Testes de segurança em aplicações web: Um estudo comparativo entre ferramentas open source

Abstract

O teste de segurança é uma peça importante no atual cenário do desenvolvimento e teste de software já que proporciona uma camada a mais de segurança e pode evitar problemas futuros como vazamento de dados e brechas de segurança que podem acarretar, por exemplo, prejuízo financeiro. Este trabalho possui caráter qualitativo e exploratório com o objetivo de comparar os resultados obtidos através da análise de aplicações web por ferramentas de escaneamento automático de código aberto. Estas ferramentas performam testes de caixa-preta na aplicação alvo e buscam identificar vulnerabilidades de segurança. As ferramentas foram escolhidas e filtradas levando em consideração quatro aspectos: Implementarem análises de vulnerabilidades listadas nos sites OWASP e CWE, foram atualizadas no ano de 2021 ou posteriormente, são licenciados como software de código aberto e podem ser usadas para testes de aplicações web. As análises foram feitas utilizando o escaneamento padrão de cada ferramenta para garantir uma consistência de configuração. As ferramentas OWASP e Arachni obtiveram os melhores resultados entre as testadas, tanto em questão de identificação de vulnerabilidades quanto em relação ao relatório gerado. Ambas conseguiram identificar a possível presença de falhas SQL-Injection e Cross-Site Request Forgery (CSRF). As demais tiveram um desempenho abaixo do esperado em ambos os quesitos. O trabalho mostra a importância de uma vasta gama de ferramentas de análise de vulnerabilidade, pois usar apenas uma ferramenta não é suficiente para ter uma mínima segurança da ausência de falhas.