Segurança em aplicações web: análise de vulnerabilidades e testes de penetração

Abstract

RESUMO: A segurança em aplicações web é uma preocupação essencial devido ao crescente número de ameaças cibernéticas. A análise de vulnerabilidades e os testes de penetração são práticas fundamentais para identificar e corrigir potenciais brechas de segurança. A avaliação de vulnerabilidades envolve a busca proativa por falhas de segurança, como injeção de SQL, Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF). E neste cenário os testes de penetração vão além, simulando ataques reais para avaliar a eficácia das defesas implementadas. Ferramentas automatizadas e abordagens manuais são empregadas para identificar e explorar falhas. Com estas ferramentas utilizadas numa aplicação WEB com modelo MVC, em ambiente local, foram testadas as abordagens em questão somado com o uso das ferramentas mencionadas. Tudo isso trouxe um entendimento de como se comporta uma aplicação mediante um ataque, e como um atacante pode comprometer o sistema. Mas após esses testes, é necessário que se tome conhecimento de como mitigar esses riscos, a fim de que não deixe mais estas falhas podendo serem exploradas novamente.__ABSTRACT The security in web applications is an essential concern due to the increasing number of cyber threats. Vulnerability analysis and penetration testing are fundamental practices for identifying and fixing potential security breaches. Vulnerability assessment involves proactively searching for security flaws, such as SQL injection, Cross-Site Scripting (XSS), and Cross-Site Request Forgery (CSRF). In this scenario, penetration testing goes further by simulating real attacks to assess the effectiveness of implemented defenses. Automated tools and manual approaches are employed to identify and exploit vulnerabilities. With these tools used in a web application with an MVC model, in a local environment, the mentioned approaches were tested along with the use of the mentioned tools. All of this provided an understanding of how an application behaves under attack and how an attacker can compromise the system. But after these tests, it is necessary to be aware of how to mitigate these risks so that these vulnerabilities cannot be exploited again.