Implementando segurança na programação Web

Por que eu devo ler este artigo:Este artigo � �til por abordar as principais e mais recentes formas de ataque que os hackers fazem uso para atingir as aplica��es web, tais como XSS, inje��o de c�digo, envio de c�digo malicioso via uploads, entre outros. Al�m disso, entenda quais erros voc� est� cometendo na implementa��o dos seus c�digos front-end, assim como quais t�cnicas podem nos auxiliar a implantar linhas de defesa na aplica��o, de modo a evitar futuras dores de cabe�a com roubo de dados, quebra de seguran�a, falhas na autentica��o e muito mais.

Os dados s�o o recurso mais importante que qualquer empresa possui. � literalmente poss�vel substituir qualquer parte de um neg�cio, exceto dados. Quando os dados s�o modificados, corrompidos, roubados ou exclu�dos, uma empresa pode sofrer graves perdas. O foco da seguran�a n�o se refere somente � preven��o contra hackers, aplica��es, redes ou qualquer outra coisa que voc� tenha aprendido na faculdade, mas sim dados. E quando falamos sobre as amea�as que existem no universo de programa��o, o front-end define a ponte de acesso que as mesmas fazem uso para burlar a seguran�a da sua aplica��o como um todo. Por essa e muitas outras raz�es � que esse artigo se far� �til para a sua vida como desenvolvedor al�m de abranger uma ampla gama de outros temas sobre seguran�a da informa��o.

N�o importa o qu�o seguro seja o seu o servidor, o qu�o capaz o seu banco de dados � para guardar os dados, esses n�o s�o valiosos at� que voc� fa�a algo com eles. No entanto, antes de prosseguir, � importante decidirmos exatamente como as aplica��es e dados devem interagir, j� que � a defini��o desse fluxo que implica diretamente nas decis�es de seguran�a que devem ser tomadas daqui em diante. Um aplicativo executa apenas quatro opera��es poss�veis sobre os dados, n�o importa o qu�o incrivelmente complexa a aplica��o possa se tornar. Voc� pode definir essas opera��es tomando como base o acr�nimo CRUD (Create, Read, Update, Delete). As opera��es de leitura, escrita, atualiza��o e remo��o de dados devem ser feitas sempre pensando em como os dados dos usu�rios devem ser expostos e que n�veis de seguran�a estamos aptos a implantar para cada uma. N�o existe n�vel m�nimo de seguran�a para cada opera��o e aquela velha hist�ria de que opera��es de consulta � base precisam de menos requisitos de seguran�a, pois n�o alteram os mesmos, est� completamente equivocada. � s� pensar na situa��o em que um hacker tenha acesso facilitado �s opera��es de SELECT da base e, mesmo as demais constando de maior seguran�a, ele pode usar dessa abertura para consultar dados confidenciais das tabelas, ou at� mesmo entender como a estrutura de relacionamentos interna foi feita para o seu sistema como um todo. Em vista disso, precisamos nos certificar de adequar o sistema por inteiro aos conceitos que aqui ser�o apresentados.

Especificando amea�as nas aplica��es web

Voc� pode encontrar listas de amea�as de aplica��es web em toda a internet. Algumas das listas s�o abrangentes e n�o necessariamente tem um foco s�, alguns endere�os que o autor cita s�o as amea�as mais importantes, alguns v�o inform�-lo sobre que tipos de amea�as ocorrem mais comumente, etc. O problema com todas essas listas � que o autor n�o conhece a sua aplica��o. Um ataque do famoso SQL Injection (Inje��o de SQL) s� � bem-sucedido quando sua aplica��o usa SQL de alguma forma.

Obviamente voc� precisa obter ideias sobre o que verificar de algum lugar, e essas listas s�o um bom ponto de partida. No entanto, voc� precisa considerar o conte�do da lista tendo em conta sua aplica��o. Al�m disso, n�o dependa de apenas uma lista, use m�ltiplas, para voc� obter uma melhor cobertura das amea�as que possam atacar a sua aplica��o. Com essa necessidade em mente, aqui est� uma lista das amea�as mais comuns que voc� v� nas aplica��es web de hoje:

Buffer overflow - Um invasor consegue enviar dados suficientes em um input buffer (entrada de dados em buffer) para sobrecarregar uma aplica��o ou em um output buffer (sa�da de dados em buffer).Como resultado a mem�ria externa ao buffer fica corrompida. Alguns formatos de buffer permitem ao hacker executar tarefas aparentemente imposs�veis de fora da aplica��o, porque a mem�ria afetada cont�m c�digo fonte execut�vel. A melhor maneira de prevenir esse problema � executar verifica��es de tamanho e de intervalo (range) em todos os dados de entrada e sa�da que a sua aplica��o lida.
Code Injection (Inje��o de c�digo) - Uma entidade adiciona c�digo para o fluxo de dados fluindo entre um servidor e um cliente (tal como um browser) em modo de man-in-the-middle-attack (modo em que a tal entidade intermedia o ataque se posicionando exatamente entre os dois principais envolvidos no processo de envio/recupera��o dos dados: cliente e servidor). O alvo frequentemente visualiza o c�digo adicionado como parte da p�gina original e, naturalmente, o alvo n�o pode mesmo ver o c�digo injetado. Ele pode estar escondido no plano de fundo pronto para causar todos os tipos de problemas em sua aplica��o. Uma boa maneira para prevenir esse ataque � garantir o uso de dados criptografados: o HTTPS, por exemplo, � um protocolo que faz uso de c�digos de verifica��o (quando poss�vel) e exige autentica��o de quem solicita os recursos na p�gina web. Fornecer um mecanismo de feedback do cliente tamb�m � uma boa ideia, j� que ele ser� sempre o seu maior testador e poder� te dar informa��es r�pidas de falhas na seguran�a da sua aplica��o. A inje��o de c�digo ocorre com mais frequ�ncia do que voc� imagina. Em alguns casos, ela nem faz parte de um ataque, mas poderia muito bem fazer. Certifique-se de tomar bastante cuidado com os Internet Service Providers (ISPs) (vide BOX 1), que frequentemente est�o injetando c�digo JavaScript ao transmitir dados, a fim de sobrepor an�ncios no topo de uma p�gina. Para determinar que tipos de an�ncio deve fornecer, o ISP tamb�m monitora o tr�fico de dados como um todo em p�ginas que os usam.
Cross-site scripting (XSS) - Esse � de longe um dos mais famosos e usados. Um hacker injeta JavaScript ou c�digo execut�vel no fluxo de sa�da da sua aplica��o. O destinat�rio v� seu aplic ...

Quer ler esse conteúdo completo? Tenha acesso completo

Tecnologias:

Confira outros conte�dos:

Programa��o x Concurso P�blico

Osvaldo aprendeu programa��o

DevMedia x Netflix: Onde investir meu...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Fabricio Em 2016

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Implementando seguran�a na programa��o Web

Esse artigo traz uma s�rie de boas pr�ticas em rela��o � preven��o de ataques de hackers �s nossas aplica��es web, com exemplos de como se prevenir e a seus sites.