J-Attack - Injetor de Ataques para Avaliação de Segurança de Aplicações Web
Abstract
The security of software systems is mandatory in current software development scenario. It requires expertise in several areas of knowledge and includes the study of malicious faults, in order to know them and use this knowledge to allow providing computer systems ability to detect and avoid them without compromising the security required by the users. This paper presents the design and development process of a tool that is able to inject attacks in Web applications aims to use it to evaluate the security of the applications.
References
Acunetix (2007), “70% of websites at immediate risk of being hacked!” Disponível em http://www.acunetix.com/news/security-audit-results.htm, acesso março/ 2011.
Acunetix (2011), “Acunetix Web Vulnerability Scanner” Disponível em http://www.acunetix.com/vulnerability-scanner/, acesso março/2011.
Amadeus (2010). “Portal do software público brasileiro”. Disponível em http://www.softwarepublico.gov.br/ver-comunidade?community_id=9677539. Último acesso em dezembro/2010.
Auger, R. (2010) “The Cross-Site Request Forgery (CSRF/XSRF) FAQ”. Disponível em http://www.cgisecurity.com/csrf-faq.html, acesso novembro/2010.
Basso, T., Fernandes, P.C.S., Jino, M., Moraes, R. (2010) “Analysis of the Effect of Java Software Faults on Security Vulnerabilities and Their Detection by Commercial Web Vulnerability Scanner Tool”. In: Proceedings of IEEE DSN Workshops (DSNW), Chicago, EUA.
Bau, J., Bursztein, E., Gupta, D, Mitchell, J. (2010) “State of the Art: Automated Black-Box Web Application Vulnerability Testing”. IEEE Symposium on Security and Privacy, Oakland, USA. Páginas 332-345.
Beck, K. (2002) “Test Driven Development: By Example”. (5a edição). Addison-Wesley Professional.
Browser Scope Project (2010) “Security Test Results”. Disponível em http://browserscope.org/?category=security, acesso novembro/2010.
Christey, S. and Martin, R.A. (2007) “Vulnerability type distributions in CVE”, Technical Report 1.1, vol. 10, p.04, MITRE Corporation, May 2007.
Eberom (2010). “A CRM and Project Management Tool”. Disponível em http://sourceforge.net/projects/eberom/. Último acesso em dezembro/2010.
Fernandes, P. C. S., Basso, T., Moraes, R., Jino, M. (2010) “Attack Trees Modeling for Security Tests in Web Applications” 4th. Brazilian Workshop on Systematic and Automated Software Testing (SAST). Natal - RN, Brasil.
Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee, T. (1999) “RFC 2616: Hypertext Transfer Protocol - HTTP/1.1”. Disponível em: http://www.w3.org/Protocols/rfc2616/rfc2616-sec1.html, acesso novembro de 2010.
Fonseca, J., Vieira, M., Madeira, H. (2007) “Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks”, 13th IEEE Pacific Rim Dependable Computing Conference (PRDC 2007), Melbourne, Victoria, Australia.
Gamma, E., Helm, R., Johnson, R., Vlissides, J. (1995) “Design Patterns: Elements of Reusable Object-Oriented Software”. 1 st . Ed. Estados Unidos da América: Addison-Wesley.
Halfond, W. G. J., Viegas, J., Orso, R. (2006) “A Classification of SQL-Injection Attacks and Countermeasures”. International Symposium on Secure Software Engineering – ISSSE 2006, Arlington, Virginia, 2006.
Havij. “ITSecTeam”. Disponível em http://www.itsecteam.com/en/projects/project1.htm, acesso abril/2011.
HP (2011), “HP WebInspect” Disponível em [link], acesso março/2011.
IBM (2011), “IBM Rational AppScan” Disponível em [link], último acesso março/2011.
NTA Monitor (2008), Annual Web Application Security Report 2008, Disponível em http://www.nta-monitor.com, último acesso fevereiro/2011.
OWASP (2010) “Top 10 Project”. Disponível em [link], acesso novembro de 2010.
Schneier, B (1999) “Attack Trees: Modeling Security Threats”, Dr. Dobb‟s Journal.
Singhal, A., Winograd, T. and Scarfone, K. (2007) “Guide to Secure Web Services: Recommendations of the National Institute of Standards and Technology,” Report, National Inst. of Standards and Tech, US Dep.of Commerce, 2007, pp. 800–95.
Snake, R. “XSS (Cross Site Scripting) - Cheat Sheet Esp: for filter evasion”. Disponível em http://ha.ckers.org/xss.html, acesso novembro/2010.
SqlHelper “Stored Procedure and Documentation Tool”. Disponível em http://www.pikauba.com/sqlhelp/details.htm, acesso abril/2011.
SqlMap “Automatic Sql Injection and Database Takeover Tool”. Disponível em http://sqlmap.sourceforge.net, acesso abril/2011.
Vieira, M., Antunes, N., Madeira, H. (2009) "Using Web Security Scanners to Detect Vulnerabilities in Web Services". Pract.Exp.Report. DSN 2009, Lisboa, Portugal.
