O processo de testes de intrusão no CPD-UFRGS

Abstract

Vulnerabilidades presentes em aplicações web são amplamente utilizadas por atacantes para o roubo de informações e invasões a redes de computadores. O fato de estarem expostas a milhões de usuários pela Internet evidencia que segurança é um requisito indispensável no projeto de tais aplicações. A partir de testes de intrusão, é possível descobrir vulnerabilidades e, posteriormente, corrigi-las, constituindo-se de uma ação preventiva a invasões. A proposta deste trabalho é ilustrar como essa técnica é aplicada aos sites da UFRGS pela equipe de segurança do CPD, justificando sua escolha e necessidade de adaptação, formalizando um processo para essa atividade, e analisando sua efetividade através de avaliações experimentais.

Vulnerabilities present in web applications are widely used by attackers for information theft and hacking into computer networks The fact that they are exposed to millions of users through the Internet shows that security is an indispensable requirement in the design of such applications. From intrusion tests, It is possible to discover vulnerabilities and subsequently correcting them, constituting a preventive action against invasions. The proposal of this work is to illustrate how this technique is applied to the UFRGS sites by the CPD security team, justifying It’s choice and need for adaptation, formalizing a process for this activity and analyzing its effectiveness through experimental evaluations.