Carlos Serrão

as minhas notas e página pessoal…

Mutillidae: a OWASP Top 10 em PHP

| 0 comments

Quem lê o que eu tenho escrito por aqui, quer em algumas revistas em que tenho tido a oportunidade de escrever umas coisas, pode verificar facilmente que apresento como um dos principais motivos para a insegurança das aplicações web, a falta de formação.

A falta de formação, ou a formação deficiente de quem tem que desenvolver aplicações web-based, pode levar ao desenvolvimento de aplicações que, apesar de poderem ser excelentes do ponto de vista funcional, são péssimas do ponto de vista da segurança.

Acho por isso que a formação de programadores que desenvolvem aplicações para a web, deve conter forçosamente uma componente muito séria de segurança aplicacional. Os programadores devem compreender que aquilo que fazem a nível do código-fonte de uma determinada aplicação, afecta directamente a segurança da mesma.

A OWASP possui uma excelente ferramenta de apoio a esta formação. Esta ferramenta dá pelo nome de WebGoat, e foi desenvolvida com o objectivo de ser propositadamente insegura e vulnerável de forma a demonstrar as principais vulnerabilidades em aplicações web, e mostrando ainda de forma exaustiva e educativa, como as mesmas funcionam, quais os erros que lhes deram origem e qual o impacto na aplicação em causa. O WebGoat foi desenvolvido em Java e a pensar nos programadores de aplicações Java (J2EE).

O WebGoat é um excelente recurso de formação nesta área, mas não é o único. Existem muitos mais. Para quem desenvolve aplicações em PHP, um excelente recurso é a Mutillidae. A Mutillidae é composta por um conjunto de scripts desenvolvidos em PHP que implementam a OWASP Top 10.

O principal objectivo desta ferramenta é o de demonstrar de uma forma fácil os principais ataques a aplicações web e que vêm reportados no OWASP Top 10. Mas à semelhança do que acontecia com o WebGoat, não é o único recurso. Podem igualmente encontrar aqui uma lista de excelentes ferramentas com o objectivo de ajudar na formação de quem faz desenvolvimento para a Web e que necessita perceber um pouco mais sobre a segurança das mesmas.

Parece-me que existem cada vez menos desculpas sobre o desconhecimento de vulnerabilidades ou para a falta de formação sobre a forma como as eliminar das diversas aplicações web desenvolvidas.

  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr