FuzzingTool: Ferramenta para Testes de Intrusão em Aplicações Web
Resumo
A cada dia as aplicações Web estão sendo usadas para atividades complexas, a fim de atender as demandas de mercado. Com o crescente uso e avanço de suas tecnologias, faz-se necessário uma maior preocupação quanto à segurança da informação. Para tal, este artigo apresenta uma ferramenta desenvolvida para testes de intrusão em aplicações Web, o FuzzingTool. A ferramenta faz uso da técnica de fuzzing para localizar falhas nessas aplicações, com resultados bastante promissores em testes, por exemplo, que permitiram identificar vários sites auxiliares, potencialmente inseguros, a partir de um domínio principal.
Palavras-chave:
Teste de intrusão, Aplicações Web, Fuzzing
Referências
CVE (1999). CVE-1999-0532. Disponível em: https://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0532. Acesso em: 06 de Julho, 2021.
Ferreira, N. (2021). Joomla JCK Editor 6.4.4 ’parent’ SQL Injection (2). Disponível em: https://www.exploit-db.com/exploits/49627. Acesso em: 06 de Julho, 2021.
Forrester, J. E. and Miller, B. P. (2000). An empirical study of the robustness of Windows NT applications using random testing. 4th USENIX Windows Systems Symposium.
Jackson, T. (2021). Wordpress Plugin YOP Polls 6.2.7 Stored Cross Site Scripting (XSS). Disponível em: https://www.exploit-db.com/exploits/50066. Acesso em: 06 de Julho, 2021.
Jingyu, Z., Hongchao, H., Shumin, H., and Huanruo, L. (2021). A XSS attack detection method based on subsequence matching algorithm. In 2021 IEEE International Conference on Articial Intelligence and Industrial Design (AIID), pages 83–86.
Miller, B., Zhang, M., and Heymann, E. (2020). The relevance of classic fuzz testing: Have we solved this one? IEEE Transactions on Software Engineering, pages 1–1.
Miller, B. P., Fredriksen, L., and So, B. (1990). An empirical study of the reliability of UNIX utilities. Communications of the ACM, (33).
Refactoring Guru (2014). Padrões de projeto em python. Disponível em: https://refactoring.guru/pt-br/design-patterns/python. Acesso em: 06 de Julho, 2021.
Sivasangari, A., Jyotsna, J., and Pravalika, K. (2021). SQL injection attack detection using machine learning algorithm. In 2021 5th International Conference on Trends in Electronics and Informatics (ICOEI), pages 1166–1169.
The OWASP Foundation (2020). Top 10 web application security risks. Disponível em: https://owasp.org/www-project-top-ten/. Acesso em: 06 de Julho, 2021.
Yari, I. A., Abdullahi, B., and Adeshina, S. A. (2019). Towards a framework of conguring and In 2019 15th International evaluating modsecurity waf on tomcat and apache web servers. Conference on Electronics, Computer and Computation (ICECCO), pages 1–7.
Ferreira, N. (2021). Joomla JCK Editor 6.4.4 ’parent’ SQL Injection (2). Disponível em: https://www.exploit-db.com/exploits/49627. Acesso em: 06 de Julho, 2021.
Forrester, J. E. and Miller, B. P. (2000). An empirical study of the robustness of Windows NT applications using random testing. 4th USENIX Windows Systems Symposium.
Jackson, T. (2021). Wordpress Plugin YOP Polls 6.2.7 Stored Cross Site Scripting (XSS). Disponível em: https://www.exploit-db.com/exploits/50066. Acesso em: 06 de Julho, 2021.
Jingyu, Z., Hongchao, H., Shumin, H., and Huanruo, L. (2021). A XSS attack detection method based on subsequence matching algorithm. In 2021 IEEE International Conference on Articial Intelligence and Industrial Design (AIID), pages 83–86.
Miller, B., Zhang, M., and Heymann, E. (2020). The relevance of classic fuzz testing: Have we solved this one? IEEE Transactions on Software Engineering, pages 1–1.
Miller, B. P., Fredriksen, L., and So, B. (1990). An empirical study of the reliability of UNIX utilities. Communications of the ACM, (33).
Refactoring Guru (2014). Padrões de projeto em python. Disponível em: https://refactoring.guru/pt-br/design-patterns/python. Acesso em: 06 de Julho, 2021.
Sivasangari, A., Jyotsna, J., and Pravalika, K. (2021). SQL injection attack detection using machine learning algorithm. In 2021 5th International Conference on Trends in Electronics and Informatics (ICOEI), pages 1166–1169.
The OWASP Foundation (2020). Top 10 web application security risks. Disponível em: https://owasp.org/www-project-top-ten/. Acesso em: 06 de Julho, 2021.
Yari, I. A., Abdullahi, B., and Adeshina, S. A. (2019). Towards a framework of conguring and In 2019 15th International evaluating modsecurity waf on tomcat and apache web servers. Conference on Electronics, Computer and Computation (ICECCO), pages 1–7.
Publicado
04/10/2021
Como Citar
BORGES, Vitor O. C. N.; UCHÔA, Joaquim Q..
FuzzingTool: Ferramenta para Testes de Intrusão em Aplicações Web. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 21. , 2021, Belém.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2021
.
p. 391-396.
DOI: https://doi.org/10.5753/sbseg.2021.17331.