Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web
Autor(a) principal: | |
---|---|
Data de Publicação: | 2018 |
Tipo de documento: | Trabalho de conclusão de curso |
Idioma: | por |
Título da fonte: | Repositório Institucional da UFRN |
Texto Completo: | https://repositorio.ufrn.br/handle/123456789/43644 |
Resumo: | Com o advento da Internet, as pessoas e empresas têm se tornado dependentes das aplicações web. Diante disso, se faz necessário o desenvolvimento seguro dessas aplicações, uma vez que o impacto causado por uma falha de segurança se torna cada vez maior, em consequência desta dependência. Atrelado a isso, o número de hackers também vem aumentando rapidamente. Assim sendo, para garantir esta segurança, são utilizados métodos como boas práticas de desenvolvimento e testes de invasão (pentest). Nestes dois casos, as ferramentas de busca de vulnerabilidade web são bastante empregadas, principalmente para a realização de testes do tipo black-box. No entanto, até mesmo estas ferramentas precisam ser bem selecionadas, para se atingir o objetivo esperado. Este trabalho tem como objetivo avaliar algumas das principais ferramentas de busca de vulnerabilidade web de código aberto, tais como OWASP ZAP, Paros, SkipFish e Vega. Estas ferramentas foram executadas sobre duas aplicações web intencionalmente vulneráveis e os relatórios produzidos foram comparados com a lista de vulnerabilidades de cada aplicação. Além disso, é apresentada uma pequena explicação das ferramentas e das principais vulnerabilidades abordadas nas práticas, e em seguida são mostrados os cenários utilizados e os dados obtidos. Ao final, são mostrados pontos positivos e negativos de cada ferramenta, as dificuldades encontradas e ideias para se obter melhores resultados com trabalhos futuros. |
id |
UFRN_bf33243efe99db74f6adfa19092c6f51 |
---|---|
oai_identifier_str |
oai:https://repositorio.ufrn.br:123456789/43644 |
network_acronym_str |
UFRN |
network_name_str |
Repositório Institucional da UFRN |
repository_id_str |
|
spelling |
Azevedo, Daniel Galvão deMarco VieiraLima Filho, Francisco Sales deViegas, Carlos Manuel Dias2018-12-26T11:29:42Z2021-10-06T11:52:03Z2018-12-26T11:29:42Z2021-10-06T11:52:03Z2018-12-102016008193AZEVEDO, Daniel Galvão de. Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web. 2018. 60f. Trabalho de Conclusão de Curso (Graduação em Engenharia de Computação) - Centro de Tecnologia, Departamento de Engenharia de Computação e Automação, Universidade Federal do Rio Grande do Norte, Natal, 2018.https://repositorio.ufrn.br/handle/123456789/43644Com o advento da Internet, as pessoas e empresas têm se tornado dependentes das aplicações web. Diante disso, se faz necessário o desenvolvimento seguro dessas aplicações, uma vez que o impacto causado por uma falha de segurança se torna cada vez maior, em consequência desta dependência. Atrelado a isso, o número de hackers também vem aumentando rapidamente. Assim sendo, para garantir esta segurança, são utilizados métodos como boas práticas de desenvolvimento e testes de invasão (pentest). Nestes dois casos, as ferramentas de busca de vulnerabilidade web são bastante empregadas, principalmente para a realização de testes do tipo black-box. No entanto, até mesmo estas ferramentas precisam ser bem selecionadas, para se atingir o objetivo esperado. Este trabalho tem como objetivo avaliar algumas das principais ferramentas de busca de vulnerabilidade web de código aberto, tais como OWASP ZAP, Paros, SkipFish e Vega. Estas ferramentas foram executadas sobre duas aplicações web intencionalmente vulneráveis e os relatórios produzidos foram comparados com a lista de vulnerabilidades de cada aplicação. Além disso, é apresentada uma pequena explicação das ferramentas e das principais vulnerabilidades abordadas nas práticas, e em seguida são mostrados os cenários utilizados e os dados obtidos. Ao final, são mostrados pontos positivos e negativos de cada ferramenta, as dificuldades encontradas e ideias para se obter melhores resultados com trabalhos futuros.With the advent of the Internet, people and businesses have become dependent on web applications. In view of this, it is necessary to safely develop these applications, since the impact caused