Atualmente as vulnerabilidades nas aplicaes web so o maior vetor para os ataques

contra a segurana de TI. Os artigos no noticirio acerca dos ataques que

comprometem os dados confidencias freqentemente mencionam o mtodo usado
sendo cross-site scripting , SQL injection e erros de configuraes de websites.
Muitas vezes as vulnerabilidades deste tipo esto fora da experincia tradicional dos
administradores de segurana de TI. Esta relativa obscuridade das vulnerabilidades
dos aplicaes web faz deles alvos atrativos para atacantes. Como muitas
organizaes tm descoberto, esses ataques evadiro as defesas tradicionais das
redes empresariais, e novas defesas so necessrias.

As vulnerabilidades das aplicaes web em geral tem origem em
configuraes com falhas ou em erros de programao nas linguagens usadas
para aplicaes web (Java, .NET, PHP, Python, Perl, Ruby, etc). Estas
vulnerabilidades podem ser complexas e podem se manifestar em muitas
situaes diferentes.

Apresentando QualysGuard Web Applications Scanning

Para ajudar seus clientes a avaliarem e administrarem as vulnerabilidades das
aplicaes web, Qualys est apresentando um novo membro da sute
QualysGuard Security and Compliance: QualysGuard Web Application
Scanning (WAS) 1.0. Este novo servio oferece uma varredura e testes de
vulnerabilidades automatizados de aplicaes web. O servio identifica a
maioria das vulnerabilidades que aparecem em OWASP Top 10 e na
classificao de vulnerabilidades WASC, incluindo SQL injection e cross site
scripting. Os usurios administram as aplicaes web, executam varreduras e
geram relatrios na interface de usurio j familiar do QualysGuard




Vantagens do QualysGuard WAS
Reduz o custo total das operaes ao automatizar os processos de testes
Identifica as vulnerabilidades de sintaxe e semntica nas aplicaes web
Usa uma varredura para fazer um perfil da estrutura e da hierarquia da
aplicao e executa uma inspeo usando testes autenticados
Melhora a preciso e reduz os falsos positivos atravs do perfil da aplicao
web
Tem escalabilidade para qualquer nmero de aplicaes web, de produo
ou ambientes de desenvolvimento, com orientao externa ou interna, usando
a plataforma QualysGuard Software-as-a-Service (SaaS)
Cadastrar as aplicaes web
1
Especificar as
opes de
varredura WAS
2
Varredura WAS
3
Revisar os resultados
da varredura e
gerar relatrios
4
Ciclo de Vida do QualysGuard WAS
SEGURANA PARA APLICAES WEB COM ESCALABILIDADE
PARA AUDITAR MILHARES DE WEB SITES SOB DEMANDA
F O L H E T O D E D A D O S

Solues para empresas de

grande porte de segurana de
aplicaes web devem ser
amplas e incluir um extenso
leque de testes para as classes
mais importantes de
vulnerabilidades de aplicaes
web tais como SQL injection,
cross site scripting e
directory traversals. Uma
soluo empresarial tambm
deve ser capaz de varrer
mltiplas aplicaes em
paralelo, rastrear os resultados
atravs do tempo, proporcionar
relatrios robustos (em especial
relatrios de cumprimento de
normas) e proporcionar
relatrios personalizados de
acordo com os requisitos
locais.

Criao de um programa de segurana

das aplicaes web (Whitepaper)
Securosis.com

A quantidade de vulnerabilidades
que afetam as aplicaes web
tm crescido em um ritmo
assombroso. Em 2008, as
vulnerabilidades que afetavam as
aplicaes web representavam
54 % de todas as
vulnerabilidades publicadas e
foram um dos principais fatores
do crescimento geral do nmero
de vulnerabilidades durante esse
ano.

Relatrio de tendncias e riscos
2008 da IBM X-Force

www.qualys.com
Etapa do Inspetor
O sofisticado mecanismo de varredura inclui diversas tcnicas para realizar uma
inspeo efetiva de um website. Dado um nome de usurio e uma senha, o inspetor
identifica automaticamente um formulrio HTML de uma pgina de login e analisa
a lgica da pagina. A partir dai ele monitora o estado da sesso para garantir que
a varredura continua autenticada durante toda a inspeo reautenticando se for
necessrio. O inspetor tenta cobrir a maior quantidade possvel da funcionalidade de
um website ao balancear a amplitude e a profundidade da inspeo alm de evitar os
links redundantes ou recursivos. O inspetor tambm perfila as partes personalizadas
do website, como a aparncia das pginas de erro, e usa a informao do perfil para
reduzir os falsos positivos.

