SOLUÇÕES
Proporcionar experiências on-line superiores
Mitigue ataques de DDoS Interromper o abuso de bots maliciosos Acelerar aplicativos de Internet Garantir a disponibilidade de aplicativos Otimize as experiências na web Stream de vídeos sob demanda
Proteja os aplicativos e os dispositivos dos funcionários
Ofereça Zero Trust Access a aplicativos Implemente o Serviço de Acesso Seguro de Borda (SASE) Proteger usuários que estão acessando a Internet Habilitar uma força de trabalho remota Manage Secure Contractor Access Replace Virtual Private Networks (VPNs) Secure Your Remote Workforce Stop Zero Day Attacks with Browser Isolation
 
Proteger e acelerar redes
Mitigar ataques de DDoS L3 Conectar a infraestrutura de rede com a Cloudflare Transform Corporate Networks
Código na borda da rede
Desenvolver um aplicativo sem servidor Implantar um site estático Configurar uma CDN Definir o roteamento condicional de solicitações
Gerenciar uma nuvem segura
Proteger plataformas híbridas, de nuvem e SaaS Habilitar aplicativos SSL for SaaS Reduzir custos da transferência de dados na nuvem
Registrar um site
Registrar ou transferir um site
SETORES
Comércio eletrônico Jogos Entretenimento e mídia Setor público Grupos de interesse público SaaS
PARA INFRAESTRUTURA
Segurança de rede e aplicativo
Proteção contra DDoS WAF Gerenciamento de Bots Magic Transit Rate Limiting SSL/TLS Cloudflare Spectrum Interconexão de rede
Desempenho e confiabilidade
CDN DNS Argo Smart Routing Balanceamento de carga Stream Delivery China Network
PARA EQUIPES
Cloudflare for Teams Access Gateway Browser Isolation
PARA DESENVOLVEDORES
Aplicativos sem servidor
Cloudflare Workers Cloudflare Workers KV
Registro de domínios
Cloudflare Registrar
Desenvolvimento de site
Sites do Workers Cloudflare Stream
PARA TODOS / PÚBLICA
1.1.1.1 1.1.1.1 com WARP (aplicativo) 1.1.1.1 para famílias Cloudflare Radar Campanhas eleitorais Projeto Galileu Projeto Athenian
INFORMAÇÕES
Analytics Cloudflare Logs Análise de dados na web
PARA INFRAESTRUTURA
Segurança avançada
Gerenciamento de Bots Regras de firewall Magic Transit Spectrum (TCP/UDP) SSL WAF
Desempenho e confiabilidade
CDN DNS Redimensionamento de imagens Balanceamento de carga Stream (Vídeo) Argo Tunnel
 
Informações
Analytics
Registro de domínios
Registrar
PARA APLICAÇÕES SEM SERVIDOR
Início rápido do Workers Site do Workers Amostrar projetos do Workers Tutoriais do Workers Linha de comando (Wrangler) Tempo de execução
PARA EQUIPES
Access Acessar registros de auditoria Gateway Registros de atividades de gateway
CONHEÇA A API CLOUDFLARE
API da Cloudflare Autenticação de API
DOCUMENTATION HUB
Dev Documentation Hub
RECURSOS
CENTRAL DE RECURSOS Artigos técnicos Webinars Guias de produtos e soluções Estudos de caso Analistas
EXPLORAR
O que há de novo? Mapa de rede Cloudflare na China RGPD
COMEÇAR
Registrar um site Central de Boas-Vindas Tenha ajuda
SAIBA MAIS
Centro de aprendizagem Segurança DDoS Gerenciamento de Bots SSL Gerenciamento de identidades e acesso Desempenho CDN DNS Nuvem sem servidor Camada de rede
CONECTAR
Blog Comunidade
ENTRAR EM CONTATO
+1 650 319 8930
PARCEIROS DE ALIANÇA E CANAL
Rede de parceiros Portal de parceiros
PARCEIROS DE TECNOLOGIA
Visão geral Parceiros de analytics Bandwidth Alliance Parcerias de interconexão Portal de Peering

O que é a segurança das aplicações web?

A segurança das aplicações web é importante para qualquer empresa. Saiba mais sobre as vulnerabilidades mais comuns das aplicações web e como elas podem ser mitigadas.

Share facebook icon linkedin icon twitter icon email icon
What is Web Application Security?
Common Threats
Glossary
Por que usar HTTPS?
Sequestro de DNS global

Segurança das aplicações web

Objetivos de aprendizado

Depois de ler este artigo você será capaz de:

  • Saiba mais sobre os conceitos fundamentais de segurança das aplicações web
  • Explore as vulnerabilidades/explorações mais comuns das aplicações web
  • Entenda os métodos mais comuns de mitigação de ameaças

Conteúdo relacionado

O que é uma violação de dados?

Ataque man-in-the-middle

Estouro de buffer

SQL Injection

Por que usar HTTPS?

O que é segurança de aplicações web?

Segurança das aplicações web

A segurança de aplicações web é um componente central de qualquer negócio baseado na internet. A natureza global da internet expõe as propriedades da web a ataques provenientes de diferentes locais e vários níveis de tamanho e complexidade. A segurança de aplicações web lida especificamente com a segurança de sites, aplicações e serviços da internet, como as APIs.

Quais são algumas das vulnerabilidades comuns de segurança dos aplicativos da internet?

