Uma solução segura é aquela que identifica todas as suas possíveis vulnerabilidades, implementando mecanismos que tenham o objetivo de reduzir qualquer tipo de danos caso ela seja vítima de um ataque. As vulnerabilidades estão espalhadas em todas as camadas da solução – Física, Rede, Servidores e Aplicação.
Qualquer fraqueza em qualquer ponto da solução pode ser explorada por um atacante. Dentro desse assunto, hoje eu gostaria de publicar meu Gerenciamento de Vulnerabilidades-2012 para aplicações web em nível de aplicação. Ou seja, é o levantamento resumido da maioria das possíveis vulnerabilidades que os arquitetos, projetistas e programadores devem estar cientes no momento de construir suas aplicações. As camadas física, rede e servidores são de responsabilidade de infra, ficando assim fora do escopo deste artigo.
Cada vulnerabilidades de aplicação esta classificada de acordo sua aplicabilidade, no qual eu apresento uma breve descrição e as possíveis soluções adotadas. Para um melhor entendimento eu retirei qualquer detalhe de tecnologia/framework, fazendo com que o leitor possa facilmente entender e assim tomar medidas cabíveis dentro do seu próprio projeto. O objetivo desse plano é ser usado como um “pente fino” para que os responsáveis de soluções possam sistematicamente refinar sua solução antes de coloca-la em produção. Vale lembrar que é muito mais barato, fácil e robusto as práticas serem adotadas dentro do planejamento arquitetural, antes da solução ser desenvolvida.
Para aqueles que desejam um dia ter as minimas condições de entregar um solução web segura, segue indicações de leitura obrigatória:
- Livro sobre desenvolvimento de aplicações web JEE seguras - Secure Java: For Web Application Development.
- Guia para desenvolvimento de aplicações web .NET - Hack-Resilient
- Organização Internacional com objetivo de catalogar e documentar questões de segurança em sistemas - https://www.owasp.org/
- Documentação das TOP 10 vulnerabilidades cadastradas no OWASP do ano de 2010- Top Ten OWASP
“Eu sou o Alfa e o Ômega, diz o Senhor Deus, o que é, o que era e o que há de vir, o Todo-poderoso. Alguém Semelhante a um Filho de Homem.” Apocalipse 1:8
[...] Os responsáveis pelas soluções web devem estar cientes das possíveis vulnerabilidades existentes nas “entrelinhas” tecnológicas da atualidade, juntamente com as questões e situações que envolvem os “ciclos de desenvolvimento” e assim devem implementar contra-medidas que venham inibir cada vulnerabilidade que possam gerar problemas dentro do contexto da negocio da solução. O sequestro de sessão é apenas um caso de brecha das muitas dezenas existentes hoje no qual eu percebo que maioria dos responsáveis estão na verdade mal preparados e completamente a margem da situação. Para os interessados no assunto segue a minha dicas de leituras. [...]
Grande Fernando, blz?
Muito oportuna essa abrangência , ainda hoje em dia em que esta questão de segurança de transações esta sendo amplamente discutida e “explorada”
Você usou um exemplo “simples” de um fórum, claro, a coisa complica mais numa loja virtual, ou numa transação com cartão de crédito(embora neste caso, sera mais difícil o roubo de informações), partindo do principio de que a pessoa tenha bom senso no uso de seus dados.
Creio que a aplicação de um protocolo https já torna a coisa mais complicada para o invasor, mas ainda assim, a segurança maior vai vir do próprio usuário, pois nada vai adiantar você ter controle de sessions, https ou um código bem desenvolvido e o usuário ter péssimos hábitos de por exemplo: clicar em links suspeitos, não manter a seus softwares atualizados etc
Creio que (por exemplo) usando somente um HttpSessionListener já não seria suficiente, pois o problema já não é mais “expirar o tempo” mas “durante” o tempo que você esta conectado…o que acha?
Abraços e paz !
Ola Juliano, Por mais incrível que parece eu invadi vários e-commerce nesta brincadeira. As vulnerabilidade estão localizadas em 2 pontos chaves: 1-transmissão e 2- estação do usuário. HTTPS resolve na transmissão. Já o ponto 2 fica a parte de aplicação implementar algumas coisas, que force o usuário se a ter com as melhores praticas e por ai vai……