Engenharia

Nesta seo voc encontra artigos voltados para testes, processo, modelos, documentao, entre outros

Testes de segurana Testes de segurana em

aplicaes web
De que se trata o artigo? Para que serve?
Neste artigo veremos a importncia de se realizao de testes de segurana em A realiaplicaes zar testes de segurana em aplicaes Web diminui a probabilidade de um Web. Ao software ser disdesenvolver uma aplicao web, deve-se ponibilizado para o usurio nal com falhas pensar crticas de na segurana dos dados durante toda a segurana e que podem causar prejuzos fase de ao usurio, Em quenanceiro ou a liberao de dados desenvolvimento. Isso minimiza as falhas seja ele situao o tema til? a segurana de aplicaes Web de sesigilosos. Testar gurana que chegam ao usurio nal. Esse importante artigo em qualquer aplicao que contenha dados tratar dos testes de segurana realizados sigilosos pelo e/ou onde ocorra, de alguma forma, testador aps o software j estar transaes nandesenvolvido. ceiras entre o cliente e o servidor, pois Ser demonstrada a importncia de se diminuem a Eduardo Habib realizar probabilidade do software ser colocado em Possui Graduao e mestrado em eduardohabib@gmail.com testes em aplicaes web, as falhas de produo Cincia da Computao na UFMG. Atua na rea de segucom uma falha crtica de segurana e que testes rana mais comuns na Internet e, por m,pode vir a de software h nove anos. Nesses anos sero ser explorada por alguma pessoa mal teve demonstradas extenses do Firefox e intencionada. experincia no planejamento, algumas especificao ferramentas que auxiliam nos testes de e execuo de testes manuais, aplicaautomao segurana dos softwares defocados nos pontos onde a segurana de testes, testes de desempenho e es web. senvolvidos atualmente est tem uma probabilidade maior de ser testes de se tornando um ponto cada vez comprometida. segurana. Possui trs anos de experincia lemais importante a ser testado. EntretanNesse artigo ser demonstrada a imcionando no ensino superior. to, testar a segurana de um software portncia de se realizar testes de seguFreqentemente algo muito complexo e custoso. Porrana em aplicaes web. Sero apresenministra treinamentos e/ou palestras tanto, os testes de segurana devem ser tadas quais as falhas de segurana so

relacionados a testes de software j tendo, inclusive, ministrado a disciplina de Testes de Software na PUC Minas. Possui as certificaes Engenharia -de Software Magazine CQA Certified Quality Assurance da IBM e segurana CTFL do BSTQB. Atualmente Gerente de testes no SYNERGIA - DCC/UFMG.

