Please use this identifier to cite or link to this item: http://monografias.ufrn.br/handle/123456789/8337
Title: Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web
Authors: Azevedo, Daniel Galvão de
Keywords: Segurança da informação;Ferramentas de varredura de vulnerabilidades;Aplicações web
Issue Date: 10-Dec-2018
Publisher: Universidade Federal do Rio Grande do Norte
Citation: AZEVEDO, Daniel Galvão de. Um estudo sobre ferramentas de busca de vulnerabilidades em aplicações web. 2018. 60f. Trabalho de Conclusão de Curso (Graduação em Engenharia de Computação) - Centro de Tecnologia, Departamento de Engenharia de Computação e Automação, Universidade Federal do Rio Grande do Norte, Natal, 2018.
Portuguese Abstract: Com o advento da Internet, as pessoas e empresas têm se tornado dependentes das aplicações web. Diante disso, se faz necessário o desenvolvimento seguro dessas aplicações, uma vez que o impacto causado por uma falha de segurança se torna cada vez maior, em consequência desta dependência. Atrelado a isso, o número de hackers também vem aumentando rapidamente. Assim sendo, para garantir esta segurança, são utilizados métodos como boas práticas de desenvolvimento e testes de invasão (pentest). Nestes dois casos, as ferramentas de busca de vulnerabilidade web são bastante empregadas, principalmente para a realização de testes do tipo black-box. No entanto, até mesmo estas ferramentas precisam ser bem selecionadas, para se atingir o objetivo esperado. Este trabalho tem como objetivo avaliar algumas das principais ferramentas de busca de vulnerabilidade web de código aberto, tais como OWASP ZAP, Paros, SkipFish e Vega. Estas ferramentas foram executadas sobre duas aplicações web intencionalmente vulneráveis e os relatórios produzidos foram comparados com a lista de vulnerabilidades de cada aplicação. Além disso, é apresentada uma pequena explicação das ferramentas e das principais vulnerabilidades abordadas nas práticas, e em seguida são mostrados os cenários utilizados e os dados obtidos. Ao final, são mostrados pontos positivos e negativos de cada ferramenta, as dificuldades encontradas e ideias para se obter melhores resultados com trabalhos futuros.
Abstract: With the advent of the Internet, people and businesses have become dependent on web applications. In view of this, it is necessary to safely develop these applications, since the impact caused by a security flaw continues increasing, as a consequence of this dependence. Linked to this, the number of hackers is also increasing rapidly. Thus, to ensure this security, methods such as good development practices and penetration testing (pestest) are used. In these two cases, web vulnerability scanner tools are widely used, mainly for black-box type tests. However, even these tools need to be well-selected in order to achieve the expected goal. This work aims to evaluate some of the main open-source Web Vulnerability Scanners, such as ZAP, Paros, SkipFish and Vega. These scanners were run on two intentionally vulnerable web applications and the produced Reports were compared with the list of vulnerabilities of each application. Besides, a brief explanation of the tools and main vulnerabilities addressed in the practices are given, and the scenarios used and the data obtained are shown below. Finally, positive and negative points of each tool are shown, difficulties encountered and ideas for better results with future works.
URI: http://monografias.ufrn.br/handle/123456789/8337
Other Identifiers: 2016008193
Appears in Collections:Engenharia de Computação

Files in This Item:
File Description SizeFormat 
UmEstudoSobreFerramentas_Azevedo_2018.pdfTrabalhodeConclusaodeCurso_DanielGalvao_20182.37 MBAdobe PDFThumbnail
View/Open


This item is licensed under a Creative Commons License Creative Commons