Mutillidae: a OWASP Top 10 em PHP

No blogue do Charter PT OWASP:

Quem lê o que eu tenho escrito por aqui, quer em algumas revistas em que tenho tido a oportunidade de escrever umas coisas, pode verificar facilmente que apresento como um dos principais motivos para a insegurança das aplicações web, a falta de formação.

A falta de formação, ou a formação deficiente de quem tem que desenvolver aplicações web-based, pode levar ao desenvolvimento de aplicações que, apesar de poderem ser excelentes do ponto de vista funcional, são péssimas do ponto de vista da segurança.

Acho por isso que a formação de programadores que desenvolvem aplicações para a web, deve conter forçosamente uma componente muito séria de segurança aplicacional. Os programadores devem compreender que aquilo que fazem a nível do código-fonte de uma determinada aplicação, afecta directamente a segurança da mesma.

A OWASP possui uma excelente ferramenta de apoio a esta formação. Esta ferramenta dá pelo nome de WebGoat, e foi desenvolvida com o objectivo de ser propositadamente insegura e vulnerável de forma a demonstrar as principais vulnerabilidades em aplicações web, e mostrando ainda de forma exaustiva e educativa, como as mesmas funcionam, quais os erros que lhes deram origem e qual o impacto na aplicação em causa. O WebGoat foi desenvolvido em Java e a pensar nos programadores de aplicações Java (J2EE).

O WebGoat é um excelente recurso de formação nesta área, mas não é o único. Existem muitos mais. Para quem desenvolve aplicações em PHP, um excelente recurso é a Mutillidae. A Mutillidae é composta por um conjunto de scripts desenvolvidos em PHP que implementam a OWASP Top 10.

O principal objectivo desta ferramenta é o de demonstrar de uma forma fácil os principais ataques a aplicações web e que vêm reportados no OWASP Top 10. Mas à semelhança do que acontecia com o WebGoat, não é o único recurso. Podem igualmente encontrar aqui uma lista de excelentes ferramentas com o objectivo de ajudar na formação de quem faz desenvolvimento para a Web e que necessita perceber um pouco mais sobre a segurança das mesmas.

Parece-me que existem cada vez menos desculpas sobre o desconhecimento de vulnerabilidades ou para a falta de formação sobre a forma como as eliminar das diversas aplicações web desenvolvidas.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?