FOLHETO DE DADOS
Segurança Para Aplicações Web – com escalabilidade
para auditar milhares de web sites – Sob Demanda
Atualmente as vulnerabilidades nas aplicações web são o maior vetor para os ataques
contra a segurança de TI. Os artigos no noticiário acerca dos ataques que
comprometem os dados confidencias freqüentemente mencionam o método usado
sendo “cross-site scripting” , “SQL injection” e “erros de configurações de websites”.
Muitas vezes as vulnerabilidades deste tipo estão fora da experiência tradicional dos
administradores de segurança de TI. Esta relativa obscuridade das vulnerabilidades
dos aplicações web faz deles alvos atrativos para atacantes. Como muitas
organizações têm descoberto, esses ataques evadirão as defesas tradicionais das
redes empresariais, e novas defesas são necessárias.
“
As vulnerabilidades das aplicações web em geral tem origem em
configurações com falhas ou em erros de programação nas linguagens usadas
para aplicações web (Java, .NET, PHP, Python, Perl, Ruby, etc). Estas
vulnerabilidades podem ser complexas e podem se manifestar em muitas
situações diferentes.
Apresentando QualysGuard® Web Applications Scanning
Para ajudar seus clientes a avaliarem e administrarem as vulnerabilidades das
aplicações web, Qualys® está apresentando um novo membro da suíte
QualysGuard Security and Compliance: QualysGuard Web Application
Scanning (WAS) 1.0. Este novo serviço oferece uma varredura e testes de
vulnerabilidades automatizados de aplicações web. O serviço identifica a
maioria das vulnerabilidades que aparecem em OWASP Top 10 e na
classificação de vulnerabilidades WASC, incluindo “SQL injection” e “cross site
scripting”. Os usuários administram as aplicações web, executam varreduras e
geram relatórios na interface de usuário já familiar do QualysGuard
Ciclo de Vida do QualysGuard WAS
1
Cadastrar as aplicações web
4
2
Revisar os resultados
da varredura e
gerar relatórios
Especificar as
opções de
varredura WAS
3
Varredura WAS
Vantagens do QualysGuard WAS
– Reduz o custo total das operações ao automatizar os processos de testes
– Identifica as vulnerabilidades de sintaxe e semântica nas aplicações web
– Usa uma varredura para fazer um perfil da estrutura e da hierarquia da aplicação e executa uma inspeção usando testes autenticados
– Melhora a precisão e reduz os falsos positivos através do perfil da aplicação web
– Tem escalabilidade para qualquer número de aplicações web, de produção ou ambientes de desenvolvimento, com orientação externa ou interna, usando a plataforma QualysGuard Software-as-a-Service (SaaS)
Soluções para empresas de
grande porte de segurança de
aplicações web devem ser
amplas e incluir um extenso
leque de testes para as classes
mais importantes de
vulnerabilidades de aplicações
web tais como “SQL injection”,
“cross site scripting” e
“directory traversals”. Uma
solução empresarial também
deve ser capaz de varrer
múltiplas aplicações em
paralelo, rastrear os resultados
através do tempo, proporcionar
relatórios robustos (em especial
relatórios de cumprimento de
normas) e proporcionar
relatórios personalizados de
acordo com os requisitos
locais.
”
Criação de um programa de segurança
das aplicações web (Whitepaper)
Securosis.com
“
A quantidade de vulnerabilidades
que afetam as aplicações web
têm crescido em um ritmo
assombroso. Em 2008, as
vulnerabilidades que afetavam as
aplicações web representavam
54 % de todas as
vulnerabilidades publicadas e
foram um dos principais fatores
do crescimento geral do número
de vulnerabilidades durante esse
ano.
”
Relatório de tendências e riscos
2008 da IBM X-Force®
Características de QualysGuard WAS :
Varredura e Descoberta de Links — O inspetor de web
integrado realiza uma análise sintática de HTML e de algumas
construções envolvendo JavaScript para extrair os links.
O inspetor balanceia automaticamente a amplitude e a
profundidade dos links descobertos e inspeciona até 5.000
links de cada aplicação web.
Autenticação — Autenticação baseada em HTTP Basic,
Digest e NTLM Server alem de Autenticação por formulários.
