Como aprender a segurança de aplicativos da Web?

Por
Twittar
Compartilhar
Compartilhar
Pin

A segurança na Web é um negócio real, e é melhor reconhecê-la antes do que esperar que algo ruim aconteça.

O rápido avanço da tecnologia, incluindo serviços e aplicativos da Web, revolucionou os negócios modernos. Muitas empresas migraram a maioria das operações on-line, permitindo que funcionários e parceiros de negócios de qualquer parte do mundo colaborem e compartilhem dados facilmente em tempo real.

Depois que os aplicativos Web HTML5 modernos e a Web 2.0 foram introduzidos, as demandas dos clientes mudaram. Agora, todos querem acessar qualquer informação que possam precisar 24/7/365. Como resultado, as empresas on-line também são pressionadas a disponibilizar seus dados o tempo todo.

Embora o período de bloqueio global possa ter sido muito bom para quem trabalha em casa e varejistas on-line, também beneficiou enormemente os cibercriminosos.

As crescentes transações on-line e o trabalho remoto permitiram que eles hackeassem muitas informações de cartão de crédito e visassem trabalhadores remotos e suas organizações. Esse avanço também convidou golpistas e hackers maliciosos que estão desenvolvendo novos vetores de ameaças de vez em quando.

Este ano, cerca de 80% das empresas testemunharam um aumento nos ataques cibernéticos, enquanto o Coronavírus alimentou um aumento de 238% nas ameaças aos bancos, diz um relatório.

Para mitigar todos esses ataques, a segurança de aplicativos da Web nasceu há muito tempo. E esse setor exige profissionais talentosos que possam evitar que as organizações percam dados, dinheiro e a confiança do consumidor.

Este é o objetivo deste artigo, onde você entenderia coisas sobre segurança, o que se espera de profissionais de segurança da Web e fontes de onde você pode aprender e dominar as habilidades.

Então, vamos começar?

O que é segurança de aplicativos da Web?

Segurança da Web, segurança cibernética ou segurança de aplicativos da Web é a maneira de proteger serviços e sites online de várias ameaças que exploram as vulnerabilidades associadas aos códigos de um aplicativo.

Alguns dos alvos comuns desses ataques são soluções de gerenciamento de banco de dados como phpMyAdmin, aplicativos SaaS, sistemas de gerenciamento de conteúdo (CMS) como WordPress e muito mais.

A segurança da Web visa evitar tais ataques negando acesso não autorizado, uso, destruição/interrupção ou modificação.

Então, qual é a razão pela qual os invasores visam amplamente os aplicativos da Web?

  • A complexidade inerente do código-fonte do aplicativo, aumentando a probabilidade de vulnerabilidades, bem como a manipulação do código.
  • Os aplicativos são fáceis de executar; portanto, os invasores podem iniciar ou automatizar a maioria dos ataques com facilidade, que podem atingir milhares de aplicativos ao mesmo tempo.
  • Despojos de alto valor que incluem dados confidenciais e privados por meio de manipulação de código-fonte, bem como despojos financeiros

Tipos comuns de vulnerabilidade

Script entre sites (XSS)

O XSS permite que invasores infundam scripts do lado do cliente em uma página da Web e acessem dados importantes diretamente, induzam os usuários a divulgar dados importantes ou se passar por usuários. Suas consequências incluem acessar contas, ativar cavalos de Troia, alterar o conteúdo da página, etc.

Falsificação de solicitação entre sites (CSRF)

O CSRF engana as vítimas quando elas fazem uma solicitação que utiliza sua autorização ou autenticação. Portanto, por meio desses privilégios de conta, os invasores podem fazer solicitações representando o usuário. Isso pode resultar em transferência de fundos, alterações de senha, etc.

Negação de serviço (DoS) e negação de serviço distribuída (DDoS)

Os invasores sobrecarregam o servidor de destino e/ou sua infraestrutura com vários tráfegos de ataque. Uma vez que o servidor se torna incapaz de processar solicitações de intuição de forma eficaz, ele começa a se comportar de forma lenta e acaba negando o serviço a mais solicitações recebidas, mesmo de visitantes legítimos.

  Como salvar uma assinatura ou cartão de armazenamento na carteira da Apple

Injeção de SQL 💉

O método que um invasor usa para explorar vulnerabilidades semelhantes à maneira como os bancos de dados implementam consultas de pesquisa. Os invasores utilizam o SQI para acessar dados não autorizados, criar ou modificar permissões de usuários, destruir ou manipular dados confidenciais e muito mais.

