Identificação de vulnerabilidades em aplicações web open-source

Abstract

Na atualidade, as tecnologias da informação facilitam a comunicação das empresas e permitem uma implementação digital dos principais processos de negócio internos e da integração com clientes, fornecedores e parceiros de negócio. Mas nem tudo são benefícios. O facto dos negócios estarem mais acessíveis e interligados traduz-se também em novos riscos de segurança que devem ser identificados e devidamente mitigados. Muitas destas organizações optam hoje por software open-source, em particular aplicações web, sem ter a capacidade de avaliar até que ponto estas mesmas aplicações são seguras. Esta é a principal motivação para o presente trabalho de investigação, a de permitir que as organizações possam ter uma opinião informada sobre este tipo de software que utilizam. Para conseguir atingir este objetivo, esta investigação baseou-se na auditoria e análise das aplicações web open-source mais utilizadas pelas empresas através das principais ferramentas de análise automatizada de vulnerabilidades em aplicações web. Os resultados servirão como referência nos conhecimentos relacionados com a segurança informática, especificamente nas aplicações web open-source que poderão ser utilizadas por pequenas e grandes empresas, adicionalmente podem ser utilizados para trabalhos futuro.

Currently, Information Technology facilitates the communication inside and outside companies and allows the digital implementation of key internal business processes and the integration with customers, suppliers and business partners. But not all are benefits. In fact, the more businesses become accessible and interconnected also there is an increase in the new security risks to which they are exposed that must be identified and properly mitigated. Many of these organizations use open-source software, in particular web applications, without having the ability of evaluating if the applications are secure or not. This is the main motivation for this research work and the objective is to allow the organizations to have an informed opinion about this type of software on what concerns security. To achieve this goal, this research was based on the audit and analysis of the most implemented open-source web applications, using the main automated tools of web vulnerabilities analysis. The results obtained in this research work could serve as reference in knowledge related to information technology security, specifically in the open-source web applications used nowadays by small and large companies. Additionally, these results could be used for future work to be developed in the area.