Análise e Levantamento de Vulnerabilidades de Segurança da Informação nos Portais ZZ da ZZ
Palavras-chave:
Top Ten OWASP, Ferramentas Open Source, PenTest, Análise de Vulnerabilidades, Segurança da InformaçãoResumo
A Segurança da Informação é uma preocupação tanto em ambientes empresariais como em pesquisas científicas. Nesse sentido, o presente trabalho teve como objetivo identificar a existência de vulnerabilidades web nos portais ZZZZ, por meio de ferramentas open source. Para isso, foi realizado o escaneamento dos sites utilizando estas seis ferramentas: OpenVas, OWASP ZAP, SQLMap, Nikto, Skipfish e W3af. O documento Top Ten OWASP, junto com algumas das demais metodologias apresentadas pelo projeto OWASP, foi tomado como referência a fim de identificar o grau de risco de cada uma das cinco vulnerabilidades detectadas, bem como para sugerir uma solução genérica às implementações futuras nos sites. Verificou-se que cada uma das soluções testadas apresentou um desempenho diferente em relação à outra, sugerindo que ao realizar este tipo de trabalho é necessário utilizar o máximo de ferramentas possíveis para abranger o maior número possível de tipos de vulnerabilidades existentes.
Referências
ABNT (Associação Brasileira de Normas Técnicas). NBR 27002: Tecnologia da informação - Técnicas de Segurança - Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.
ABNT (Associação Brasileira de Normas Técnicas). NBR 27032: Tecnologia da Informação - Técnicas de segurança - Diretriz para segurança cibernética. Rio de Janeiro: ABNT, 2015.
ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali. Linux: assuring security by penetration testing. Birmingham: Packt Publishing Ltd, 2014.
ASSUNÇÃO, M. F. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014.
BERTOGLIO, D. D.; ZORZO, A. F. Tramonto: uma estratégia de recomendações para testes de penetração. In: Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 16, 2016, Niterói. Anais.... Niterói: Sociedade Brasileira de Computação, 2016.
CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos. Florianópolis: Visual Books, 2006.
ENGEBRETSON, P. Introdução ao Hacking e aos Testes de Invasão. São Paulo: Novatec, 2014.
FERREIRA, F. N. F.; ARAUJO, M. T. Política de segurança da informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008.
FONTES, E. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
GOODRICH, Michael T.; TAMASSIA, Roberto. Introdução à segurança de computadores. Porto Alegre: Bookman, 2012.
MAMEDE, H. S. Segurança Informática nas Organizações. Lisboa: FCA - Editora de Informática, 2006.
MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S - Tecnologias, Infraestrutura e Software. v. 3, n. 1, p. 34-44, 2014.
MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation, 2008. Disponível em: <https://owasp.org/www-pdf-archive/OWASP_Testing_Guide_v3.pdf >. Acesso em: 20 de nov. de 2020.
PADUA FILHO, W. de P. Engenharia de software. 3. ed. Rio de Janeiro: LTC, 2008.
RIOS, E.; MOREIRA, T. Teste de Software. 3, ed. Rio de Janeiro: Alta Books Editora, 2006.
SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. 2. ed. Porto Alegre: Elsevier (2014).
STALLINGS, W. Redes e sistemas de comunicação de dados. Rio de Janeiro: GEN LTC, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
WEIDMAN, Georgia. Penetration testing: a hands-on introduction to hacking. San Francisco: No Starch Press, 2014.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Copyright (c) 2021 Revista Tecnia

Este trabalho está licenciado sob uma licença Creative Commons Attribution 4.0 International License.
Os autores que publicam nesta revista concordam com os seguintes termos:
-
Os (as) autores (as) mantêm os direitos autorais de seus trabalhos, concedendo à revista o direito de primeira publicação. As obras são licenciadas sob a licença Creative Commons (CC-BY-4.0), que permite o compartilhamento do conteúdo, desde que haja o devido reconhecimento da autoria e da publicação original nesta revista.
-
É permitido aos (as) autores (as) firmar acordos adicionais, de forma independente, para distribuição não exclusiva da versão publicada do trabalho (por exemplo, em repositórios institucionais ou como capítulo de livro), desde que seja mencionada a autoria e a publicação original na Tecnia.
-
Os (as) autores (as) têm liberdade e são incentivados a disponibilizar e divulgar seus trabalhos em plataformas online (como repositórios institucionais ou páginas pessoais), visto que essa prática pode favorecer contribuições relevantes, além de ampliar a visibilidade e o impacto da publicação.