Publicamos uma notícia anteriormente sobre um comparativo de Scanners de Aplicação Web. Mas afinal, o que é um Scanner de Aplicação Web?

Muitas empresas resolvem fazer sites, lojas virtuais, a fim de divulgar sua empresa na internet ou ainda comercializar seus produtos e serviços na Web. Também existe a necessidade de disponibilizar sistemas, extranet, CRM entre outros sistemas na Internet a fim de agilizar e facilitar as atividades do dia a dia.

Ótimo! Pode parecer tudo muito bom, porém normalmente as fábricas de software só se preocupam com a funcionalidade da aplicação e não com a segurança do sistema e integridade das informações por ele armazenadas. Pense nessas situações: e se alguém por ventura alterar o valor de um produto em sua loja virtual de R$1.000 para R$1? Ou acessar seu CRM, ERP ou outros sistemas que contenham informações confidenciais sem precisar de usuário e senha?

Por isso, uma das formas de detectar se uma aplicação contém vulnerabilidades é por meio de um scanner de aplicação Web. Estas ferramentas tem como objetivo facilitar e automatizar a busca por vulnerabilidades em uma aplicação e mapear a estrutura do site (com suas devidas limitações e efetividade).
Ou seja, enquanto não possibilitam ter uma visão completa do estado de segurança da aplicação, elas ajudam quando não se tem a mínima idéia da segurança do ambiente ou quando não existe budget suficiente para contratar uma consultoria especializada.

Onde e quando utilizar?

Estas ferramentas podem ser utilizadas tanto no ambiente de homologação como em produção. O recomendado é que seja realizado em ambiente de desenvolvimento, a fim de antecipar possíveis falhas durante a etapa de codificação e reduzir custos e tempo de entrega. Além disso, rodar um scanner sem ter total conhecimento da ferramenta pode causar impactos no ambiente, apagar tabelas e arquivos importantes ou introduzir milhares de registros falsos na base de dados, entre outros, dependendo da configuração atribuída.
Lembrando que o scanner não garante a qualidade da aplicação por si só, sendo que um profissional especializado é necessário para guiar a ferramenta, validar os resultados obtidos e testar manualmente todos os outros controles que a ferramenta não é capaz de fazer sozinha. Podemos até fazer uma analogia com um scanner de imagens: o equipamento não faz milagre, é necessário muita edição de imagem para chegar a um nível de qualidade adequado.

Na notícia anterior sobre scanners, listamos algumas empresas que desenvolvem estas soluções. Uma lista completa pode ser obtida no site da Web Application Security Consortium – WASC, compilada pelo projeto WASSEC, o qual define uma metodologia para avaliação de scanners de aplicação Web.

E quanto custa?

Os preços podem variar de US$1.000,00 à US$20.000,00 ou mais. Existem também uma série de opções de scanners gratuitos, mas como a vida nos ensina, nós recebemos de acordo com o que pagamos. 🙂 Ainda mais para este tipo de tecnologia tão específica, as soluções pagas são mais eficientes que as gratuitas e requerem menos conhecimento do profissional que irá administrar a ferramenta.

Fato é que vulnerabilidades existem e podem comprometer as informações de sistemas e afetar negócios de diversas formas. Por isso, seja por um scanner automatizado ou por uma análise manual minusciosa, é de extrema importância realizar avaliações periódicas no ambiente de TI e aplicações, sejam elas internas ou externas.

E você? Faz uso deste tipo de ferramenta ou serviço para avaliar a segurança de seu ambiente? Qual boa prática adota para evitar vulnerabilidades em aplicações?