terça-feira, 25 de março de 2014

Teste de Segurança

As aplicações Web sofrem mais ataques de segurança do que merecem. Veja  por quê. Os sites da Web e aplicativos que existem neles são de certa forma, a porta da entrada virtual de todas as empresas e organizações.

As aplicações Web estão desempenhando um papel cada vez maior e proeminente no desenvolvimento de softwares. O problema é que a segurança, sinceramente, não manteve o mesmo ritmo.

O problema da segurança nas aplicações Web não serve apenas para proteger as portas virtuais de uma empresa. Também serve para proteger a informação que as aplicações manipulam.

Imagina a seguinte situação. 
Em um determinado sistema Web, cuja uma das regrar de negócio seja que depois de uma certa hora não seja possível mais inserir pedidos.
Mas o usuário responsável por fazer os pedidos esqueceu de inserir um pedido, e agora está com sérios problemas.
Ele entra na funcionalidade para inserir pedidos, só que o botão e/ou campos para inserir estão desabilitados.
Desesperado, o usuário começa a pesquisar no Google uma forma de burlar a regra de negócio. Sem precisar de muito esforço ou conhecimento ele acha.

Usando uma funcionalidade do Firebug ele consegue, quase como um passo de mágica, habilitar todos os campos e o botão para inserir o pedido. Preenche todos os campos e salva. Proto! Problema resolvido.

Mas o usuário que controla o pedido já havia despachado tudo, menos o pedido "feito" depois da hora.
O que acontece? 
Quebra de confiabilidade e integridade do sistema.


Esse é apenas um exemplo básico do que pode ser feito caso não se pense em segurança.
Cabe nós Bugs Busters encontrar e reportar esse tipo de falha grave.

O problema é tratar a segurança como uma característica, ou um "negócio". A segurança não é um "negócio". A segurança é uma propriedade de um sistema.

Em uma outra oportunidade irei postar algumas dicas para realização do teste de segurança.


Abraços e até a próxima! 
 ________________________________________

Gostou? Compartilhe

br.linkedin.com/pub/silas-fellipe/24/33a/950



Nenhum comentário:

Postar um comentário