ANÁLISE DE VULNERABILIDADES EM JAVA WEB APPLICATIONS

Abstract

Ataques a aplicações web com vulnerabilidades são reportados diariamente e acumulam estatísticas que não podem ser desprezadas. Devido frequentemente ao despreparo dos desenvolvedores que não conhecem as vulnerabilidades e somando-se a isso o custo e tempo necessário para a implementação de métodos eficazes de segurança, estes índices são incrementados anualmente. Neste contexto, este trabalho visou à criação de um software para analisar o código fonte de sistemas feitos para a web ou migrados para a web em busca de falhas de segurança, auxiliando o desenvolvedor a corrigi-las. Com base na documentação e relatórios de algumas empresas, foram definidos as vulnerabilidades de SQL Injection e XSS (Cross Site Scripting) como foco de implementação neste trabalho de conclusão, uma vez que, seu nível de periculosidade e quantidade de ataques efetuados nos últimos anos aumentou significativamente. Igualmente, foram encontradas diversas ferramentas correlatas, no entanto grande parte haviam sido descontinuadas há algum tempo ou eram softwares pagos. Uma das ferramentas encontradas, o Websecurify, software gratuito e que continua a ser atualizado foi usado para comparação, ele engloba uma maior quantidade de vulnerabilidades do que este trabalho inicialmente verifica, além dos testes serem de caixa preta, ou seja, não é utilizado o código fonte da aplicação no mecanismo de análise. Para o teste e comparação com o Websecurify, foi desenvolvida uma aplicação web funcional, onde o Websecurify não conseguiu detectar nenhuma vulnerabilidade na aplicação, com isso foram testadas mais duas aplicações, também de análise de caixa preta, onde o resultado se repetiu, ambos não conseguiram detectar nenhuma vulnerabilidade. Quanto ao programa desenvolvido neste trabalho, o mesmo conseguiu detectar as vulnerabilidades criadas na aplicação ao fazer a análise diretamente no código.