Segurança para a camada de aplicação: uma abordagem inteligente para detecção de ataques cross-site scripting

Abstract

A internet tornou-se de fato um dos maiores feitos na história com o seu surgimento durante a Guerra Fria como um meio para realizar a comunicação entre as bases militares. Mas a popularização do seu uso ocorreu vários anos depois com a sua comercialização, onde passou a ser utilizada mundialmente. Seu reconhecimento possibilitou o surgimento de milhares de aplicações voltadas a Web, como por exemplo: redes sociais, blogs, streaming, entre várias outras destinadas à diversos fins. Contudo, com o número cada vez mais crescente de usuários acessando a internet, abriu margem para que pessoas mal-intencionadas pudessem obter vantagem de alguma forma desse meio de comunicação. Em contrapartida, o estudo da segurança da informação e os profissionais atuantes da área surgiram para combater ações maliciosas e implementar medidas que garantam a proteção dos dados pessoais de cada usuário que utiliza o sistema, além de garantir a integridade, disponibilidade e autenticidade das informações. Neste contexto, a área de segurança voltada a aplicações Web não possui uma cultura bem estabelecida entre os desenvolvedores, o que acaba ocasionando grandes vazamentos de dados, que prejudica a vida de inúmeras pessoas. Notícias como essas poderiam ser evitadas se houvessem práticas consolidadas voltadas para a segurança durante a fase de desenvolvimento das aplicações. De acordo com o cenário exemplificado, esta monografia apresenta um estudo para suprir a carência de profissionais qualificados na área de segurança da informação voltada para aplicações Web, através de uma abordagem de autoproteção voltada para a defesa de ataques de XSS (do inglês, Cross-site Scripting) contra aplicações que utilizam comunicação via serviço (do inglês, Service-based Applications - SApps). Este tipo de ataque é recorrente devido à falta de validação nos campos de entrada deste tipo de aplicação, que permite a injeção de scripts que podem ser executados involuntariamente pelos usuários do sistema. Dessa forma, experimentos foram conduzidos em um sistema Web chamado AppPetShop onde foi avaliado a resposta da abordagem de autoproteção em relação aos ataques realizados em um ambiente controlado. Em síntese, foi constatado com os testes realizados que a abordagem de autoproteção se mostrou eficaz ao detectar os ataques em tempo real.

The internet has indeed become one of the greatest feats in history, with its beginning during the Cold War as form of communication between military bases, but it had its expansion years later with its transaction, from this began to be used worldwide. Its recognition has enabled the emergence of several web-facing applications. For example: social medias, blogs, streaming and among many others, intended for various purposes. However, with the growing number of users accessing the internet, it established a pathway for malicious people to gain advantage in some way means of communication. On the other hand, the study of information security and professionals working in the area emerged to confront the attackers and implement security measures that ensure the protection of the personal data of each user who use the system. In addition to ensuring the integrity, availability and authenticity of information. However, the web application-facing security area does not have a very well-established culture among developers, in which it causes larges data leaks and harms the lives of countless people, news such as these could be avoided if there were fortified practices for the security area during the initial development of the applications. According to the scenario exemplified, this monograph introduces a study to address the lack of qualified professionals in the area of information security for web applications, through the self-protection approach to SApps (Service-based Applications), where an experiment was conducted carrying out XSS (Cross-site Scripting) attacks. A very common attack in Web applications, usually caused due to lack of validation in the fields that allow the insertion of texts, enabling attackers to inject scripts that do not have source code originally written by developers. In this way, a case study was conducted in the AppPetShop system, a platform developed for study purposes by Me. Ronaldo Martins, through this system, a dataset was generated that contains the requests made by the user and from it an intelligent model was developed, in which the response of the self-protection approach to attacks carried out in a controlled environment was evaluated. In summary, it was verified with the tests carried out that the self-protection approach proved to be effective in detecting attacks in real time.