- Testes de

VA LI DA O, V ER I FI C A O & T EST E

mais comuns em aplicaes web e algumas ferramentas livres Gartner, em que se estima que os ataques contra os sistemas que auxiliam nesses testes. do departamento de defesa dos EUA foram 60% maiores em 2009, se comparados com o ano anterior. Alm do aumento do nmero de invases que podem ser visualizados na Figura 1, um estudo publicado pela UniverTestes de segurana sidade de Michigan, revelou que mais de 75% dos sites de No incio da internet existiam apenas sites estticos. Os bancos, que so os que mais investem em segurana, no so sites existentes desempenhavam papel apenas de repositinteiramente seguros como dizem ser e esto sujeitos a falhas rios de informaes que continham documentos estticos, de segurana. Outro estudo, do instituto de pesquisa WhiteHat e os navegadores web foram criados como uma forma de Security, publicou dados demonstrando que cerca de 64% dos visualizao desses documentos. A maioria dos sites no 1364 sites de companhias avaliados possuam pelo menos uma autenticava usurios porque no havia necessidade j que falha de segurana crtica. a mesma informao era exibida para todos os usurios. Se um invasor comprometesse um servidor, ele normalmente no ganhava acesso a nenhuma informao confidencial, visto que toda a informao j estava liberada para o pblico. No mximo, o invasor poderia escrever algum contedo no site ou utilizar o servidor como repositrio de arquivos. Hoje em dia a internet completamente diferente. A maioria dos web sites so aplicaes complexas e possuem um fluxo de informaes nos dois sentidos (servidor e navegador). Elas suportam login, transaes financeiras e acesso a dados pessoais. O contedo exibido para os usurios geralmente gerado dinamicamente e muitas vezes especfico para cada usurio. Muitos dos dados processados, e exibidos, so pessoais. A segurana , portanto, uma grande questo: ningum utilizar uma aplicao web caso acredite que suas informaes confidenciais sero exibidas para terceiros. Atualmente, para as aplicaes web proverem as funcionalidades mais bsicas, muitas vezes necessrio acessar sistemas internos da empresa e esses sistemas, muitas vezes, contm dados sigilosos. Uma falha em uma dessas aplicaes web pode comprometer todo o servidor. Um invasor que conseguir comprometer a aplicao web pode roubar informaes pessoais e com isso realizar aes maliciosas contra os outros usurios. Figura 1. Total de incidentes reportados ao CERT.br Tanto as empresas desenvolvedoras de software quanto os usurios finais tm grande interesse na segurana das Isso muito crtico para as empresas j que o aumento do aplicaes: as empresas, devido necessidade de aumentar faturamento das empresas que comercializam produtos na o faturamento com comrcio na internet, os usurios porweb est diretamente ligado sua reputao. Poucas pessoas que eles tero mais segurana para utilizar aplicativos. gostariam de fazer negcio com um site inseguro e, devido a isso, as organizaes no costumam publicar detalhes sobre a segurana de seus dados, ataques sofridos e vulnerabilidades, com o objetivo de no adquirir uma m reputao. Por isso, os nmeros podem ser ainda mais alarmantes do que os publicados pelo CERT.br. Dentre os diversos fatores que influenciam o aumento do nmero de incidentes de segurana, como a maior popularizao da internet pelo mundo e o surgimento de ferramentas que auxiliam nesses ataques, deve-se destacar outro fator que contribui para o aumento dos ataques: a evoluo constante da tecnologia utilizada nas aplicaes web. Como a tecnologia utilizada no desenvolvimento de Por que fazer testes de aplicaes web evolui muito rapidamente, as aplicaes web Apesar de recentemente ter havido uma aumento da pretrazem consigo, a todo o momento, uma nova variedade de segurana? ocupao com segurana, notcias de invases continuam falhas de segurana. Novos ataques, que antes do desenno noticirio e o nmero de incidentes de segurana tem volvimento da aplicao no eram conhecidos, so criados aumentado ano a ano. aps o desenvolvimento e podem ser exploradas at serem Segundo dados divulgados pelo Centro de Estudos, Rescorrigidos. posta e Tratamento de Incidentes de Segurana no Brasil Alguns problemas, como a injeo SQL tm diminudo a (CERT.br), e que podem ser visualizados na Figura 1, em frequncia de ocorrncia conforme os desenvolvedores se 2009 foram registradas 358.343 notificaes de incidentes conscientizam deles. Entretanto, a introduo cada vez mais de segurana. Isso representa um aumento de 61% em relao a 2008 e de 11530% em relao ao nmero de incidentes registrados em 1999, primeiro ano da medio. Esses nmeros so coerentes com outro estudo publicado pela

Edio 24 - Engenharia de Software7

Magazine

frequente de novas tecnologias possibilita novas possibilidades de explorao. Existem diversas e excelentes ferramentas proprietrias que auxiliam no teste de segurana de aplicaes web. Contudo, a maioria dessas ferramentas comerciais possui um custo bastante elevado. Esse artigo se concentrar, ento, na apresentao de extenses para navegadores e ferramentas Open Source que ajudam os testadores e especialistas em segurana nos testes de segurana de aplicaes web.

Principais falhas e a utilizao de Conforme pde ser visto na seo anterior, o nmero de SSL

