[Owasp-brazil] CCWAPSS - Common Criteria WebApplication SecurityScoring

Thiago Lechuga thiagoalz at gmail.com
Mon Nov 19 14:08:16 EST 2007


Aproveitando o embalo,
Vi voces falando de Final Customer, de desenvolver trabalhos e dar
consultoria e tal....
Bom, eu moro em salvador e tenho um mínimo de conhecimento de segurança, é o
meu hoby. Depois de ver que o pessoal aqui não tem a mínima noção de
seguranca, e que 90% dos sistemas eu tava achando falhas em menos de 5min,
achei que seria uma mina de ouro dar consultoria pra esses caras. Resultado:
Ninguém tá nem ai. O cara prefere deixar um rombo enorme no sistema dele do
que investir uma merreca em segurança. O cara só acredita que tem falha
depois que algum escroto vai lah e ferra com a vida dele.
Eu queria saber.. como está essa conscientizarão no resto do pais???
E, tem algum tipo de certificação que eu poderia fazer pra ganhar mais
confiança??

On Nov 19, 2007 3:27 PM, Wagner Elias <wagner.elias at gmail.com> wrote:

> Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.
>
> Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
> pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
> Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
> um forte trabalho de análise e conclusão. O ponto chave do seu comentário
> é
> o "Final Customer", pois, ele espera no mínimo um check-list que aponte
> quais as vulnerabilidades e o nível. Já eu como consultor não sinto
> confortável em desenvolver trabalhos apenas baseado em check-lists ou
> padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
> caso a caso.
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> Sent: segunda-feira, 19 de novembro de 2007 13:03
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
> Oi Wagner,
>
> Eu não conhecia, li e para dizer a verdade achei bem ruim.
>
> Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De
> uma
> avaliação de segurança um "final customer" vai esperar uma descrição das
> vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação
> está
> em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim
> não
> diz nada e não serve para nada.
>
> Mas os desenhos ficaram bonitos ;)
>
> Abracos,
>
> - Fernando Cima
>
>
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: segunda-feira, 19 de novembro de 2007 07:52
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
> interessante para realizar um Gap Analysis de segurança em aplicações web.
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Rodrigo Montoro
> (Sp0oKeR)
> Sent: sábado, 17 de novembro de 2007 10:52
> To: owasp-brazil at lists.owasp.org
> Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Alguém conhece ou já usou?
>
> The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is
> to
> share a common evaluation method for web application security assessments
> between security auditors and final customers.
>
> http://ccwapss.blogspot.com/
> http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf
>
>
> []z! Rodrigo Montoro (Sp0oKeR)
>
> --
> =========================
>     Rodrigo Ribeiro Montoro
>      Analista de Segurança
>    SnortCP / RHCE / LPIC-I
>  http://spookerlabs.multiply.com
> =========================
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>



-- 
Sds,
Thiago Alvarenga Lechuga
(71)81047746
Currículo Lattes: http://lattes.cnpq.br/7995145920400306
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazil/attachments/20071119/bc7339ae/attachment.html 


More information about the Owasp-brazil mailing list