Neste artigo você vai ler sobre segurança em aplicações web e conhecer as opções dentro do Scriptcase que podem te ajudar a proteger suas aplicações. 

Aumentar a segurança de uma aplicação web é uma preocupação fundamental, a natureza global da internet expõe aplicativos web e APIs a ataques de muitos locais e de vários níveis de escala e complexidade. Como tal, a segurança de aplicativos web abrange uma variedade de estratégias e cobre muitas partes da cadeia de suprimentos de software.

A segurança em aplicações web desempenha também um papel crucial na conformidade com a LGPD, garantindo que os dados pessoais dos usuários sejam tratados de forma segura e de acordo com os requisitos legais de privacidade e proteção de dados.

A Lei Geral de Proteção de Dados (LGPD) é uma legislação brasileira que tem como objetivo proteger a privacidade dos dados pessoais dos cidadãos. Aprovada em 2018 e inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD estabelece regras e diretrizes para a coleta, armazenamento, processamento e compartilhamento de dados pessoais por organizações, tanto no setor público quanto privado.

Alguns pontos-chave da LGPD incluem:

Consentimento do titular dos dados, princípios de finalidade, adequação e necessidade, transparência e informação, segurança dos dados, direitos dos titulares dos dados, responsabilidade e prestação de contas. 

O descumprimento da LGPD pode resultar em penalidades significativas, incluindo multas administrativas, advertências, bloqueio de dados e até mesmo proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais. Portanto, as organizações que lidam com dados pessoais no Brasil devem estar em conformidade com os requisitos da LGPD para garantir a proteção dos direitos dos titulares dos dados e evitar consequências legais adversas.

“Privacy by Design” e “Privacy by Default” são dois princípios fundamentais na proteção da privacidade e dos dados pessoais, especialmente no contexto de projetar e desenvolver sistemas, produtos e serviços.

Privacy by Design (Privacidade por Projeto) se concentra em integrar considerações de privacidade desde o início do processo de design de sistemas, produtos ou serviços. Em outras palavras, a ideia é que a privacidade não seja apenas uma reflexão tardia ou uma adição após o desenvolvimento principal ter sido concluído, mas sim que seja incorporada desde o estágio inicial do design.

A abordagem de Privacy by Design enfatiza a importância de antecipar e abordar questões de privacidade durante todas as fases do ciclo de vida do desenvolvimento, desde a concepção até a implementação e manutenção contínua. Isso pode incluir a adoção de práticas como a minimização de dados, criptografia, controle de acesso, transparência e outras medidas destinadas a proteger a privacidade dos usuários.

Privacy by Default (Privacidade por Padrão) se concentra na configuração padrão de sistemas, produtos ou serviços para garantir a máxima proteção de privacidade dos usuários, sem que estes tenham que realizar ações adicionais.

Em essência, isso significa que, por padrão, as configurações devem ser as mais protetoras da privacidade possível. Os usuários podem então fazer ajustes se desejarem relaxar essas configurações para atender às suas preferências individuais, mas a proteção da privacidade deve ser a configuração inicial.

Por exemplo, um aplicativo pode ter suas configurações de privacidade definidas para coletar apenas os dados mínimos necessários para sua funcionalidade básica, com a opção para os usuários habilitarem configurações mais permissivas se desejarem compartilhar mais informações.

Em resumo, enquanto “Privacy by Design” enfatiza a integração de considerações de privacidade em todas as fases do design e desenvolvimento, “Privacy by Default” foca em garantir que a proteção da privacidade seja a configuração inicial e padrão de sistemas, produtos e serviços. Ambos os princípios são cruciais para garantir a proteção eficaz da privacidade dos usuários.

Quais são os riscos comuns de segurança dos aplicativos web e como o Scriptcase pode ajudar a implementar soluções para cada um deles?

O Scriptcase é uma plataforma low-code para desenvolvimento de aplicações web

baseadas em banco de dados. Todo desenvolvimento é feito diretamente no browser,  utilizando uma interface visual e ferramentas de geração de código automático. Os programas-fontes são gerados automaticamente em PHP e JavaScript, e rodam totalmente independentes da ferramenta.

Quanto à segurança, como qualquer outra plataforma de desenvolvimento de software, a segurança do aplicativo final depende de vários fatores, incluindo a competência do desenvolvedor, a implementação adequada de práticas de segurança, a configuração do servidor onde a aplicação será hospedada, entre outros.

O Scriptcase em si é projetado com recursos para ajudar os desenvolvedores a criar aplicações seguras, como autenticação de usuário, controle de acesso, sanitização de entrada de dados, entre outros. No entanto, a segurança da aplicação final também depende da maneira como esses recursos são utilizados e configurados pelo desenvolvedor.

