1. TEDE
  2. Unidade Manaus
  3. Programa de Pós-graduação em Informática
  4. Doutorado em Informática
???item.export.label??? ???item.export.type.endnote??? ???item.export.type.bibtex???

Please use this identifier to cite or link to this item: https://tede.ufam.edu.br/handle/tede/11174
???metadata.dc.type???: Tese
Title: Uma abordagem para a detecção de ataques a vulnerabilidades lógicas de adulteração de parâmetros e controles de acesso em apis web rest utilizando redes de petri coloridas
???metadata.dc.creator???: Santos Filho, Ailton da Silva dos 
???metadata.dc.contributor.advisor1???: Feitosa, Eduardo Luzeiro
???metadata.dc.contributor.referee1???: Barreto, Raimundo da Silva
???metadata.dc.contributor.referee2???: Kreutz, Diego Luiz
???metadata.dc.contributor.referee3???: Pio, José Luiz de Souza
???metadata.dc.contributor.referee4???: Martins, Gilbert Breves
???metadata.dc.description.resumo???: As APIs Web REST são amplamente utilizadas para integração entre sistemas, mas seu crescimento trouxe desafios de segurança, como vulnerabilidades lógicas, que são difíceis de detectar com métodos automatizados tradicionais. Entre essas falhas, destaca-se a Broken Object Level Authorization (BOLA), que permite que usuários não autorizados acessem ou modifiquem dados restritos. Esta tese propõe uma abordagem semi-automatizada baseada em Redes de Petri Coloridas para detectar ataques a Vulnerabilidades Lógicas de Adulteração de Parâmetros e Controles de Acesso em APIs REST, transformando especificações OpenAPI em modelos formais e analisando logs do servidor para identificar divergências entre o comportamento esperado e o observado. Para validar a abordagem, foi desenvolvida a ferramenta Links2CPN, que re- aliza automaticamente a transformação do modelo e a detecção de potenciais ataques. Em três cenários de aplicações vulneráveis, a solução demonstrou mais de 95% de acurácia e precisão na identificação de tentativas de ataques BOLA. Os resultados mostram que a combinação de modelagem formal e análise de logs é capaz de detectar vulnerabilidades lógicas, oferecendo uma alternativa viável para melhorar a segurança de APIs REST.
Abstract: REST Web APIs are widely used for system integration, but their growth has introduced security challenges, such as logical vulnerabilities, which are difficult to detect with traditional automated methods. Among these flaws, Broken Object Level Authorization (BOLA) stands out, as it allows unauthorized users to access ormodifyrestricteddata. ThisthesisproposesanapproachbasedonColoredPetri Nets to detect attacks on logical vulnerabilities in REST APIs by transforming OpenAPI specifications into formal models and analyzing server logs to identify discrepancies between expected and observed behavior. To validate the approach, the Links2CPN tool was developed, which automatically performs the model transformation and attack detection. In three vulnerable application scenarios, the solution demonstrated over 95% accuracy and precision in identifying BOLA attack attempts. The results show that the combination of formal modeling and log analysis is capable of detecting logical vulnerabilities, offering a viable alternative for improving the security of REST APIs.
Keywords: Aplicações Web
Software - Desenvolvimento.Software - Validacao
???metadata.dc.subject.cnpq???: CIENCIAS EXATAS E DA TERRA: CIENCIA DA COMPUTACAO: SISTEMAS DE COMPUTACAO
???metadata.dc.subject.user???: API Web
Vulnerabilidade Lógica
Detecção de ataques
OpenAPI
OWASP
Language: por
???metadata.dc.publisher.country???: Brasil
Publisher: Universidade Federal do Amazonas
???metadata.dc.publisher.initials???: UFAM
???metadata.dc.publisher.department???: Instituto de Computação
???metadata.dc.publisher.program???: Programa de Pós-graduação em Informática
Citation: SANTOS FILHO, Ailton da Silva dos. Uma abordagem para a detecção de ataques a vulnerabilidades lógicas de adulteração de parâmetros e controles de acesso em apis web rest utilizando redes de petri coloridas. 2025. 98 f. Tese (Doutorado em Informática) - Universidade Federal do Amazonas, Manaus (AM), 2025.
???metadata.dc.rights???: Acesso Aberto
???metadata.dc.rights.uri???: https://creativecommons.org/licenses/by-nc-nd/4.0/
URI: https://tede.ufam.edu.br/handle/tede/11174
Issue Date: 27-Aug-2025
Appears in Collections:Doutorado em Informática

Files in This Item:
File Description SizeFormat 
TESE_AiltonSantosFilho_PPGI 4.76 MBAdobe PDFThumbnail

Download/Open Preview
Show full item record Recommend this item


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.