Segurança no Software - Vulnerabilidades e Ataques - Injection

Em um artigo anterior, falamos um pouco sobre Segurança no Software - Vulnerabilidades e Ataques.

Nesse artigo iremos dar algumas dicas de como testar seu Software usando Injection.

  
Nos exemplos abaixo verificar possíveis vulnerabilidades na autenticação do Software.

Na tela de autenticação do Software:

Teste 1

    

Primeiramente, o invasor tenta inserir um nome utilizando aspas. Isso serve só para verificar se o formulário possui alguma função, java script ou alguma linguagem que bloqueie o uso de um caractere como a apóstrofo (‘) ou aspas simples. Conforme mostra a Figura 1. Caso não seja feito esse tipo de tratamento, ocorrerá um erro da instrução SQL (incorrect Sintax). Diante desse resultado, o invasor já sabe que existem possibilidades de invasão do referido site.

Segurança no Software - Gerenciar Perfis - Vulnerabilidades e Ataques

Continuando a séria sobre Segurança no Software, iremos abordar alguns testes que podemos fazer a fim de garantir a segurança.

Como errar é humano, e, quando uma Aplicação começa a ser utilizado, contém inúmeros bugs, e essas vulnerabilidades que existem na Aplicação estão sujeitas a ser descobertas.

Mas como podemos, Bugs Busters, evitar que nossas Aplicações contenham vulnerabilidades (ou pelo menos diminuir)? 

Teste 1 

     Verificar o grupo de acesso cadastrado e suas respectivas permissões  de acesso.

     Cadastrar os perfis, e em cada perfil associar um determinado usuário e logar no Aplicação. 

  Resultado esperado: a Aplicação deve permitir acesso conforme perfil associado.

   Risco Mitigado: acesso indevido a dados e funcionalidade

________________________________________

Segurança no Software - Vulnerabilidades e Ataques em Autenticação de Autorização

Em um artigo anterior, falamos um pouco sobre Segurança no Software - Vulnerabilidades e Ataques.

Nesse artigo iremos dar algumas dicas de como testar a sua Aplicação na parte de Autenticação e Autorização.

 

Teste 1

     Entrar na URL da Aplicação e no campo senha, digitar. 

     A senha não poderá ser visualizada. Apesar de ser um teste muito trivial (e muitos que nem consideram um teste, por ser padrão), já me deparei com algumas Aplicações que era possível visualizar a senha ao digitar.

 

Teste 2

     Verificar se a Aplicação está utilizando login seguro, se está utulizando o HTTPs.

     Caso a autenticação realizada por sua Aplicação seja usada em outras Aplicações, deve-se utilizar um mecanismo de canal seguro, seja SSL ou Kerberos dentre outros.

Teste de Segurança - Autorização - Conversando com a Aplicação

No artigo anterior falamos sobre as perguntas que devemos fazer a Aplicação de identificação e autenticação.
Hoje iremos abordar as perguntas sobre autorização. 

Autorização

Autorização se refere ao procedimento de determinar quais dados ou funcionalidades o usuário tem acesso. As perguntas a seguir visam à determinação dos controles relativos à determinação e manutenção das autorizações.


     1 - A Aplicação requer restrições de acesso conforme a máquina de onde vem acesso? 
A aplicação aceitará apenas acessos vindos de máquinas específicas, não permitindo o acesso a determinadas ou todas as funcionalidades da Aplicação.

 Pode-se também perguntar se a Aplicação requer restrições de acesso conforme a sub-rede de onde vem o acesso.

  Risco Mitigado: invasão externa (hacker)

 ________________________________________

Teste de Segurança - Conversando com a Aplicação

Hoje iremos abordar como nós Bug Busters podemos conversar com a aplicação.

É isso mesmo que você leu, conversar com a aplicação.
Não estou ficando maluco, mas se na conversa fizermos as perguntas certas, a aplicação pode nos dar algumas respostas bem interessantes.

Vejamos algumas:

Identificação e Autenticação

     1 - O sistema exibe dados não públicos ou pode alterar qualquer tipo  de dado?  

Caso a resposta seja sim para alguma opção, o sistema precisa identificar os usuários que acessam o sistema.
A única exceção é para sistemas onde o anonimato do usuário é importante, como sistemas de ouvidoria.

  Risco Mitigado: acesso indevido a dados e funcionalidades da aplicação

________________________________________

     2 - A aplicação poderá ter ações ou telas as quais o usuário terá       acesso antes de ser identificar? Por exemplo, um site com uma parte pública e o restante requerendo o login a senha.

Pode ocorrer que em uma aplicação parte da informação seja pública e outra parte ou ações da aplicação não sejam.

  Risco Mitigado: acesso indevido a dados e funcionalidades da aplicação

________________________________________

 

Segurança no Software - Vulnerabilidades e Ataques

Voltando ao assunto sobre Segurança no Software, deixo uma apresentação que fiz na empresa que trabalho.

Espero que gostem!

Segurança no Software - Vulnerabilidades e Ataques

________________________________________

Acesse o outro artigo sobre Teste de Segurança


Abraços e até a próxima! 
 ________________________________________

Gostou? Compartilhe

Teste de Segurança

As aplicações Web sofrem mais ataques de segurança do que merecem. Veja  por quê. Os sites da Web e aplicativos que existem neles são de certa forma, a porta da entrada virtual de todas as empresas e organizações.

As aplicações Web estão desempenhando um papel cada vez maior e proeminente no desenvolvimento de softwares. O problema é que a segurança, sinceramente, não manteve o mesmo ritmo.

O problema da segurança nas aplicações Web não serve apenas para proteger as portas virtuais de uma empresa. Também serve para proteger a informação que as aplicações manipulam.