[Owasp-brazil] CCWAPSS - Common Criteria WebApplication SecurityScoring

Thiago Lechuga thiagoalz at gmail.com
Mon Nov 19 14:47:57 EST 2007


Pois é! Eu concordo. Mas nego faz isso justamente pq ninguem da a minima se
nao fizer.
Saiu em alguma revista esses dias... o cara cobra pra arrumar... se o cara
nao pagar ele divulga a falha e outras pessoas botam a baixo!!!
detalhe: entrei no site deles e eles mesmo tinham falhas!
Depois vo procurar aqui.

On Nov 19, 2007 4:31 PM, Fernando Cima <fcima at microsoft.com> wrote:

>  Bem, se o cara bota o sistema abaixo e depois cobra para arrumar, então
> está extorquindo e tem que ir para a Justiça mesmo...
>
>
>
> *From:* owasp-brazil-bounces at lists.owasp.org [mailto:
> owasp-brazil-bounces at lists.owasp.org] *On Behalf Of *Thiago Lechuga
> *Sent:* segunda-feira, 19 de novembro de 2007 13:24
>
> *To:* owasp-brazil at lists.owasp.org
> *Subject:* Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
>
>
> Depois nego fica achando ruim porque o cara bota o sistema  a baixo e
> depois cobra pra arrumar. Botam o na justiça e diz que o tá extorquindo. O
> cara liga o magicQuotes e se diz expert em segurança acha que o sistema dele
> ta seguro.
> grrrr.... me tira do sério!!! heheheh
>
> On Nov 19, 2007 4:12 PM, Fernando Cima <fcima at microsoft.com> wrote:
>
> Oi Thiago,
>
>
>
> > O cara só acredita que tem falha depois que algum escroto vai lah e
> ferra com a vida dele.
>
>
>
> É assim no mundo inteiro. Ou isso, ou o sujeito é forçado por alguma
> regulamentação a investir de segurança.
>
>
>
> Por isso acho que alguns incidentes têm grande valor pedagógico. E que
> regulamentações são muitas vezes benéficas.
>
>
>
> Abracos,
>
>
>
> - Fernando Cima
>
>
>
>
>
> *From:* owasp-brazil-bounces at lists.owasp.org [mailto:
> owasp-brazil-bounces at lists.owasp.org] *On Behalf Of *Thiago Lechuga
> *Sent:* segunda-feira, 19 de novembro de 2007 13:08
>
>
> *To:* owasp-brazil at lists.owasp.org
> *Subject:* Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
>
>
> Aproveitando o embalo,
> Vi voces falando de Final Customer, de desenvolver trabalhos e dar
> consultoria e tal....
> Bom, eu moro em salvador e tenho um mínimo de conhecimento de segurança, é
> o meu hoby. Depois de ver que o pessoal aqui não tem a mínima noção de
> seguranca, e que 90% dos sistemas eu tava achando falhas em menos de 5min,
> achei que seria uma mina de ouro dar consultoria pra esses caras. Resultado:
> Ninguém tá nem ai. O cara prefere deixar um rombo enorme no sistema dele do
> que investir uma merreca em segurança. O cara só acredita que tem falha
> depois que algum escroto vai lah e ferra com a vida dele.
> Eu queria saber.. como está essa conscientizarão no resto do pais???
> E, tem algum tipo de certificação que eu poderia fazer pra ganhar mais
> confiança??
>
> On Nov 19, 2007 3:27 PM, Wagner Elias < wagner.elias at gmail.com> wrote:
>
> Hahaha...Isso que eu gosto Cima, simples, objetivo e direto.
>
> Por isso mesmo eu utilizaria apenas como Gap Analysis. Eu tenho uma
> pontuação de 1 a 10 e complemento com uma análise nos projetos do OWASP.
> Todos os projetos de Gap Analysis que eu já realizei possuem uma métrica e
>
> um forte trabalho de análise e conclusão. O ponto chave do seu comentário
> é
> o "Final Customer", pois, ele espera no mínimo um check-list que aponte
> quais as vulnerabilidades e o nível. Já eu como consultor não sinto
> confortável em desenvolver trabalhos apenas baseado em check-lists ou
> padrões. Eu utilizo uma referência (OWASP, ISSO, BS, Etc...) e uma análise
> caso a caso.
>
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
>
> [mailto: owasp-brazil-bounces at lists.owasp.org] On Behalf Of Fernando Cima
> Sent: segunda-feira, 19 de novembro de 2007 13:03
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria WebApplication
> SecurityScoring
>
> Oi Wagner,
>
> Eu não conhecia, li e para dizer a verdade achei bem ruim.
>
> Depois de ler o paper, a pergunta que ficou é "para quê serve isso?". De
> uma
> avaliação de segurança um "final customer" vai esperar uma descrição das
> vulnerabilidades encontradas e o seu nível de risco, ou se a aplicação
> está
> em conformidade com alguma norma ou padrão. Uma nota de 1 a 10 para mim
> não
> diz nada e não serve para nada.
>
> Mas os desenhos ficaram bonitos ;)
>
> Abracos,
>
> - Fernando Cima
>
>
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto: owasp-brazil-bounces at lists.owasp.org] On Behalf Of Wagner Elias
> Sent: segunda-feira, 19 de novembro de 2007 07:52
> To: owasp-brazil at lists.owasp.org
> Subject: Re: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Eu conheço Rodrigo. Ainda não tive oportunidade de utilizar mas, achei
> interessante para realizar um Gap Analysis de segurança em aplicações web.
>
> Att.
> Wagner Elias
>
> -----Original Message-----
> From: owasp-brazil-bounces at lists.owasp.org
> [mailto:owasp-brazil-bounces at lists.owasp.org] On Behalf Of Rodrigo Montoro
>
> (Sp0oKeR)
> Sent: sábado, 17 de novembro de 2007 10:52
> To: owasp-brazil at lists.owasp.org
> Subject: [Owasp-brazil] CCWAPSS - Common Criteria Web Application
> SecurityScoring
>
> Alguém conhece ou já usou?
>
> The purpose of the scoring scale CCWAPSS (to be pronounced [sisiwaps]) is
> to
> share a common evaluation method for web application security assessments
> between security auditors and final customers.
>
> http://ccwapss.blogspot.com/
> http://www.xmcopartners.com/whitepapers/ccwapss_1.1.pdf
>
>
> []z! Rodrigo Montoro (Sp0oKeR)
>
> --
> =========================
>     Rodrigo Ribeiro Montoro
>      Analista de Segurança
>    SnortCP / RHCE / LPIC-I
>   http://spookerlabs.multiply.com
> =========================
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
>
>
>
> --
> Sds,
> Thiago Alvarenga Lechuga
> (71)81047746
> Currículo Lattes: http://lattes.cnpq.br/7995145920400306
>
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
>
>
>
> --
> Sds,
> Thiago Alvarenga Lechuga
> (71)81047746
> Currículo Lattes: http://lattes.cnpq.br/7995145920400306
>
> _______________________________________________
> Owasp-brazil mailing list
> Owasp-brazil at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazil
>
>


-- 
Sds,
Thiago Alvarenga Lechuga
(71)81047746
Currículo Lattes: http://lattes.cnpq.br/7995145920400306
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazil/attachments/20071119/e49e2b7d/attachment.html 


More information about the Owasp-brazil mailing list