by a security flaw continues increasing, as a consequence of this dependence. Linked to this, the number of hackers is also increasing rapidly. Thus, to ensure this security, methods such as good development practices and penetration testing (pestest) are used. In these two cases, web vulnerability scanner tools are widely used, mainly for black-box type tests. However, even these tools need to be well-selected in order to achieve the expected goal. This work aims to evaluate some of the main open-source Web Vulnerability Scanners, such as ZAP, Paros, SkipFish and Vega. These scanners were run on two intentionally vulnerable web applications and the produced Reports were compared with the list of vulnerabilities of each application. Besides, a brief explanation of the tools and main vulnerabilities addressed in the practices are given, and the scenarios used and the data obtained are shown below. Finally, positive and negative points of each tool are shown, difficulties encountered and ideas for better results with future works.Universidade Federal do Rio Grande do NorteUFRNBrasilEngenharia de ComputaçãoAttribution-NonCommercial-NoDerivs 3.0 Brazilhttp://creativecommons.org/licenses/by-nc-nd/3.0/br/info:eu-repo/semantics/openAccessSegurança da informaçãoFerramentas de varredura de vulnerabilidadesAplicações webUm estudo sobre ferramentas de busca de vulnerabilidades em aplicações webinfo:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/bachelorThesisporreponame:Repositório Institucional da UFRNinstname:Universidade Federal do Rio Grande do Norte (UFRN)instacron:UFRNCC-LICENSElicense_rdfapplication/octet-stream811https://repositorio.ufrn.br/bitstream/123456789/43644/1/license_rdfe39d27027a6cc9cb039ad269a5db8e34MD51ORIGINALUmEstudoSobreFerramentas_Azevedo_2018.pdfTrabalhodeConclusaodeCurso_DanielGalvao_2018application/pdf2428309https://repositorio.ufrn.br/bitstream/123456789/43644/2/UmEstudoSobreFerramentas_Azevedo_2018.pdf3a74e26cb975fde15a429085f6a68d7cMD52LICENSElicense.txttext/plain714https://repositorio.ufrn.br/bitstream/123456789/43644/3/license.txt7278bab9c5c886812fa7d225dc807888MD53TEXTUmEstudoSobreFerramentas_Azevedo_2018.pdf.txtExtracted texttext/plain75359https://repositorio.ufrn.br/bitstream/123456789/43644/4/UmEstudoSobreFerramentas_Azevedo_2018.pdf.txt59d3b97e31eb438e1098e12202d33941MD54123456789/436442021-10-06 08:52:03.403oai:https://repositorio.ufrn.br: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ório de PublicaçõesPUBhttp://repositorio.ufrn.br/oai/opendoar:2021-10-06T11:52:03Repositório Institucional da UFRN - Universidade Federal do Rio Grande do Norte (UFRN)false |
dc.title.pt_BR.fl_str_mv |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
title |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
spellingShingle |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web Azevedo, Daniel Galvão de Segurança da informação Ferramentas de varredura de vulnerabilidades Aplicações web |
title_short |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
title_full |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
title_fullStr |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
title_full_unstemmed |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
title_sort |
Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web |
author |
Azevedo, Daniel Galvão de |
author_facet |
Azevedo, Daniel Galvão de |
author_role |
author |
dc.contributor.referees1.none.fl_str_mv |
Lima Filho, Francisco Sales de |
dc.contributor.author.fl_str_mv |
Azevedo, Daniel Galvão de |
dc.contributor.advisor-co1.fl_str_mv |
Marco Vieira |
dc.contributor.advisor1.fl_str_mv |
Viegas, Carlos Manuel Dias |
contributor_str_mv |
Marco Vieira Viegas, Carlos Manuel Dias |
dc.subject.por.fl_str_mv |
Segurança da informação Ferramentas de varredura de vulnerabilidades Aplicações web |
topic |
Segurança da informação Ferramentas de varredura de vulnerabilidades Aplicações web |
description |
