Automação de Autenticação para Testes de Segurança em Aplicações Web no ZAP
Resumo
Executar testes de vulnerabilidades completos em aplicações Web requer uma sessão autenticada de usuário. Esta autenticação é comumente configurada manualmente por um especialista devido à complexidade dos variados mecanismos de autenticação utilizados por Web apps modernas. Neste artigo apresentamos um arcabouço para descobrir automaticamente as informações necessárias para autenticação programática. Nossa avaliação mostra que o arcabouço utiliza poucos recursos e é eficaz em autenticar em vários Web apps.
Referências
Al-Fannah, Nasser Mohammed (2017). “Making defeating CAPTCHAs harder for bots”. Em: 2017 Computing Conference. DOI: 10.1109/SAI.2017.8252183.
Alazmi, Suliman e Daniel Conte de Leon (2022). “A Systematic Literature Review on the Characteristics and Effectiveness of Web Application Vulnerability Scanners”. Em: IEEE Access. DOI: 10.1109/ACCESS.2022.3161522.
Albahar, Marwan, Dhoha Alansari e Anca Jurcut (2022). “An Empirical Comparison of Pen-Testing Tools for Detecting Web App Vulnerabilities”. Em: Electronics. DOI: 10.3390/electronics11192991.
Ashari, Ilham Firman, Vina Oktariana, Ringgo Galih Sadewo e Salman Damanhuri (2022). “Analysis of Cross Site Request Forgery (CSRF) Attacks on West Lampung Regency Websites Using OWASP ZAP Tools”. Em: Jurnal Sistem Informasi dan Teknologi. DOI: 10.32736/sisfokom.v11i2.1393.
Basso, Tania, R Moraes e M Jino (2010). “Uma abordagem para avaliação da eficàcia de scanners de vulnerabilidades em aplicaçòes Web”. Em: Campinas, Brazil: Dissertação de Mestrado. Universidade Estadual de Campinas. DOI: 10.47749/t/unicamp.2010. 772795.
Hariyadi, Dedy e Faulinda Ely Nastiti (2021). “Analisis Keamanan Sistem Informasi Menggunakan Sudomy dan OWASP ZAP di Universitas Duta Bangsa Surakarta”. Em: Jurnal Komtika (Komputasi dan Informatika). DOI: 10.31603/komtika.v5i1.5134.
Jakobsson, Adam e Isak Häggström (2022). Study of the techniques used by OWASP ZAP for analysis of vulnerabilities in web applications. URL: [link].
Leaders, Security (2024). Ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024. URL: [link].
Li, Xiaowei e Yuan Xue (2014). “A survey on server-side approaches to securing web applications”. Em: ACM Comput. Surv. DOI: 10.1145/2541315.
Matti, Erik (2021). Evaluation of open source web vulnerability scanners and their techniques used to find SQL injection and cross-site scripting vulnerabilities. URL: [link].
Mu’min, Muh. Amirul, Abdul Fadlil e Imam Riadi (2022). “Analisis Keamanan Sistem Informasi Akademik Menggunakan Open Web Application Security Project Framework”. Em: Jurnal Manajemen Informatika. DOI: 10.30865/mib.v6i3.4099.
Navpreet Kaur, Mandeep Devgan (2015). “A Comparative Analysis of Various Multistep Login Authentication Mechanisms”. Em: International Journal of Computer Applications. DOI: 10.5120/ijca2015906472.
Rusdiansyah, Rusdiansyah, Nining Suharyanti, Hendra Supendar e Tuslaela Tuslaela (2024). “Web Program Testing Using Selenium Python: Best Practices and Effective Approaches”. Em: Sinkron: jurnal dan penelitian teknik informatika. DOI: 10.33395/sinkron.v8i2.13569.
Tedyyana, Agus, Osman Ghazali e Onno W Purbo (2023). “A real-time hypertext transfer protocol intrusion detection system on web server”. Em: TELKOMNIKA Telecommunication Computing Electronics and Control. DOI: 10.12928/telkomnika.v21i3.24938.
