Análise e Levantamento de Vulnerabilidades de Segurança da Informação nos Portais ZZ da ZZ

Autores

  • Ronaldo Luiz Ransan Universidade de Caxias do Sul (UCS)
  • Marcos Vinicius Rossetto Universidade de Caxias do Sul (UCS)
  • Scheila de Avila e Silva Universidade de Caxias do Sul (UCS)

Palavras-chave:

Top Ten OWASP, Ferramentas Open Source, PenTest, Análise de Vulnerabilidades, Segurança da Informação

Resumo

A Segurança da Informação é uma preocupação tanto em ambientes empresariais como em pesquisas científicas. Nesse sentido, o presente trabalho teve como objetivo identificar a existência de vulnerabilidades web nos portais ZZZZ, por meio de ferramentas open source. Para isso, foi realizado o escaneamento dos sites utilizando estas seis ferramentas: OpenVas, OWASP ZAP, SQLMap, Nikto, Skipfish e W3af. O documento Top Ten OWASP, junto com algumas das demais metodologias apresentadas pelo projeto OWASP, foi tomado como referência a fim de identificar o grau de risco de cada uma das cinco vulnerabilidades detectadas, bem como para sugerir uma solução genérica às implementações futuras nos sites. Verificou-se que cada uma das soluções testadas apresentou um desempenho diferente em relação à outra, sugerindo que ao realizar este tipo de trabalho é necessário utilizar o máximo de ferramentas possíveis para abranger o maior número possível de tipos de vulnerabilidades existentes.

Biografia do Autor

Marcos Vinicius Rossetto, Universidade de Caxias do Sul (UCS)

Doutorando em Biotecnologia pela Universidade de Caxias do Sul (desde 2020), atuo como pesquisador no laboratório de biologia computacional e bioinformática. Sou Mestre em Biotecnologia pela Universidade de Caxias do Sul (2017-2019) e Bacharel em Sistemas de Informação pela mesma instituição (2016). Minha experiência acadêmica abrange pesquisas voltadas para o desenvolvimento de softwares aplicados à análise de dados biológicos, incluindo análise de dados de expressão gênica obtidos em repositórios públicos. Atualmente, minha pesquisa de doutorado foca no estudo de dados de pacientes com COVID-19, buscando analisar seus perfis e implementar técnicas de inteligência artificial para melhor compreensão e tratamento da doença. Tenho interesse nas áreas de Bioinformática, Biotecnologia, Sistemas de Informação, Integração de Bases de Dados, Inteligência Artificial, Câncer Gástrico e COVID-19.

Scheila de Avila e Silva , Universidade de Caxias do Sul (UCS)

Possui graduação em Gestão da Tecnologia da Informação (Unisinos) e em Ciências Biológicas (Universidade de Caxias do Sul), Mestrado em Computação Aplicada (Unisinos) e Doutorado em Biotecnologia (Universidade de Caxias do Sul). Atualmente é professora adjunta na Universidade de Caxias do Sul, nos níveis de graduação e pós-graduação. É membro do corpo docente permanente do Programa de Pós-Graduação em Biotecnologia e do Programa de Pós-Graduação em Saúde Animal. Atua como pesquisadora do Núcleo de pesquisa em Bioinformática e coordena projetos de pesquisa no Laboratório de Biologia Computacional e Bioinformática. Possui experiência em análise de dados e integração de bases de dados biológicos, além da aplicação de técnicas de inteligência artificial em dados genômicos. Os atuais projetos de pesquisa estão relacionados ao problema de predição de promotores bacterianos e anotação genômica. Atua como revisora ad hoc em mais de 10 revistas internacionais e nacionais e como orientadora de alunos de iniciação científica, graduação, especialização, mestrado e doutorado. É autora de mais de 15 artigos indexados na Web of Science, mais de 12 artigos indexados no Scopus e de mais de 15 artigos e capítulos de livro em língua portuguesa. Possui uma patente de invenção e 6 registros de software junto ao INPI. É membro do Comitê Gestor da Comissão Especial de Sistemas de Informação (CE-SI) da Sociedade Brasileira de Computação e do corpo editorial da Revista Brasileira de Sistemas de Informação e da Revista Interdisciplinar em Ciência Aplicada.

