9. Proteção em nível de transporte insufi ciente: ocorre quando uma aplicação falha ao autenticar, encriptar e proteger a confidencialida de e integridade do tráfego de rede sensível. Is to pode acontecer com o uso de algoritimos de criptografia fracos, usam certificados digitais expi rados ou inválidos ou não os usam corretamen te.
10. Redirects e forwards não validados:
ocorre quando uma aplicação redireciona ou en caminha um usuário a outras páginas ou sites e usam dados não confiáveis para determinar a pá gina de destino. Sem validação apropriada, ata cantes podem redirecionar vítimas para sites de phishing ou malware ou usam forwards para acessar páginas não autorizadas.
Além de ser um poderoso documento de conscientização, para cada uma das vulnerabili dades listadas são ensinadas formas de evitar que sua aplicação fique vulnerável. Vale muito a pena ler as explicações mais aprofundadas de cada vulnerabilidade e, principalmente, nas for mas de prevenção.
WebGoat
O WebGoat é uma aplicação web feita em Java com diversas falhas de segurança feita pa ra ensinar lições de segurança em aplicações web. Em cada lição, o usuário deve demonstrar que entende um problema de segurança explo rando a vulnerabilidade do WebGoat. Por exem plo, uma das lições o usuário precisa fazer um ataque de SQL Injection para roubar números falsos de cartões de crédito. A aplicação é um ambiente de aprendizado realístico e provê aos usuários dicas e código que explicam cada lição.
WebScarab
O WebScarab é um aplicativo desktop feito em Java (portanto é multiplataforma) utilizado como um proxy web. Após configurar seu nave gador para utilizar a porta aberta pelo WebSca rab como proxy HTTP, você pode utilizálo para analisar todo o tráfego entre o navegador e a aplicação que está sendo acessada, bem como alterar o conteúdo do request enviado original mente. Assim, ele pode ser utilizado para identifi car falhas de segurança em sua aplicação web sem alterar a interface de usuário da mesma.
ESAPI
A ESAPI é uma API de controle de segurança que torna fácil aos desenvol vedores escreverem aplicações com baixo risco. Disponível para as platafor mas como Java, .NET, Python e PHP, a ESAPI tem o seguinte design básico pa
ra todas as implementações:
Ter um conjunto de interfaces de con trole de segurança;
Ter uma implementação de referência para cada controle;
Poder, opcionalmente, utilizar sua pró pria implementação para cada controle.
Figura 1 WebGoat
O diagrama acima mostra todos os módu los dos controles contemplados pela ESAPI.
AntiSamy
O AntiSamy é uma API utilizada para evitar que código HTML e CSS malicioso afete sua aplicação e evitando, assim, um ataque de XSS. A API faz isso fazendo uma validação do HTML/CSS recebido do cliente e o valida atra
Figura 2 WebScarab
Figura 3 Módulos dos controles contemplados pela ESAPI
vés de uma whitelist, que é uma lista de elemen tos HTML/CSS seguros de serem aceitos pela aplicação. Ele tem suporte a mensagens de erro amigáveis e suas políticas de validação podem ser personalizadas.
Guias
Além de software, a OWASP elabora uma ri ca documentação sobre o assunto e uma parte desta documentação é composta por três impor tantes guias:
1. Guia de desenvolvimento: provê um guia prático com exemplos de código em Java, .NET e PHP, cobrindo um extenso leque de proble mas de segurança;
2. Guia de revisão de código: objetiva guiar o revisor de código na busca por vulnerabilidades da aplicação;
3. Guia de teste: objetiva criar melhores práti cas para testes de intrusão em aplicações web.
Conclusão
Como vimos ao longo deste artigo, a OWASP é uma organização bastante ativa e que desenvolve diversos projetos importantes pa ra a melhoria na segurança das aplicações web. O melhor de tudo é que estes projetos são to dos liberados sob licenças livres, que facilitam sua adoção e implantação inclusive em empre sas.
Além disso, por sua natureza aberta, qual quer pessoa é livre para virar um contribuidor de melhorias e correções para os produtos. Exis tem projetos muito interessantes ainda em de senvolvimento e que podem ser um local divertido para aprender novas tecnologias e con tribuir com o software livre.
Que fique claro, no entanto, que o que eu apresentei foi apenas uma pequena parte do que a OWASP desenvolve. Recomendo forte mente a todos os desenvolvedores de aplica ções web que naveguem pelo site e descubram tudo que ela tem a oferecer.
RODRIGO CARVALHO é analista de sistemas com experiência pessoal e profissional com software livre e membro ativo na divulgação do software livre no Rio de Janeiro através do grupo SLRJ.
Para mais informações:
[1] Site da OWASP: http://www.owasp.org [2] OWASP AppSec Brasil 2010:
http://www.owasp.org/index.php/AppSec_Brasil_2010_(ptbr)
Houve um momento, que não sei precisar qual, em que os profissionais de TI começaram a perceber o quanto é possível realizar excelen tes análises de vulnerabilidades usando softwa res freeware ou open source. Não estou querendo de forma alguma dizer que as ferra mentas proprietárias são deficitárias mas sim, deixar muito claro que mesmo que não haja re cursos financeiros disponíveis para a condução deste tipo de análise, o trabalho não precisa dei xar de ser realizado.
Gostaria de falar um pouco sobre uma fer ramenta, no mínimo interessante, chamada PentBox. Esta ferramenta foi desenvolvida com a tecnologia Ruby on Rails, orientada para siste mas GNU/Linux, mas compatível com sistemas Windows, MacOS e demais sistemas que ro dem Ruby.