Será o seu site seguro? Teste-o com estas aplicações

No meu percurso profissional já me passou imenso código mau pelos olhos. Desde sites que não fazem qualquer validação ao que um utilizador insere num formulário à construção de querys que inserem parâmetros vindos directamente da barra de endereços do browser. Um desastre à espera de acontecer.

Mas mesmo com código bem estruturado e com validações podem existir falhas, seja no código ou na configuração do servidor. Felizmente existem aplicações para testar este tipo de vulnerabilidades.

Porta de um cofre

Testei 3 aplicações contra um ambiente de testes criado para o efeito, com uma instalação CPanel e um site com dois formulários de contacto (um deles com Javascript), um formulário de pesquisa, um formulário de login e de registo de utilizador. Foram ainda criadas algumas páginas com conteúdo para permitir passar parâmetros pelo URL e chamadas por AJAX para obter conteúdo adicional.

Não incluí aqui o já conhecido Scan My Server por me parecer estar já desactualizado em relação às novas ofertas do mercado.

Detectify (Pago)

Resultados do Detectify

O Detectify funciona via web e existem servidores próprios para testar as vulnerabilidades nos nossos sites. Este foi de todos o mais completo, verificando até por falhas de segurança na configuração do CPanel e Apache.

Foi também o único que verificou que exista uma firewall instalada que bloqueou o acesso e deu um alerta com os IP’s que devem ser permitidos em whitelist.

O preço à data do artigo é de 30 Eur por mês por cada site sem qualquer limite de número de testes. Para testar existe um trial de 21 dias.

Endereço: https://detectify.com

Tinfoil (Pago)

Resultados do Tinfoil

Tal como o Detectify, o Tinfoil também funciona via web. Aqui os testes não são tão exaustivos, mas foi o melhor a verificar vulnerabilidades nos formulários de email, conseguindo mesmo dar a volta ao formulário onde a submissão era feita apenas por Javascript.

Os resultados dos testes não são tão compreensivos, mas a equipa de suporte é fantástica.

O preço é mais alto, 59 USD para apenas um site com análises mensais e um limite de 500 páginas. O trial é no entanto mais longo, 30 dias.

Endereço: https://www.tinfoilsecurity.com

OWASP Zed Attack Proxy (Grátis)

Resultados do Tinfoil

Gratis mas mais limitado, o ZAP é uma aplicação em Java que corre localmente no nosso computador para testar falhas de segurança da lista da OWASP.

A aplicação não é fácil de usar e ao adicionar o endereço a análise falhava de imediato. O User Agent curiosamente termina com ponto e virgula, estando a ser bloqueado no servidor com o ModSecurity usando regras da Atomicorp já com 2 anos.

Endereço: https://owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Conclusão

Estas ferramentas são interessantes para encontrar e mitigar algumas falhas de segurança. O Detectify é para mim o que tem os testes mais exaustivos e o ZAP parece-me ser inferior ao já antigo Scan My Server, que também é gratuito, mas ainda assim é melhor que nada.

Para empresas que desenvolvem aplicações para a web ou mesmo para particulares com sites simples estas ferramentas são uma mais valia e permitem detectar possíveis pontos de entrada antes que estes sejam explorados por hackers.

Mas atenção, não é para levar à letra e corrigir todos os avisos que aparecem. Fica este aviso porque trabalhei com alguns gestores de projecto que, por falta de conhecimento, corrigiam tudo o que estes testes online diziam.

Em todas as aplicações testadas existem avisos que podem não fazer sentido. Por exemplo não vamos colocar o header X-Frame-Options como deny se o site é usado dentro de uma frame noutro domínio.

Outras questões como o ficheiro robots.txt, não o removam porque o scanner diz que pode ter informação fidedigna. A ideia é dar a perceber que se existe dentro do robots.txt o caminho /admin para não ser indexado, é fácil saber que existe a pasta /admin para a gestão do site. A acção correcta é remover o endereço do ficheiro e colocar uma meta tag no ficheiro inicial da pasta /admin para não ser indexado.

 
Copyright © 1985 - 2017 Eduardo Maio. Alguns direitos reservados.
eduardomaio.net - Às vezes mais valia ser Agricultor do que Programador
Ao navegar no blog eduardomaio.net está a concordar com os termos legais e de privacidade.