Referências

ABNT (Associação Brasileira de Normas Técnicas). NBR 27002: Tecnologia da informação - Técnicas de Segurança - Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.

ABNT (Associação Brasileira de Normas Técnicas). NBR 27032: Tecnologia da Informação - Técnicas de segurança - Diretriz para segurança cibernética. Rio de Janeiro: ABNT, 2015.

ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali. Linux: assuring security by penetration testing. Birmingham: Packt Publishing Ltd, 2014.

ASSUNÇÃO, M. F. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014.

BERTOGLIO, D. D.; ZORZO, A. F. Tramonto: uma estratégia de recomendações para testes de penetração. In: Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 16, 2016, Niterói. Anais.... Niterói: Sociedade Brasileira de Computação, 2016.

CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos. Florianópolis: Visual Books, 2006.

ENGEBRETSON, P. Introdução ao Hacking e aos Testes de Invasão. São Paulo: Novatec, 2014.

FERREIRA, F. N. F.; ARAUJO, M. T. Política de segurança da informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008.

FONTES, E. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.

GOODRICH, Michael T.; TAMASSIA, Roberto. Introdução à segurança de computadores. Porto Alegre: Bookman, 2012.

MAMEDE, H. S. Segurança Informática nas Organizações. Lisboa: FCA - Editora de Informática, 2006.

MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S - Tecnologias, Infraestrutura e Software. v. 3, n. 1, p. 34-44, 2014.

MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation, 2008. Disponível em: <https://owasp.org/www-pdf-archive/OWASP_Testing_Guide_v3.pdf >. Acesso em: 20 de nov. de 2020.

PADUA FILHO, W. de P. Engenharia de software. 3. ed. Rio de Janeiro: LTC, 2008.

RIOS, E.; MOREIRA, T. Teste de Software. 3, ed. Rio de Janeiro: Alta Books Editora, 2006.

SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. 2. ed. Porto Alegre: Elsevier (2014).

STALLINGS, W. Redes e sistemas de comunicação de dados. Rio de Janeiro: GEN LTC, 2016.

KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.

WEIDMAN, Georgia. Penetration testing: a hands-on introduction to hacking. San Francisco: No Starch Press, 2014.

Downloads

Publicado

30.06.2021

Como Citar

Luiz Ransan, R., Vinicius Rossetto, M., & de Avila e Silva , S. (2021). Análise e Levantamento de Vulnerabilidades de Segurança da Informação nos Portais ZZ da ZZ. Revista Tecnia, 6(1), 95–118. Recuperado de https://periodicos.ifg.edu.br/tecnia/article/view/1010

Edição

v. 6 n. 1 (2021): Revista Tecnia

Seção

Ciências Exatas e da Terra

Licença

Copyright (c) 2021 Revista Tecnia

Creative Commons License
Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.

Os autores que publicam nesta revista concordam com os seguintes termos:

  • Os (as) autores (as) mantêm os direitos autorais de seus trabalhos, concedendo à revista o direito de primeira publicação. As obras são licenciadas sob a licença Creative Commons (CC-BY-4.0), que permite o compartilhamento do conteúdo, desde que haja o devido reconhecimento da autoria e da publicação original nesta revista.

  • É permitido aos (as) autores (as) firmar acordos adicionais, de forma independente, para distribuição não exclusiva da versão publicada do trabalho (por exemplo, em repositórios institucionais ou como capítulo de livro), desde que seja mencionada a autoria e a publicação original na Tecnia.

  • Os (as) autores (as) têm liberdade e são incentivados a disponibilizar e divulgar seus trabalhos em plataformas online (como repositórios institucionais ou páginas pessoais), visto que essa prática pode favorecer contribuições relevantes, além de ampliar a visibilidade e o impacto da publicação.