incidentes de segurana vem aumentando a cada ano e a maioria dos sites possui problemas de segurana. Em contraste com esses dados, ao consultar a pgina de FAQ de uma aplicao tpica da web, o usurio ser tranquilizado que ela segura pelo fato do site utilizar a tecnologia SSL. Os usurios so frequentemente convidados a verificar o certificado do site, comprovar os avanados protocolos criptogrficos em uso, e, com isso, levado a confiar que suas informaes pessoais esto em boas mos. Independentemente de estar ou no utilizando SSL, a maioria das aplicaes web ainda contm falhas de segurana, falhas essas que no tm nada a ver com a utilizao ou no de SSL. A utilizao da tecnologia SSL importante porque ela protege a integridade do dado durante a transio entre o navegador do usurio e o servidor web. Entretanto, SSL no ir impedir os ataques que comprometem diretamente os servidores ou os clientes de uma aplicao como ocorre na maioria dos ataques. Segue abaixo algumas falhas que no so resolvidas com a utilizao de SSL e na Figura 2, sua frequncia de ocorrncia segundo STUTTARD: Falha de autenticao: Essa falha ocorre quando as credenciais de acesso ao site no so protegidas adequadamente; Falha no controle de acesso: Essa falha envolve casos onde a aplicao no consegue proteger o acesso aos seus dados e funcionalidades, permitindo que o invasor veja dados privados de outro usurio e acione comandos aos quais ele no tem acesso; Injeo SQL: Essa falha ocorre quando a aplicao permite que o invasor injete comandos no banco de dados utilizando, para isso, a aplicao; Cross-Site Scripting: Cross-Site Scripting (XSS) uma falha em que se permite ao atacante inserir cdigo (ex: Java Script ou tags HTML) em pginas Web, visando conseguir informaes de outros usurios ou acessos restritos; Vazamento de informaes: Essa falha ocorre quando as aplicaes divulgam, sem inteno, informaes sobre suas configuraes, processos internos ou privacidade devido a problemas na aplicao. Isso muito crtico, pois a divulgao de informaes sobre a verso do servidor de aplicao ou do banco de dados utilizado, por exemplo, pode indicar ao invasor quais as falhas s quais a aplicao est vulnervel.

O principal problema das aplicaes web que, como a aplicao no tem como garantir quais entradas os clientes iro submeter, pode-se submeter entradas arbitrrias, mesmo que a aplicao faa tratamento no cliente para evitar isso. Portanto, qualquer aplicao web deve considerar que todos os usurios so potenciais invasores e devem tomar medidas para evitar que pessoas mal intencionadas utilizem essas entradas para comprometer a aplicao. Esse problema se manifesta de vrias formas: Usurios podem interferir em qualquer conjunto de dados transmitidos entre o cliente e o servidor, incluindo requisies, cookies e cabealhos HTTP. Qualquer controle implementado do lado do cliente, como validaes de entradas podem ser facilmente burladas; As requisies podem ser enviadas pelos usurios em qualquer sequncia. Qualquer suposio relativa ordem como as requisies sero feitas pelos usurios pode ser burlada; No se deve supor que os usurios utilizaro o navegador para interagir com a aplicao. Existem vrias ferramentas que permitem a interao com um servidor, sem a utilizao do navegador. Essas ferramentas permitem que se faam requisies que no seriam possveis caso fosse utilizado um navegador comum.

Figura 2.

Existem ferramentas que testam automaticamente um conjunto grande de entradas visando encontrar falhas. Alguns exemplos de entradas enviadas so: Modificao de um valor transmitido em um campo escondido do HTML (hidden); Modificao de um token da sesso, para roubar a sesso de outro usurio autenticado; Remoo de certos parmetros que so normalmente submetidos, para explorar falhas de lgica na aplicao; Alterar alguma entrada para tentar fazer um acesso ao banco de dados.

Nas prximas sees sero apresentadas ferramentas livres e que podem ser utilizadas para realizar os testes de segurana em aplicaes web.

Montando seu ambiente de testes com Alguns ataques a livres ferramentas aplicaes web podem ser executadas usando apenas um navegador web padro. Entretanto, para que o

Engenharia de Software Magazine - Testes de

segurana

VA LI DA O, V ER I FI C A O & T EST E

teste de segurana seja mais efetivo, exige-se a utilizao de ferramentas adicionais para que seja possvel encontrar mais falhas de segurana. Muitas dessas ferramentas funcionam em conjunto com o navegador, quer como extenses que modificam a sua funcionalidade, ou como ferramentas externas que funcionam ao lado do navegador e modificam sua interao com o aplicativo alvo. Para testar uma aplicao procurando por falhas de segurana necessrio ter domnio sobre essas ferramentas. Nas prximas sesses, sero citadas algumas extenses para o Firefox e ferramentas livres utilizadas para auxiliar o testador durante os testes de segurana.

convidado a encontr-la e, caso o testador no a encontre, o WebGoat permite a solicitao de dicas para a identificao da falha. Caso no se consiga identificar a falha, aps dicas de como encontr-la, possvel ainda consultar uma descrio da soluo. Se mesmo assim o testador no entender como encontrar a falha, pode-se consultar vdeos demonstrando passo a passo como identific-la. O WebGoat uma aplicao de extrema necessidade, principalmente para iniciantes nos testes de segurana e que querem aprender a realizar alguns testes. Os exemplos de utilizao das ferramentas e extenses para navegadores apresentadas nesse artigo foram feitos utilizando-se o WebGoat como aplicao alvo.