Com o advento da Internet, as pessoas e empresas têm se tornado dependentes das aplicações web. Diante disso, se faz necessário o desenvolvimento seguro dessas aplicações, uma vez que o impacto causado por uma falha de segurança se torna cada vez maior, em consequência desta dependência. Atrelado a isso, o número de hackers também vem aumentando rapidamente. Assim sendo, para garantir esta segurança, são utilizados métodos como boas práticas de desenvolvimento e testes de invasão (pentest). Nestes dois casos, as ferramentas de busca de vulnerabilidade web são bastante empregadas, principalmente para a realização de testes do tipo black-box. No entanto, até mesmo estas ferramentas precisam ser bem selecionadas, para se atingir o objetivo esperado. Este trabalho tem como objetivo avaliar algumas das principais ferramentas de busca de vulnerabilidade web de código aberto, tais como OWASP ZAP, Paros, SkipFish e Vega. Estas ferramentas foram executadas sobre duas aplicações web intencionalmente vulneráveis e os relatórios produzidos foram comparados com a lista de vulnerabilidades de cada aplicação. Além disso, é apresentada uma pequena explicação das ferramentas e das principais vulnerabilidades abordadas nas práticas, e em seguida são mostrados os cenários utilizados e os dados obtidos. Ao final, são mostrados pontos positivos e negativos de cada ferramenta, as dificuldades encontradas e ideias para se obter melhores resultados com trabalhos futuros. |
publishDate |
2018 |
dc.date.accessioned.fl_str_mv |
2018-12-26T11:29:42Z 2021-10-06T11:52:03Z |
dc.date.available.fl_str_mv |
2018-12-26T11:29:42Z 2021-10-06T11:52:03Z |
dc.date.issued.fl_str_mv |
2018-12-10 |
dc.type.status.fl_str_mv |
info:eu-repo/semantics/publishedVersion |
dc.type.driver.fl_str_mv |
info:eu-repo/semantics/bachelorThesis |
format |
bachelorThesis |
status_str |
publishedVersion |
dc.identifier.pt_BR.fl_str_mv |
2016008193 |
dc.identifier.citation.fl_str_mv |
AZEVEDO, Daniel Galvão de. Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web. 2018. 60f. Trabalho de Conclusão de Curso (Graduação em Engenharia de Computação) - Centro de Tecnologia, Departamento de Engenharia de Computação e Automação, Universidade Federal do Rio Grande do Norte, Natal, 2018. |
dc.identifier.uri.fl_str_mv |
https://repositorio.ufrn.br/handle/123456789/43644 |
identifier_str_mv |
2016008193 AZEVEDO, Daniel Galvão de. Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web. 2018. 60f. Trabalho de Conclusão de Curso (Graduação em Engenharia de Computação) - Centro de Tecnologia, Departamento de Engenharia de Computação e Automação, Universidade Federal do Rio Grande do Norte, Natal, 2018. |
url |
https://repositorio.ufrn.br/handle/123456789/43644 |
dc.language.iso.fl_str_mv |
por |
language |
por |
dc.rights.driver.fl_str_mv |
Attribution-NonCommercial-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nc-nd/3.0/br/ info:eu-repo/semantics/openAccess |
rights_invalid_str_mv |
Attribution-NonCommercial-NoDerivs 3.0 Brazil http://creativecommons.org/licenses/by-nc-nd/3.0/br/ |
eu_rights_str_mv |
openAccess |
dc.publisher.none.fl_str_mv |
Universidade Federal do Rio Grande do Norte |
dc.publisher.initials.fl_str_mv |
UFRN |
dc.publisher.country.fl_str_mv |
Brasil |
dc.publisher.department.fl_str_mv |
Engenharia de Computação |
publisher.none.fl_str_mv |
Universidade Federal do Rio Grande do Norte |
dc.source.none.fl_str_mv |
reponame:Repositório Institucional da UFRN instname:Universidade Federal do Rio Grande do Norte (UFRN) instacron:UFRN |
instname_str |
Universidade Federal do Rio Grande do Norte (UFRN) |
instacron_str |
UFRN |
institution |
UFRN |
reponame_str |
Repositório Institucional da UFRN |
collection |
Repositório Institucional da UFRN |
bitstream.url.fl_str_mv |
https://repositorio.ufrn.br/bitstream/123456789/43644/1/license_rdf https://repositorio.ufrn.br/bitstream/123456789/43644/2/UmEstudoSobreFerramentas_Azevedo_2018.pdf https://repositorio.ufrn.br/bitstream/123456789/43644/3/license.txt https://repositorio.ufrn.br/bitstream/123456789/43644/4/UmEstudoSobreFerramentas_Azevedo_2018.pdf.txt |
bitstream.checksum.fl_str_mv |
e39d27027a6cc9cb039ad269a5db8e34 3a74e26cb975fde15a429085f6a68d7c 7278bab9c5c886812fa7d225dc807888 59d3b97e31eb438e1098e12202d33941 |
bitstream.checksumAlgorithm.fl_str_mv |
MD5 MD5 MD5 MD5 |
repository.name.fl_str_mv |
Repositório Institucional da UFRN - Universidade Federal do Rio Grande do Norte (UFRN) |
repository.mail.fl_str_mv |
|
_version_ |
1802117497323782144 |