Avaliação de segurança dos websites das universidades Angolanas

Abstract

A avaliação das vulnerabilidades constitui um dos procedimentos técnicos que podem ajudar a prevenir falhas graves de segurança, que quando explorados podem colocar em causa a credibilidade da marca e ou a continuidade de um determinado negócio. As universidades angolanas utilizam os seus websites como montra digital e portal de acesso aos serviços e aplicações que estão disponíveis na Internet 24/7, pelo que estando expostas a todo o tipo de riscos que dela podem advir. O presente trabalho tem por objetivo avaliar o estado da segurança dos websites das instituições de ensino superior angolanas, e mais especificamente, identificar as vulnerabilidades mais frequentes existentes nos mesmos e quantificar o grau de criticidade das mesmas. Para alcançar estes objetivos, este trabalho apoia-se em metodologias que identificam as falhas mais frequentes em aplicações web e utiliza ferramentas automáticas para efetivamente descobrir e validar tais vulnerabilidades. Existem várias metodologias, modelos e frameworks de avaliação de segurança para aplicações web, no entanto muitos destes instrumentos convergem na forma e até mesmo nas mais variadas caraterísticas de segurança que dado o seu grau de criticidade devem ser obrigatoriamente avaliadas. Logo, este estudo teve como referência instrumentos como o OWASP Top 10 e o CWE Top 25 para identificar e validar os achados descobertos durante o processo automático de avaliação de vulnerabilidades. O presente trabalho identificou as vulnerabilidades de segurança mais frequentes nas aplicações web das universidades de angolanas e constatou que muitas destas falhas poderiam ser eliminadas se as instituições avaliadas introduzissem nos seus procedimentos técnicos e administrativos a prática regular de avaliação de vulnerabilidades e de testes de intrusão.

Vulnerability assessment is one of the technical procedures that can help prevent serious security breaches, which when exploited can undermine brand credibility and or the continuity of a business. Angolan universities use their websites as a digital showcase and gateway to their web applications that are available on the Internet 24/7 and exposed to all kinds of risks that may arise from them. This work aims to assess the security status of the websites of Angolan higher education institutions, and more specifically, to identify the most frequent vulnerabilities existing in them and to quantify their degree of criticality. To achieve these objectives, this work is based on methodologies that identify the most frequent flaws in web applications and uses automatic tools to effectively discover and validate such vulnerabilities. There are several methodologies, models and frameworks for evaluating security for web applications, however many of these instruments converge in the form and even in the most varied security characteristics that, given their degree of criticality, must be mandatorily evaluated. Therefore, this study had as reference instruments such as OWASP Top 10 and CWE Top 25 to identify and validate the findings discovered during the automatic vulnerability assessment process. The present work identified the most frequent security vulnerabilities in the web applications of Angolan universities and found that many of these flaws could be eliminated if the evaluated institutions introduced the regular practice of vulnerability assessment and intrusion tests in their technical and administrative procedures.