O que é a segurança das aplicações web?

A segurança das aplicações web é importante para qualquer empresa. Saiba mais sobre as vulnerabilidades mais comuns das aplicações web e como elas podem ser mitigadas.

Share facebook icon linkedin icon twitter icon email icon

Segurança das aplicações web

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Saiba mais sobre os conceitos fundamentais de segurança das aplicações web
  • Explore as vulnerabilidades/explorações mais comuns das aplicações web
  • Entenda os métodos mais comuns de mitigação de ameaças

O que é segurança de aplicações web?

Segurança das aplicações web

A segurança de aplicações web é um componente central de qualquer negócio baseado na internet. A natureza global da internet expõe as propriedades da web a ataques provenientes de diferentes locais e vários níveis de tamanho e complexidade. A segurança de aplicações web lida especificamente com a segurança de sites, aplicações e serviços da internet, como as APIs.

Quais são algumas das vulnerabilidades comuns de segurança dos aplicativos da internet?

Os ataques contra aplicativos da internet variam desde a manipulação do banco de dados afetado até interrupções de rede em larga escala. Vamos investigar alguns dos métodos comuns de ataque ou os "vetores" geralmente explorados.

  • Cross site scripting (XSS) — o XSS, ou script cruzado entre sites, é uma vulnerabilidade que permite que um invasor injete scripts do lado do cliente em uma página da internet para acessar informações importantes diretamente, personificar o usuário ou induzir o usuário a revelar informações importantes.
  • SQL injection (SQi) — injeção de SQL é um método pelo qual um invasor explora vulnerabilidades na maneira como um banco de dados executa consultas de pesquisa. Os invasores usam a SQi para obter acesso a informações não autorizadas, modificar ou criar novas permissões de usuário ou manipular ou destruir dados confidenciais de qualquer outra forma.
  • Ataques de negação de serviço (DoS) e ataques de negação de serviço distribuída (DDoS) — por meio de uma variedade de vetores, os atacantes conseguem sobrecarregar o servidor afetado ou sua infraestrutura circundante com diferentes tipos de tráfego de ataque. Quando um servidor perde a capacidade de processar com eficácia as solicitações recebidas, começa a se comportar com lentidão e, eventualmente, passa a negar serviço às solicitações recebidas de usuários legítimos.
  • Corrupção de memória — a corrupção da memória ocorre quando um local na memória é acidentalmente modificado, resultando em um possível comportamento inesperado do software. Os agentes mal-intencionados tentarão farejar e explorar a corrupção da memória por meio de ataques como injeções de código ou estouro de buffer.
  • Estouro de buffer — o estouro de buffer ou transbordamento de dados é uma anomalia que ocorre quando o software grava dados em um espaço definido na memória conhecido como buffer. Se a capacidade do buffer for excedida, isso faz com que os dados em locais de memória adjacentes sejam substituídos. Esse comportamento pode ser explorado para injetar códigos maliciosos na memória, possivelmente criando uma vulnerabilidade na máquina afetada.
  • Falsificação de solicitações entre sites (CSRF) — a falsificação de solicitações entre sites tem como objetivo induzir uma vítima a fazer uma solicitação que utiliza sua autenticação ou autorização. Ao tirar proveito dos privilégios de conta de um usuário, um invasor é capaz de enviar uma solicitação como se fosse o usuário. Após comprometer a conta de um usuário, o invasor consegue extrair, destruir ou alterar informações importantes. As contas com muitos privilégios, como as de administradores ou executivos, são as mais frequentemente visadas.
  • Violação de dados — diferentemente dos vetores de ataque específicos, "violação de dados" é um termo generalizado que se refere à liberação de informações sensíveis ou confidenciais, que pode ocorrer por meio de ações mal-intencionadas ou por engano. O escopo daquilo que é considerado como uma violação de dados é bastante amplo e pode incluir desde alguns poucos registros altamente valiosos até milhões de contas de usuário expostas.

Quais são as boas práticas utilizadas para mitigar vulnerabilidades?

As medidas mais importantes para proteger os aplicativos web contra a exploração incluem o uso de uma criptografia atualizada, a exigência de uma autenticação adequada, a correção contínua das vulnerabilidades descobertas e manter uma boa higiene de desenvolvimento de software. A realidade é que invasores inteligentes podem ser capazes de encontrar vulnerabilidades mesmo em um ambiente com uma segurança bastante sólida e, por isso, é recomendada uma estratégia holística de segurança.

A segurança das aplicações web pode ser aprimorada com proteções contra ataques de DDoS e contra ataques à camada de aplicação e ao DNS:

WAF — proteção contra ataques à camada de aplicação

Um web application firewall ou WAF ajuda a proteger uma aplicação web contra o tráfego HTTP mal-intencionado. Ao colocar uma barreira de filtragem entre o servidor visado e o invasor, o WAF consegue proteger contra ataques como a falsificação entre sites, scripts cruzados entre sites e injeção de SQL. Saiba mais sobre o WAF da Cloudflare.

DDOS Como funciona um WAF

Mitigação de DDoS

Um método usado com frequência para interromper um aplicação web é o uso de ataques de negação de serviço distribuída, ou DDoS. A Cloudflare mitiga os ataques de DDoS por meio de uma variedade de estratégias, incluindo jogar o tráfego de ataque volumétrico para a nossa borda e o uso da nossa rede Anycast para rotear corretamente as solicitações legítimas sem uma perda de serviço. Saiba como a Cloudflare pode ajudá-lo a proteger uma propriedade da web contra um ataque de DDoS.

Animação de um ataque de DDoS e amplificação de DNS

Segurança de DNS — proteção DNSSEC

O sistema de nome de domínio, ou DNS, é o catálogo telefônico da internet e representa a maneira pela qual uma ferramenta da internet, como um navegador web, busca o servidor correto. Agentes mal-intencionados tentarão sequestrar esse processo de solicitação de DNS por meio de envenenamento do cache de DNS , ataques man-in-the-middle e outros métodos de interferência no ciclo de vida da pesquisa de DNS. Se o DNS é o catálogo telefônico da internet, o DNSSEC é um identificador de chamadas que não pode ser falsificado. Descubra como você pode proteger uma pesquisa de DNS utilizando a Cloudflare.