Avaliação de segurança de uma aplicação web : um estudo de caso

Abstract

A tecnologia a cada dia ganha mais espaço em nossas vidas, de modo que a internet passou a ser uma necessidade. Isto foi intensificado com a pandemia da COVID-19, principalmente nas áreas de comércio, educação e saúde. No setor da saúde foi adotada a prática da telemedicina, isto é, a prestação de serviços de saúde de maneira remota com auxílio da tecnologia. Desta maneira, o uso de documentos digitais assinados eletronicamente cresceu, exemplo destes são atestados, relatórios e prescrições eletrônicas. Com isso, o Instituto Nacional de Tecnologia da Informação (ITI) criou um serviço web de validação de assinaturas eletrônicas, o VALIDAR, para garantir a autoria e integridade das assinaturas e documentos digitais. Mas, assim como aumentou o uso da internet, também houve o crescimento de crimes cibernéticos como ataques e roubo de dados, trazendo à tona a necessidade de desenvolver softwares seguros. O presente estudo tem como objetivo realizar a avaliação da segurança do VALIDAR - Serviço de validação de assinaturas eletrônicas empregando a metodologia de estudo de caso único com base no protocolo de Brereton, e utilizando técnicas de modelagem de ameaças, além de testes de segurança estáticos e dinâmicos. A análise revelou vulnerabilidades críticas, principalmente relacionadas à disponibilidade do serviço, como riscos de ataques de negação de serviço (DoS) e à codificação de endereços IP no código-fonte. Embora essas vulnerabilidades não comprometam a integridade das validações, elas afetam a performance e a disponibilidade do serviço. Conclui-se que é possível mitigar esses riscos por meio da implementação de rate limiting, balanceamento de carga e melhores práticas de configuração, melhorando a resiliência e a segurança do VALIDAR.