Análise de segurança em aplicações Web construídas a partir dos frameworks Django, Express e Flask
Resumo
A escolha das tecnologias a serem usadas no desenvolvimento de uma aplicação é de grande importância, pois cada tecnologia possui pontos positivos e negativos, dependendo da situação. Atualmente o mercado dispõe de diversos frameworks contendo diferentes características nos mais variados aspectos, e um desses aspectos é como cada framework trata questões de segurança. Este trabalho apresenta características relacionadas a proteção oferecida pelos frameworks Django, Flask e Express em aplicações desenvolvidas com o intuito de realizar testes relacionados aos métodos para exploração de vulnerabilidades Injection, Broken Authentication e XSS. Utilizando ferramentas de análise estática sobre o código das aplicações e realizando testes com ferramentas de análise dinâmica e uma análise manual, será feita uma análise dos frameworks no que diz respeito aos métodos de segurança empregados por cada um, a eficácia das implementações de segurança e o esforço para tornar as aplicações seguras.Referências
Oliveira, R. A., RAGA, M. M., Laranjeiro, N., Vieira, M., An approach for benchmarking the security of web service frameworks. Future Generation Computer Systems, v. 100, p. 833-848, set. 2020.
Mateo T. F., Bermejo H. J.R., Bermejo H. J., Sicilia M. J.-A., Argyros, M.I. On Combining Static, Dynamic and Interactive Analysis Security Tools to Improve OWASP Top Ten Security Vulnerability Detection in Web Applications. Appl. Sci., Spain, v.10 n.24, dez. 2020.
Likaj, X., Soheil, K., Giancarlo, P. Where We Stand (or Fall): An analysis of CSRF Defenses in Web Framewoks., ACM., p. 370-385, out. 2021.
Hassan, M., Nipa, S. S., Akter, M., Haque, R., Deepa, F. N., Rahman, M., Siddiqui, M. A., Sharif, M. H. Broken Authentication and Session Management Vulnerability: A Case Study of Web Application. International Journal of Simulation. abr. 2018.
Micheelsen, S., Thalmann, Bruno. A Static Analysis Tool for Detecting Security Vulnerabilities in Python Web Applications. Aslborg University. mai. 2016.
Ablahd AZ, Dawood SA. Using Flask for SQLIA Detection and Protection. Tikit Journal of Engineering Sciences 2020; 27(2): 1-14.
Mateo T. F., Bermejo H. J.R., Bermejo H. J., Sicilia M. J.-A., Argyros, M.I. On Combining Static, Dynamic and Interactive Analysis Security Tools to Improve OWASP Top Ten Security Vulnerability Detection in Web Applications. Appl. Sci., Spain, v.10 n.24, dez. 2020.
Likaj, X., Soheil, K., Giancarlo, P. Where We Stand (or Fall): An analysis of CSRF Defenses in Web Framewoks., ACM., p. 370-385, out. 2021.
Hassan, M., Nipa, S. S., Akter, M., Haque, R., Deepa, F. N., Rahman, M., Siddiqui, M. A., Sharif, M. H. Broken Authentication and Session Management Vulnerability: A Case Study of Web Application. International Journal of Simulation. abr. 2018.
Micheelsen, S., Thalmann, Bruno. A Static Analysis Tool for Detecting Security Vulnerabilities in Python Web Applications. Aslborg University. mai. 2016.
Ablahd AZ, Dawood SA. Using Flask for SQLIA Detection and Protection. Tikit Journal of Engineering Sciences 2020; 27(2): 1-14.
Publicado
12/09/2022
Como Citar
DE BRITO, Rodrigo; DE CARVALHO, Carlos André Batista.
Análise de segurança em aplicações Web construídas a partir dos frameworks Django, Express e Flask. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 22. , 2022, Santa Maria.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2022
.
p. 171-184.
DOI: https://doi.org/10.5753/sbseg_estendido.2022.224119.
