Comparação e especialização de metodologias de segurança em Aplicações Web para o contexto de sistemas de ICP

Abstract

Aplicações Web estão cada vez mais presentes na Internet. Seja fornecendo soluções específicas ao ambiente corporativo, ou mesmo no modelo de oferta de serviços ao usuário final. Dessa forma, torna-se necessário avaliar sua segurança de forma abrangente, contudo detalhada. Essa avaliação, atualmente, tem como suporte metodologias de testes de intrusão, que generalizam os procedimentos de testes. São exemplos de metodologias: NIST, OWASP, ISAF, WASC e OSSTMM. Dada a pluralidade dos modelos de testes disponíveis, faz-se necessária uma análise comparada das abordagens existentes. Ademais, considerando-se, em particular, o domínio das aplicações Web que envolvem ICP (Infraestrutura de Chaves Públicas), este trabalho procurará especializar uma metodologia, ou uma compilação destas, de forma a adequá-la aos aspectos intrínsecos às ICPs. Após isso, será realizado um teste de intrusão, baseado na metodologia estabelecida, sobre o software SGCI (Sistema de Gerenciamento de Certificados Digitais da Infraestrutura de Chaves Públicas para Ensino e Pesquisa). O resultado da execução do teste de intrusão será registrado em um relatório, para posterior análise dos riscos levantados.