Publicação
Vulnerabilities detection at runtime and continuous auditing
| Resumo: | Na atualidade, a integração de funcionalidade e segurança em aplicações é um desafio. Existe a noção de que a segurança é um processo pesado, requer conhecimento e consome o tempo dos programadores, contrastando desta forma com a visão relativa à funcionalidade. Independentemente destes desafios, é importante que as organizações tratem da segurança nos seus processos ágeis, pois os ativos críticos da organização devem ser protegidos contra potenciais ataques. Uma forma de evitar que os ataques tenham sucesso passa por integrar ferramentas que possam ajudar a identificar vulnerabilidades de segurança durante a fase de desenvolvimento das aplicações e sugerir métodos para a sua correção. Segundo o Instituto Gartner, mais de 75% dos problemas com segurança na Internet são devidos a vulnerabilidades exploráveis a partir das Aplicações Web (Web Apps). A maior parte das Web Apps são naturalmente vulneráveis devido às tecnologias adotadas na sua concepção, à forma como são desenhadas e desenvolvidas, e ao uso de vários objetos e recursos, além da integração de outros sistemas. Frequentemente observa-se que são priorizados os aspetos funcionais que atendem a área de negócios, enquanto os requisitos de segurança ficam em segundo plano. Os ataques a Web Apps podem causar problemas de variados níveis de impacto, como por exemplo: interrupção ou queda de desempenho do serviço; acesso não autorizado a dados confidenciais e estratégicos; roubo de informação e clientes; fraudes e modificação de dados no fluxo das operações; perdas financeiras diretas e indiretas; prejuízos à imagem da marca da empresa; perda da lealdade dos clientes e gastos extraordinários com incidentes de segurança. Os riscos de ataques mais comuns são genericamente conhecidos e podem ser previstos com antecedência, pois são listados pela Open Web Application Security Project (OWASP), e dentre eles, três dos principais são: SQL Injection (SQLi); Cross-Site Scripting (XSS); Broken Authentication e Session Management. Os ataques mais graves são aqueles que, quando realizados sobre vulnerabilidades da Web App, não serão detetados de imediato e resultam no acesso a dados sigilosos do negócio, da infraestrutura, ou de clientes, e que podem ser posteriormente organizados para realizar um ataque de impacto mais relevante, ou uma fraude. Neste contexto, um novo paradigma surge no que se refere `a auditoria em ambientes web. O conceito de Auditoria Contínua (AC) emerge como uma nova solução de auditoria que responde a novas necessidades, sendo um tema recente que tem sido objeto de pesquisas e aposta de organizações. O modelo tradicional de auditoria, baseado em análises pontuais e descontínuas, torna-se cada vez mais inadequado à dinâmica atual da informação e aos sistemas que a gerem. Atualizações constantes de aplicações e as alterações nas configurações do sistema podem introduzir vulnerabilidades e deixar uma organização suscetível a ataques. Portanto, para manter os dados seguros, os sistemas e dispositivos devem ser verificados continuamente para identificar e relatar vulnerabilidades à medida que são descobertas. Este conceito traduz-se numa enorme mudança na filosofia tradicional da auditoria para um paradigma de AC que torna possível uma intervenção e ação corretiva mais cedo. Desta forma, é necessário que as organizações adotem uma metodologia que permita aos auditores independentes, fornecer garantias por meio de relatórios sobre a ocorrência de eventos ao longo da vida do sistema. Esses eventos, quando monitorizados em tempo real, permitem desvios a serem detetados e relatados para aumentar a velocidade e a eficácia da resposta pelos elementos responsáveis pela tomada de decisão. As organizações estão sujeitas a vários tipos de auditorias que têm diferentes finalidades, como a qualidade, o ambiente, a operação ou a gestão. Estes processos seguem um período de tempo para validar e analisar o que já foi feito e o estado atual da organização. Na segurança da informação, a AC visa garantir