Lista Negra — Evita que o inspetor visite certos links em uma
aplicação web.
Ajuste de Desempenho — Nível de banda determinado
pelo usuário para a varredura com o objetivo de controlar o
impacto sobre o desempenho das aplicações.
Conteúdo Sensível — Efetua a busca automatizada de
conteúdo de natureza sensível por meio de expressões em
HTML, como números de cartões de crédito e CPF.
Fluxos de Trabalho para Definir as Varreduras e Revisar os
Relatórios — Fluxos de trabalho lógicos para cada aplicação
web. Os relatórios oferecem uma visibilidade detalhada das
vulnerabilidades.
Lista Branca — Instrui o inspetor para que só visite os links
que se definem explicitamente nesta lista.
Como o QualysGuard WAS funciona :
Etapa do Inspetor
Cadastrar Aplicações Web
O sofisticado mecanismo de varredura inclui diversas técnicas para realizar uma
inspeção efetiva de um website. Dado um nome de usuário e uma senha, o inspetor
identifica automaticamente um formulário HTML de uma página de login e analisa
a lógica da pagina. A partir dai ele monitora o estado da sessão para garantir que
a varredura continua autenticada durante toda a inspeção reautenticando se for
necessário. O inspetor tenta cobrir a maior quantidade possível da funcionalidade de
um website ao balancear a amplitude e a profundidade da inspeção além de evitar os
links redundantes ou recursivos. O inspetor também perfila as partes personalizadas
do website, como a aparência das páginas de erro, e usa a informação do perfil para
reduzir os falsos positivos.
Etapa de Avaliação
A etapa de avaliação de WAS analisa a aplicação web para achar vulnerabilidades
comuns como “SQL injection”, “cross site scripting”, revelação de fontes e “directory
traversals”. O mecanismo de teste depende de uma mescla de assinaturas e da
estrutura do site para determinar com precisão a presença de vulnerabilidades.
Atualmente os testes se concentram nos problemas de injeção de falhas e distinguem
entre os problemas exploráveis e a simples revelação de informação.
Opções de Varredura WAS
Revisão e Relatórios
Os relatórios listam os problemas da aplicação em seções por tipos de vulnerabilidade
como “cross site scripting” ou “SQL injection” além de uma seção que relata as
vulnerabilidades por grupos de aplicações web. QualysGuard WAS gerencia o acesso
dos usuários aos resultados de varreduras individuais das aplicações web com o fim
de acomodar diferentes fluxos de trabalho para correção e testes.
Preços e Disponibilidade :
QualysGuard WAS está disponível como parte da suíte QualysGuard Security and
Compliance. O uso anual para QualysGuard WAS é licenciado de acordo com o número
de aplicações web, incluindo um número ilimitado de varreduras WAS, atualizações de
software e suporte 24 horas por dia, 7 dias da semana e 365 dias do ano.
Resultados de Varredura WAS
www.qualys.com
USA – Qualys, Inc. • 1600 Bridge Parkway, Redwood Shores, CA 94065 • T: 1 (650) 801 6100 • [email protected]
UK – Qualys, Ltd. • 224 Berwick Avenue, Slough, Berkshire, SL1 4QT • T: +44 (0) 1753 872101
Germany – Qualys GmbH • München Airport, Terminalstrasse Mitte 18, 85356 München • T: +49 (0) 89 97007 146
France – Qualys Technologies • Maison de la Défense, 7 Place de la Défense, 92400 Courbevoie • T: +33 (0) 1 41 97 35 70
Japan – Qualys Japan K.K. • Pacific Century Place 8F, 1-11-1 Marunouchi, Chiyoda-ku, 100-6208 Tokyo • T: +81 3 6860 8296
United Arab Emirates – Qualys FZE • P.O Box 10559, Ras Al Khaimah, United Arab Emirates • T: +971 7 204 1225
China – Qualys Hong Kong Ltd. • Suite 1901, Tower B, TYG Center, C2 North Rd, East Third Ring Rd, Chaoyang District, Beijing • T: +86 10 84417495
© Qualys, the Qualys logo and QualysGuard are registered trademarks of Qualys, Inc. All other trademarks are the property of their respective owners. 07/09