Navegadores

Ferramentas necessrias para a realizao A primeira ferramenta que o testador deve dos testes possuir para realizar os testes, alm do prprio

navegador, um Proxy interceptador. Um Proxy interceptador permite visualizar e modificar todas as mensagens HTTP que passam entre o navegador e a aplicao. Atualmente, alm dos Proxies bsicos existem sutes que se tornaram muito poderosas por possurem, alm dos Proxies, um conjunto de outras funes projetadas para ajud-lo no ataque a aplicaes web. A segunda categoria principal de ferramenta conhecida como Web Spider. Essas ferramentas agem solicitando pginas web, analisando os links para outras pginas, e em seguida, solicitando essas pginas. Eles continuam recursivamente at que todo o contedo de um site seja descoberto. A terceira categoria principal de ferramenta o Scanner de aplicao web. Essas ferramentas so concebidas para automatizar muitas das tarefas envolvidas no ataque a uma aplicao web realizando desde o mapeamento inicial at a sondagem por vulnerabilidades. Essas ferramentas fazem uma busca automtica por toda a aplicao submetendo dados e analisando as respostas para, com isso, tentar encontrar automaticamente falhas de segurana conhecidas. A quarta categoria principal de ferramenta necessria, principalmente quando o testador quer realizar alguns testes em seu ambiente, uma aplicao cheia de falhas onde ele possa fazer alguns experimentos. Essa aplicao existe. O WebGoat uma aplicao Web Open Source do projeto OWASP. Nessa aplicao as falhas foram inseridas propositalmente e seu principal objetivo ser um laboratrio onde o testador aprende, na prtica, as principais vulnerabilidades encontradas em aplicaes Web. Para cada falha, o usurio

Um navegador web no exatamente uma ferramenta hacker. Porm, a escolha pelo navegador utilizado pode auxili-lo no teste a uma aplicao web. O Firefox , hoje, o segundo navegador mais utilizado do mundo compreendendo, segundo alguns estudos, cerca de 25% do mercado e possui diversas extenses que auxiliam o testador no teste de segurana de uma aplicao web. Abaixo iremos descrever algumas das extenses que podem auxiliar nessa tarefa. FoxyProxy: Permite o gerenciamento das configuraes de proxy do navegador, possibilitando a troca rpida entre os proxies utilizados, realizao de configuraes de Proxies diferentes para URLs diferentes. Como os Proxies so ferramentas essenciais em testes de aplicaes web,

Edio 24 - Engenharia de Software9

Magazine

visto que eles permitem interceptar todas as requisies e respostas e modific-las, e, alm disso, muitas vezes utilizase mais de um Proxy durante o teste, essa extenso importante para agilizar esse processo de seleo e modificao do Proxy utilizado; Tamper Data: extenso do Firefox que permite interceptar e modificar as requisies HTTP enviadas e recebidas pelo navegador; LiveHTTPHeaders: uma extenso do Firefox que permite visualizar os cabealhos HTTP enviados ao servidor web ou os que so recebidos do servidor; Edit Cookies: permite adicionar e modificar valores e atributos dos cookies; CookieWatcher: permite que o valor do cookie seja monitorado na barra de status.

Como essas ferramentas Cada sute de funcionam testes integrados contm vrias ferramentas
complementares que compartilham informaes sobre a aplicao alvo. Normalmente, o testador interage com a aplicao de uma forma normal atravs do seu navegador, e as ferramentas de acompanhamento monitoram os resultados dos pedidos e das respostas, armazenando todas as informaes pertinentes sobre a aplicao de destino e provendo inmeras funes teis. Cada sute dispe dos seguintes componentes principais: Um Proxy Interceptador; Uma aplicao spider; Vrias funes partilhadas e utilitrias.

