Analise de Vulnerabilidades
Wellington Santos da Silva Tia: 31181155

OWASP

Open Web Application Security Project é uma comunidade aberta, dedicada a capacitar as organizações a desenvolver, adquirir e manter aplicações confiáveis. A Fundação OWASP é uma entidade sem fins lucrativos que garante o sucesso do projeto a longo prazo. Quase todos os associados à OWASP são voluntários. Existem 10 axiomas, ou 10 regras a serem seguidas que ajudam a manter as aplicações confiáveis.

ZAP

Proxy Attack Zed (ZAP), foi desenvolvido para encontrar vulnerabilidades em sistemas Web. ZAP permite tanto testes automatizados quanto manuais, pode ser utilizado por leigos em segurança da informação e também por pessoas com experiência no assunto. O software possui boa documentação on-line, um menu de ajuda com várias opções úteis e um guia de usuário vasto de informações. A figura abaixo mostra a tela inicial do software.

Fonte: Captura de tela do software ZAP

A identificação das vulnerabilidades, ocorre de forma a identificar possíveis falhas, na página de comunicação com os parceiros da organização. Para isso, digita-se na opção “URL para atacar” no software ZAP, o endereço da página a ser testada. Em seguida, clica-se no botão “Ataque”, como mostra abaixo.

Fonte: Captura de tela do software ZAP

Como se pode notar, o nome do site foi preservado, no entanto, ao observar a figura, pode-se constatar que a procura por vulnerabilidades ocorre através de diversas formas. Isso pode ser observado através das abas de navegação e também das linhas no console da aplicação, que mostram relatórios dos pacotes transmitidos e recebidos do sistema. A aba “Alertas”, que fica ao lado esquerdo da aba “Varredura Ativa”, localizada acima do console, no canto inferior direito, mostra as falhas encontradas no sistema, que podem ou não ser vulnerabilidades.

A ferramenta detectou três tipos diferentes de possíveis falhas na aplicação. São elas: Cookies sem flag HTTPOnly, Senhas auto completadas no