J-Attack - Injetor de Ataques para Avaliação de Segurança de Aplicações Web
Resumo
A busca por sistemas seguros é uma necessidade no cenário de software atual. A segurança de sistemas computacionais exige conhecimentos específicos em diversas áreas de conhecimento e inclui o estudo de falhas maliciosas, para que, conhecendo-as, seja possível prover aos sistemas computacionais capacidade de detectá-las e evitá-las sem comprometer a segurança exigida pelos usuários. Este artigo apresenta o projeto e o processo de desenvolvimento de uma ferramenta capaz de injetar ataques em aplicações Web para utilização em avaliações de segurança de aplicações.
Referências
Acunetix (2011), “Acunetix Web Vulnerability Scanner” Disponível em http://www.acunetix.com/vulnerability-scanner/, acesso março/2011.
Amadeus (2010). “Portal do software público brasileiro”. Disponível em http://www.softwarepublico.gov.br/ver-comunidade?community_id=9677539. Último acesso em dezembro/2010.
Auger, R. (2010) “The Cross-Site Request Forgery (CSRF/XSRF) FAQ”. Disponível em http://www.cgisecurity.com/csrf-faq.html, acesso novembro/2010.
Basso, T., Fernandes, P.C.S., Jino, M., Moraes, R. (2010) “Analysis of the Effect of Java Software Faults on Security Vulnerabilities and Their Detection by Commercial Web Vulnerability Scanner Tool”. In: Proceedings of IEEE DSN Workshops (DSNW), Chicago, EUA.
Bau, J., Bursztein, E., Gupta, D, Mitchell, J. (2010) “State of the Art: Automated Black-Box Web Application Vulnerability Testing”. IEEE Symposium on Security and Privacy, Oakland, USA. Páginas 332-345.
Beck, K. (2002) “Test Driven Development: By Example”. (5a edição). Addison-Wesley Professional.
Browser Scope Project (2010) “Security Test Results”. Disponível em http://browserscope.org/?category=security, acesso novembro/2010.
Christey, S. and Martin, R.A. (2007) “Vulnerability type distributions in CVE”, Technical Report 1.1, vol. 10, p.04, MITRE Corporation, May 2007.
Eberom (2010). “A CRM and Project Management Tool”. Disponível em http://sourceforge.net/projects/eberom/. Último acesso em dezembro/2010.
Fernandes, P. C. S., Basso, T., Moraes, R., Jino, M. (2010) “Attack Trees Modeling for Security Tests in Web Applications” 4th. Brazilian Workshop on Systematic and Automated Software Testing (SAST). Natal - RN, Brasil.
Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee, T. (1999) “RFC 2616: Hypertext Transfer Protocol - HTTP/1.1”. Disponível em: http://www.w3.org/Protocols/rfc2616/rfc2616-sec1.html, acesso novembro de 2010.
Fonseca, J., Vieira, M., Madeira, H. (2007) “Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks”, 13th IEEE Pacific Rim Dependable Computing Conference (PRDC 2007), Melbourne, Victoria, Australia.
Gamma, E., Helm, R., Johnson, R., Vlissides, J. (1995) “Design Patterns: Elements of Reusable Object-Oriented Software”. 1 st . Ed. Estados Unidos da América: Addison-Wesley.
Halfond, W. G. J., Viegas, J., Orso, R. (2006) “A Classification of SQL-Injection Attacks and Countermeasures”. International Symposium on Secure Software Engineering – ISSSE 2006, Arlington, Virginia, 2006.
Havij. “ITSecTeam”. Disponível em http://www.itsecteam.com/en/projects/project1.htm, acesso abril/2011.
HP (2011), “HP WebInspect” Disponível em [link], acesso março/2011.
IBM (2011), “IBM Rational AppScan” Disponível em [link], último acesso março/2011.
NTA Monitor (2008), Annual Web Application Security Report 2008, Disponível em http://www.nta-monitor.com, último acesso fevereiro/2011.
OWASP (2010) “Top 10 Project”. Disponível em [link], acesso novembro de 2010.
Schneier, B (1999) “Attack Trees: Modeling Security Threats”, Dr. Dobb‟s Journal.
Singhal, A., Winograd, T. and Scarfone, K. (2007) “Guide to Secure Web Services: Recommendations of the National Institute of Standards and Technology,” Report, National Inst. of Standards and Tech, US Dep.of Commerce, 2007, pp. 800–95.
Snake, R. “XSS (Cross Site Scripting) - Cheat Sheet Esp: for filter evasion”. Disponível em http://ha.ckers.org/xss.html, acesso novembro/2010.
SqlHelper “Stored Procedure and Documentation Tool”. Disponível em http://www.pikauba.com/sqlhelp/details.htm, acesso abril/2011.
SqlMap “Automatic Sql Injection and Database Takeover Tool”. Disponível em http://sqlmap.sourceforge.net, acesso abril/2011.
Vieira, M., Antunes, N., Madeira, H. (2009) "Using Web Security Scanners to Detect Vulnerabilities in Web Services". Pract.Exp.Report. DSN 2009, Lisboa, Portugal.