As aplicações Web estão desempenhando um papel cada vez maior e proeminente no desenvolvimento de softwares. O problema é que a segurança, sinceramente, não manteve o mesmo ritmo.
O problema da segurança nas aplicações Web não serve apenas para proteger as portas virtuais de uma empresa. Também serve para proteger a informação que as aplicações manipulam.
Imagina a seguinte situação.
Em um determinado sistema Web, cuja uma das regrar de negócio seja que depois de uma certa hora não seja possível mais inserir pedidos.
Mas o usuário responsável por fazer os pedidos esqueceu de inserir um pedido, e agora está com sérios problemas.
Ele entra na funcionalidade para inserir pedidos, só que o botão e/ou campos para inserir estão desabilitados.
Desesperado, o usuário começa a pesquisar no Google uma forma de burlar a regra de negócio. Sem precisar de muito esforço ou conhecimento ele acha.
Usando uma funcionalidade do Firebug ele consegue, quase como um passo de mágica, habilitar todos os campos e o botão para inserir o pedido. Preenche todos os campos e salva. Proto! Problema resolvido.
Mas o usuário que controla o pedido já havia despachado tudo, menos o pedido "feito" depois da hora.
O que acontece?
Quebra de confiabilidade e integridade do sistema.
Esse é apenas um exemplo básico do que pode ser feito caso não se pense em segurança.
Cabe nós Bugs Busters encontrar e reportar esse tipo de falha grave.
O problema é tratar a segurança como uma característica, ou um "negócio". A segurança não é um "negócio". A segurança é uma propriedade de um sistema.
Em uma outra oportunidade irei postar algumas dicas para realização do teste de segurança.
Abraços e até a próxima!
________________________________________
Gostou? Compartilhe
Nenhum comentário:
Postar um comentário