Análise estática de código para detectar vulnerabilidades web
Carregando...
Tipo
TCC
Data de publicação
2021-05-23
Periódico
Citações (Scopus)
Autores
Arruda Junior, Marcos Paulo
Orientador
Rodamilans, Charles Boulhosa
Título da Revista
ISSN da Revista
Título de Volume
Membros da banca
Programa
Resumo
Análise estática de código é uma etapa muito importante durante o
ciclo de desenvolvimento de um software, para realizar a detecção de
vulnerabilidades no seu estágio inicial. Os programadores fazem o uso de
ferramentas automatizadas que analisam o código inteiro com a finalidade de
encontrar possíveis problemas. Entretanto, essas ferramentas não estão livres
de problemas, pois algumas podem detectar uma quantidade considerável de
dados imprecisos, como falsos positivos e falsos negativos, podendo trazer
prejuízo para as organizações. Neste artigo, foi utilizada uma abordagem
prática para avaliar quatro ferramentas de análise estática diferentes para a
linguagem PHP, onde duas dessas ferramentas são de uso comercial e as
outras duas foram utilizadas as versões gratuitas. Para a linguagem Java,
foram utilizadas duas ferramentas de uso comercial. Essa abordagem
considera uma metodologia de análise onde a melhor ferramenta é aquela que
reporta a maior quantidade de vulnerabilidades com o menor número de
falsos positivos. Para a avaliação dessas ferramentas. Para comparar as
ferramentas, foram utilizados Benchmarks controlados que possuíam
vulnerabilidades específicas, XSS e SQLi. Os resultados mostraram que todas
as ferramentas de uso comercial tiveram um desempenho superior de até 66%
aproximadamente, comparado às ferramentas de código aberto, porém nem
todas as vulnerabilidades foram detectadas pelas ferramentas.
Descrição
Palavras-chave
análise estática , vulnerabilidade