Dica – Executando Testes de Segurança Web (Vazamento de Informações) Usando o FIDDLER

Esse artigo, iremos demonstrar como executarmos testes não funcionais (segurança) usando a ferramenta FIDDLER e identificando possíveis locais em nosso aplicativo ou página Web (Web Page) que possui propensão a vazamento de informações.

Esse teste pode ser executado em conjunto com algum teste funcional, pois a ferramenta irá executar tentativas de inserção códigos e análises conforme sua navegação, como login, preenchimento de informações, geração de relatórios, entre outras. Ou seja, é um teste que não consome muito tempo, pois deve ser feito de forma paralela e não a parte.

– Requisitos

Para executar esse testes você precisará:

Ferramenta FIDDLER: O FIDDLER é uma ferramenta gratuita e pode ser baixada nesse link.

image_thumb1

Plugin WATCHER: Plugin que você irá instalar no FIDDLER para executar os testes. Esse plugin está disponível no site CODEPLEX, clique aqui.

image

Para navegar na aplicação, pode usar o Navegador Padrão de sua aplicação.

– Instalação

Instale o FIDDLER conforme os passos abaixo:

image_thumb2

image_thumb3

image_thumb4

Depois instale o PLUGIN WATCHER:

image

 

image

image

Configurando o FIDDLER para os testes de segurança

Vá na aba Configuration e marque as opções “Enable”, “Save configuration automatically”;

Digite o nome do dominio (Web Site) que você irá realizar os testes em “Origin Domain”. Você também poderia inserir dominios que seriam isentos das análises se necessário em “Exempt Domains”.

image

Na aba Checks, marque quais tipos de testes o FIDDLER irá fazer em paralelo seus testes funcionais. Eu marquei todos!

image

Depois, navegue na sua aplicação para que em paralelo o FIDDLER faça avaliações. Depois é só coletar os resultados em Results.

image

Para cada item, você deverá buscar em sites como o MSDN as melhores práticas de correção.

Por exemplo, no meu teste, ele disse que os atributos de HTTPOnly dos cookies não estão marcados na aplicação ou site Web. Para eu resolver, como minha aplicação é .NET, terei que seguir as normas do MSDN abaixo:

http://msdn.microsoft.com/pt-br/library/system.web.httpcookie.httponly(v=vs.110).aspx

Depois de implementado, testo novamente.

Simples assim!

Espero que ajude e até a próxima!

Alan Carlos

2 comentários sobre “Dica – Executando Testes de Segurança Web (Vazamento de Informações) Usando o FIDDLER

  1. Pingback: Dica – Executando Testes de Segurança Web – Habilitar Captura HTTPS no FIDDLER e Identificar Erros de Criptografia Fraca | Blog de Qualidade e TI

  2. Pingback: Terças de ALM e Operações – Análise de Segurança em Aplicações Web | Blog de Qualidade e TI

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s