a monitorização em tempo real do sistema e o risco dos ativos da empresa. Para além disso, permite avaliar o nível de segurança atual do sistema, monitorizar o sistema em tempo real, aumentando a eficiência da descoberta e mitigação de vulnerabilidades. Os testes de intrusão, são geralmente um complemento para a AC. Num processo contínuo em que não existe esse comportamento invasivo, as análises de vulnerabilidades são realizadas com o auxílio de ferramentas automáticas ao longo do tempo para observar e monitorizar o estado do sistema e as ações corretivas as serem tomadas. O objetivo desta tese é propor uma abordagem e desenvolver uma ferramenta que permitirá detetar ataques do tipo Injection Attacks (IA) ou Cross-Site Request Forgery (CSRF) em Web Apps, no caso de estas estarem a recorrer ao mecanismo Cross-Origin Resource Sharing (CORS). Para efetuar a deteção de IA, a ferramenta terá a capacidade de analisar os links externos que são passados no atributo href a que uma Web App se liga, com o intuito de verificar se estes estão comprometidos. Para a deteção de CORS a ferramenta analisará todos os links internos passados no atributo src para verificar se estes invocam métodos XMLHttpRequest utilizados para chamadas de CORS. Estes dois tipos de ataques est˜ao sempre associados, contribuindo para um IA bem-sucedido. O IA é uma classe de ataques que depende da injeção de dados numa Web App, causando a execução ou interpretação de dados mal-intencionados de maneira inesperada. Exemplos de ataques desta classe incluem SQLi, HTML Injection, XSS, Header Injection, Log Injection e Full Path Disclosure. Estes são os ataques mais comuns e bem-sucedidos na Internet devido aos seus numerosos tipos, grande superfície de ataque e complexidade necessária para os proteger. O CORS é um mecanismo do browser que permite o acesso controlado a recursos localizados fora de um determinado domínio. Ele estende e adiciona flexibilidade à Same Origin Policy (SOP). No entanto, este mecanismo também oferece potencial para ataques baseados em vários domínios, se a política de CORS de um site estiver mal configurada ou implementada. O CORS não pretende ser uma proteção contra ataques de Cross-Request como o CSRF.Tendo em conta o anteriormente descrito relativamente a IA e CORS, a ferramenta desenvolvida permite a deteção de vulnerabilidades em Web Apps em AC. O foco fundamental está nos links externos e internos da Web App. Corre num servidor web, disponibilizando este serviço aos utilizadores na internet, permitindo analisar ligações externas e internas de uma determinada Web App. Para as ligações externas irá detetar evidências de IA, atribuindo uma classificação de benigno ou maligno às ligações externas identificadas. Para os links internos, verifica se existem chamadas de Cross-Origin mais especificamente CORS. Desta forma um utilizador poderá submeter o URL da sua Web App que irá ser analisado pela ferramenta Vulnerabilities Detector at Runtime and Continuous Auditing (VuDRuCA) que recorre a um mecanismo de AC. A ferramenta VuDRuCA emprega técnicas de crawling para navegar nas páginas da Web App e obter a informação pretendida. Utiliza ainda a API do Virus Total para analisar URLs, identificando conteúdo malicioso detestável por antivírus e scanners de Web Apps. Como backend a ferramenta utiliza uma base de dados relacional que armazena todos os dados recolhidos para que estes possam ser analisados, contribuindo para a apresentação de indicadores. Na fase de avaliação a ferramenta foi testada utilizando uma amostragem de 100 URLs de Web App que recorrem à tecnologia AJAX. Para estes foram contabilizados o número de sites externos e internos da Web App. Após uma primeira análise foram escolhidos 30 Web Apps para categorização, medição dos tempos de execução para deteção de links externos e internos e várias outras métricas relativas aos tempos de execução. Finalmente para testar o motor de AC foram selecionados 10 URL de Web Apps que na sua maioria recorrem a CORS. Nestas 10 Web Apps foi identificada a tecnologia de Content Manamgment System (CMS) utilizada. O módulo de AC, efetuou ainda uma análise durante um período de 5 dias, com intervalos de 24h, para validar se existia a introdução de novos links externos ou se algum destes estava comprometido. Relativamente aos links internos foi validado se existiam novos links internos e se estes recorriam a CORS. |
