Tecnologia

Teste de software e Segurança

Avatar do Rogério Marques

Por Rogério Marques

19 junho 2018 - 18:48 | Atualizado em 29 março 2023 - 17:41


teste-de-software-e-seguranca

– Oi, eu sou o Teste! Sou responsável por revelar falhas e garantir que seu software tenha qualidade esperada.

– E eu, a Segurança. Estou aqui para proteger e assegurar que nada aconteça em situações adversas que possam causar algum prejuízo.

Juntos, somos o Teste de Segurança e nosso maior objetivo é identificar falhas de segurança e encontrar vulnerabilidades que podem ocorrer na sua aplicação.

Com certeza, você já deve ter se deparado com algumas notícias do tipo:

Pois bem, isso mostra que num dado momento os sistemas ficaram vulneráveis e algum código malicioso se apoderou de dados ou informações importantes que gerou danos, visto que estes podem ser irreparáveis.

Daí, pergunto-lhe: Você ou sua empresa está pronta para esses ataques?

TOP 10 Ataques

Você sabia que existe uma entidade focada em melhorar a segurança dos sistemas?

– Não?! Deixe-me apresentá-la. Essa entidade chama-se OWASP (Open Web Application Security Project) Projeto de Segurança de Aplicações Abertas da Web, sem fins lucrativos e é reconhecida mundialmente contribuindo com informações importantes que permitem analisar riscos de segurança e combater formas de ataques.

A OWASP é uma organização aberta que fornece ferramentas, documentos, pesquisas, fóruns para que qualquer pessoa ou empresa melhore a segurança de suas aplicações – ou faça parte dessa comunidade. E, dentre esses materiais fornecidos, o mais famoso são os TOP 10 Ataques. São eles:

top 10 ataques
Clique na imagem para maior nitidez.

– Não se espante! Além de listar os ataques, também são publicadas maneiras de se prevenir e ferramentas para nos apoiar.

Ferramentas de Apoio

Ainda bem que não estamos sozinhos nesse vasto mundo dos ataques. Existem várias ferramentas no mercado, tanto gratuitas quanto pagas, que dão suporte quando o assunto é testar segurança da sua aplicação. Veja abaixo algumas dentre tantas:

  • Metasploit: é uma ferramenta extraordinária que realiza exames minuciosos contra um conjunto de endereços IP e o código é aberto;
  • Nessus: vasculha computadores e firewalls em busca de portas abertas para que software potencialmente malicioso seja instalado;
  • Nmap: além de muito popular, esse scanner é capaz de elaborar e executar análises em um nível granular de TCP detectando até marca e modelo dos dispositivos remotos;
  • BurpSuite: intercepta, modifica e analisa tráfego funcionando como um proxy das máquinas conectadas e realiza essas funções utilizando recursos inteligentes;
  • SqlMap: além de explorar falhas de injeção SQL, pode explorar fragilidades que tomem o controle do servidor de banco de dados e até fazer ataques de adivinhação de senha;
  • Nikto: vasculha a aplicação em busca de arquivos e configurações interessantes que podem ser passivos de ataque;
  • OWASP Zap: para identificar códigos maliciosos, essa ferramenta desempenha uma variedade de testes como: força bruta, fuzzing e escaneamento de portas;
  • Kali Linux: é uma distribuição GNU/Linux que possui várias aplicações para teste de segurança e é indicada para pessoas que ainda não possuem muito conhecimento de nesta área;
  • HackBar: objetivo de auxiliar o desenvolvedor a fazer auditorias em seu código em busca de injeção SQL e furos de XSS e segurança do site;
  • Samurai Framework: é um ambiente pré-configurado com vários utilitários para testes de invasão.

Você realmente achou que estava em apuros, não é mesmo?!

Isto é fato! Com a vasta quantidade de informações ditas como sensíveis circulando principalmente em aplicações web e móveis, as empresas precisam voltar os seus olhos cada vez mais para a segurança e garantir que não haja problemas com vazamento de dados.

Comentários:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *