Primeiros passos para o Desenvolvimento Seguro de Aplicações Web
Resumo
A falta de conhecimento das equipes de desenvolvimento de sistemas a respeito de segurança da informação e a falta de atenção de programadores no momento do desenvolvimento de um projeto de software podem ocasionar várias falhas, que podem ser exploradas por agentes maliciosos. Alguns gestores se esquecem da importância da segurança dos softwares que são desenvolvidos por sua equipe, o que é um grande erro. A proposta deste artigo é expor a alunos de cursos de tecnologia maneiras de desenvolver sistemas seguros em todo ciclo de vida do projeto, desde a concepção até a sua entrega ao cliente final.
Referências
Basso, T. (2010) “Uma abordagem para avaliação da eficácia de scanners de vulnerabilidade em aplicações web”. Dissertação de Mestrado, Universidade Estadual de Campinas – Faculdade de Engenharia Elétrica e de Computação. Campinas, São Paulo.
Batista, C. F. A. (2007) “Métricas de Segurança de Software”. Dissertação de Mestrado, Pontifícia Universidade Católica do Rio de Janeiro, Rio de Janeiro.
Braga, A. M. (2007) “Visão geral das boas práticas para construção de softwares seguros”. Revista Técnica IPEP, São Paulo, SP, 7(2), 65-78.
Chess B., McGraw G. (2004) “Static analysis for security”. IEEE Security & Privacy, v. 2, n. 6, p. 76-79.
DevMedia (2018) “TDD: fundamentos do desenvolvimento orientado a testes”. Disponível em: [link] Acesso em: 20 Março 2018.
Dijkstra, E. W. (1972) “The humble programmer”. Communications of the ACM, v. 15, n. 10, p. 859-866.
Fidelis, R. (2016) “Como Eu Usei o Cartão de Crédito do CEO do Trampos.co para Pagar Minha Assinatura Premium”. Disponível em: [link] Acesso em: 10 Março 2018.
GitHub (2018) “February 28th DDoS Incident Report”. Disponível em: [link]. Acesso em: 20 Março 2018.
IDGNow (2017) “Déficit de profissionais de segurança em TI deve bater 3,5 milhões em 2021”. Disponível em: [link]. Acesso em: 10 Março 2018.
Jordão, R. E. M. (2014) “Armazenamento Distribuído de Dados Seguros com Esquema de Consultas Diretas”, Trabalho de Conclusão de Curso, Faculdade de Tecnologia, Universidade de Brasília - UnB. Brasília-DF.
Kolias, C., Kambourakis, G., Stavrou A. and Voas J. (2017) "DDoS in the IoT: Mirai and Other Botnets," in Computer, vol. 50, no. 7, p. 80-84.
Kyaw, A. K., Sioquim F., and Joseph J., (2015) "Dictionary attack on Wordpress: Security and forensic analysis" Second International Conference on Information Security and Cyber Forensics (InfoSec), Cape Town, 2015, p. 158-164.
Luz, H. J. F. (2011) “Análise de Vulnerabilidades em Java Web Applications”, Trabalho de Conclusão de Curso, Centro Universitário Eurípides de Marília, Fundação de Ensino Eurípides Soares da Rocha. Marília-SP.
Montanheiro, L. S., Carvalho, A. M. M., Rodrigues, J. A. (2017) “Utilização de JSON Web Token na Autenticação de Usuários em APIs REST”, XIII Encontro Anual de Computação. Anais do XIII Encontro Anual de Computação EnAComp 2017.
Catalão: Universidade Federal de Goiás (UFG) - Regional Catalão, 2017. v. XIII. p. 186-193.
OWASP (2013) “OWASP Top 10 2013 – The Ten Most Critical Web Application Security Risk”. Disponível em: [link]. Acesso em: 10 Março 2018.
Pereira, H. (2011) “Sistema de Detecção de Intrusão para Serviços Web Baseado em Anomalias”, Dissertação (mestrado), Pontifícia Universidade Católica do Paraná - PUCPR. Curitiba-PR.
SegInfocast (2016) “Análise de Código e Segurança de Software”. Disponível em: [link]. Acesso em: 10 Março 2018.
