Publicação
HTML5 - análise dos riscos de segurança e testes de penetração a aplicações web
| Resumo: | A nova versão do HTML traz melhorias significativas relativamente à construcão de aplicacões web mais ricas. Contudo, com as novas funcionalidades vêm acoplados a elas sempre novos riscos de segurança que precisam ser analisados e colmatados. Anteriormente ao HTML5 já existiam determinadas ameaças de segurança que afetavam as aplicacões web (tais como SQLInjection, XSS, CSRF, etc), e que ganham um novo potencial devido aos novos recursos do HTML. Este estudo foca precisamente a análise dessas ameaças bem conhecidas, em conjunto com a análise dos riscos de segurança associados às novas funcionalidades do HTML5, assim como a apresentacão de regras para atenuacão das mesmas. Adicionalmente são apresentados um conjunto de módulos para detecão de vulnerabilidades HTML5 em aplicacões web. As quais são originadas devido à má utilizacão do HTML5 durante a fase de desenvolvimento. Esse conjunto de módulos corresponde a uma extensão adicionada a um Black Box Web Application Security Scanner bem conhecido da OWASP designado ZAP. Isso implicou adicionar também algumas funcionalidades HTML5 a uma aplicacão web também da OWASP designada Wave ZAP, cujo objetivo é ser utilizada para realizar testes de penetracão a fim de testar esses novos módulos do ZAP. |
|---|---|
| Autores principais: | Gonçalves, Manuel Francisco Mendes |
| Assunto: | HTM5 Segurança Black Box Engenharia e Tecnologia::Engenharia Eletrotécnica, Eletrónica e Informática |
| Ano: | 2014 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade do Minho |
| Idioma: | português |
| Origem: | RepositóriUM - Universidade do Minho |
| Resumo: | A nova versão do HTML traz melhorias significativas relativamente à construcão de aplicacões web mais ricas. Contudo, com as novas funcionalidades vêm acoplados a elas sempre novos riscos de segurança que precisam ser analisados e colmatados. Anteriormente ao HTML5 já existiam determinadas ameaças de segurança que afetavam as aplicacões web (tais como SQLInjection, XSS, CSRF, etc), e que ganham um novo potencial devido aos novos recursos do HTML. Este estudo foca precisamente a análise dessas ameaças bem conhecidas, em conjunto com a análise dos riscos de segurança associados às novas funcionalidades do HTML5, assim como a apresentacão de regras para atenuacão das mesmas. Adicionalmente são apresentados um conjunto de módulos para detecão de vulnerabilidades HTML5 em aplicacões web. As quais são originadas devido à má utilizacão do HTML5 durante a fase de desenvolvimento. Esse conjunto de módulos corresponde a uma extensão adicionada a um Black Box Web Application Security Scanner bem conhecido da OWASP designado ZAP. Isso implicou adicionar também algumas funcionalidades HTML5 a uma aplicacão web também da OWASP designada Wave ZAP, cujo objetivo é ser utilizada para realizar testes de penetracão a fim de testar esses novos módulos do ZAP. |
|---|