Desempenho e Confiabilidade
CDN DNS Argo roteamento inteligente Balanceamento de carga Otimizações da Web Rede China
Streaming de Vídeo e Entrega
Cloudflare Stream Entrega de stream
Segurança Avançada
Proteção contra DDoS WAF Bot Management Limitação de taxa SSL/TLS DNSSEC Cloudflare Acesso Cloudflare Spectrum Argo Tunnel
Informações
Análise Cloudflare Logs
Cloudflare para desenvolvedores
Cloudflare Workers Cloudflare Workers KV SDK para dispositivos móveis
Registro do domínio
Cloudflare Registrar
Mercado Cloudflare
Aplicativos da Cloudflare
Cloudflare para todos
1.1.1.1
Desempenho
Acelerar aplicativos de Internet Acelerar experiências móveis Garantir a disponibilidade de aplicativos
Segurança
Mitigar ataques de DDoS Evitar violações de dados de clientes
Setores
SaaS Publicadores Setor público
Parcerias
Programa para parceiros Provedor de hospedagem Referência Revendedor/MSP OEM/Tecnologia Programa de parceiros de trabalho Portal de Peering Aliança de largura de banda
Integrações
IBM Cloud Wordpress Google Cloud Magento Acquia Rackspace Microsoft Azure Kubernetes WP Engine
Desenvolver
Guia da API Central do desenvolvedor Fundo para desenvolvedores Documentação
Explorar
Estudos de caso Cloudflare na China Mapa de rede Webinars Atualizações do produto Relatórios técnicos GDPR
Saiba mais
Central de aprendizagem de DDoS Centro de aprendizagem de CDN Central de aprendizagem de DNS Central de aprendizagem de segurança Centro de aprendizado sem servidor Central de aprendizagem de SSL
Conectar
Blog Contato de vendas Comunidade Suporte
Contato

O que é a segurança das aplicações web?

A segurança das aplicações web é importante para qualquer empresa. Saiba mais sobre as vulnerabilidades mais comuns das aplicações web e como elas podem ser mitigadas.

Share facebook icon linkedin icon twitter icon email icon
What is Web Application Security?
Common Threats
Glossary
Por que usar HTTPS?
Sequestro de DNS global

Segurança das aplicações web

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Saiba mais sobre os conceitos fundamentais de segurança das aplicações web
  • Explore as vulnerabilidades/explorações mais comuns das aplicações web
  • Entenda os métodos mais comuns de mitigação de ameaças

Conteúdo relacionado

O que é uma violação de dados?

Ataque man-in-the-middle

Estouro de buffer

SQL Injection

Por que usar HTTPS?

O que é segurança de aplicações web?

Segurança das aplicações web

A segurança de aplicações web é um componente central de qualquer negócio baseado na internet. A natureza global da internet expõe as propriedades da web a ataques provenientes de diferentes locais e vários níveis de tamanho e complexidade. A segurança de aplicações web lida especificamente com a segurança de sites, aplicações e serviços da internet, como as APIs.

Quais são algumas das vulnerabilidades comuns de segurança dos aplicativos da internet?

Os ataques contra aplicativos da internet variam desde a manipulação do banco de dados afetado até interrupções de rede em larga escala. Vamos investigar alguns dos métodos comuns de ataque ou os "vetores" geralmente explorados.