Etapa de Avaliao
A etapa de avaliao de WAS analisa a aplicao web para achar vulnerabilidades
comuns como SQL injection, cross site scripting, revelao de fontes e directory
traversals. O mecanismo de teste depende de uma mescla de assinaturas e da
estrutura do site para determinar com preciso a presena de vulnerabilidades.
Atualmente os testes se concentram nos problemas de injeo de falhas e distinguem
entre os problemas explorveis e a simples revelao de informao.

Reviso e Relatrios
Os relatrios listam os problemas da aplicao em sees por tipos de vulnerabilidade
como cross site scripting ou SQL injection alm de uma seo que relata as
vulnerabilidades por grupos de aplicaes web. QualysGuard WAS gerencia o acesso
dos usurios aos resultados de varreduras individuais das aplicaes web com o fim
de acomodar diferentes fluxos de trabalho para correo e testes.
Varredura e Descoberta de Links O inspetor de web
integrado realiza uma anlise sinttica de HTML e de algumas
construes envolvendo JavaScript para extrair os links.
O inspetor balanceia automaticamente a amplitude e a
profundidade dos links descobertos e inspeciona at 5.000
links de cada aplicao web.

Autenticao Autenticao baseada em HTTP Basic,
Digest e NTLM Server alem de Autenticao por formulrios.

Lista Negra Evita que o inspetor visite certos links em uma
aplicao web.
Lista Branca Instrui o inspetor para que s visite os links
que se definem explicitamente nesta lista.
Ajuste de Desempenho Nvel de banda determinado
pelo usurio para a varredura com o objetivo de controlar o
impacto sobre o desempenho das aplicaes.

Contedo Sensvel Efetua a busca automatizada de
contedo de natureza sensvel por meio de expresses em
HTML, como nmeros de cartes de crdito e CPF.

Fluxos de Trabalho para Definir as Varreduras e Revisar os
Relatrios Fluxos de trabalho lgicos para cada aplicao
web. Os relatrios oferecem uma visibilidade detalhada das
vulnerabilidades.
Caractersticas de QualysGuard WAS :
Como o QualysGuard WAS funciona :
Preos e Disponibilidade :
QualysGuard WAS est disponvel como parte da sute QualysGuard Security and
Compliance. O uso anual para QualysGuard WAS licenciado de acordo com o nmero
de aplicaes web, incluindo um nmero ilimitado de varreduras WAS, atualizaes de
software e suporte 24 horas por dia, 7 dias da semana e 365 dias do ano.
Qualys, the Qualys logo and QualysGuard are registered trademarks of Qualys, Inc. All other trademarks are the property of their respective owners. 07/09
USA Qualys, Inc. 1600 Bridge Parkway, Redwood Shores, CA 94065 T: 1 (650) 801 6100 sales@qualys.com
UK Qualys, Ltd. 224 Berwick Avenue, Slough, Berkshire, SL1 4QT T: +44 (0) 1753 872101
Germany Qualys GmbH Mnchen Airport, Terminalstrasse Mitte 18, 85356 Mnchen T: +49 (0) 89 97007 146
France Qualys Technologies Maison de la Dfense, 7 Place de la Dfense, 92400 Courbevoie T: +33 (0) 1 41 97 35 70
Japan Qualys Japan K.K. Pacific Century Place 8F, 1-11-1 Marunouchi, Chiyoda-ku, 100-6208 Tokyo T: +81 3 6860 8296
United Arab Emirates Qualys FZE P.O Box 10559, Ras Al Khaimah, United Arab Emirates T: +971 7 204 1225
China Qualys Hong Kong Ltd. Suite 1901, Tower B, TYG Center, C2 North Rd, East Third Ring Rd, Chaoyang District, Beijing T: +86 10 84417495
Cadastrar Aplicaes Web
Opes de Varredura WAS
Resultados de Varredura WAS