Os aplicativos web podem enfrentar vários tipos de ataque, dependendo dos objetivos do invasor, da natureza do trabalho da organização visada e das lacunas de segurança específicas do aplicativo. Especialmente em um cenário onde ataques cibernéticos são cada vez mais comuns. 

Aqui estão algumas medidas que podem ser adotadas para aumentar a segurança de uma aplicação web com ajuda do Scriptcase. 

1 – Autorização adequada: Implementação de um sistema de controle de acesso para garantir que os usuários tenham acesso apenas às áreas e funcionalidades da aplicação que são apropriadas para suas funções.

O Scriptcase disponibiliza um módulo automático de segurança que proporciona proteção ao sistema, criando um controle de acesso e definindo privilégios para os usuários, garantindo que apenas usuários autorizados tenham acesso a determinadas aplicações.

Estão disponíveis cinco tipos de módulos de segurança, que funcionam de forma semelhante, sua principal distinção está na forma como as permissões são aplicadas aos usuários.

Confira os tipos de segurança:

• Módulo de Segurança por Grupo – As permissões de uso do sistema são atribuídas a grupos de usuários, cada usuário deve fazer parte de pelo menos um dois grupos.
• Módulo de Segurança por Aplicação – As permissões de acesso às aplicações do sistema são realizadas individualmente, em cada usuário do sistema.
• Módulo de Segurança por Usuário – Não existe privilégio de acesso, todos os usuários que possuem acesso ao sistema terão acesso a todas as aplicações.
• Módulo de Segurança LDAP – Apenas Autenticação – Realiza uma autenticação simples de usuário, semelhante ao visto no módulo de Segurança por Usuário.
• Módulo de Segurança LDAP – Controle Total – Neste tipo de segurança os privilégios de acesso não atribuídos a grupos, como acontece no módulo de segurança por Grupo. 

Veja neste vídeo uma apresentação do módulo de segurança do Scriptcase.

2 – Autenticação robusta: Utilização de métodos de autenticação seguros, como autenticação de dois fatores (2FA) ou autenticação de múltiplos fatores (MFA), para garantir que apenas usuários autorizados tenham acesso à aplicação.

O modulo de segurança que implementa automaticamente a autenticação de dois fatores com as opções Email, SMS ou Google Authenticator. 

Veja este vídeo para conhecer mais sobre essa opção. 

3 – Limite de tentativas de login: Implemente políticas de bloqueio de conta ou temporização após um número específico de tentativas de login malsucedidas para mitigar ataques de força bruta.

No módulo de segurança do Scriptcase existe uma opção para habilitar a proteção contra ataques de força bruta “Brute force”. O desenvolvedor pode habilitar e adicionar um tempo de bloqueio e número de tentativas de login. 

Captcha e Recaptcha: Implementar um tipo de medida de segurança conhecido como autenticação por desafio e resposta. O CAPTCHA protege contra spam e descriptografia de senhas com um teste simples que prova que você é um ser humano, não um computador tentando invadir uma conta protegida por senha. O reCAPTCHA é uma ferramenta utilizada através de API disponibilizada pelo Google para realização de verificações de envio de formulários adicionando segurança no momento de confirmação do formulário (impedindo que sejam utilizadas automações para submissão).

Dentro do módulo se segurança do Scriptcase o desenvolvedor tem a opção de adicionar Captcha e Recaptcha apenas habilitando uma opção. O Scriptcase implementa automaticamente essas opçãoes na tela de login, no caso do Recaptcha é necessário ter os dados da API do Google. 

Neste vídeo mostramos um exemplo de como implementar o Recaptcha do Google. 

4 – Proteção contra Injeção de SQL: Utilizar consultas parametrizadas ou prepare statements para evitar ataques de injeção de SQL.

No Scriptcase, existem macros nativas de proteção ao campo/variável contra “sql injection”. Logo todos os acessos a base de dados gerados pelo Scriptcase têm proteção.

Prevenção de Cross-Site Scripting (XSS): Sanitizar e validar todas as entradas do usuário para evitar que scripts maliciosos sejam injetados e executados no navegador do usuário.

HttpOnly – São cookies que podem ser setados pelo servidor ou por javascript porém não podem ser acessados de nenhuma forma por javascript.

Com o parâmetro HTTPOnly habilitado, dificulta bastante o roubo de sessão através de

XSS pois o javascript não consegue ler o conteúdo destes cookies. Um ataque muito explorado em XSS é o roubo dos cookies de sessão do usuário. O roubo dos cookies é realizado através de um comando javascript que envia os cookies para uma URL externa onde o usuário atacante tem controle. 

Essa opção vem habilitada por padrão em todas as aplicações do Scriptcase.

Prevenção de Cross-Site Request Forgery (CSRF): Implementar tokens CSRF para proteger contra ataques CSRF, garantindo que todas as solicitações sejam originadas da aplicação e não de fontes maliciosas.