  • Cross site scripting (XSS) — o XSS, ou script cruzado entre sites, é uma vulnerabilidade que permite que um invasor injete scripts do lado do cliente em uma página da internet para acessar informações importantes diretamente, personificar o usuário ou induzir o usuário a revelar informações importantes.
  • SQL injection (SQi) — injeção de SQL é um método pelo qual um invasor explora vulnerabilidades na maneira como um banco de dados executa consultas de pesquisa. Os invasores usam a SQi para obter acesso a informações não autorizadas, modificar ou criar novas permissões de usuário ou manipular ou destruir dados confidenciais de qualquer outra forma.
  • Ataques de negação de serviço (DoS) e ataques de negação de serviço distribuída (DDoS) — por meio de uma variedade de vetores, os atacantes conseguem sobrecarregar o servidor afetado ou sua infraestrutura circundante com diferentes tipos de tráfego de ataque. Quando um servidor perde a capacidade de processar com eficácia as solicitações recebidas, começa a se comportar com lentidão e, eventualmente, passa a negar serviço às solicitações recebidas de usuários legítimos.
  • Corrupção de memória — a corrupção da memória ocorre quando um local na memória é acidentalmente modificado, resultando em um possível comportamento inesperado do software. Os agentes mal-intencionados tentarão farejar e explorar a corrupção da memória por meio de ataques como injeções de código ou estouro de buffer.
  • Estouro de buffer — o estouro de buffer ou transbordamento de dados é uma anomalia que ocorre quando o software grava dados em um espaço definido na memória conhecido como buffer. Se a capacidade do buffer for excedida, isso faz com que os dados em locais de memória adjacentes sejam substituídos. Esse comportamento pode ser explorado para injetar códigos maliciosos na memória, possivelmente criando uma vulnerabilidade na máquina afetada.
  • Falsificação de solicitações entre sites (CSRF) — a falsificação de solicitações entre sites tem como objetivo induzir uma vítima a fazer uma solicitação que utiliza sua autenticação ou autorização. Ao tirar proveito dos privilégios de conta de um usuário, um invasor é capaz de enviar uma solicitação como se fosse o usuário. Após comprometer a conta de um usuário, o invasor consegue extrair, destruir ou alterar informações importantes. As contas com muitos privilégios, como as de administradores ou executivos, são as mais frequentemente visadas.
  • Violação de dados — diferentemente dos vetores de ataque específicos, "violação de dados" é um termo generalizado que se refere à liberação de informações sensíveis ou confidenciais, que pode ocorrer por meio de ações mal-intencionadas ou por engano. O escopo daquilo que é considerado como uma violação de dados é bastante amplo e pode incluir desde alguns poucos registros altamente valiosos até milhões de contas de usuário expostas.

Quais são as boas práticas utilizadas para mitigar vulnerabilidades?

As medidas mais importantes para proteger os aplicativos web contra a exploração incluem o uso de uma criptografia atualizada, a exigência de uma autenticação adequada, a correção contínua das vulnerabilidades descobertas e manter uma boa higiene de desenvolvimento de software. A realidade é que invasores inteligentes podem ser capazes de encontrar vulnerabilidades mesmo em um ambiente com uma segurança bastante sólida e, por isso, é recomendada uma estratégia holística de segurança.

A segurança das aplicações web pode ser aprimorada com proteções contra ataques de DDoS e contra ataques à camada de aplicação e ao DNS:

WAF — proteção contra ataques à camada de aplicação

Um web application firewall ou WAF ajuda a proteger uma aplicação web contra o tráfego HTTP mal-intencionado. Ao colocar uma barreira de filtragem entre o servidor visado e o invasor, o WAF consegue proteger contra ataques como a falsificação entre sites, scripts cruzados entre sites e injeção de SQL. Saiba mais sobre o WAF da Cloudflare.

DDOS Como funciona um WAF

Mitigação de DDoS

Um método usado com frequência para interromper um aplicação web é o uso de ataques de negação de serviço distribuída, ou DDoS. A Cloudflare mitiga os ataques de DDoS por meio de uma variedade de estratégias, incluindo jogar o tráfego de ataque volumétrico para a nossa borda e o uso da nossa rede Anycast para rotear corretamente as solicitações legítimas sem uma perda de serviço. Saiba como a Cloudflare pode ajudá-lo a proteger uma propriedade da web contra um ataque de DDoS.

Animação de um ataque de DDoS e amplificação de DNS

Segurança de DNS — proteção DNSSEC

O sistema de nome de domínio, ou DNS, é o catálogo telefônico da internet e representa a maneira pela qual uma ferramenta da internet, como um navegador web, busca o servidor correto. Agentes mal-intencionados tentarão sequestrar esse processo de solicitação de DNS por meio de envenenamento do cache de DNS , ataques "on-path" e outros métodos de interferência no ciclo de vida da pesquisa de DNS. Se o DNS é o catálogo telefônico da internet, o DNSSEC é um identificador de chamadas que não pode ser falsificado. Descubra como você pode proteger uma pesquisa de DNS utilizando a Cloudflare.

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.