Inclusão de arquivo remoto

Os invasores o usam para injetar arquivos maliciosos com códigos em um servidor de aplicativos da Web para executar esses códigos para prejudicar o aplicativo, manipulá-lo e realizar roubo de dados.

Outros

Outros ataques incluem corrupção de memória, violação de dados, clickjacking, passagem de diretório, injeção de comando, estouro de manteiga e muito mais.

Espero que isso seja suficiente para entender que a segurança da Web é a necessidade do momento e por que todos devem implementá-la o mais rápido possível antes que ela possa representar qualquer ameaça ao seu aplicativo e prejudicá-lo financeiramente ou em termos de reputação.

Devido às suas crescentes demandas, muitas pessoas estão se apresentando para aprender. E se você está interessado em aprender este assunto, pode ser uma ótima opção de carreira e benéfica no nível pessoal.

O que os Profissionais de Segurança da Web fazem?

Os profissionais de segurança da Web são os responsáveis ​​por proteger aplicativos da Web, redes relevantes e dados de aplicativos. Eles ajudam a mitigar violações de dados monitorando a rede e reagindo a ameaças.

Esses profissionais têm experiência como administradores de rede ou sistema, programadores. É porque essa área exige curiosidade, pensamento crítico, paixão pela pesquisa e aprendizado. Eles devem ser capazes de enganar os hackers que são “destrutivamente criativos” no desenvolvimento e injeção de várias ameaças.

Como as ameaças de segurança podem surgir a qualquer momento, os profissionais de segurança devem se manter atualizados com todas as táticas mais recentes que os hackers empregam para invadir sistemas e redes. Algumas das responsabilidades dos profissionais de segurança web são:

  • Encontre vulnerabilidades em aplicativos da Web, bancos de dados e criptografia.
  • Atenue ataques corrigindo problemas de segurança
  • Realizar auditorias periodicamente para garantir as melhores práticas de segurança
  • Implante ferramentas de prevenção e detecção de endpoints para evitar ataques maliciosos
  • Implemente sistemas para gerenciamento de vulnerabilidades em ativos na nuvem e no local
  • Lidar com a limpeza no caso de ataques acontecerem
  • Trabalhe com outras operações de TI para planejar a recuperação de desastres.
  • Trabalhe com líderes de equipe e RH para educar todos os funcionários para detectar atividades suspeitas.

Algumas práticas recomendadas de segurança para proteger aplicativos da Web

Usando firewalls de aplicativos da Web (WAF)

O WAF ajuda a proteger seus aplicativos da Web contra solicitações HTTP mal-intencionadas. Ele coloca uma barreira entre o invasor e seu servidor. Ele pode proteger a camada sete contra ameaças como XSS, CSRF, injeção de SQL, etc.

Mitigação de DDoS

Como o nome sugere, ele é usado para mitigar DDoS de aplicativos e ataques de camada de rede, protegendo sites, aplicativos e infraestrutura de servidor.

Filtragem de bot 🤖

Ele é implementado para filtrar o tráfego de bots ruins.

Proteção DNS

Isso é feito para proteger sua solicitação de DNS de ser sequestrada por meio de ataques no caminho e envenenamento de cache de DNS.

Usando HTTPS

O HTTPS criptografa todos os dados trocados entre o servidor e seu cliente para proteger credenciais de login, informações de cabeçalho, cookies, dados de solicitação, etc.

Portanto, se você decidiu aprender a segurança de aplicativos da Web, consulte os seguintes recursos de aprendizado e aprimore suas habilidades 🧑‍💻.

PortSwigger

Aprenda com os criadores do Burp Suite – uma plataforma líder para uma variedade de ferramentas de segurança cibernética por PortSwigger. É um treinamento online e GRATUITO que pode impulsionar sua carreira em cibersegurança.

Com laboratórios interativos, você pode aprender a qualquer hora e de qualquer lugar, além de acompanhar seu progresso ao longo do tempo. Ele fornece treinamento em vulnerabilidades de lógica de negócios, divulgação de informações, envenenamento de cache da Web, desserialização insegura, injeção de SQL, XSS, CSRF, injeção de XXE e muito mais.

  Remova o bloqueio de ativação do iCloud com estas ferramentas

Os materiais de aprendizagem do PortSwigger são feitos por profissionais experientes, equipe de pesquisa e seu fundador – Dafydd Stuttard. Ele também é o autor de um livro famoso chamado Web Application Hacker’s Handbook.

