Ciência da Computação

A quantidade de Interfaces de Programação de Aplicação (APIs) WEB (ou RESTful) disponíveis está aumentando de forma exponencial, conforme o surgimento de novos negócios, produtos, aplicativos todos os anos. Estas APIs WEB são responsáveis por responder as solicitações de usuários, empresas, desenvolvedores etc. As solicitações muitas vezes contêm informações sensíveis dessas pessoas as quais ficam gravadas nos servidores back-end protegidos de acesso direto pela API. Por possuírem este papel crítico, ao longo dos anos as APIs WEB têm recebido atenção de atores mal intencionados, os quais trabalham incessantemente para burlar estas defesas e adquirir a maior quantidade de informações possíveis. Caso burladas, os prejuízos podem ser significativos para estas empresas, tanto monetário quanto para a reputação; e para os clientes, as quais possuem seus dados de identificação vazados, contas etc. Para contornar estes problemas, as APIs WEB contam com diversas técnicas de segurança, algumas datando de 47 anos atrás, preservadas em artigos disponíveis na internet. Porém, atualmente diversas técnicas de segurança relacionadas a APIs WEB não possuem validação empírica, acarretando no problema de que conforme novas técnicas surgem, elas podem estar se baseando em outras ainda não validadas, resultando teoricamente em diversas APIs WEB suscetíveis a ataques dos mais diversos tipos. Sendo assim, este trabalho tem como objetivo pesquisar e estudar o atual cenário de desenvolvimento de APIs WEB seguras, técnicas de segurança em aplicações web, e ao fim desenvolver uma API com estas técnicas para validá-las. Constatado sua eficácia, este trabalho poderá servir como uma guia no futuro para desenvolvimento de APIs WEB seguras com recomendação validadas, caso contrário, este trabalho servirá para desbancar recomendação inseguras e trazer maior esclarecimentos para a comunidade.