Esse projeto foi o meu trabalho de conclusão de curso da graduação de Sistemas de Informação do Ifal Campus Arapiraca. Trata-se de uma análise de vulnerabilidades dos sites das câmaras municipais alagoanas (100 sites no total). Em resumo, verifiquei o nível de segurança de tais sites expondo as vulnerabilidades (fraquezas) encontradas conforme classificação da OWASP 2021.
-
/exp-automation
: Diretório com códigos referentes a descrição da infraestrutura de máquinas na nuvem (Terraform). Além disso, possui código referente a automação da configuração e execução (Ansible) da ferramenta de detecção de vulnerabilidades nas máquinas; -
/extractors
: Diretório com códigos usados para extração das URLs das câmaras municipais e dos nomes das cidades; -
/post_processing_script
: Diretório com um arquivo de código usado para geração de um csv de análise a partir dos arquivos json de relatório de vulnerabilidades gerado pela ferramenta; -
/R_analysis
: Diretório com um arquivo R markdown usado para análise dos dados do csv com as vulnerabilidades; -
/tests
: Diretório com arquivos usados para testes manuais de código; -
/wapiti_containers_script
: Diretório que contém arquivos que seriam usados para execução da ferramenta de detecção de vulnerabilidades em containers Docker; -
/wapiti_execution
: Diretório com dois arquivos referentes a scripts de automação de execução da ferramenta para coleta dos dados das vulnerabilidades. O que diferencia os dois é a forma de passar parâmetros, um utiliza variáveis de ambiente, o outro, inputs manuais.
Esse projeto foi desenvolvido usando a ferramenta de detecção de vulnerabilidades Wapiti e uma infraestrutura de máquinas na nuvem, além de um conjunto de tecnologias de suporte: Python, Bash, Terraform, Ansible, R e Go.
O número total de vulnerabilidades encontrado foi de 667. Com relação à proporção de vulnerabilidades críticas: 81% dos portais apresentaram vulnerabilidades não críticas, 10% apresentaram vulnerabilidades críticas e 9% não apresentaram vulnerabilidades.
Eu (Eduardo Vítor) e Daniel Fireman como orientador.
Análise de vulnerabilidades dos portais web das câmaras municipais alagoanas - SBSI 2023