Proxy Interceptador
Muitas vezes possvel modificar o seu navegador para ajud-lo no ataque de uma aplicao: Se a aplicao no utilizar cookies para armazenar tokens de sesso, pode-se utilizar vrios processos do mesmo navegador, cada um com uma sesso diferente sobre o pedido. Por exemplo, quando estiver testando o controle de acesso, pode-se utilizar uma instncia do navegador logada com um usurio com mais privilgio e outra logada com uma sesso com um usurio com poucos previlgios e assim, testar rapidamentte a aplicao com poucos pedidos de visitas; possvel limpar os dados que um navegador guarda sobre alguma aplicao (principalmente dentro de cookies e cache) de forma a iniciar novamente com o pedido como um novo usurio; Pode-se acionar o boto direito do mouse em um link e abri-lo em uma nova janela ou guia para explorar uma funcionalidade que chama a ateno do invasor por aparentar apresentar falhas de segurana, mantendo a sua posio anterior para continuar trabalhando de forma sistemtica atravs da aplicao.

O Proxy Interceptador fica no centro da sute de ferramentas e o nico componente realmente essencial na sute. Para utiliz-lo, deve-se configurar o navegador para usar o Proxy escolhido como servidor Proxy em uma porta local na prpria mquina. O Proxy , ento, configurado para escutar essa porta e receber todos os pedidos emitidos pelo navegador e repass-lo ao destino. Como ele tem acesso aos dois sentidos da mensagem entre o navegador e o servidor web e age como um interceptador, ele consegue barrar cada mensagem para reviso e modificao pelo usurio, para s ento encaminh-la ao destino.

Outras caractersticas comuns presentes nessas Alm de a interceptao sutes sua funo principal de permitir Proxies possuem e alterao de requisies e respostas, os

Com essas extenses, os testes de segurana podero ser realizados com muito mais facilidade. Apesar disso, para realizar testes mais completos, necessria a utilizao de mais ferramentas, que sero descritas nas prximas sesses.

Outras ferramentas teis

Aps o navegador web, o item mais til no seu conjunto de ferramentas ao atacar uma aplicao web um Proxy Interceptador. No comeo da Web os Proxies Interceptador eram aplicaes que proviam funcionalidades bsicas. Nos ltimos anos, os Proxies Interceptador expandiram-se para um grande nmero de sutes, cada uma contendo muitas ferramentas interconectadas desenvolvidas para auxiliar em todas as tarefas envolvidas no ataque a uma aplicao web. Todas as funcionalidades referentes a Proxies Interceptador citadas no restante desse artigo esto presentes no WebScarab, uma ferramenta livre do projeto Owasp.

uma riqueza de outros recursos para ajudar nos testes de segurana de aplicaes web. Entre os recursos, incluemse os seguintes: permitida a criao de regras de interceptao, possibilitando que as mensagens sejam interceptadas para reviso ou silenciosamente retransmitidas, com base em critrios definidos pelo testador como host de destino, url, mtodo, tipo de recurso, cdigo de resposta, ou o aparecimento de determinadas expresses, conforme pode ser visualizado na Figura 3. Em uma aplicao tpica, muitas requisies e respostas so de pouco interesse para o testador, e esta funo permite configurar o Proxy para interceptar apenas as mensagens que lhe so interessantes; Um histrico detalhado de todas as requisies e respostas, o que permite que mensagens antigas sejam revistas e analisadas posteriormente; Regras para a modificao dinmica do contedo das requisies e respostas. Esta funo pode ser til em inmeras situaes, por exemplo, para reescrever o valor de um cookie ou outro parmetro em todos os pedidos visando remover diretivas de cache, para simular um navegador especfico modificando o cabealho e assim sucessivamente;

10

Engenharia de Software Magazine - Testes de

segurana

VA LI DA O, V ER I FI C A O & T EST E

Existem algumas ferramentas que varrem toda a aplicao procurando por falhas conhecidas e, aps a varredura, emitem um relatrio com os pontos suspeitos de possurem falhas de segurana. Os recursos a seguir esto presentes na ferramenta Paros, que permite a execuo de uma varredura na aplicao procura de falhas de segurana: Permite varreduras automatizadas para detectar vulnerabilidades conhecidas. O Paros envia um conjunto de sequncias de ataque e analisa as respostas para identificar vulnerabilidades conhecidas. A Figura 5 mostra o resultado de uma Varredura feita utilizando esta ferramenta. Verifique na figura que possvel identificar a URL onde se suspeita que exista a falha de segurana e os parmetros utilizados pelo Paros.

