Análise e Levantamento de Vulnerabilidades de Segurança da Informação nos Portais ZZ da ZZ
Palavras-chave:
Top Ten OWASP, Ferramentas Open Source, PenTest, Análise de Vulnerabilidades, Segurança da InformaçãoResumo
A Segurança da Informação é uma preocupação tanto em ambientes empresariais como em pesquisas científicas. Nesse sentido, o presente trabalho teve como objetivo identificar a existência de vulnerabilidades web nos portais ZZZZ, por meio de ferramentas open source. Para isso, foi realizado o escaneamento dos sites utilizando estas seis ferramentas: OpenVas, OWASP ZAP, SQLMap, Nikto, Skipfish e W3af. O documento Top Ten OWASP, junto com algumas das demais metodologias apresentadas pelo projeto OWASP, foi tomado como referência a fim de identificar o grau de risco de cada uma das cinco vulnerabilidades detectadas, bem como para sugerir uma solução genérica às implementações futuras nos sites. Verificou-se que cada uma das soluções testadas apresentou um desempenho diferente em relação à outra, sugerindo que ao realizar este tipo de trabalho é necessário utilizar o máximo de ferramentas possíveis para abranger o maior número possível de tipos de vulnerabilidades existentes.
Referências
ABNT (Associação Brasileira de Normas Técnicas). NBR 27002: Tecnologia da informação - Técnicas de Segurança - Sistema de gestão da segurança da informação. Rio de Janeiro: ABNT, 2013.
ABNT (Associação Brasileira de Normas Técnicas). NBR 27032: Tecnologia da Informação - Técnicas de segurança - Diretriz para segurança cibernética. Rio de Janeiro: ABNT, 2015.
ALLEN, Lee; HERIYANTO, Tedi; ALI, Shakeel. Kali. Linux: assuring security by penetration testing. Birmingham: Packt Publishing Ltd, 2014.
ASSUNÇÃO, M. F. Segredos do Hacker Ético. 5. ed. Florianópolis: Visual Books, 2014.
BERTOGLIO, D. D.; ZORZO, A. F. Tramonto: uma estratégia de recomendações para testes de penetração. In: Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, 16, 2016, Niterói. Anais.... Niterói: Sociedade Brasileira de Computação, 2016.
CAMPOS, A. L. N. Sistema de segurança da informação: controlando os riscos. Florianópolis: Visual Books, 2006.
ENGEBRETSON, P. Introdução ao Hacking e aos Testes de Invasão. São Paulo: Novatec, 2014.
FERREIRA, F. N. F.; ARAUJO, M. T. Política de segurança da informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2008.
FONTES, E. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2006.
GOODRICH, Michael T.; TAMASSIA, Roberto. Introdução à segurança de computadores. Porto Alegre: Bookman, 2012.
MAMEDE, H. S. Segurança Informática nas Organizações. Lisboa: FCA - Editora de Informática, 2006.
MARTINELO, C. A. G.; BELLEZI, M. A. Análise de vulnerabilidades com OpenVAS e Nessus. T.I.S - Tecnologias, Infraestrutura e Software. v. 3, n. 1, p. 34-44, 2014.
MEUCCI, M. Owasp testing guide version 3.0. OWASP Foundation, 2008. Disponível em: <https://owasp.org/www-pdf-archive/OWASP_Testing_Guide_v3.pdf >. Acesso em: 20 de nov. de 2020.
PADUA FILHO, W. de P. Engenharia de software. 3. ed. Rio de Janeiro: LTC, 2008.
RIOS, E.; MOREIRA, T. Teste de Software. 3, ed. Rio de Janeiro: Alta Books Editora, 2006.
SÊMOLA, M. Gestão da Segurança da Informação: uma visão executiva. 2. ed. Porto Alegre: Elsevier (2014).
STALLINGS, W. Redes e sistemas de comunicação de dados. Rio de Janeiro: GEN LTC, 2016.
KIM, D.; SOLOMON, M. G. Fundamentos de segurança de sistemas de informação. Rio de Janeiro: LTC, 2014.
WEIDMAN, Georgia. Penetration testing: a hands-on introduction to hacking. San Francisco: No Starch Press, 2014.
Downloads
Publicado
Como Citar
Edição
Seção
Licença
Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.