Portifolio Individual

SUMÁRIO

1 INTRODUÇÃO 3

2 Segurança no Desenvolvimento de Aplicações Web 4

3 Diagrama de Atividade (UML) 7

3.1 Características 8

4 Normalização de Diagrama Entidade Relacionamento (MRN) 10

5 CONCLUSÃO 12

REFERÊNCIAS 13

1 INTRODUÇÃO

Desenvolver Sistema é muito mais que digitar no teclado. Existem alguns assuntos que todo programador deve entender antes de iniciar a codificação. Dentre muitos assuntos, trataremos de três: Segurança no desenvolvimento de Aplicações Web, Diagrama de Atividade e Normalização do Diagrama de Entidade Relacionamento.

2 SEGURANÇA NO DESENVOLVIMENTO DE APLICAÇÕES WEB

Frequentemente os requisitos de segurança das aplicações não recebem a atenção devida pela equipe de desenvolvimento, principalmente pelo pressuposto frágil de que uma área de segurança da organização resolverá os requisitos de segurança por meio de firewalls, sistemas de detecção de intrusões, algoritmos e protocolos de criptografia. Trata-se do mito de que as vulnerabilidades de segurança serão tratadas pela implementação, a posteriori, de uma camada provida por soluções periféricas que atendam aos princípios tradicionais de segurança definidos em: identificação, autenticação, autorização, confidencialidade, irretratabilidade, integridade e administração de políticas.

Embora seja verdade que tal camada periférica de segurança acoplada às aplicações promove um importante grau de proteção, é igualmente verdade que muitos ataques têm obtido êxito sobre softwares aparentemente blindados por esta camada. Trata-se de técnicas de ataque que exploraram falhas estruturais da codificação dos programas e ou fraquezas da arquitetura de dados.

Abaixo está descriminado dez vulnerabilidades de segurança mais frequentes em web:

1. Cross Site Scripting (XSS)

 As falhas XSS permitem aos atacantes executarem scripts no navegador da vítima, os quais podem roubar sessões de usuário, pichar sites web, introduzir worms, etc.

2. Falhas de Injeção

 A injeção (em especial SQL Injection) ocorre quando os dados fornecidos pelo usuário são enviados a um interpretador como parte de um comando. A informação maliciosa engana o interpretador que irá executar comandos mal intencionados.

3. Vazamento de Informações e Tratamento de erros inapropriado

 Exposição de informações sobre configuração das aplicações, processos internos ou qualquer violação não intencional de privacidade por meio de problemas na aplicação. Os atacantes podem usar esta fragilidade para roubar informações consideradas sensíveis.

4. Execução Maliciosa de Arquivo

 Os códigos vulneráveis à inclusão remota de arquivos permitem ao atacante incluir código e dados maliciosos. Afeta PHP, XML e qualquer framework que aceite entrada de nomes de arquivo ou arquivos pelos usuários.

5. Referência Insegura Direta a Objeto

 Exposição da referência a um objeto interno, como arquivos, diretórios, registros ou chaves da base de dados, na forma de uma URL ou parâmetro de formulário. Os atacantes manipulam estas referências para acessar outros objetos sem autorização.

6. Falha ao Restringir Acesso À URLs

 Frequentemente, uma aplicação protege suas funcionalidades críticas somente pela supressão de informações como links ou URLs para usuários não autorizados. Os atacantes podem fazer uso desta fragilidade para acessar e realizar operações não autorizadas por meio do acesso direto às URLs.

7. Cross Site Request Forgery (CSRF)

 O navegador autenticado em uma aplicação é forçado a enviar uma requisição pré-autenticada a uma aplicação web que, por sua vez, força o navegador da vítima a executar uma ação maliciosa em favor do atacante.

8. Falha de Autenticação e Gerência de Sessão

 Credenciais de acesso e tokens de sessão não protegidos apropriadamente. Nestes casos, os atacantes comprometem senhas, chaves ou tokens de autenticação de forma a assumir a identidade de outros usuários.

9. Armazenamento criptográfico inseguro

 Utilização de funções criptográficas de forma inadequada para proteção de informações e credenciais. Os atacantes se aproveitam de informações mal protegidas para realizar roubo de identidade e outros crimes.

10. Comunicações Inseguras

 As aplicações frequentemente falham em criptografar tráfego de rede quando se faz necessário proteger comunicações críticas/confidenciais.

3 DIAGRAMA DE ATIVIDADE (UML)

Um diagrama de atividade é essencialmente um gráfico de fluxo, mostrando o fluxo de controle de uma atividade para outra e que serão empregados para fazer a modelagem de aspectos dinâmicos do sistema. Na maior parte, isso envolve a modelagem das etapas sequenciais em um processo computacional; Enquanto os diagramas de sequência dão ênfase ao fluxo de controle de um objeto para outro, os diagramas de atividades dão ênfase ao fluxo de controle de uma atividade para outra;

Uma atividade é uma execução não atômica em andamento em uma máquina de estados e acabam resultando em alguma ação, formada pelas computações atômicas executáveis que resultam em uma mudança de estado do sistema ou o retorno de um valor.

Considere o exemplo do fluxo de trabalho associado à construção de uma casa. Primeiro, você seleciona um local. A seguir, contrata um arquiteto para projetar sua casa. Uma vez definida a planta, seu desenvolvedor determina os custos da casa. Após concordar com um preço e com uma forma de pagamento, a construção pode começar. As licenças são tiradas, o terreno é cavado, a fundação é cimentada, as estruturas são erguidas e assim por diante até tudo ficar pronto. Você então recebe as chaves e um certificado de habite-se e toma posse da casa.

Embora seja uma grande simplificação do que realmente acontece

...