Titulo Estágio
Avaliação de ferramentas de análise estática na deteção de vulnerabilidades do top 10 OWASP
Local do Estágio
SSE
Enquadramento
O OWASP Top 10, atualizado em 2021, fornece uma lista dos riscos de segurança mais críticos aos quais uma web application se encontra vulnerável, juntamente com orientações para mitigar os mesmos. Esta lista é composta por vulnerabilidades, como Injection, Broken Access Control, Insecure Design, entre outras. Algumas destas comparativamente com o modelo de 2017 foram agregadas numa só categoria, é o caso do Cross-Site Scripting e do Injection. Contudo, para que seja possível detetar as mesmas é essencial a execução de testes, podendo estes ser manuais, por meio de ferramentas de análise estática (onde se procede à análise do código fonte) ou dinâmica (executando o software).
As ferramentas de análise estática apresentam a vantagem de detetar potenciais falhas de segurança logo no início do ciclo de vida de desenvolvimento de um software. No entanto, as mesmas variam em termos de eficácia, precisão e capacidade para diferenciar vulnerabilidades reais de falsos alarmes. Ora, isto conduz a que seja despendido tempo e esforços na resolução de problemas inexistentes. Pode mesmo acontecer que grande parte destas também não sejam identificadas, colocando as organizações suscetíveis a ataques. Deste modo, irá procurar-se avaliar o desempenho de diferentes ferramentas de análise estática na deteção de vulnerabilidades presentes no OWASP Top 10, identificando os seus pontos fortes e limitações. Este projeto poderá vir a auxiliar as organizações na seleção das ferramentas mais eficazes para a deteção de cada tipo de vulnerabilidade.
Objetivo
Os objetivos para esta tese são os seguintes:
1) Ferramentas de análise estática: aprofundar o conhecimento sobre este tipo de ferramentas e o seu papel na deteção de vulnerabilidades;
2) Forças e fraquezas: analisar e interpretar os resultados experimentais com vista a identificar os pontos fortes e fracos das ferramentas de análise estática;
3) Possíveis recomendações: fornecer recomendações e práticas para o uso eficaz de ferramentas de análise estática na identificação e mitigação de vulnerabilidades
4) Top 10 Owasp: obter um conhecimento mais abrangente do top 10 OWASP e compreender o seu impacto no desenvolvimento seguro de software.
Plano de Trabalhos - Semestre 1
• Revisão da literatura – 3 semanas
• Estudo das vulnerabilidades Top 10 OWASP – 3 semanas
• Análise e escolha de ferramentas – 5 semanas
• Estudo de plataformas com vulnerabilidades top 10 OWASP – 3 semanas
• Escrita da proposta de tese – 3 semanas
Plano de Trabalhos - Semestre 2
• Estudo e recolha de software com vulnerabilidades top 10 OWASP – 5 semanas
• Implementação do ambiente de teste - 2 semanas
• Realização dos testes – 4 semanas
• Análise dos resultados – 2 semanas
• Escrita da dissertação – 3 semanas
Condições
Recursos computacionais fornecidos. Possibilidade de bolsa.
Observações
Orientação: Marco Vieira, Bruno Sousa
Orientador
Marco Vieira
mvieira@dei.uc.pt 📩