Plataforma para testes de segurança em aplicações web

Afonso, Inês Pereira

http://hdl.handle.net/10451/48312

Utilize este identificador para referenciar este registo.

Contacte-nos

Autores

Afonso, Inês Pereira

Orientador(es)

Calha, Mário João Barata

Resumo(s)

A Internet revolucionou o mundo no qual vivemos, interligando milhões de pessoas diariamente. E uma tecnologia em recorrente expansão, com novas aplicações a serem disponibilizadas dia apos dia. Cada vez mais, grandes infraestruturas como bancos e setores comerciais apostam neste novo meio e como tal a sua segurança nunca foi mais importante. Infelizmente vivemos numa situação onde a insegurança e uma realidade, o que torna este meio por vezes perigoso. Muitas vezes, esta insegurança advém de erros no código fonte das aplicações, causados pelos programadores que por vezes não têm o conhecimento ou praticas necessárias para a produção de soluções confiáveis e seguras. Esta tese tenta contribuir um pouco para este problema, apresentando um estudo e desenvolvimento de uma ferramenta desenhada para auxiliar o programador a encontrar estes erros a tempo. Das duas grandes técnicas utilizadas para testar aplicações web, esta insere-se na técnica de black-box, no qual e assumido que não existe acesso ao código fonte. Ao longo do documento transportamos o utilizador para o meio da segurança informática, apresentando um estudo sobre vulnerabilidades em aplicações web e as suas técnicas de deteção, ferramentas já existentes no mercado, e por fim apresentamos a arquitetura e implementação para uma nova solução de software, focada em testes black-box, com recurso a técnica de fuzzing, que, ao contrario das estudadas, permite ao utilizador uma maior configurabilidade de uso, entre outras.

The Internet revolutionized the world that we live in, connecting millions of people daily. It is a technology in expansion, having new web applications being added day after day. More and more businesses like banks or retail-shops are going online, and for the that the safety of these application is of the utter most importance. Unfortunately, we live in world where the insecurity of web application is a reality, and so it can be a rather dangerous world. This insecurity is usually caused by errors in the applications source code, which are normally caused by the programmers themselves, for not having enough knowledge to deploy safe and reliable applications. This thesis tries to contribute to this gap, by presenting a new tool aimed to help the detection of these errors before the applications are deployed. From the two major techniques used to test web applications, the one used, is a black-box technique, which test the application without needing access to their source code. Throughout this document we will transport the reader to the world of cybersecurity, presenting a study on web vulnerabilities and the techniques to detect them, the already existing tools on the market, and last but not least we present an architecture and implementation of a tool that follows one of this techniques, that uses a fuzzing approach to carry on the tests to the applications.

Descrição

Trabalho de projeto de mestrado, Segurança Informática, Universidade de Lisboa, Faculdade de Ciências, 2020

Palavras-chave

fuzzing vulnerabilidades black-box segurança informática Trabalhos de projeto de mestrado - 2020

URI

http://hdl.handle.net/10451/48312

Coleções

FC-DI - Master Thesis (projects)

Ver registo completo