Com essa opção ativada, o Scriptcase evita um ataque malicioso a uma página na qual

comandos não autorizados são transmitidos através de um utilizador no qual a página confia. Logo valida proteção contra ataques conhecidos como “Cross-Site Request Forgery”. Impedir chamada direta pelo URL Habilitar usuário e senha.

Security Headers: os headers (ou cabeçalhos) de segurança são uma camada de proteção cujo objetivo é evitar ciberataques nas páginas da internet. Um exemplo são os cabeçalhos HTTP, que protegem os dados dos usuários ou impedem a inserção de scripts maliciosos nas páginas.

Hearders

https://www.scriptcase.com.br/documentacao/pt_br/v9/manual/06-aplicacoes/08-aplicacao-controle/07-ctrl-seguranca/03-headers/

Criptografia de dados: Utilizar criptografia para proteger dados sensíveis, tanto em trânsito (usando HTTPS) quanto em repouso (usando algoritmos de criptografia robustos).

O Scriptcase também habilita as opções de macros de criptografia, que retornam o

campo ou variável, de forma criptografada.

Ex. 1: Criptografando uma variável local:

$campo_criptografado = sc_encode({meu_campo});

Ex. 2: Criptografando uma variável do usuário:

$campo_criptografado = sc_encode($minha_variavel);

Atualizações regulares: Mantenha todos os componentes da aplicação (sistema operacional, servidores web, bibliotecas, frameworks, etc.) atualizados com as últimas correções de segurança.

O Scriptcase envia atualizações recorrentes para seus clientes, atualiza suas bibliotecas e APIs periodicamente. Tanto no ambiente de desenvolvimento quanto no ambiente de produção. 

Auditoria e monitoramento: Implementar logs de auditoria para rastrear atividades suspeitas e monitorar continuamente a aplicação em busca de comportamentos anômalos que possam indicar um possível ataque.

No Scriptcase, além do modulo de segurança que pode implantar uma tabela de log, existe também um módulo para log onde o desenvolvedor registrar eventos e atividades no sistema, criando um histórico detalhado de ações realizadas pelos usuário como login, atualizações de dados e outras operações relevantes. Os logs são úteis para monitorar as alterações dos usuários no sistema e contribui em casos de auditoria.

O modulo de log possibilita a criação de vários esquemas de log. Cada aplicação do projeto pode ser vinculada a um esquema de log, que será configurado individualmente. Cada projeto pode conter um ou vários esquemas de log

Treinamento de funcionários: Educar os desenvolvedores e usuários finais sobre boas práticas de segurança, como o uso de senhas fortes, a identificação de emails de phishing e a importância da segurança dos dados.

Testes de segurança regulares: Realizar testes de penetração e avaliações de segurança regularmente para identificar e corrigir vulnerabilidades antes que possam ser exploradas por atacantes.

O Scriptcase é um ambiente de desenvolvimento low-code utilizado mundialmente por mais de 50 mil desenvolvedores e tem mais de 20 anos no mercado. Isso ajuda muito na questão dos testes, pois se trata de uma ferramenta robusta com com uma comunidade forte e ativa. 

Backup regular de dados: Mantenha backups regulares dos dados da aplicação e armazene-os de forma segura em locais off-site para garantir a recuperação em caso de comprometimento da segurança.

O Scriptcase possui um sistema de backup que permite que o usuário faça um backup completo dos projetos criados. Recomendamos que os backups sejam feitos regularmente. É possível também fazer versionamento de projetos. 

Veja abaixo esses dois vídeos para conhecer mais sobre essas duas opções. 

• Backup de Projetos
• Versionamento

Conclusão  

Implementar essas práticas de segurança pode ajudar a reduzir significativamente o risco de uma aplicação web ser comprometida por ataques cibernéticos. No entanto, é importante lembrar que a segurança é um processo contínuo e que novas ameaças e vulnerabilidades podem surgir com o tempo, exigindo uma abordagem proativa para manter a segurança da aplicação.

Portanto, para garantir a segurança de uma aplicação desenvolvida com o Scriptcase, é importante que os desenvolvedores adotem boas práticas de segurança, como proteção contra injeção de SQL, Cross-Site Scripting (XSS), autenticação e autorização robustas, validação de entrada de dados, entre outros.

Além disso, é fundamental manter o Scriptcase e quaisquer outras bibliotecas ou frameworks utilizados atualizados, pois as atualizações frequentemente incluem correções de segurança para abordar vulnerabilidades conhecidas.

Em resumo, o Scriptcase pode ser uma ferramenta segura se utilizada corretamente, com práticas de desenvolvimento seguras e atualizações regulares para garantir a proteção contra possíveis vulnerabilidades.

Veja esse vídeo para complementar o post:

Acompanhe o nosso blog e fique por dentro dos nossos últimos conteúdos.