1. Repositório Institucional da Universidade Tecnológica Federal do Paraná (RIUT)
  2. GRAD - Cursos de Graduação
  3. TCC - Trabalhos de Conclusão de Curso de Graduação
  4. Cornélio Procópio
  5. CP - Engenharia de Software
Use este identificador para citar ou linkar para este item: http://repositorio.utfpr.edu.br/jspui/handle/1/36513
Título: Script para a automatização de testes de vulnerabilidades em aplicações web
Autor(es): Campos, Kaique Ribeiro de
Orientador(es): Sampaio, Lucas Dias Hiera
Palavras-chave: Teste de invasão (Medidas de segurança para computadores)
Aplicações Web
Computadores - Medidas de segurança
Penetration testing (Computer security)
Web applications
Computer security
Data do documento: 7-Dez-2022
Editor: Universidade Tecnológica Federal do Paraná
Câmpus: Cornelio Procopio
Citação: CAMPOS, Kaique Ribeiro de. Script para a automatização de testes de vulnerabilidades em aplicações web. 2022. Trabalho de Conclusão de Curso (Bacharelado em Engenharia de Software) - Universidade Tecnológica Federal do Paraná, Cornélio Procópio, 2022.
Resumo: No mercado atual de desenvolvimento de software, encontra-se cada vez mais a necessidade de entregas constantes e rápidas a fim de se manter à frente no cenário competitivo. Como consequência, a prática de testes de segurança no processo de desenvolvimento acaba se tornando uma tarefa secundária, necessária somente após entregas e realizada por empresas especializadas e, portanto, pode ocasionar a detecção tardia de vulnerabilidades. Dessa forma, a fim de detectar essas vulnerabilidades de segurança ainda no processo de desenvolvimento sem que isso atrase toda a operação, surge a demanda de um fluxo automatizado. O objetivo principal do trabalho foi o desenvolvimento de um script que proporciona aos profissionais da área uma maneira de paralelizar os testes de segurança em aplicações web com suas atividades principais realizadas, além de uma forma mais simples de visualizar os resultados obtidos através de relatórios. Foi realizado uma análise das vulnerabilidades apresentadas pelo OWASP Top Ten, no qual foram escolhidas três categorias: Injection, Vulnerable and Outdated Components e Broken Access Control. O script criado realiza a automatização da execução de diversas ferramentas que auxiliam nos testes de segurança. Esses testes foram divididos em etapas nas quais possuíam uma ferramenta de auxílio, essas etapas são respectivamente: enumeração ou coleta de informações, análise de rede, testes de vulnerabilidade, geração de relatório. Os resultados finais obtidos tiveram uma eficácia variada, as etapas de coleta de informações e geração de relatórios foram bem-sucedidas e proporcionaram resultados esperados, as etapas de análise de rede e vulnerabilidades obtiveram um desempenho baixo devido a limitações de tempo e alcance do script, além de falsos positivos que surgiam na análise de rede. Futuramente, espera-se oferecer uma melhoria no tempo de execução juntamente com o aumento do alcance das análises de vulnerabilidades e eliminação de falsos positivos, também será refeito todo o design do relatório.
Abstract: In the current software development market, there is an increasing need for constant and fast deliveries in order to stay ahead in the competitive scenario. As a consequence, the practice of security testing in the development process ends up becoming a secondary task, necessary only after deliveries and performed by specialized companies which, consequently, can cause the late detection of vulnerabilities. Thus, aiming at the need to detect security vulnerabilities still in the development process without delaying the whole operation, the demand for an automated flow arises. The main objective of the project was to develop a script that provides professionals in the industry a way to parallelize the security testing of web applications with their main activities performed on a daily basis, as well as a simpler way to visualize the results obtained through reports. An analysis of the vulnerabilities presented by OWASP Top Ten was performed, in which three categories were chosen: Injection, Vulnerable and Outdated Components, and Broken Access Control. The developed script automates the execution of several tools that help in security tests, these tests were divided into stages in which they had an auxiliary tool, these stages are respectively: enumeration or information gathering, network analysis, vulnerability tests, and report generation. The final results obtained had varying effectiveness, the information gathering and report generation steps were successful and provided the expected results, the network and vulnerability analysis steps performed poorly due to time and script scope limitations, as well as false positives appearing in the network analysis. In the future, it is expected to deliver an improvement in execution time along with an increase in the scope of vulnerability analysis as well as an elimination of false positives, plus the entire report design will be redone.
URI: http://repositorio.utfpr.edu.br/jspui/handle/1/36513
Aparece nas coleções:CP - Engenharia de Software

Arquivos associados a este item:
Arquivo Descrição TamanhoFormato 
scriptanalisevulnerabilidadesweb.pdf3,63 MBAdobe PDFThumbnail
Visualizar/Abrir
Mostrar registro completo do item Recomendar este item Visualizar estatísticas


Este item está licenciada sob uma Licença Creative Commons Creative Commons