Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Introdução a Scanner de Aplicação Web
Segurança Digital
_ 16 de maio de 2010

Introdução a Scanner de Aplicação Web

Publicamos uma notícia anteriormente sobre um comparativo de Scanners de Aplicação Web. Mas afinal, o que é um Scanner de Aplicação Web?

Muitas empresas resolvem fazer sites, lojas virtuais, a fim de divulgar sua empresa na internet ou ainda comercializar seus produtos e serviços na Web. Também existe a necessidade de disponibilizar sistemas, extranet, CRM entre outros sistemas na Internet a fim de agilizar e facilitar as atividades do dia a dia.

Ótimo! Pode parecer tudo muito bom, porém normalmente as fábricas de software só se preocupam com a funcionalidade da aplicação e não com a segurança do sistema e integridade das informações por ele armazenadas. Pense nessas situações: e se alguém por ventura alterar o valor de um produto em sua loja virtual de R$1.000 para R$1? Ou acessar seu CRM, ERP ou outros sistemas que contenham informações confidenciais sem precisar de usuário e senha?

Por isso, uma das formas de detectar se uma aplicação contém vulnerabilidades é por meio de um scanner de aplicação Web. Estas ferramentas tem como objetivo facilitar e automatizar a busca por vulnerabilidades em uma aplicação e mapear a estrutura do site (com suas devidas limitações e efetividade).
Ou seja, enquanto não possibilitam ter uma visão completa do estado de segurança da aplicação, elas ajudam quando não se tem a mínima idéia da segurança do ambiente ou quando não existe budget suficiente para contratar uma consultoria especializada.

Onde e quando utilizar?

Estas ferramentas podem ser utilizadas tanto no ambiente de homologação como em produção. O recomendado é que seja realizado em ambiente de desenvolvimento, a fim de antecipar possíveis falhas durante a etapa de codificação e reduzir custos e tempo de entrega. Além disso, rodar um scanner sem ter total conhecimento da ferramenta pode causar impactos no ambiente, apagar tabelas e arquivos importantes ou introduzir milhares de registros falsos na base de dados, entre outros, dependendo da configuração atribuída.
Lembrando que o scanner não garante a qualidade da aplicação por si só, sendo que um profissional especializado é necessário para guiar a ferramenta, validar os resultados obtidos e testar manualmente todos os outros controles que a ferramenta não é capaz de fazer sozinha. Podemos até fazer uma analogia com um scanner de imagens: o equipamento não faz milagre, é necessário muita edição de imagem para chegar a um nível de qualidade adequado.

Na notícia anterior sobre scanners, listamos algumas empresas que desenvolvem estas soluções. Uma lista completa pode ser obtida no site da Web Application Security Consortium – WASC, compilada pelo projeto WASSEC, o qual define uma metodologia para avaliação de scanners de aplicação Web.

E quanto custa?

Os preços podem variar de US$1.000,00 à US$20.000,00 ou mais. Existem também uma série de opções de scanners gratuitos, mas como a vida nos ensina, nós recebemos de acordo com o que pagamos. 🙂 Ainda mais para este tipo de tecnologia tão específica, as soluções pagas são mais eficientes que as gratuitas e requerem menos conhecimento do profissional que irá administrar a ferramenta.

Fato é que vulnerabilidades existem e podem comprometer as informações de sistemas e afetar negócios de diversas formas. Por isso, seja por um scanner automatizado ou por uma análise manual minusciosa, é de extrema importância realizar avaliações periódicas no ambiente de TI e aplicações, sejam elas internas ou externas.

E você? Faz uso deste tipo de ferramenta ou serviço para avaliar a segurança de seu ambiente? Qual boa prática adota para evitar vulnerabilidades em aplicações?

Aplicações Web Scanners
♥2
Soluções Milagrosas, Compradores e Vendedores
11 de maio de 2010
ModSecurity 2 – Instalação e Configuração para Ubuntu 9.04 e Debian 5.04
23 de maio de 2010

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo
  • IBLISS Digital Security anuncia parceria estratégica com a IT-ONE
  • Manipulação de curto tempo de expiração de tokens de autorização
  • Entenda o que é DevSecOps – INFOGRÁFICO
  • Teste de Invasão: Conheça as principais vantagens

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2852
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.