Dois dos grandes problemas atuais que empresas com aplicações na web podem sofrer é a descontinuidade e o vazamento de informações confidenciais. Enquanto o primeiro deles representa perda de negócios, o segundo traz a destruição da imagem e do futuro da empresa que tem suas aplicações comprometidas.
Já faz algum tempo que organizações (OWASP, WASC e CWE por exemplo) e fóruns surgiram e voltaram suas atenções para segurança de aplicações web. A OWASP (Open Web Application Security Project), não tem fins lucrativos e é reconhecida internacionalmente como produtora de materiais e projetos voltados para de segurança de softwares.
Entendendo a origem das vulnerabilidades
Com o aumento das complexidades e número de usuários das soluções online aumentaram também os riscos. Tais riscos são provenientes de vulnerabilidades, são falhas de software causadas por erros de projeto, implementação ou configuração. Quando um potencial atacante descobre ou insere deliberadamente uma falha, acontece a violação da segurança e todo o prejuízo já conhecido.
Para auxiliar o gestor a entender melhor as vulnerabilidades em aplicações web separamos aquelas que são mas relevantes, juntamente com mecanismos para reduzir suas incidências e amenizar seus efeitos. Optamos por fazer isso com o mínimo de linguagem técnica, mas incentivamos o leitor a acessar as páginas das organizações citadas acima e aprofundar a leitura.
Principais vulnerabilidades e suas prevenções
Da variedade de possíveis vulnerabilidades aqui estão cinco dos mais populares, com suas características resumidas.
- Injeção de código: introdução de dados não confiáveis ou maliciosos na forma de comando ou consulta, facilmente encontrada por scanners e fuzzers.
- Cross-site scripting: scripts que simulam funcionalidades do site original. Utilizado para roubar dados de login ou elaborar outros ataques.
- Quebra de autenticação: falhas no gerenciamento de autenticação ou sessão, como em logouts, tempo limite, pergunta secreta, etc.
- Referência insegura e direta a objetos: a partir de um usuário autorizado a ler determinada informação é alterado um objeto de destino, o qual inicialmente não está autorizado.
- Configuração incorreta de segurança: é o aproveitamento de contas padrões, páginas não utilizadas, falhas não corrigidas, arquivos e diretórios não protegidos e assim por diante para obter informação do sistema e acesso não autorizado.
Prevenções
Um WAF (web Application FIrewall) é capaz de detectar e prevenir ataques comuns por meio da observação de padrões não familiares de tráfego de dados. Mas ataques especializados dependem do desenvolvimento de código seguro e de conhecimento técnico dos envolvidos com o desenvolvimento e manutenção das aplicações.
Por fim, sabe-se que vulnerabilidades não intencionais surgem da falta de mão de obra qualificada e equipes de profissionais sem conhecimento de segurança. Assim, naturalmente, a análise na contratação de quem irá desenvolver a aplicação e treinamento é fundamental para prevenir problemas.
Com essas sugestões sua empresa já pode ficar em dia com o conhecimento sobre vulnerabilidades em aplicações web. Se mesmo com essas preocupações ela ainda for vítima de crimes cibernéticos, veja neste post o que fazer.
Tem mais alguma vulnerabilidade para acrescentar ou quer comentar algo sobre o texto? Deixe o comentário no post!