Os tutoriais são explicados de forma abrangente no conteúdo de texto e vídeo para ajudar a lembrar facilmente os pontos-chave. Seus laboratórios interativos tornam o curso geral emocionante, e é onde eles pedem quebra-cabeças realistas para testar suas habilidades de hackers.

EdX

Fundamentos de segurança na Web por EdX é ótimo para entender os princípios básicos. Ele fornece uma visão geral dos ataques e contramedidas comuns adequados para cada um deles apenas de forma teatral e prática.

Eles também ensinam as melhores práticas de segurança que prevalecem atualmente para proteger aplicativos da web. Se você deseja ingressar no curso, não precisa necessariamente de conhecimento prévio de segurança. Mas se você fizer isso, vai te ajudar muito a entender melhor coisas como HTTP, JavaScript, HTML, etc.

A duração do curso é de 5 semanas, que inclui 4-6 horas por semana. É totalmente GRATUITO para aprender; no entanto, se desejar, você pode pagar US$ 48,97 para obter um certificado verificado e assinado pelo instrutor com o logotipo da instituição. Este certificado pode ser usado para aumentar as perspectivas de emprego e é compartilhável no LinkedIn ou pode ser incorporado ao seu currículo ou CV.

Stanford

O curso CS 253 Web Security por Stanford oferece o resumo completo de segurança na web e tem como objetivo fazer com que os alunos entendam os ataques comuns na web e como evitá-los. O curso abrange não apenas os fundamentos, mas também os conhecimentos avançados em segurança na web.

Alguns dos tópicos incluem:

  • Princípios de segurança da Web
  • Ataques e contramedidas
  • Vulnerabilidades de aplicativos da Web
  • Modelo de segurança do navegador
  • Ataques de injeção, DoS e TLS
  • Impressão digital, privacidade, política de mesma origem, autenticação, script entre sites, segurança JavaScript
  • Defesa em profundidade
  • Ameaças emergentes
  • Técnicas para escrever códigos seguros, exploits de segurança
  • Implementando padrões da Web em evolução e defendendo aplicativos da Web fracos

Para fazer este curso, você deve ter passado pelo CS 142 ou qualquer outra experiência equivalente em desenvolvimento web. Aqui, a presença é obrigatória e a classificação é baseada em:

  • 75% em tarefas
  • 25% no exame final

Para se preparar melhor, você pode ler a solução para o Exame final 2019 e outro exemplos de perguntas para CS 253.

Amigável para iniciantes

Sem dúvida, Udemy é um dos melhores lugares para estudar online para vários cursos; segurança de aplicativos da web é um deles. Se você é iniciante, este curso é ótimo para você, pois não requer conhecimento prévio de codificação.

Neste curso, você aprenderá:

  • Identificação das 10 melhores ameaças detectadas pelo OWASP ou pelo Open Web Application Security Project
  • Entendendo como essas ameaças podem ser mitigadas
  • Impacto de cada ameaça no seu negócio
  • Como os invasores executam essas ameaças

O curso é explicado na linguagem mais fácil para que todos com pouca informação na internet e no computador possam entender. Ele também abrange defesa detalhada, uma explicação para falsificação, divulgação de informações, adulteração, repúdio, elevação de privilégio e DoS.

Tutores experientes estão lá para ensinar tudo o que você precisa para dominar os conceitos básicos de segurança na web.

Coursera

Outra opção muito boa da lista é Coursera, que ensina como usar OWASP ZAP ou Zed Attack Proxy. Essa ferramenta ajuda os profissionais de segurança, bem como os testadores de penetração, a encontrar vulnerabilidades.

  • Eles ensinam como você pode verificar vulnerabilidades, analisar os resultados da verificação, gerar relatórios a partir deles, etc.
  • Você também aprenderá a configuração do proxy do navegador para verificar respostas e solicitações passivamente explorando sites.
  • Uma breve explicação de como visualizar, interceptar, encaminhar e modificar solicitações da Web que ocorrem entre o aplicativo da Web e o navegador.
  • Além disso, você aprenderá a utilizar listas de dicionários para encontrar pastas e arquivos em seu servidor web.
  • Além disso, você pode entender como você pode rastrear sites para encontrar URLs e links.
  A câmera do Mac não está funcionando? Veja como corrigi-lo

Os instrutores do curso orientam você passo a passo em cada tópico no vídeo em tela dividida e, como está na nuvem, você não precisa perder tempo baixando. O Coursera fornece certificados incluídos para todos os programas sem custo adicional.