Alazmi, Suliman e Daniel Conte de Leon (2022). “A Systematic Literature Review on the Characteristics and Effectiveness of Web Application Vulnerability Scanners”. Em: IEEE Access. DOI: 10.1109/ACCESS.2022.3161522.
Albahar, Marwan, Dhoha Alansari e Anca Jurcut (2022). “An Empirical Comparison of Pen-Testing Tools for Detecting Web App Vulnerabilities”. Em: Electronics. DOI: 10.3390/electronics11192991.
Ashari, Ilham Firman, Vina Oktariana, Ringgo Galih Sadewo e Salman Damanhuri (2022). “Analysis of Cross Site Request Forgery (CSRF) Attacks on West Lampung Regency Websites Using OWASP ZAP Tools”. Em: Jurnal Sistem Informasi dan Teknologi. DOI: 10.32736/sisfokom.v11i2.1393.
Basso, Tania, R Moraes e M Jino (2010). “Uma abordagem para avaliação da eficàcia de scanners de vulnerabilidades em aplicaçòes Web”. Em: Campinas, Brazil: Dissertação de Mestrado. Universidade Estadual de Campinas. DOI: 10.47749/t/unicamp.2010. 772795.
Hariyadi, Dedy e Faulinda Ely Nastiti (2021). “Analisis Keamanan Sistem Informasi Menggunakan Sudomy dan OWASP ZAP di Universitas Duta Bangsa Surakarta”. Em: Jurnal Komtika (Komputasi dan Informatika). DOI: 10.31603/komtika.v5i1.5134.
Jakobsson, Adam e Isak Häggström (2022). Study of the techniques used by OWASP ZAP for analysis of vulnerabilities in web applications. URL: [link].
Leaders, Security (2024). Ciberataques aumentam 38% no Brasil durante primeiro trimestre de 2024. URL: [link].
Li, Xiaowei e Yuan Xue (2014). “A survey on server-side approaches to securing web applications”. Em: ACM Comput. Surv. DOI: 10.1145/2541315.
Matti, Erik (2021). Evaluation of open source web vulnerability scanners and their techniques used to find SQL injection and cross-site scripting vulnerabilities. URL: [link].
Mu’min, Muh. Amirul, Abdul Fadlil e Imam Riadi (2022). “Analisis Keamanan Sistem Informasi Akademik Menggunakan Open Web Application Security Project Framework”. Em: Jurnal Manajemen Informatika. DOI: 10.30865/mib.v6i3.4099.
Navpreet Kaur, Mandeep Devgan (2015). “A Comparative Analysis of Various Multistep Login Authentication Mechanisms”. Em: International Journal of Computer Applications. DOI: 10.5120/ijca2015906472.
Rusdiansyah, Rusdiansyah, Nining Suharyanti, Hendra Supendar e Tuslaela Tuslaela (2024). “Web Program Testing Using Selenium Python: Best Practices and Effective Approaches”. Em: Sinkron: jurnal dan penelitian teknik informatika. DOI: 10.33395/sinkron.v8i2.13569.
Tedyyana, Agus, Osman Ghazali e Onno W Purbo (2023). “A real-time hypertext transfer protocol intrusion detection system on web server”. Em: TELKOMNIKA Telecommunication Computing Electronics and Control. DOI: 10.12928/telkomnika.v21i3.24938.
Publicado
16/09/2024
Como Citar
SACRAMENTO, Lucas S. C.; CUNHA, Ítalo; CARDOSO, Gabriel Pains de Oliveira; SOUZA, Artur; FRANCO, Antônio; OLIVEIRA, Leonardo B..
Automação de Autenticação para Testes de Segurança em Aplicações Web no ZAP. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 24. , 2024, São José dos Campos/SP.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2024
.
p. 760-766.
DOI: https://doi.org/10.5753/sbseg.2024.241760.
