Teste de penetração em aplicações orientadas a serviço

Abstract

Os softwares que utilizam comunicação orientadas a serviços estão cada vez mais presentes nas tarefas cotidianas das pessoas e processos administrativos das organizações. O avanço da computação em nuvem e o uso da internet em dispositivos como smartphones, tablets, notebooks e desktops, colaboram para este cenário. Assim as ameaças e vulnerabilidades para esse tipo de aplicação faz aumentar a preocupação das organizações em relação a segurança dos dados que estão envolvidos nestas aplicações. Nesta direção, este trabalho tem como objetivo realizar experimentos que utiliza técnicas de testes de penetração em uma aplicação orientada a serviços, sendo utilizado a metodologia PTES para a condução dos testes de penetração. Neste sentido, os testes são conduzidos por meio de tarefas manuais e ferramentas automatizadas. Além dos experimentos de teste de penetração, o trabalho apresenta uma revisão bibliográfica onde são apresentados conceitos a respeito de computação orientada a serviços, cibersegurança, metodologias, ferramentas e relatórios utilizados nas tarefas relacionadas a teste de penetração. Espera-se que os resultados obtidos neste estudo possam fomentar futuros trabalhos acadêmicos e projetos relacionados a cibersegurança.

Software that uses service-oriented communication is increasingly present in people's daily tasks and in organizations' administrative processes. The advancement of cloud computing and the use of the internet on devices such as smartphones, tablets, notebooks and desktops contribute to this scenario. Thus, threats and vulnerabilities for this type of application increase organizations' concerns regarding the security of the data involved in these applications. In this sense, this work aims to carry out an experiment that uses penetration testing techniques in a service-oriented application, where the PTES methodology is applied to conduct the tests. In this sense, tests are programmed through manual tasks and automated tools. In addition to the detection test experiments, the work presents a literature review where concepts are presented regarding coverage focused on services, cybersecurity, methodologies, tools and reports used in tasks related to detection testing. It is hoped that the results obtained in this study can encourage future academic work and projects related to cybersecurity.