Sistemas de Informação - TCC - FCI Higienópolis

URI Permanente para esta coleção

https://dspace.mackenzie.br/handle/10899/5

Navegar

Navegando Sistemas de Informação - TCC - FCI Higienópolis por Autor "Arruda Junior, Marcos Paulo"

Agora exibindo 1 - 1 de 1
  • Imagem de Miniatura
    TCC
    Análise estática de código para detectar vulnerabilidades web
    Arruda Junior, Marcos Paulo (2021-05-23)

    Faculdade de Computação e Informática (FCI)

    Análise estática de código é uma etapa muito importante durante o ciclo de desenvolvimento de um software, para realizar a detecção de vulnerabilidades no seu estágio inicial. Os programadores fazem o uso de ferramentas automatizadas que analisam o código inteiro com a finalidade de encontrar possíveis problemas. Entretanto, essas ferramentas não estão livres de problemas, pois algumas podem detectar uma quantidade considerável de dados imprecisos, como falsos positivos e falsos negativos, podendo trazer prejuízo para as organizações. Neste artigo, foi utilizada uma abordagem prática para avaliar quatro ferramentas de análise estática diferentes para a linguagem PHP, onde duas dessas ferramentas são de uso comercial e as outras duas foram utilizadas as versões gratuitas. Para a linguagem Java, foram utilizadas duas ferramentas de uso comercial. Essa abordagem considera uma metodologia de análise onde a melhor ferramenta é aquela que reporta a maior quantidade de vulnerabilidades com o menor número de falsos positivos. Para a avaliação dessas ferramentas. Para comparar as ferramentas, foram utilizados Benchmarks controlados que possuíam vulnerabilidades específicas, XSS e SQLi. Os resultados mostraram que todas as ferramentas de uso comercial tiveram um desempenho superior de até 66% aproximadamente, comparado às ferramentas de código aberto, porém nem todas as vulnerabilidades foram detectadas pelas ferramentas.