[pt] Uma estratégia comum de linha de produtos de software envolve sistemas da Web baseados em plug-ins que suportam a incorporação simples
e rápida de comportamentos personalizados, sendo amplamente adotados
para criar aplicativos baseados na web. A popularidade dos ecossistemas
que suportam o desenvolvimento baseado em plug-ins (como o WordPress)
é, em grande parte, devido ao número de opções de personalização disponíveis como plug-ins contribuídos pela comunidade. Entretanto, as vulnerabilidades relacionadas a plug-ins tendem a ser recorrentes, exploráveis e
difíceis de serem detectadas e podem levar a graves conseqüências para o
produto personalizado. Portanto, é necessário entender essas vulnerabilidades para permitir a prevenção de ameaças de segurança relevantes. Neste
trabalho, realizamos um estudo exploratório para caracterizar vulnerabilidades causadas por plug-ins em sistemas baseados na web, examinando os
boletins de vulnerabilidade do WordPress catalogados pelo National Vulnerability Database e os patches associados, mantidos pelo repositório de
plugins do WordPress. Identificamos os principais tipos de vulnerabilidades, o seu impacto e o tamanho do patch para corrigir a vulnerabilidade.
Identificamos, também, os tópicos mais comuns relacionados à segurança
discutidos entre os desenvolvedores do WordPress. Observamos que, embora as vulnerabilidades possam ter consequências graves e permanecerem
despercebidas por muito tempo, elas geralmente podem ser atenuadas com
pequenas alterações no código-fonte. A caracterização ajuda a fornecer uma
compreensão de como tais vulnerabilidades se manifestam na prática e contribui com as novas gerações de ferramentas de teste de vulnerabilidades
capazes de antecipar sua possível ocorrência. Esta pesquisa propõe uma
ferramenta de suporte para mitigar a ocorrência de vulnerabilidades em sistemas baseados em plugins web, facilitando a descoberta e antecipação da
possível ocorrência de vulnerabilidades. / [en] A common software product line strategy involves plug-in-based web
systems that support the simple and rapid incorporation of custom behaviors and are widely adopted for building web-based applications. The popularity of ecosystems that support plug-in-based development (such as
WordPress) is largely due to the number of customization options available
as community-contributed plugins. However, plug-in related vulnerabilities
tend to be recurring, exploitable and difficult to detect and can lead to serious consequences for the custom product. Therefore, these vulnerabilities
must be understood to enable the prevention of relevant security threats. In
this paper, we conduct an exploratory study to characterize plug-in vulnerabilities in web-based systems by examining the WordPress vulnerability
bulletins cataloged by the National Vulnerability Database and the associated patches maintained by the WordPress plugin repository. We identify
the main types of vulnerabilities, their impact, and the size of the patch to
address the vulnerability. We have also identified the most common securityrelated topics discussed among WordPress developers. We note that while
vulnerabilities can have serious consequences and remain unnoticed for a
long time, they can often be mitigated with minor changes to source code.
Characterization helps provide an understanding of how such vulnerabilities
manifest themselves in practice and contributes to new generations of vulnerability testing tools that can anticipate their potential occurrence. This
research proposes a support tool to mitigate the occurrence of vulnerabilities in web plugin based systems, facilitating the discovery and anticipation
of the possible occurrence of vulnerabilities.
Identifer | oai:union.ndltd.org:puc-rio.br/oai:MAXWELL.puc-rio.br:48022 |
Date | 12 May 2020 |
Creators | OSLIEN MESA RODRIGUEZ |
Contributors | CARLOS JOSE PEREIRA DE LUCENA, CARLOS JOSE PEREIRA DE LUCENA |
Publisher | MAXWELL |
Source Sets | PUC Rio |
Language | English |
Detected Language | Portuguese |
Type | TEXTO |
Page generated in 0.0025 seconds