[Owasp-brazilian] Res: 90% of public websites are vulnerable to attack]

Eduardo V. C. Neves eduardo at camargoneves.com
Wed Mar 26 08:14:24 EDT 2008


Rodrigos e pessoal,

Creio que é bem mais do que isto, é uma questão de custo/benefício e 
falta de entendimento do processo como um todo. É mais barato atender 
rapidamente a demanda do mercado e cuidar dos problemas depois que eles 
acontecem, do que fazer um trabalho criterioso de segurança nos produtos.

Em relação ao mercado brasileiro, posso afirmar por experiência própria 
que o problema citado abaixo ocorre em todos os lugares. Já vi isso 
acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só 
muda de endereço. :-)

O P025 OWASP Positive Security Project tentará mudar isto na fonte do 
problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente 
com a iniciativa. Torço muito para que seja escolhido, pois vejo 
aspectos positivos para todas estas pessoas envolvidas no hardening de 
produtos e implementações.

Um abraço,

-- 
Eduardo Vianna de Camargo Neves, CISSP
http://www.linkedin.com/in/camargoneves
eduardo at camargoneves.com
http://camargoneves.com


Rodrigo Moreira escreveu:
> Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL 
> (ou ao menos um "SDL lite") neles.
> A coisa hoje em dia é brutal.
> Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda 
> a parte. 95% (não estou me baseando em pesquisa, é apenas uma 
> observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws, 
> quanto mais se proteger.
>  
> A Microsoft até tentou dar uma ajuda com o SQL Surface Area 
> Configuration e a proteção anti XSS do ASP.NET que vem habilitada por 
> default. O problema é que as pessoas acabam se acomodando nas 
> proteções "default", delegam a responsabilidade de segurança para o 
> fabricante do produto e esquecem que o básico é o conceito de Defesa 
> em Profundidade.
>  
> O que sinto mesmo falta no mercado brasileiro é o povo de SI 
> trabalhando junto com os CIO's pra conscientizar que metodologia de 
> desenvolvimento seguro é essencial. Acaba que muita gente só culpa os 
> desenvolvedores pelos erros, sem analisar as circunstâncias.
>  
> Don't blame the developers, blame the methodology
>  
> Regards,
> Rodrigo Moreira
> MCP, MCTS
> Microsoft Student Partner Co-Lead
> http://jackflashspot.spaces.live.com
> MSRio.Net Lead.
>
>
> ----- Mensagem original ----
> De: Alexandro Silva <penguim at ubuntu.com>
> Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
> Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
> Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
> Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable 
> to attack
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Olá,
>
> O grande problema é que temos servidores ( web, BDs e etc ) sendo
> instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
> o minimo critério de segurança.
>
> Está combiação favorece esse resultado catastrófico.
>
> Sds,
>
> Alexandro Silva
> penguim at ubutu.com <mailto:penguim at ubutu.com>
> http://penguim.wordpress.com <http://penguim.wordpress.com/>
>
> Rodrigo Montoro (Sp0oKeR) wrote:
> >    Um bom assunto pra discutirmos , até ai nada muito novo sites
> > serem bugados, mas 90% ? Isso já eh relaxo!
> >
> >    Matéria: http://www.net-security.org/secworld.php?id=5939
> >
> >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
> > empresa tem alguma metodologia de desenvolvimento web para mitigar
> > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
> > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
> >
> >
> > []z! Rodrigo Montoro (Sp0oKeR)
> >
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org 
> <http://enigmail.mozdev.org/>
>
> iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
> 0rkmbu/n46ulqz24ToCSV9A=
> =wt8e
> -----END PGP SIGNATURE-----
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
> ------------------------------------------------------------------------
> Abra sua conta no Yahoo! Mail 
> <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>, 
> o único sem limite de espaço para armazenamento!
> ------------------------------------------------------------------------
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>   







More information about the Owasp-brazilian mailing list