Figura 3. sero interceptadas

Acesso a funcionalidades de Proxy que permitem que se navegue no histrico de requisies e respostas, possibilitando, com isso, que o testador identifique requisies suspeitas de possurem problemas de segurana e reemita o pedido, quantas vezes for preciso e, caso necessrio, faa modificaes que permitam identificar possveis falhas, conforme pode ser visto na Figura 4;

Figura 5.

Figura 4. requisies realizadas

Permite o controle das sequncias de ataque e formas de incorpor-las s requisies. Possui ainda um histrico de todas as requisies permitindo a reviso dos resultados para a identificao de todas as respostas incomuns ou anmalas que merecem maior investigao; Funes para extrao de dados teis a partir das respostas do aplicativo - por exemplo, analisando os campos de usurio e senha em uma pgina de detalhes. Isso pode ser til quando voc est explorando vulnerabilidades diversas, incluindo falhas na sesso e controles de acesso; Funes para analisar cookies e outros tokens para qualquer sequncia.

Funcionalidades para o mapeamento completo de toda a aplicao, funcionalidades essas conhecidas como Web Spiders. Os Web Spiders agem solicitando pginas web, analisando os links para outras pginas, e em seguida, solicitando essas pginas. Uma ressalva que, todas as possveis falhas apontadas Eles continuam recursivamente at que todo o contedo de pelo Paros devem ser investigadas, pois aps uma anlise, um site seja descoberto; descobre-se que muitas delas no so falhas. Esse excesso Funes que permitem revelar campos e comandos de falsos positivos acaba fazendo com que o testador perca escondidos. muito tempo analisando os possveis defeitos. O autor deste artigo desconhece, at a presente data, uma ferramenta livre que faa a varredura de uma aplicao, procurando por falhas de segurana conhecidas, e que seja to boa quanto Scanners de aplicao alguns scanners proprietrios disponveis no mercado. Apesar de falsos positivos ocorrerem tambm nas ferramentas Embora seja possvel realizar um teste bem-sucedido comerciais, ocorrem em uma escala bem menor do que no usando apenas tcnicas manuais, para se tornar um bom testador, necessrio fazer uso de automao, para aumentar a rapidez e eficcia dos testes.

Edio 24 - Engenharia de Software11

Magazine

Paros, ocasionando uma economia de tempo do testador na Funcionalidades adicionais anlise de falhas. Alm de suas ferramentas principais, as sutes de teste de Alm disso, segundo SUTO, autor do artigo Analyzing the Accu-segurana normalmente fornecem uma vasta gama de outras racy and Time Costs of Web Application Security Scanners, mesmo funcionalidades que visam atender a necessidades especficas as que surgem quando se est testando a segurana de uma apliferramentas proprietrias chegam a no detectar, dependendo cao web, e que permitam a outras ferramentas trabalharem da ferramenta utilizada, 66% das falhas presentes em um site, em situaes inusitadas. Os recursos abaixo esto disponveis o que faz com que no se possa confiar cegamente nessas ferra- WebScarab: no mentas e torna importante o papel do testador na identificao Anlise da estrutura de mensagens HTTP, incluindo anlise e desses defeitos no identificados pelos Web Scanners. modificao de cabealhos e parmetros do pedido, conforme pode ser visto na Figura 7;

Requisies manuais

As sutes livres, como o WebScarab, permitem ainda facilidades para que o usurio emita uma nica requisio e visualize a sua resposta. Embora simples, esta funo muitas vezes extremamente til quando se est investigando uma possvel vulnerabilidade e, para isso, pode existir a necessidade de reeditar a mesma requisio manualmente vrias vezes, aprimorando elementos da requisio para determinar o efeito sobre o comportamento da aplicao. Logicamente, com uma ferramenta com as funes integradas voc pode recuperar rapidamente uma requisio interessante de outro componente utilizado no teste (Proxy, spider, etc.) para investigao manual. Veja a Figura 6 para um exemplo de uma tela do WebScarab onde possvel realizar a modificao de uma requisio.

