Titulo Estágio
Avaliação de ferramentas de análise dinâmica na deteção de vulnerabilidades do top 10 OWASP
Local do Estágio
SSE
Enquadramento
Vulnerabilidades em software trazem cada vez mais desafios no desenvolvimento de software, já que as mesmas põem em causa a qualidade e confiabilidade do mesmo, levando a vários problemas conhecidos, como: autenticação não autorizada, perdas de dados, violações de confidencialidade, entre outras consequências. Neste sentido, uma das práticas mais comuns será a execução de testes de modo a detetar possíveis vulnerabilidades ou ameaças presentes no software alvo. Estes poderão ser efetuados principalmente utilizando ferramentas de análise dinâmica que permitam encontrar estas mesmas vulnerabilidades, já que estas não requisitam acesso ao código fonte.
O grande problema que pode ser encontrado durante uma abordagem como esta é o facto de nem sempre as ferramentas utilizadas conseguirem detetar todo o tipo de vulnerabilidades, sendo por vezes preciso a utilização de 2/3 ferramentas. Além do mais, as mesmas podem igualmente contribuir para uma maior taxa de falsos positivos, principalmente quando falamos do top 10 OWASP. Assim, a seguinte tese procura avaliar e comparar a efetividade de diferentes ferramentas na deteção de vulnerabilidades dentro do top 10 OWASP (versão 2021), o qual é bastante reconhecido por apresentar uma lista das vulnerabilidades mais críticas em software. Pretende-se ainda criar uma análise compreensiva dos pontos fortes e fracos das diferentes ferramentes na execução desta tarefa.
Objetivo
Os objetivos para esta tese são os seguintes:
1) Ferramentas de análise dinâmica: desenvolver uma compreensão mais profunda sobre este tipo de ferramentas e qual o seu papel na deteção de vulnerabilidades;
2) Forças e fraquezas: analisar e interpretar os resultados experimentais para identificar os pontos fortes e fracos das ferramentas de análise dinâmica;
3) Possíveis recomendações: fornecer recomendações e práticas para o uso eficaz de ferramentas de análise dinâmica na identificação e mitigação de vulnerabilidades;
4) Top 10 Owasp: obter um conhecimento mais abrangente do top 10 OWASP e qual o seu impacto no desenvolvimento seguro de software.
Plano de Trabalhos - Semestre 1
• Revisão da literatura – 3 semanas
• Estudo das vulnerabilidades Top 10 OWASP – 3 semanas
• Análise e escolha de ferramentas – 5 semanas
• Estudo de plataformas com vulnerabilidades top 10 OWASP – 3 semanas
• Escrita da proposta de tese – 3 semanas
Plano de Trabalhos - Semestre 2
• Estudo e recolha de software com vulnerabilidades top 10 OWASP – 5 semanas
• Implementação do ambiente de teste - 2 semanas
• Realização dos testes – 4 semanas
• Análise dos resultados – 2 semanas
• Escrita da dissertação – 3 semanas
Condições
Recursos computacionais disponíveis. Possibilidade de bolsa.
Observações
Orientação: Marco Vieira, Bruno Sousa
Orientador
Marco Vieira
mvieira@dei.uc.pt 📩