Validação, Verificação & Teste
Testes de segurança
Testes de segurança em aplicações web
De que se trata o artigo:
Neste artigo veremos a importância de se realizar testes de segurança em aplicações Web. Ao desenvolver uma aplicação web, deve-se pensar na segurança dos dados durante toda a fase de desenvolvimento. Isso minimiza as falhas de segurança que chegam ao usuário final. Esse artigo tratará dos testes de segurança realizados pelo testador após o software já estar desenvolvido. Será demonstrada a importância de se realizar testes em aplicações web, as falhas de segurança mais comuns na Internet e, por fim, serão demonstradas extensões do Firefox e algumas ferramentas que auxiliam nos testes de aplicações web.
Para que serve:
A realização de testes de segurança em aplicações Web diminui a probabilidade de um software ser disponibilizado para o usuário final com falhas críticas de segurança e que podem causar prejuízos ao usuário, seja ele financeiro ou a liberação de dados sigilosos.
Em que situação o tema é útil:
Testar a segurança de aplicações Web é importante em qualquer aplicação que contenha dados sigilosos e/ou onde ocorra, de alguma forma, transações financeiras entre o cliente e o servidor, pois diminuem a probabilidade do software ser colocado em produção com uma falha crítica de segurança e que pode vir a ser explorada por alguma pessoa mal intencionada.
A segurança dos softwares desenvolvidos atualmente está se tornando um ponto cada vez mais importante a ser testado. Entretanto, testar a segurança de um software é algo muito complexo e custoso. Portanto, os testes de segurança devem ser focados nos pontos onde a segurança tem uma probabilidade maior de ser comprometida.
Nesse artigo será demonstrada a importância de se realizar testes de segurança em aplicações web. Serão apresentadas quais as falhas de segurança são mais comuns em aplicações web e algumas ferramentas livres que auxiliam nesses testes.
Testes de segurança
No início da internet existiam apenas sites estáticos. Os sites existentes desempenhavam papel apenas de repositórios de informações que continham documentos estáticos, e os navegadores web foram criados como uma forma de visualização desses documentos. A maioria dos sites não autenticava usuários porque não havia necessidade já que a mesma informação era exibida para todos os usuários. Se um invasor comprometesse um servidor, ele normalmente não ganhava acesso a nenhuma informação confidencial, visto que toda a informação já estava liberada para o público. No máximo, o invasor poderia escrever algum conteúdo no site ou utilizar o servidor como repositório de arquivos.
Hoje em dia a internet é completamente diferente. A maioria dos web sites são aplicações complexas e possuem um fluxo de informações nos dois sentidos (servidor e navegador). Elas suportam login, transações financeiras e acesso a dados pessoais. O conteúdo exibido para os usuários geralmente é gerado dinamicamente e muitas vezes é específico para cada usuário. Muitos dos dados processados, e exibidos, são pessoais. A segurança é, portanto, uma grande questão: ninguém utilizará uma aplicação web caso acredite que suas informações confidenciais serão exibidas para terceiros.
Atualmente, para as aplicações web proverem as funcionalidades mais básicas, muitas vezes é necessário acessar sistemas internos da empresa e esses sistemas, muitas vezes, contêm dados sigilosos. Uma falha em uma dessas aplicações web pode comprometer todo o servidor. Um invasor que conseguir comprometer a aplicação web pode roubar informações pessoais e com isso realizar ações maliciosas contra os outros usuários.
Tanto as empresas desenvolvedoras de software quanto os usuários finais têm grande interesse na segurança das aplicações: as empresas, devido à necessidade de aumentar o faturamento com comércio na internet, os usuários porque eles terão mais segurança para utilizar aplicativos.
