UNIVERSIDADE ESTADUAL DE PONTA GROSSA

SETOR DE CINCIAS AGRRIAS E DE TECNOLOGIA

DEPARTAMENTO DE INFORMTICA

MATHEUS HENRIQUE BARBOSA

MRCIO JOS GURKA JUNIOR
GUILHERMINO MARCOS SILVA AFONSO
LUCAS ALVES SOBRINHO

TRABALHO DE ENGENHARIA DE SOFTWARE

PONTA GROSSA
2014

MATHEUS HENRIQUE BARBOSA

MRCIO JOS GURKA JUNIOR
GUILHERMINO MARCOS SILVA AFONSO
LUCAS ALVES SOBRINHO

TRABALHO DE ENGENHARIA DE SOFTWARE

Trabalho disciplina de Engenharia de Software, como atividade avaliativa do 2 semestre da 3 srie do curso de Engenharia de
Professor: Adriano Ferrasa

PONTA GROSSA
2014

Questes
1. Para o sistema descrito anteriormente, sugira exemplos de ativo, exposio,
vulnerabilidade, ataque, ameaa e controle. A seguir, avalie os riscos associados a esse
sistema e proponha requisitos de sistema que possam reduzir esses riscos.
2. Defina polticas a serem utilizadas para a empresa onde o software ser utilizado
de forma que haja um aumento de segurana para o mesmo. Considere itens
relacionados a proteo de infraestrutura.

Respostas:
1Ataque

Injeo de SQL: atacante envia ataques simples baseados em texto que

exploram as consultas SQL da pagina.

Ataque de negao de servio: tentativa de entornar os recursos de um sistema

indisponveis para seus utilizadores, o sistema poder ficar fora do ar
prejudicando a qualidade do servio.

Ataque em referencia direta a objetos: o usurio poder mudar o valor de um

parmetro que se refere a um objeto do sistema por outro objeto que este mesmo
usurio no esta autorizado a acessar.

Soluo:

Vulnerabilidade

Exposio de dados frgeis: alguns dados sigilosos podem ficar expostos ao

usurio comum, gerando assim problemas de integridade do sistema.

Configurao incorreta de segurana: essa vulnerabilidade explora o uso de

contas padro ou de teste, paginas de testes, paginas com bugs no corrigidos e
utilizao de software e componentes web desatualizados.

Utilizao de componentes vulnerveis conhecidos: o sistema poder ser

invadido se forem descobertas vulnerabilidades de um componente (Exemplo:
bibliotecas de framework) utilizado no sistema, levando assim ao
comprometimento do servidor e dados.

Soluo:

Exposio

Compatibilidade com navegadores: garantir que o sistema possa ser utilizado a

partir dos navegadores mais utilizados hoje em dia.

Controle para interface de usurios: cada tipo de usurio ter acesso a uma
interface de sistema relativa a seu cargo e no ser autorizado acessar recursos
que no so da sua competncia.

Soluo:

Controle

Relatrio de operaes feitas por usurio: cada usurio do sistema ter um

registro permanente das atividades efetuadas. Essas informaes ficam gravadas
em arquivos log para eventuais consultas, caso ocorra algum problema.

Redundncia de base de dados: caso ocorra uma perda de dados no momento da

operao sendo total ou parcial, servindo assim como backup.

Soluo:

Ativo

Garantir restrio de informao: o usurio poder acessar determinadas

informaes dependendo da hierarquia de cargo da sua empresa, garantindo
assim a integridade dos dados ativos do sistema.

OBS: Devemos considerar uma correlao com as possveis vulnerabilidades que o

sistema apresenta, garantindo que elas no sejam exploradas.
Soluo:

Ameaa

Ameaa de interpretao - que possam permitir a um invasor obter acesso a um

ativo. Exemplo: Se o sistema de cadastro tem a mesma senha padro para todos
os usurios, um invasor pode se usar disto para acessar as contas dos usurios
que no alteraram a sua senha.

Ameaa de modificao - que permitem a um invasor violar um ativo do

sistema. Exemplo: Um invasor que consiga acessar no sistema como
administrador, poder fazer modificaes no mesmo, j que o acesso do
administrador e irrestrito.

Ameaa de fabricao - que permitem a um invasor inserir dados falsos em um

sistema. Exemplo: Se o sistema no tiver um algoritmo de validao, para
dados pessoais como numero de CPF, um invasor poder criar varias contas com
dados falsos.

Soluo:

2-