Os ataques contra aplicativos da internet variam desde a manipulação do banco de dados afetado até interrupções de rede em larga escala. Vamos investigar alguns dos métodos comuns de ataque ou os "vetores" geralmente explorados.

  • Cross site scripting (XSS) — o XSS, ou script cruzado entre sites, é uma vulnerabilidade que permite que um invasor injete scripts do lado do cliente em uma página da internet para acessar informações importantes diretamente, personificar o usuário ou induzir o usuário a revelar informações importantes.
  • SQL injection (SQi) — injeção de SQL é um método pelo qual um invasor explora vulnerabilidades na maneira como um banco de dados executa consultas de pesquisa. Os invasores usam a SQi para obter acesso a informações não autorizadas, modificar ou criar novas permissões de usuário ou manipular ou destruir dados confidenciais de qualquer outra forma.
  • Ataques de negação de serviço (DoS) e ataques de negação de serviço distribuída (DDoS) — por meio de uma variedade de vetores, os atacantes conseguem sobrecarregar o servidor afetado ou sua infraestrutura circundante com diferentes tipos de tráfego de ataque. Quando um servidor perde a capacidade de processar com eficácia as solicitações recebidas, começa a se comportar com lentidão e, eventualmente, passa a negar serviço às solicitações recebidas de usuários legítimos.
  • Corrupção de memória — a corrupção da memória ocorre quando um local na memória é acidentalmente modificado, resultando em um possível comportamento inesperado do software. Os agentes mal-intencionados tentarão farejar e explorar a corrupção da memória por meio de ataques como injeções de código ou estouro de buffer.
  • Estouro de buffer — o estouro de buffer ou transbordamento de dados é uma anomalia que ocorre quando o software grava dados em um espaço definido na memória conhecido como buffer. Se a capacidade do buffer for excedida, isso faz com que os dados em locais de memória adjacentes sejam substituídos. Esse comportamento pode ser explorado para injetar códigos maliciosos na memória, possivelmente criando uma vulnerabilidade na máquina afetada.
  • Falsificação de solicitações entre sites (CSRF) — a falsificação de solicitações entre sites tem como objetivo induzir uma vítima a fazer uma solicitação que utiliza sua autenticação ou autorização. Ao tirar proveito dos privilégios de conta de um usuário, um invasor é capaz de enviar uma solicitação como se fosse o usuário. Após comprometer a conta de um usuário, o invasor consegue extrair, destruir ou alterar informações importantes. As contas com muitos privilégios, como as de administradores ou executivos, são as mais frequentemente visadas.
  • Violação de dados — diferentemente dos vetores de ataque específicos, "violação de dados" é um termo generalizado que se refere à liberação de informações sensíveis ou confidenciais, que pode ocorrer por meio de ações mal-intencionadas ou por engano. O escopo daquilo que é considerado como uma violação de dados é bastante amplo e pode incluir desde alguns poucos registros altamente valiosos até milhões de contas de usuário expostas.

Quais são as boas práticas utilizadas para mitigar vulnerabilidades?

As medidas mais importantes para proteger os aplicativos web contra a exploração incluem o uso de uma criptografia atualizada, a exigência de uma autenticação adequada, a correção contínua das vulnerabilidades descobertas e manter uma boa higiene de desenvolvimento de software. A realidade é que invasores inteligentes podem ser capazes de encontrar vulnerabilidades mesmo em um ambiente com uma segurança bastante sólida e, por isso, é recomendada uma estratégia holística de segurança.

A segurança das aplicações web pode ser aprimorada com proteções contra ataques de DDoS e contra ataques à camada de aplicação e ao DNS:

WAF — proteção contra ataques à camada de aplicação

Um web application firewall ou WAF ajuda a proteger uma aplicação web contra o tráfego HTTP mal-intencionado. Ao colocar uma barreira de filtragem entre o servidor visado e o invasor, o WAF consegue proteger contra ataques como a falsificação entre sites, scripts cruzados entre sites e injeção de SQL. Saiba mais sobre o WAF da Cloudflare.

DDOS Como funciona um WAF

Mitigação de DDoS

Um método usado com frequência para interromper um aplicação web é o uso de ataques de negação de serviço distribuída, ou DDoS. A Cloudflare mitiga os ataques de DDoS por meio de uma variedade de estratégias, incluindo jogar o tráfego de ataque volumétrico para a nossa borda e o uso da nossa rede Anycast para rotear corretamente as solicitações legítimas sem uma perda de serviço. Saiba como a Cloudflare pode ajudá-lo a proteger uma propriedade da web contra um ataque de DDoS.

Animação de um ataque de DDoS e amplificação de DNS

Segurança de DNS — proteção DNSSEC

O sistema de nome de domínio, ou DNS, é o catálogo telefônico da internet e representa a maneira pela qual uma ferramenta da internet, como um navegador web, busca o servidor correto. Agentes mal-intencionados tentarão sequestrar esse processo de solicitação de DNS por meio de envenenamento do cache de DNS , ataques "on-path" e outros métodos de interferência no ciclo de vida da pesquisa de DNS. Se o DNS é o catálogo telefônico da internet, o DNSSEC é um identificador de chamadas que não pode ser falsificado. Descubra como você pode proteger uma pesquisa de DNS utilizando a Cloudflare.

To provide you with the best possible experience on our website, we may use cookies, as described here.
By clicking accept, closing this banner, or continuing to browse our websites, you consent to the use of such cookies.