Figura 7. pedidos e respostas

Renderizao de contedo das respostas HTML, sendo possvel visualizar a pgina da mesma forma que ela ser exibida no navegador web (Aba HTML da Figura 7); Capacidade de exibir e editar mensagens de texto e de forma hexadecimal (Aba Hex da Figura 7); Funes de pesquisa por todas as requisies e respostas; Atualizao automtica do cabealho HTTP, para mantlo consistente com qualquer edio manual do contedo da mensagem; Codificadores e decodificadores para vrios sistemas, permitindo a rpida anlise dos dados da aplicao em cookies e outros parmetros; O suporte para utilizao de outros Proxies, que no so os integrados na aplicao, permitindo-lhe encadear ferramentas diferentes ou acessar um aplicativo atravs do Proxy usado por sua organizao ou ISP; Ferramenta de apoio a mtodos de autenticao de HTTP, Figura 6. Reedio manual de uma requisio permitindo-lhe utilizar todos os recursos da sute em ambientes onde estes so utilizados, tais como LANs corporativas; O WebScarab possui as seguintes funcionalidades relacionadas Suporte para os certificados de cliente SSL, permitindo-lhe testar aplicaes que utilizam essa tecnologia; ao envio de requisies manuais: Manipulao das caractersticas do HTTP, como a codificao Integrao com outros componentes do conjunto, e a posgzip, codificao de transferncia em partes, e status 100 de sibilidade de submeter qualquer requisio de e para outros respostas provisrias; componentes para investigao posterior; Histrico de todos os pedidos e respostas, mantendo um registro completo de todas as requisies manuais para reviso posterior, e possibilitando que uma requisio modificada seja recuperada para anlise posterior.

12

Engenharia de Software Magazine - Testes de

segurana

VA LI DA O, V ER I FI C A O & T EST E

Extensibilidade, permitindo que a funcionalidade incorporada seja alterada e estendida de forma arbitrria por cdigo de terceiros; Salvamento das configuraes utilizadas na ferramenta, permitindo que uma configurao especfica seja reutilizada na prxima execuo da sute; O WebScarab independente de plataforma, permitindo que seja executado em todos os sistemas operacionais populares.

as ferramentas livres ainda esto muito distantes de serem to boas quanto as ferramentas comerciais disponveis no mercado, j que, como eles encontram muitos falsos positivos, acabam desperdiando o tempo do testador na anlise de falhas que no existem. Por fim, pde-se perceber que o bom entendimento de como utilizar as ferramentas utilizadas de extrema importncia para a melhoria da segurana dos Web Sites, visto que mesmo os melhores Web Scanners proprietrios podem no encontrar a maioria dos defeitos de segurana presente em uma aplicao Web.

Concluso

Cada uma das ferramentas apresentadas neste artigo possui funcionalidades importantes e que, juntas, permitem ao testador a realizao de testes de segurana de forma satisfatria. Todas so eficazes e muito populares entre a comunidade que utiliza softwares livres para testar a segurana de aplicativos na web. Com isso, a escolha de qual sute ser utilizada uma questo de preferncia pessoal. Recomenda-se que seja feito o download das ferramentas descritas para que o prprio testador escolha qual ferramenta utilizar em seus testes. Entretanto, apesar das ferramentas livres terem evoludo bastante, pode-se perceber que em relao aos Web Scanners,

Feedback D seu feedback sobre esta eu D edio! s sobre es A Engenharia de Software Magazine tem que ser feita ao seu gosto. Para isso, precisamos saber o que voc, leitor, acha dataedio revista! D seu voto sobre este artigo, atravs do link: www.devmedia.com.br/esmag/feedbac

Referncias e links STUTTARD, Dafydd, PINTO, Marcus. The Web Application Hackers Handbook: Owasp Projeto Discovering and http://www.owasp.org Exploiting Security Flaws. Wiley Publishing, 2007. MCGRAW, Gary, Software Security: Building Security In. Addison Wesley WebScarab Professional, 2006. http://www.owasp.org/index.php/Category:OWASP_WebSca rab_Project Testing Experience: The Magazine for Professional Testers, Security Testing, Junho de 2009. WebGoat http://www.owasp.org/index.php/Category:OWASP_WebGo SUTO, Larry. Analyzing the Accuracy and Time Costs of Web Application at_Project Security Scanners. So Francisco, Fevereiro de 2010. Paros - for web application security assessment Widespread security flaws revealed in online http://www.parosproxy.org/index.shtml banks http://www.ur.umich.edu/0708/Jul28_08/02.php WhiteHat: Web Security Vulnerabilities Found on Most Sites http://www.eweek.com/c/a/Security/WhiteHat-Web-Security-VulnerabilitesFound-on-MostSites707138

Edio 24 - Engenharia de Software13

Magazine