PenesterLab

PenesterLab abrange do básico ao avançado. Eles ensinam como encontrar e explorar vulnerabilidades manualmente. Todos os seus exercícios cobrem fraquezas ou problemas comuns encontrados em vários sistemas.

Para um melhor aprendizado, eles fornecem sistemas reais e vulnerabilidades reais para que você possa aprender em tempo real, sem emulação. Seus exercícios online permitem que você obtenha certificados após a conclusão do curso. Todos os exercícios são divididos em crachás que você pode terminar para aproveitar o certificado.

Youtube

Youtube é o centro do conhecimento; você apenas tem que usá-lo da maneira certa!

Portanto, existe um canal – Desenvolvedores do Google Chrome com 505 mil inscritos no YouTube que você pode procurar para aprender.

Neste tutorial, você pode entender alguns vetores de ataque típicos e como proteger seus dados, usuários e reputação. Em seguida, você será apresentado a um novo curso que visa fornecer palestras concisas e exercícios práticos sobre tópicos que incluem defesa e ataque.

Mozilla

Vire para Documentos da Web MDN pela Mozilla e acesse artigos úteis sobre segurança na web. Os artigos listados aqui cobrem uma variedade de tópicos, como segurança de conteúdo, segurança de conexão, segurança de dados, vazamento de informações, integridade de dados, proteção contra clickjacking, segurança de dados do usuário, etc.

As informações desses artigos ajudarão você a proteger seu site e todos os seus códigos contra roubo de dados e ataques. Você pode aprender algumas coisas interessantes, como corrigir seu site, bloquear conteúdo misto, algoritmos de assinatura e muito mais.

Invicti

Um artigo completo de Invicti está apto a explicar o âmago da questão da segurança de aplicativos da web. Ele foi escrito de forma excelente para ajudar até mesmo os iniciantes a entender os termos e as tecnologias usadas na segurança da web.

No artigo, são explicados os mitos e fundamentos da segurança de aplicativos da Web e como as empresas atuais podem aprimorar a segurança de seus sites e aplicativos para manter os ciberataques afastados.

Aqui, você aprenderá:

  • Como proteger seus aplicativos da web
  • Selecionando o scanner de vulnerabilidade certo
  • Diferença entre o scanner de vulnerabilidade da Web gratuito e comercial
  • Como você pode testar seu scanner de vulnerabilidades e quando usá-lo
  • Algumas práticas recomendadas para proteger seu servidor web, bem como outros componentes

SANS

Faça este curso – SEC22 de SANS se você visa defender aplicativos da web. Ele o ajudará a entender todas as vulnerabilidades de segurança associadas ao seu aplicativo da Web para que você possa proteger seus ativos da Web.

O curso apresenta técnicas de mitigação para arquitetura, infraestrutura e codificação juntamente com métodos do mundo real. Você se familiarizará com a natureza dessas vulnerabilidades para entender por que elas acontecem e como mitigá-las.

É adequado para pessoas responsáveis ​​por gerenciar, implementar ou defender aplicativos da web. Pode incluir analistas de segurança de aplicativos, arquitetos, desenvolvedores, auditorias, pen testers, etc.

O curso abordará temas como:

  • As 10 melhores ameaças do OWASP
  • Problemas específicos dos 25 principais erros de software da CWE
  • Integrando a nuvem em um aplicativo da web
  • Configuração de idioma do aplicativo
  • Configuração de infraestrutura e gerenciamento de segurança
  • Mecanismos de autenticação
  • Cabeçalhos HTTP
  • Falhas na lógica de negócios
  • Erros de codificação como XSS, CSRF, injeção de SQL, etc.

Se você entende os conceitos básicos de conceitos e tecnologias de aplicativos da Web, como JavaScript e HTML, é bom seguir o curso.

Cloudflare

Este é outro artigo da lista de Cloudflare que cobre coisas sobre segurança de aplicativos da web.

Exatamente, explica:

  • Qual é o significado desta terminologia,
  • Algumas vulnerabilidades típicas e, em seguida,
  • Práticas recomendadas para evitar vulnerabilidades de segurança na Web

Leia este artigo para esclarecer alguns conceitos básicos que o ajudarão muito ao se inscrever em um programa de segurança de aplicativos da web.

Conclusão

Aprender a segurança de aplicativos da Web tornou-se crucial, pois os ataques cibernéticos estão aumentando rapidamente.

Tudo de bom!