|---|---|
| Autores principais: | Lourenço, Bruno Octávio Horta |
| Assunto: | Vulnerabilidades Aplicações web Auditoria contínua Auditoria estática de código Segurança de software Teses de mestrado - 2020 |
| Ano: | 2020 |
| País: | Portugal |
| Tipo de documento: | dissertação de mestrado |
| Tipo de acesso: | acesso aberto |
| Instituição associada: | Universidade de Lisboa |
| Idioma: | inglês |
| Origem: | Repositório da Universidade de Lisboa |
Registos relacionados
Monitoring web applications for vulnerability discovery and removal under attack
por: Antunes, Paulo David Ferreira
Publicado em: (2018)
por: Antunes, Paulo David Ferreira
Publicado em: (2018)
Improving vulnerability detection of wap
por: Falé, Miguel Amorim
Publicado em: (2017)
por: Falé, Miguel Amorim
Publicado em: (2017)
Code Privacy in Detection of Web Vulnerabilities
por: Martins, Jorge Mota
Publicado em: (2023)
por: Martins, Jorge Mota
Publicado em: (2023)
Invalidating web applications attacks by employing the right secure code
por: Morgado, Ricardo Jorge Graça
Publicado em: (2019)
por: Morgado, Ricardo Jorge Graça
Publicado em: (2019)
Protecting Web Applications by Obfuscating Code using Text Steganography
por: Ferreira, Sérgio Filipe Almeida
Publicado em: (2024)
por: Ferreira, Sérgio Filipe Almeida
Publicado em: (2024)
Detection of vulnerabilities and automatic protection for web applications
por: Medeiros, Ibéria
Publicado em: (2016)
por: Medeiros, Ibéria
Publicado em: (2016)
Development of a Website for Creation of Vulnerability Datasets
por: Ferreira, Miguel Pinto da Silva
Publicado em: (2024)
por: Ferreira, Miguel Pinto da Silva
Publicado em: (2024)
Detect Web Vulnerabilities Using Knowledge Graphs
por: Ramires, Rafael Francisco Rosa Mesquita
Publicado em: (2023)
por: Ramires, Rafael Francisco Rosa Mesquita
Publicado em: (2023)
Detecting Web Vulnerabilities in an Intermediate Language by Resorting to Machine Learning Techniques
por: Fidalgo, Ana Maria Dias
Publicado em: (2020)
por: Fidalgo, Ana Maria Dias
Publicado em: (2020)
Attacking web applications for dynamic discovering of vulnerabilities
por: Caseirito, João Manuel da Silva
Publicado em: (2022)
por: Caseirito, João Manuel da Silva
Publicado em: (2022)
Detecting SQL Injection Vulnerabilities Using FreeST
por: Silvestre, António Rebelo Mendes
Publicado em: (2024)
por: Silvestre, António Rebelo Mendes
Publicado em: (2024)
Automatic Removal of Flaws in Embedded System Software
por: Inácio, João Maria Martins
Publicado em: (2022)
por: Inácio, João Maria Martins
Publicado em: (2022)
Protecting web applications through secure code recommendations by identifying and removing vulnerabilities
por: Martins, Pedro Lima
Publicado em: (2024)
por: Martins, Pedro Lima
Publicado em: (2024)
Auditoria contínua e os incidentes de segurança
por: Calado, Rui Pedro Cascalheira
Publicado em: (2018)
por: Calado, Rui Pedro Cascalheira
Publicado em: (2018)
Realistic Vulnerability Injections in PHP Web Applications
por: Vieira, Francisco José Marques
Publicado em: (2011)
por: Vieira, Francisco José Marques
Publicado em: (2011)
Solução de cibersegurança para gestão de ameaças de vulnerabilidades de segurança
por: Santos, Mariana Paulino dos
Publicado em: (2021)
por: Santos, Mariana Paulino dos
Publicado em: (2021)
A Hybrid Machine Learning System for Vulnerability Detection in Web Applications
por: Oliveira, Miguel César de Albuquerque
Publicado em: (2024)
por: Oliveira, Miguel César de Albuquerque
Publicado em: (2024)
Trustworthy software by quality attesting of secure code and repairing flaws
por: Ferreira, Tomás Cardoso de Oliveira
Publicado em: (2024)
por: Ferreira, Tomás Cardoso de Oliveira
Publicado em: (2024)
Removal of vulnerabilities in binary code by program model checking and concolic execution