Souza, L. L. (2012) “Desenvolvimento seguro de aplicações web seguindo a metodologia OWASP”. Monografia, Universidade Federal de Lavras. Minas Gerais, Brasil.
Batista, C. F. A. (2007) “Métricas de Segurança de Software”. Dissertação de Mestrado, Pontifícia Universidade Católica do Rio de Janeiro, Rio de Janeiro.
Braga, A. M. (2007) “Visão geral das boas práticas para construção de softwares seguros”. Revista Técnica IPEP, São Paulo, SP, 7(2), 65-78.
Chess B., McGraw G. (2004) “Static analysis for security”. IEEE Security & Privacy, v. 2, n. 6, p. 76-79.
DevMedia (2018) “TDD: fundamentos do desenvolvimento orientado a testes”. Disponível em: [link] Acesso em: 20 Março 2018.
Dijkstra, E. W. (1972) “The humble programmer”. Communications of the ACM, v. 15, n. 10, p. 859-866.
Fidelis, R. (2016) “Como Eu Usei o Cartão de Crédito do CEO do Trampos.co para Pagar Minha Assinatura Premium”. Disponível em: [link] Acesso em: 10 Março 2018.
GitHub (2018) “February 28th DDoS Incident Report”. Disponível em: [link]. Acesso em: 20 Março 2018.
IDGNow (2017) “Déficit de profissionais de segurança em TI deve bater 3,5 milhões em 2021”. Disponível em: [link]. Acesso em: 10 Março 2018.
Jordão, R. E. M. (2014) “Armazenamento Distribuído de Dados Seguros com Esquema de Consultas Diretas”, Trabalho de Conclusão de Curso, Faculdade de Tecnologia, Universidade de Brasília - UnB. Brasília-DF.
Kolias, C., Kambourakis, G., Stavrou A. and Voas J. (2017) "DDoS in the IoT: Mirai and Other Botnets," in Computer, vol. 50, no. 7, p. 80-84.
Kyaw, A. K., Sioquim F., and Joseph J., (2015) "Dictionary attack on Wordpress: Security and forensic analysis" Second International Conference on Information Security and Cyber Forensics (InfoSec), Cape Town, 2015, p. 158-164.
Luz, H. J. F. (2011) “Análise de Vulnerabilidades em Java Web Applications”, Trabalho de Conclusão de Curso, Centro Universitário Eurípides de Marília, Fundação de Ensino Eurípides Soares da Rocha. Marília-SP.
Montanheiro, L. S., Carvalho, A. M. M., Rodrigues, J. A. (2017) “Utilização de JSON Web Token na Autenticação de Usuários em APIs REST”, XIII Encontro Anual de Computação. Anais do XIII Encontro Anual de Computação EnAComp 2017.
Catalão: Universidade Federal de Goiás (UFG) - Regional Catalão, 2017. v. XIII. p. 186-193.
OWASP (2013) “OWASP Top 10 2013 – The Ten Most Critical Web Application Security Risk”. Disponível em: [link]. Acesso em: 10 Março 2018.
Pereira, H. (2011) “Sistema de Detecção de Intrusão para Serviços Web Baseado em Anomalias”, Dissertação (mestrado), Pontifícia Universidade Católica do Paraná - PUCPR. Curitiba-PR.
SegInfocast (2016) “Análise de Código e Segurança de Software”. Disponível em: [link]. Acesso em: 10 Março 2018.
Souza, L. L. (2012) “Desenvolvimento seguro de aplicações web seguindo a metodologia OWASP”. Monografia, Universidade Federal de Lavras. Minas Gerais, Brasil.
Publicado
25/10/2018
Como Citar
MONTANHEIRO, Lucas Souza; CARVALHO, Ana Maria Martins.
Primeiros passos para o Desenvolvimento Seguro de Aplicações Web. In: WORKSHOP DE TRABALHOS DE INICIAÇÃO CIENTÍFICA E DE GRADUAÇÃO - SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 18. , 2018, Natal.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2018
.
p. 233-242.
DOI: https://doi.org/10.5753/sbseg_estendido.2018.4162.