Acunetix (2011), “Acunetix Web Vulnerability Scanner” Disponível em http://www.acunetix.com/vulnerability-scanner/, acesso março/2011.
Amadeus (2010). “Portal do software público brasileiro”. Disponível em http://www.softwarepublico.gov.br/ver-comunidade?community_id=9677539. Último acesso em dezembro/2010.
Auger, R. (2010) “The Cross-Site Request Forgery (CSRF/XSRF) FAQ”. Disponível em http://www.cgisecurity.com/csrf-faq.html, acesso novembro/2010.
Basso, T., Fernandes, P.C.S., Jino, M., Moraes, R. (2010) “Analysis of the Effect of Java Software Faults on Security Vulnerabilities and Their Detection by Commercial Web Vulnerability Scanner Tool”. In: Proceedings of IEEE DSN Workshops (DSNW), Chicago, EUA.
Bau, J., Bursztein, E., Gupta, D, Mitchell, J. (2010) “State of the Art: Automated Black-Box Web Application Vulnerability Testing”. IEEE Symposium on Security and Privacy, Oakland, USA. Páginas 332-345.
Beck, K. (2002) “Test Driven Development: By Example”. (5a edição). Addison-Wesley Professional.
Browser Scope Project (2010) “Security Test Results”. Disponível em http://browserscope.org/?category=security, acesso novembro/2010.
Christey, S. and Martin, R.A. (2007) “Vulnerability type distributions in CVE”, Technical Report 1.1, vol. 10, p.04, MITRE Corporation, May 2007.
Eberom (2010). “A CRM and Project Management Tool”. Disponível em http://sourceforge.net/projects/eberom/. Último acesso em dezembro/2010.
Fernandes, P. C. S., Basso, T., Moraes, R., Jino, M. (2010) “Attack Trees Modeling for Security Tests in Web Applications” 4th. Brazilian Workshop on Systematic and Automated Software Testing (SAST). Natal - RN, Brasil.
Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L., Leach, P., Berners-Lee, T. (1999) “RFC 2616: Hypertext Transfer Protocol - HTTP/1.1”. Disponível em: http://www.w3.org/Protocols/rfc2616/rfc2616-sec1.html, acesso novembro de 2010.
Fonseca, J., Vieira, M., Madeira, H. (2007) “Testing and Comparing Web Vulnerability Scanning Tools for SQL Injection and XSS Attacks”, 13th IEEE Pacific Rim Dependable Computing Conference (PRDC 2007), Melbourne, Victoria, Australia.
Gamma, E., Helm, R., Johnson, R., Vlissides, J. (1995) “Design Patterns: Elements of Reusable Object-Oriented Software”. 1 st . Ed. Estados Unidos da América: Addison-Wesley.
Halfond, W. G. J., Viegas, J., Orso, R. (2006) “A Classification of SQL-Injection Attacks and Countermeasures”. International Symposium on Secure Software Engineering – ISSSE 2006, Arlington, Virginia, 2006.
Havij. “ITSecTeam”. Disponível em http://www.itsecteam.com/en/projects/project1.htm, acesso abril/2011.
HP (2011), “HP WebInspect” Disponível em [link], acesso março/2011.
IBM (2011), “IBM Rational AppScan” Disponível em [link], último acesso março/2011.
NTA Monitor (2008), Annual Web Application Security Report 2008, Disponível em http://www.nta-monitor.com, último acesso fevereiro/2011.
OWASP (2010) “Top 10 Project”. Disponível em [link], acesso novembro de 2010.
Schneier, B (1999) “Attack Trees: Modeling Security Threats”, Dr. Dobb‟s Journal.
Singhal, A., Winograd, T. and Scarfone, K. (2007) “Guide to Secure Web Services: Recommendations of the National Institute of Standards and Technology,” Report, National Inst. of Standards and Tech, US Dep.of Commerce, 2007, pp. 800–95.
Snake, R. “XSS (Cross Site Scripting) - Cheat Sheet Esp: for filter evasion”. Disponível em http://ha.ckers.org/xss.html, acesso novembro/2010.
SqlHelper “Stored Procedure and Documentation Tool”. Disponível em http://www.pikauba.com/sqlhelp/details.htm, acesso abril/2011.
SqlMap “Automatic Sql Injection and Database Takeover Tool”. Disponível em http://sqlmap.sourceforge.net, acesso abril/2011.
Vieira, M., Antunes, N., Madeira, H. (2009) "Using Web Security Scanners to Detect Vulnerabilities in Web Services". Pract.Exp.Report. DSN 2009, Lisboa, Portugal.
Published
2011-05-30
How to Cite
FERNANDES, Plinio C. S.; BASSO, Tânia; MORAES, Regina.
J-Attack - Injetor de Ataques para Avaliação de Segurança de Aplicações Web. In: FAULT TOLERANCE WORKSHOP (WTF), 12. , 2011, Campo Grande/MS.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2011
.
p. 29-42.
ISSN 2595-2684.
DOI: https://doi.org/10.5753/wtf.2011.23088.
