Investigac ¸˜ ao do Impacto de Frameworks de Desenvolvimento de Software na Seguranc ¸a de Sistemas Web Isadora Garcia Ferr˜ ao 1 , Douglas D. J. de Macedo 2 , Diego Kreutz 1 1 Laborat´ orio de Estudos Avanc ¸ados (LEA) Universidade Federal do Pampa (UNIPAMPA) 2 Departamento de Ciˆ encia da Informac ¸˜ ao (CIN) Universidade Federal de Santa Catarina (UFSC) isadora-gf@hotmail.com, douglas.macedo@ufsc.br, kreutz@acm.org Abstract. Vulnerabilities are a critical and recurring issue on Web applications. Recent studies indicate that old vulnerabilities, such as SQL injection, are still a major concern. In this paper, we evaluate the impact of software development frameworks on securing Web applications. To detect security issues, we use vulnerability scanners on the top seven PHP frameworks used by developers. In each framework, we implemented the ten most frequent vulnerabilities found in Web applications. Our findings show the impact of each PHP framework on securing a Web application. In addition, the results also allow us to identify strengths and weaknesses of the vulnerability scanners. Resumo. Aplicac ¸˜ oes Web vulner´ aveis s˜ ao um problema cr´ ıtico e recorrente. Estat´ ısticas recentes indicam que mesmo vulnerabilidades antigas, como SQL injection, ainda representam um problema frequente. Este trabalho tem como objetivo avaliar, utilizando scanners de vulnerabilidades, o impacto de fra- meworks de desenvolvimento de software na seguranc ¸a de sistemas Web. Para a an´ alise, foram selecionados os sete principais frameworks utilizados por desen- volvedores PHP e implementadas as dez vulnerabilidades mais recorrentes em sistemas Web. Os resultados permitem identificar o impacto de cada framework na seguranc ¸a do ambiente controlado. Al´ em disso, pode-se observar tamb´ em algumas qualidades e deficiˆ encias dos scanners. 1. Introduc ¸˜ ao Com a popularizac ¸˜ ao e a constante evoluc ¸˜ ao da Internet, onde a maioria dos sistemas passa a fazer parte e depender da rede, as boas pr´ aticas de seguranc ¸a em sistemas Web s˜ ao cada vez mais imprescind´ ıveis. Relat´ orios recentes reportam que o n´ umero de ataques e incidentes de seguranc ¸a, muitos deles envolvendo vulnerabilidades antigas e recorrentes em sistemas Web, n˜ ao para de crescer [Symantec 2017]. Ao mesmo tempo surpreendente e muito preocupante, alguns estudos mostram que, em alguns pa´ ıses, a porcentagem de aplicac ¸˜ oes Web vulner´ aveis pode chegar na casa dos 70% [Alam et al. 2015]. Um dos tipos de recursos mais frequentemente utilizados na pr´ atica para detec- tar e diagnosticar diferentes tipos e n´ ıveis de falhas de seguranc ¸a em sistemas Web s˜ ao os scanners de vulnerabilidades [Bau et al. 2010, Fonseca et al. 2014, Alam et al. 2015, Ferrao and Kreutz 2017, Rocha et al. 2012]. Estudos recentes investigam a efic´ acia de scanners de vulnerabilidades em ambientes abertos (e.g. m´ aquina virtual OWASP BWA) [Ferrao and Kreutz 2017] e ambientes controlados (e.g. implementac ¸˜ ao es- pec´ ıfica das dez vulnerabilidades mais recorrentes em sistemas Web) [Ferrao et al. 2018b,