[Owasp-brazil] CCWAPSS - Common Criteria WebApplication SecurityScoring

Fernando Cima fcima at microsoft.com
Mon Nov 19 14:12:59 EST 2007


Oi Thiago,

> O cara só acredita que tem falha depois que algum escroto vai lah e ferra com a vida dele.

É assim no mundo inteiro. Ou isso, ou o sujeito é forçado por alguma regulamentação a investir de segurança.

Por isso acho que alguns incidentes têm grande valor pedagógico. E que regulamentações são muitas vezes benéficas.

Abracos,

- Fernando Cima


From: owasp-brazil-bounces at lists.owasp.org [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Thiago Lechuga
Sent: segunda-feira, 19 de novembro de 2007 13:08
To: owasp-brazil at lists.owasp.org
Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication SecurityScoring

Aproveitando o embalo,
Vi voces falando de Final Customer, de desenvolver trabalhos e dar consultoria e tal....
Bom, eu moro em salvador e tenho um mínimo de conhecimento de segurança, é o meu hoby. Depois de ver que o pessoal aqui não tem a mínima noção de seguranca, e que 90% dos sistemas eu tava achando falhas em menos de 5min, achei que seria uma mina de ouro dar consultoria pra esses caras. Resultado: Ninguém tá nem ai. O cara prefere deixar um rombo enorme no sistema dele do que investir uma merreca em segurança. O cara só acredita que tem falha depois que algum escroto vai lah e ferra com a vida dele.
Eu queria saber.. como está essa conscientizarão no resto do pais???
E, tem algum tipo de certificação que eu poderia fazer pra ganhar mais confiança??
On Nov 19, 2007 3:27 PM, Wagner Elias < wagner.elias at gmail.com<mailto:wagner.elias at gmail.com>> wrote:
Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.

Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
um forte trabalho de análise e conclusão. O ponto chave do seu comentário é
o "Final Customer", pois, ele espera no mínimo um check-list que aponte
quais as vulnerabilidades e o nível. Já eu como consultor não sinto
confortável em desenvolver trabalhos apenas baseado em check-lists ou
padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
caso a caso.

Att.
Wagner Elias

-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>
[mailto: owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>] On Behalf Of Fernando Cima
Sent: segunda-feira, 19 de novembro de 2007 13:03
To: owasp-brazil at lists.owasp.org<mailto:owasp-brazil at lists.owasp.org>
Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
SecurityScoring

Oi Wagner,

Eu não conhecia, li e para dizer a verdade achei bem ruim.

Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De uma
avaliação de segurança um "final customer" vai esperar uma descrição das
vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação está
em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim não
diz nada e não serve para nada.

Mas os desenhos ficaram bonitos ;)

Abracos,

- Fernando Cima



-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>
[mailto: owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>] On Behalf Of Wagner Elias
Sent: segunda-feira, 19 de novembro de 2007 07:52
To: owasp-brazil at lists.owasp.org<mailto:owasp-brazil at lists.owasp.org>
Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
SecurityScoring

Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
interessante para realizar um Gap Analysis de segurança em aplicações web.

Att.
Wagner Elias

-----Original Message-----
From: owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>
[mailto:owasp-brazil-bounces at lists.owasp.org<mailto:owasp-brazil-bounces at lists.owasp.org>] On Behalf Of Rodrigo Montoro
(Sp0oKeR)
Sent: sábado, 17 de novembro de 2007 10:52
To: owasp-brazil at lists.owasp.org<mailto:owasp-brazil at lists.owasp.org>
Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
SecurityScoring

Alguém conhece ou já usou?

The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is to
share a common evaluation method for web application security assessments
between security auditors and final customers.

http://ccwapss.blogspot.com/
http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf


[]z! Rodrigo Montoro (Sp0oKeR)

--
=========================
    Rodrigo Ribeiro Montoro
     Analista de Segurança
   SnortCP / RHCE / LPIC-I
  http://spookerlabs.multiply.com
=========================
_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org <mailto:Owasp-brazil at lists.owasp.org>
https://lists.owasp.org/mailman/listinfo/owasp-brazil

_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org<mailto:Owasp-brazil at lists.owasp.org>
https://lists.owasp.org/mailman/listinfo/owasp-brazil
_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org<mailto:Owasp-brazil at lists.owasp.org>
https://lists.owasp.org/mailman/listinfo/owasp-brazil

_______________________________________________
Owasp-brazil mailing list
Owasp-brazil at lists.owasp.org<mailto:Owasp-brazil at lists.owasp.org>
https://lists.owasp.org/mailman/listinfo/owasp-brazil



--
Sds,
Thiago Alvarenga Lechuga
(71)81047746
Currículo Lattes: http://lattes.cnpq.br/7995145920400306
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazil/attachments/20071119/d45c2f31/attachment-0001.html 


More information about the Owasp-brazil mailing list