-lo foi necessário aplicar três ferramentas distintas, a saber: wapiti-getcookie, Htcap e SQLmap. A primeira ferramenta foi utilizada para obter o identificador de sessão, a segunda para obter os pontos de entrada e a terceira para detectar e explorar a vulnerabilidade. Como resultado da exploração, a ferramenta SQLmap forneceu uma cópia dos dados da aplicação. Palavras-chave: segurança Web, vulnerabilidade, teste de intrusãoAbstract: Web applications have progressed from an application that only rendered static pages to a transactional application, in which several organizations offer their services over the Internet, much of them considered critical, such as financial services. Due to the criticality of these services, Web applications are the targets of constant attacks. In this sense, security testing should be performed to make Web applications more secure. In this context, the objective of this work is to raise and explore by running open source tools for pen test in Web applications, addressing the state of the tools in relation to theWeb technologies scenario and aspects related to integration between the tools. From the study of risks present in all publications of the OWASP Top 10 project, it is identified that the main security problem in Web applications is caused by the lack of validation in the input data. Three vulnerabilities were selected to be exploited related to this problem: SQL Injection (A1), Cross Site Scripting (A7) and XML External Entities (A4). The target selected to perform the pen tests was the WebGoat application, which is a Single-Page Application. 104 open source tools have been found to perform pen tests on Web applications, focusing on the steps of analysis and exploitation of vulnerabilities of PTES methodology. Among the 104 tools, 14 were selected to be applied in the execution of the pen tests. The tools applied in the tests were Arachni, Beef, Htcap, IronWASP, Metasploit, Skipfish, SQLMap, Vega, W3af, Wapiti, Wfuzz, XSSer, Xenotix and ZAP. The results of the tests demonstrated that the tool's crawler component is not prepared to work with Single-Page Application, since only two tools are able to obtain WebGoat application entry points: Arachni and Htcap. The detection component had a low percentage of identification, only the IronWASP, Vega, ZAP, and SQLmap tools detected the SQL Injection vulnerability, while the XSS vulnerability was only detected by the ZAP and Xenotix tools. None of the tools detected the stored XSS, XSS DOM, and XXE vulnerabilities. The tools for exploring Cross Site Scripting have not been evaluated because of the validations that the WebGoat application implements. About the XXE vulnerability, no tool was found to exploit it. It was only possible to perform a full pen test on the SQL Injection vulnerability, and in order to execute it, it was necessary to apply three different tools: wapiti-getcookie, Htcap, and SQLmap. The first tool was used to obtain the session identifier, the second tool to obtain the entry points, and the third tool to detect and exploit the vulnerability. As a result of the exploit, the SQLmap tool provided a copy of the application data. Keywords: Web security, vulnerability, pen test90 p. : il. (algumas color.).application/pdfInternetComputadores - Medidas de segurançaCiência da ComputaçãoWeb (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploraçãoinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesisporreponame:Repositório Institucional da UFPRinstname:Universidade Federal do Paraná (UFPR)instacron:UFPRinfo:eu-repo/semantics/openAccessORIGINALR - D - DAVID NOVASKI NETO.pdfapplication/pdf3319998https://acervodigital.ufpr.br/bitstream/1884/65693/1/R%20-%20D%20-%20DAVID%20NOVASKI%20NETO.pdf878b5f490e57035975ae9e328182b33dMD51open access1884/656932021-06-21 16:10:44.694open accessoai:acervodigital.ufpr.br:1884/65693Repositório de PublicaçõesPUBhttp://acervodigital.ufpr.br/oai/requestopendoar:3082021-06-21T19:10:44Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)false
dc.title.pt_BR.fl_str_mv Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
title Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
spellingShingle Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
Novaski Neto, David
Internet
Computadores - Medidas de segurança
Ciência da Computação
title_short Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
title_full Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
title_fullStr Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
title_full_unstemmed Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
title_sort Web (eternamente) revisitada : análise de vulnerabilidades web e de ferramentas de código aberto para exploração
author Novaski Neto, David
author_facet Novaski Neto, David
author_role author
dc.contributor.other.pt_BR.fl_str_mv Peres, Leticia Mara, 1972-
Grégio, André Ricardo Abed, 1983-
Universidade Federal do Paraná. Setor de Ciências Exatas. Programa de Pós-Graduação em Informática
dc.contributor.author.fl_str_mv Novaski Neto, David
dc.subject.por.fl_str_mv Internet
Computadores - Medidas de segurança
Ciência da Computação
topic Internet
Computadores - Medidas de segurança
Ciência da Computação
description Orientadora: Profa. Dra. Letícia Mara Peres
publishDate 2019
dc.date.issued.fl_str_mv 2019
dc.date.accessioned.fl_str_mv 2021-06-21T19:10:44Z
dc.date.available.fl_str_mv 2021-06-21T19:10:44Z
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://hdl.handle.net/1884/65693
url https://hdl.handle.net/1884/65693
dc.language.iso.fl_str_mv por
language por
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.format.none.fl_str_mv 90 p. : il. (algumas color.).
application/pdf
dc.source.none.fl_str_mv reponame:Repositório Institucional da UFPR
instname:Universidade Federal do Paraná (UFPR)
instacron:UFPR
instname_str Universidade Federal do Paraná (UFPR)
instacron_str UFPR
institution UFPR
reponame_str Repositório Institucional da UFPR
collection Repositório Institucional da UFPR
bitstream.url.fl_str_mv https://acervodigital.ufpr.br/bitstream/1884/65693/1/R%20-%20D%20-%20DAVID%20NOVASKI%20NETO.pdf
bitstream.checksum.fl_str_mv 878b5f490e57035975ae9e328182b33d
bitstream.checksumAlgorithm.fl_str_mv MD5
repository.name.fl_str_mv Repositório Institucional da UFPR - Universidade Federal do Paraná (UFPR)
repository.mail.fl_str_mv
_version_ 1813898794923720704