A SEGURANÇA DA INFORMAÇÃO
Por: Rafael Oliveira • 27/11/2018 • Ensaio • 1.004 Palavras (5 Páginas) • 155 Visualizações
UNIVERSIDADE CATÓLICA DE SANTOS
BRUNA LOPES
JOÃO VITOR NUNES
RAFAEL OLIVEIRA
OWASP TOP 10 – 2013
SEGURANÇA DA INFORMAÇÃO
- O que é o documento?
O documento é conjunto de informações e políticas que procuram discutir e sensibilizar sobre segurança da informação mostrando as ameaças, riscos e vulnerabilidades que são enfrentados para garantir maior proteção ao longo dos anos.
- Qual a abrangência do conteúdo?
O conteúdo abrange as ferramentas, métodos de riscos que são encontrados no dia-a-dia, o que as organizações enfrentam para proteger seus dados, sistemas de informação e até mesmo nos negócios. É recomendado para profissionais de Segurança de Informação.
- Principais conceitos
A Segurança da Informação está relacionada a proteção de dados e informações que pertencem aos usuários e organizações, no sentido que a preservação destes seja a principal causa para área.
Com isso, são entendidos como três aspectos principais, sendo eles a confidencialidade, integridade e disponibilidade e não é somente restrita aos sistemas computacionais, como também as políticas de segurança que garantem a proteção das informações. O documento trata de possíveis riscos que são mais enfrentados pelas organizações e professionais da área.
Os ataques às aplicações se aproveitam das vulnerabilidades e acessam os controles de segurança, criando-se impacto nos negócios da organização.
De acordo com o OWASP Top 10 - 2013, os riscos mais comuns são: injeção de SQL, quebra de Autenticação e Gerenciamento de Sessão, Cross-Site Scripting, referência insegura e direta a objetos, configuração incorreta de segurança, exposição de dados sensíveis, falta de função para controle do nível de acesso, Cross-Site Request Forgery (CSRF), utilização de componentes vulneráveis conhecidos, redirecionamentos e encaminhamentos inválidos.
- Injeção de SQL
Consiste em uma ameaça de segurança, que uma falha exposta nos sistemas de banco de dados, o atacante pode consultar os dados, e captar as informações de servidores.
- Quebra de Autenticação e Gerenciamento de Sessão
Permite que o atacante obtenha dados de usuários, como credenciais, senhas, ID de sessão, informações e dados pessoais, o que pode ocasionar roubo de contas, criação de contas falsas, alterações de senhas, tornar menos desprotegido a acessos aos sistemas.
- Cross-Site Scripting
São ataques do tipo injeção, nas quais scripts maliciosos são injetados em sites. O atacante utiliza um código maligno a alguma aplicação, permitindo acesso a cookies, sessões ou qualquer informação sensível pelo navegador. Isso faz com que o usuário não saiba se o site tem scripts confiáveis,
- Referência Insegura e Direta a Objetos
Este geralmente, está atrelado ao atacante que conhece e está autorizado acessar o sistema. É comum, que seja relatado que usuários com irrestrições ou com acessos privilegiados possam utilizar disso para roubar dados e informações para benefício próprio ou competição mercadológica.
- Configuração Incorreta de Segurança
Nos dias atuais, a Segurança de Informação é a maior forma de proteger dados, porém é necessário que se tenha rigidez e cumprimento das políticas de segurança, nas quais as organizações exija. A falta e configuração permitem que usuários e atacantes possam fazer qualquer alteração e disfarces de práticas ilícitas dentro do sistema, como ataques a servidores. É preciso políticas duras para fortalecer a organização.
- Exposição De Dados Sensíveis
O uso de senhas fracas, irrestrições ao acesso, dados armazenados de forma que possam ser visualizados permitem que o atacante se aproveite das brechas encontradas para coleta. A engenharia social é um mecanismo utilizado para obter informações de usuários e acesso aos sistemas.
- Falta de Função para Controle de Nível de Acesso
Com a evolução das redes públicas, isso permite que o usuário possa ter acesso a funcionalidades privadas dos sistemas. É necessário que a organização tenha um controle de nível de acesso, permitindo que se tenha níveis diferentes conforme a necessidade de acesso as funções.
...