Opinion

Como prevenir (ou corrigir) falhas de segurança em aplicações web

As aplicações online são essenciais no dia a dia, tanto para uso profissional quanto pessoal. No entanto, essas ferramentas também apresentam riscos de segurança, como evidenciado por falhas em grandes empresas como a Microsoft, Telegram e Whatsapp. Diariamente, são detetadas novas falhas de segurança nas aplicações web

Por Luís Catarino, Head of Offensive Security Iberia da S21Sec . 16/05/2024

Como prevenir (ou corrigir) falhas de segurança em aplicações web

Essas falhas, que representam vulnerabilidades, são fraquezas ou erros no design, desenvolvimento ou configuração de uma aplicação, e podem ser exploradas por atacantes para comprometer a segurança da aplicação e dos dados que ela alberga.

No segundo semestre de 2023, foram registadas 14.703 vulnerabilidades de segurança. Apesar deste número não incluir apenas vulnerabilidades em aplicações web, pode ainda, por um lado, ser alarmante para as organizações, e por outro, ser revelador de um maior e crescente dinamismo nos processos de investigação, comunicação e tratamento das vulnerabilidades, visto que representa um aumento de 10% relativamente às vulnerabilidades reportadas na primeira metade de 2023.

Uma das referências mais conhecidas com o seu foco em segurança de aplicações Web é o OWASP (Open Worldwide Application Security Project), que mantém uma lista atualizada das Top 10 principais vulnerabilidades mais críticas, lista esta que serve como um guia essencial para profissionais de segurança e developers, destacando as ameaças exploradas mais regularmente no contexto atual. Um dos tipos de falhas mais comuns em aplicações Web, que continua a conduzir à ocorrência de múltiplas das vulnerabilidades nesta lista, passa pela insuficiência do tratamento de entradas dos utilizadores, seja na sua validação como na sanitização. Ao aceitar dados do por parte do utilizador sem que estes sejam verificados, validados e, se necessário, limpos adequadamente antes do seu posterior processamento, os mesmos podem causar comportamentos inesperados nas aplicações. Este tipo de falha pode resultar em vulnerabilidades como Cross-Site Scripting (XSS), injeção SQL, execução remota de código, entre outros.

Para mitigar esses riscos, é crucial promover uma cultura de segurança em toda a organização, incluindo a formação de equipas de desenvolvimento em cibersegurança. Ferramentas e abordagens variadas estão disponíveis para detetar vulnerabilidades, como por exemplo através de testes de intrusão e análise automatizada de vulnerabilidades. Uma vez identificadas, estas vulnerabilidades devem ser priorizadas e corrigidas através de patches. Antes da sua implementação, é importante realizar testes rigorosos para evitar novos problemas.

É, ainda, essencial monitorizar continuamente as aplicações para garantir que as vulnerabilidades sejam corrigidas devidamente e prevenir futuros problemas. A documentação de todas as ações de segurança é também importante para uma gestão consistente. Este processo é contínuo e deve ser parte integral do ciclo de vida da aplicação.

Por fim, consciencializar as organizações sobre a segurança de aplicações e a importância de capacitar as equipas neste sentido, procurando apoio de parceiros especializados quando necessário, é um passo fundamental para que as organizações possam minimizar o risco de ciberataques e dos seus impactos.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.