por: Ferreirinha, Luís Pedro Félix
Publicado em: (2024)
por: Ferreirinha, Luís Pedro Félix
Publicado em: (2024)
Detecção de Vulnerabilidades de Inteiros na Adaptação de Software de 32 para 64 Bits
por: Medeiros, Ibéria
Publicado em: (2008)
por: Medeiros, Ibéria
Publicado em: (2008)
Realistic vulnerability injections in PHP web applications
por: Vieira, Francisco José Marques
Publicado em: (2011)
por: Vieira, Francisco José Marques
Publicado em: (2011)
O efeito das TAAC na qualidade de auditoria : estudo de caso
por: Salgueiro, Gil Alexandre Costa
Publicado em: (2023)
por: Salgueiro, Gil Alexandre Costa
Publicado em: (2023)
Protecting Web applications with secure code by identifying and removing vulnerabilities using similarity techniques
por: Prates, David António Cota
Publicado em: (2025)
por: Prates, David António Cota
Publicado em: (2025)
Ferramenta de análise de código para detecção de vulnerabilidades
por: Teixeira, Emanuel Pedro Loureiro
Publicado em: (2007)
por: Teixeira, Emanuel Pedro Loureiro
Publicado em: (2007)
Imposição de Segurança em Aplicações Web a partir de Linguagem Intermédia
por: Moreira, Miguel Carvalho Fernandes e Simões
Publicado em: (2021)
por: Moreira, Miguel Carvalho Fernandes e Simões
Publicado em: (2021)
Determinantes da divulgação de Key Audit Matters por parte das empresas brasileiras
por: Ferreira, Catarina Isabel Lobato
Publicado em: (2018)
por: Ferreira, Catarina Isabel Lobato
Publicado em: (2018)
Automatização de requisitos de segurança em aplicações android
por: Pereira, Rui Filipe Gago
Publicado em: (2020)
por: Pereira, Rui Filipe Gago
Publicado em: (2020)
Avaliação de risco de matérias estranhas em linhas de produção de bolachas: auditorias de qualidade e segurança alimentar
por: Oliveira, Ana Raquel Ferreira
Publicado em: (2017)
por: Oliveira, Ana Raquel Ferreira
Publicado em: (2017)
The state of the art of internal audit activity in Portugal
por: Carreiro, Marta Vasco
Publicado em: (2010)
por: Carreiro, Marta Vasco
Publicado em: (2010)
Aplicação para deteção de código vulnerável através de análise estática
por: Moreira, Ricardo Silveira
Publicado em: (2020)
por: Moreira, Ricardo Silveira
Publicado em: (2020)
Avaliação das práticas de segurança alimentar em estabelecimentos da zona oeste
por: Santos, Flávia Alexandra da Silva
Publicado em: (2018)
por: Santos, Flávia Alexandra da Silva
Publicado em: (2018)
Manutenção do sistema de gestão de qualidade e segurança alimentar na Dan Cake, Póvoa de Santa Iria
por: Almeida, Hugo Miguel Dias
Publicado em: (2020)
por: Almeida, Hugo Miguel Dias
Publicado em: (2020)
Análise da relação entre características das empresas e os key audit matters divulgados
por: Ferreira, Catarina
Publicado em: (2019)
por: Ferreira, Catarina
Publicado em: (2019)
Matérias relevantes em auditoria e os seus determinantes : o caso do setor bancário europeu
por: Carvalho, Liliana Patrícia Louro
Publicado em: (2018)
por: Carvalho, Liliana Patrícia Louro
Publicado em: (2018)
Automatic binary patching for flaws repairing using static rewriting and reverse dataflow analysis
por: Ferreira, Diogo Tomás
Publicado em: (2023)
por: Ferreira, Diogo Tomás
Publicado em: (2023)
AI in the Audit Process
por: Antunes, Eva Durães
Publicado em: (2026)
por: Antunes, Eva Durães
Publicado em: (2026)
Contratação de serviços de auditoria
por: Silva, Patrícia Guerreiro da
Publicado em: (2015)
por: Silva, Patrícia Guerreiro da
Publicado em: (2015)
Projeto de adaptação de módulo informático para gestão de auditorias : implementação de normativos no âmbito da qualidade e da segurança em indústrias alimentares
por: Malta, Ivo da Silva
Publicado em: (2015)
por: Malta, Ivo da Silva
Publicado em: (2015)
Construção de matriz de referência para auditoria ao processo de recrutamento e seleção
por: Moreira, Bruno Carlos Flora
Publicado em: (2017)
por: Moreira, Bruno Carlos Flora
Publicado em: (2017)
Minimum viable applications security and controls : a case study in the pharmaceutical sector
por: Felício, Carol Cristina Gonçalves
Publicado em: (2022)
por: Felício, Carol Cristina Gonçalves
Publicado em: (2022)