Especialização em Segurança de Redes de Computadores
Por: sharooz • 4/3/2016 • Pesquisas Acadêmicas • 689 Palavras (3 Páginas) • 280 Visualizações
UNIVERSIDADE ESTÁCIO DE SÁ
Curso: Especialização em Segurança de Redes de Computadores
Disciplina: Segurança de Aplicativos
Professor: Robson Lorbieski – robson.lorbieski@yahoo.com.br
Assunto do email: Seg. Aplicativos – NOMEs_DOs_ALUNOs
Data Limite Entrega: 17/12/2014
Grupo de até 2 integrantes
Nome(s): Shahruz Ebrahimi
1) Qual a importância de um ciclo de vida bem definido no desenvolvimento do software? 1 ponto
A fase de análise permite que requisitos sejam levantados e estudados previamente ao desenvolvimento.
Caso alguma inconsistência ou vulnerabilidade seja encontrada no processo é possível voltar e corrigi-la em qualquer estágio do ciclo em que foi detectada.
Software tem um grau de maturidade mais satisfatório ao ser implantado no cliente.
2) Descreva injeção de dados, como ela pode ser evitada e cite alguma consequência da utilização dessa vulnerabilidade. 2 pontos
Injeção de dados: - Ocorre quando a aplicação envia dados não tratados para algum serviço interno.
- Descoberta mais facilmente por verificação de código. Quando dados de entrada não são tratados.
Como evitar- Não utilizar dados não confiáveis em comandos e/ou queries.
- Rotinas de validação ou escape de caracteres.
- Bind através de frameworks
- É aconselhável o uso da validação postiva nas emtradas (White list).
3) Descreva o que é um Cross Site Scripting (XSS), bem como quais os 3 principais principais tipos, e descreva como ele pode ser tratado? 2 pontos
O ataque de Cross-site scripting (XSS) consiste em uma vulnerabilidade causada pela falha nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação web. Este ataque permite que código HTML seja inserido de maneira arbitrária no navegador do usuário alvo.
Tecnicamente, este problema ocorre quando um parâmetro de entrada do usuário é apresentado integralmente pelo navegador, como no caso de um código javascript que passa a ser interpretado como parte da aplicação legítima e com acesso a todas as entidades do documento (DOM). Na prática, o responsável pelo ataque executar instruções no navegador da vítima usando um aplicativo web vulnerável, modificar estruturas do documento HTML e até mesmo utilizar o golpe para perpetrar fraudes como phishing.
Um bom exemplo é uma aplicação como um fórum, em que o usuário tenha permissão para incluir mensagens de sua própria autoria para que os outros usuários possam ler. Se este aplicativo não filtrar corretamente os códigos HTML, um usuário mal intencionado pode injetar instruções para leitura de informações específicas do usuário legítimo, tais como códigos de sessão, e até mesmo executar tarefas específicas como enviar mensagens de maneira arbitrária para o fórum.
...