[Owasp-brazilian] Res: 90% of public websites are vulnerable to attack

Rodrigo Moreira jackflash_rj at yahoo.com.br
Tue Mar 25 15:12:31 EDT 2008


Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL (ou ao menos um "SDL lite") neles.
A coisa hoje em dia é brutal.
Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda a parte. 95% (não estou me baseando em pesquisa, é apenas uma observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws, quanto mais se proteger.

A Microsoft até tentou dar uma ajuda com o SQL Surface Area Configuration e a proteção anti XSS do ASP.NET que vem habilitada por default. O problema é que as pessoas acabam se acomodando nas proteções "default", delegam a responsabilidade de segurança para o fabricante do produto e esquecem que o básico é o conceito de Defesa em Profundidade.

O que sinto mesmo falta no mercado brasileiro é o povo de SI trabalhando junto com os CIO's pra conscientizar que metodologia de desenvolvimento seguro é essencial. Acaba que muita gente só culpa os desenvolvedores pelos erros, sem analisar as circunstâncias.

Don't blame the developers, blame the methodology
 
Regards,
Rodrigo Moreira
MCP, MCTS
Microsoft Student Partner Co-Lead
http://jackflashspot.spaces.live.com
MSRio.Net Lead.



----- Mensagem original ----
De: Alexandro Silva <penguim at ubuntu.com>
Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable to attack

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Olá,

O grande problema é que temos servidores ( web, BDs e etc ) sendo
instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
o minimo critério de segurança.

Está combiação favorece esse resultado catastrófico.

Sds,

Alexandro Silva
penguim at ubutu.com
http://penguim.wordpress.com

Rodrigo Montoro (Sp0oKeR) wrote:
>    Um bom assunto pra discutirmos , até ai nada muito novo sites
> serem bugados, mas 90% ? Isso já eh relaxo!
> 
>    Matéria: http://www.net-security.org/secworld.php?id=5939
> 
>    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> empresa tem alguma metodologia de desenvolvimento web para mitigar
> problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> 
> 
> []z! Rodrigo Montoro (Sp0oKeR)
> 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
0rkmbu/n46ulqz24ToCSV9A=
=wt8e
-----END PGP SIGNATURE-----
_______________________________________________
Owasp-brazilian mailing list
Owasp-brazilian at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-brazilian


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20080325/a3a11590/attachment.html 


More information about the Owasp-brazilian mailing list