Os primeiros ataques rede exploravam vulnerabilidades ligadas à aplicação dos protocolos da sequência TCP/IP. Com a correcção progressiva dessas vulnerabilidades, os ataques deslocaram-se para as camadas aplicativas e em especial a web, na medida em que a maior parte das empresas abre o seu sistema firewall para o tráfego destinado à web.
O protocolo HTTP (ou HTTPS) é o standard que permite veicular as páginas web através de um mecanismo de pedidos e de respostas. Utilizado essencialmente para transportar páginas web informativas (páginas web estáticas), o web tornou-se rapidamente um apoio interactivo que permite fornecer serviços em linha. O termo “ aplicação web” designa, assim, qualquer aplicação cujo interface está acessível através da web com a ajuda de um simples navegador. Transformado no apoio de um certo número de tecnologias (SOAP, Javascript, XML RPC, etc.), o protocolo HTTP possui doravante seguramente um papel estratégico na segurança dos sistemas de informação.
Dado que os servidores web estão cada vez mais protegidos, os ataques deslocaram-se progressivamente para a exploração das falhas das aplicações web.
Assim, a segurança dos serviços web deve ser um elemento a ter em conta desde a sua concepção e o seu desenvolvimento.
As vulnerabilidades das aplicações web podem catalogadas da seguinte forma :
O protocole HTTP deve, por natureza, gerir pedidos, quer dizer, receber dados que entram e enviar dados de retorno. Os dados podem ser enviados de diversas maneiras:
O princípio básico a reter geralmente, aquando de qualquer desenvolvimento informático, é que não deve confiar nos dados enviados pelo cliente.
Assim, a quase totalidade das vulnerabilidades dos serviços web está ligada às negligências dos criadores, que não fazem verificações sobre o formato dos dados apreendidos pelos utilizadores.
Os ataques contra as aplicações web são sempre prejudiciais porque dão uma má imagem da empresa. As consequências de um ataque bem sucedido podem nomeadamente ser uma das seguintes:
