Pesquisador do IPT desenvolve novo método para testar a segurança em aplicações web

Estudo comprova que testes a partir de ‘requisitos de utilização de casos de uso’ aumentam em 30% a eficácia na detecção de vulnerabilidades, apoiam o uso sistemático de testes ao longo do SDLC e ainda aceleram a adoção de modelos formais de segurança

O pesquisador e CTO da REDE SEGURA TECNOLOGIA, brasileira criada pela N-Stalker e especializada em segurança de aplicações web, Thiago Zaninotti, desenvolveu um novo método para executar testes de segurança de aplicativos web. Em seu trabalho, ‘Método para testes de segurança em aplicações web por meio de casos de uso’, apresentado ao Instituto de Pesquisas Tecnológicas – IPT – da USP, Zaninotti demonstrou que a sua metodologia, que realiza os testes a partir de requisitos de utilização de casos de uso é mais eficiente e aumentou a detecção de problemas de segurança em torno de 30%. “As classes de vulnerabilidades podem ser adaptáveis, entretanto, fizemos testes com as três principais vulnerabilidades listadas no padrão internacional do OWASP Top 10”, explica.

As aplicações web são atualmente o ponto mais vulnerável dos portais na Internet. Na mesma proporção que cresce a demanda por novos serviços e aplicações, elevam-se as ‘brechas’ nestes aplicativos. Assim, o método proposto por Zaninotti testa a interação com as funcionalidades específicas dos aplicativos web. Isso significa que o modelo permite testar a segurança da aplicação como se fosse um usuário regular com um navegador. Ao invés da tradicional orientação dos testes de invasão ("pen-test") que buscam falhas na infraestrutura e operações superficiais, e testam tão somente se os servidores ou a área de autenticação de um ‘home banking’ estão com problemas. “O modelo discute o aumento da eficácia por meio da validação das funcionalidades do aplicativo. Por exemplo, autenticar-se, pedir um extrato, realizar uma transferência, etc. Estes são os tais ‘casos de uso’”, explica.

Além disso, o modelo apoia a utilização sistemática de testes ao longo do Ciclo de Desenvolvimento dos Sistemas (SDLC, do inglês Software Development Life Cycle) e também proporciona extensibilidade para implantação de novas classes de ataques e permitir a aceleração da adoção de modelos formais de segurança. “A validação da proposta é realizada por meio de testes comparativos em relação aos outros métodos estudados com a aplicação wordpress. Emprega-se o critério de assertividade na detecção de vulnerabilidades existentes em cinco casos comuns de uso deste aplicativo”, acrescenta.

Sobre a REDE SEGURA TECNOLOGIA:
A REDE SEGURA TECNOLOGIA foi fundada pela N-Stalker, empresa com mais de 10 anos de experiência em segurança na internet, para licenciar com exclusividade o uso do Sistema RedeSegura, que implementa uma metodologia de segurança dirigida para as aplicações web e seus servidores. O uso do Sistema RedeSegura suporta o processo de Gerenciamento de Vulnerabilidades, criando um ciclo contínuo de melhoria da segurança que vai desde a avaliação da qualidade das entregas do desenvolvedor (QA de Segurança), até o Monitoramento do Risco de ataques no ambiente web de produção, cobrindo todo o ciclo de vida das aplicações web com avaliações de segurança recomendadas pela OWASP, o PCI-DSS, e SANS/FBI. A metodologia de segurança proposta pela REDE SEGURA TECNOLOGIA integra equipes técnicas multidisciplinares em torno de uma política de segurança abrangente, e em conformidade com melhores práticas, promovendo assim um avanço do Grau de Maturidade das empresas na Gestão da Segurança da Informação. Para mais informações: www.redesegura.com.br