Título: ESTUDO E EXPLORAÇÃO DE VULNERABILIDADES EM SISTEMAS MULTI-TENANTS
Autoria de: Júlio César da Silva Pinto
Orientação de: Antonio Maria Pereira de Resende
Coorientação de: Victor Hugo Santiago Costa Pinto
Presidente da banca: Antônio Maria Pereira de Resende
Primeiro membro da banca: Victor Hugo Santiago Costa Pinto
Segundo membro da banca: Neumar Costa Malheiros
Terceiro membro da banca: Ricardo Ramos de Oliveira
Palavras-chaves: Computação em nuvem, Software as a Service, Multi-tenant, Segurança da informação, PENTEST
Data da defesa: 27/11/2019
Semestre letivo da defesa: 2019-2
Data da versão final: 09/12/2019
Data da publicação: 09/12/2019
Referência: Pinto, J. C. d. S. ESTUDO E EXPLORAÇÃO DE VULNERABILIDADES EM SISTEMAS MULTI-TENANTS. 2019. 75 p. Trabalho de Conclusão de Curso (Graduação em Sistemas de Informação Bacharelado)-Universidade Federal de Lavras, Lavras, 2019.
Resumo: A computação em nuvem é um conjunto de abordagens e princípios que possibilita a entrega de infraestrutura, plataformas, aplicações e serviços sob demanda através da Internet. Devido à evolução da computação em nuvem, sistemas desenvolvidos sobre o modelo de entrega SaaS (Software as a Service) estão se tornando cada vez mais comuns no mercado. No entanto, a manutenção de sistemas ligeiramente distintos que compartilham muitos recursos em comum, pode ser uma tarefa dispendiosa e acarretar em muito retrabalho. A arquitetura multi-tenant possibilita o compartilhamento de uma única aplicação e de recursos computacionais para múltiplos clientes (tenants ou inquilinos), com o objetivo de reduzir custos e acelerar o desenvolvimento. Apesar do compartilhamento de recursos e da aplicação, essa arquitetura permite que cada tenant customize a aplicação para atender melhor as suas regras de negócio. Tais características de aplicações multi-tenants podem fazer com que as mesmas se tornem mais suscetíveis a vulnerabilidades e, consequentemente a ataques que podem comprometer dados dos tenants. Portanto, deve-se tomar especial cuidado na segurança da informação em aplicações que utilizam esta arquitetura. Apesar da evolução da computação em nuvem e da arquitetura multi-tenant, ainda não há muitos estudos na área de segurança da informação para sistemas desenvolvidos nessa arquitetura e existe desconfiança por parte das empresas que pretendem migrar seus sistemas legados. O objetivo deste trabalho concentra-se em obter evidências de possíveis vulnerabilidades nesse modelo de arquitetura, as quais podem comprometer a segurança em termos de exposição de dados. Por isto, testes de invasão (PENTEST) foram empregados em três aplicações que divergem em relação ao nível de isolamento de dados, denominadas iCardapio é um sistema multi-tenant para disponibilização de cardápios eletrônicos MtShop é um típico e-commerce que permite a criação de várias lojas virtuais e o ToyExample é uma aplicação desenvolvida neste trabalho para simular a vulnerabilidade de SQL Injection. Os resultados deste trabalho demonstraram que o comprometimento de um tenant ou a exploração de algumas vulnerabilidades podem causar danos à todos os tenants, devido à arquitetura multi-tenant das aplicações.
URI: sip.prg.ufla.br/publico/trabalhos_conclusao_curso/acessar_tcc_por_curso/
sistemas_de_informacao/20192201520609
URI alternaviva: repositorio.ufla.br/handle/1/44773
Curso: G014 - SISTEMAS DE INFORMAÇÃO (BACHARELADO)
Nome da editora: Universidade Federal de Lavras
Sigla da editora: UFLA
País da editora: Brasil
Gênero textual: Trabalho de Conclusão de Curso
Nome da língua do conteúdo: Português
Código da língua do conteúdo: por
Licença de acesso: Acesso aberto
Nome da licença: Licença do Repositório Institucional da Universidade Federal de Lavras
URI da licença: repositorio.ufla.br
Termos da licença: Acesso aos termos da licença em repositorio.ufla.br
Detentores dos direitos autorais: Júlio César da Silva Pinto e Universidade Federal de Lavras
Baixar arquivo