[Owasp-brazilian] Res: 90% of public websites are vulnerable to attack]

Myke mykesh at gmail.com
Wed Mar 26 08:43:45 EDT 2008


Eu vou nessa linha de raciocínio, o buraco é mais embaixo.
Por mais que se teste e corrija falhas, coisas (vuln) novas sempre
aparecem e não são testadas, devido ao dinamismo que a web proporciona
e devido a falta de monitoração.

a coisa funciona bem deste jeito:
http://jeremiahgrossman.blogspot.com/2008/03/website-security-strategies-that-work.html
http://jeremiahgrossman.blogspot.com/2008/03/100-secure-websites.html

Muitos problemas poderiam ser resolvidos com pen test e uma monitoração.
Aí entra a importância de um WAF, pois em alguns casos é complicado ou
inviável mexer no código da aplicação.

No mundo real é inviável por na prática todas as boas práticas (custo
x benefício) para se proteger uma infra web. Em outras palavras
deveria ser um pré-req fazer segurança em profundidade, pois com
certeza um dia um dos controles de segurança irá falhar.

sds

Myke



2008/3/26 Eduardo V. C. Neves <eduardo at camargoneves.com>:
> Rodrigos e pessoal,
>
>  Creio que é bem mais do que isto, é uma questão de custo/benefício e
>  falta de entendimento do processo como um todo. É mais barato atender
>  rapidamente a demanda do mercado e cuidar dos problemas depois que eles
>  acontecem, do que fazer um trabalho criterioso de segurança nos produtos.
>
>  Em relação ao mercado brasileiro, posso afirmar por experiência própria
>  que o problema citado abaixo ocorre em todos os lugares. Já vi isso
>  acontecer no Brasil, México, EUA, Suíça, Inglaterra ... infelizmente só
>  muda de endereço. :-)
>
>  O P025 OWASP Positive Security Project tentará mudar isto na fonte do
>  problema. Vamos ver depois do dia 2 de abril se poderemos ir em frente
>  com a iniciativa. Torço muito para que seja escolhido, pois vejo
>  aspectos positivos para todas estas pessoas envolvidas no hardening de
>  produtos e implementações.
>
>  Um abraço,
>
>  --
>  Eduardo Vianna de Camargo Neves, CISSP
>  http://www.linkedin.com/in/camargoneves
>  eduardo at camargoneves.com
>  http://camargoneves.com
>
>
>  Rodrigo Moreira escreveu:
>  > Isso que dá desenvolver sem uma metodologia segura auxiliando. SDL
>  > (ou ao menos um "SDL lite") neles.
>  > A coisa hoje em dia é brutal.
>  > Navegue em um site qualquer. CSRF, XSS e SQL Injection estão por toda
>  > a parte. 95% (não estou me baseando em pesquisa, é apenas uma
>  > observação pessoal) dos desenvolvedores nem mesmo conhecem as flaws,
>  > quanto mais se proteger.
>  >
>  > A Microsoft até tentou dar uma ajuda com o SQL Surface Area
>  > Configuration e a proteção anti XSS do ASP.NET que vem habilitada por
>  > default. O problema é que as pessoas acabam se acomodando nas
>  > proteções "default", delegam a responsabilidade de segurança para o
>  > fabricante do produto e esquecem que o básico é o conceito de Defesa
>  > em Profundidade.
>  >
>  > O que sinto mesmo falta no mercado brasileiro é o povo de SI
>  > trabalhando junto com os CIO's pra conscientizar que metodologia de
>  > desenvolvimento seguro é essencial. Acaba que muita gente só culpa os
>  > desenvolvedores pelos erros, sem analisar as circunstâncias.
>  >
>  > Don't blame the developers, blame the methodology
>  >
>  > Regards,
>  > Rodrigo Moreira
>  > MCP, MCTS
>  > Microsoft Student Partner Co-Lead
>  > http://jackflashspot.spaces.live.com
>  > MSRio.Net Lead.
>  >
>  >
>  > ----- Mensagem original ----
>  > De: Alexandro Silva <penguim at ubuntu.com>
>  > Para: Rodrigo Montoro (Sp0oKeR) <spooker at gmail.com>
>  > Cc: owasp-brazil at lists.owasp.org; owasp-brazilian at lists.owasp.org
>  > Enviadas: Terça-feira, 25 de Março de 2008 16:01:21
>  > Assunto: Re: [Owasp-brazilian] 90% of public websites are vulnerable
>  > to attack
>  >
>  > -----BEGIN PGP SIGNED MESSAGE-----
>  > Hash: SHA1
>  >
>  > Olá,
>  >
>  > O grande problema é que temos servidores ( web, BDs e etc ) sendo
>  > instalados nas coxas sem hardening e aplicativos sendo desenvolvidos sem
>  > o minimo critério de segurança.
>  >
>  > Está combiação favorece esse resultado catastrófico.
>  >
>  > Sds,
>  >
>  > Alexandro Silva
>  > penguim at ubutu.com <mailto:penguim at ubutu.com>
>  > http://penguim.wordpress.com <http://penguim.wordpress.com/>
>  >
>  > Rodrigo Montoro (Sp0oKeR) wrote:
>  > >    Um bom assunto pra discutirmos , até ai nada muito novo sites
>  > > serem bugados, mas 90% ? Isso já eh relaxo!
>  > >
>  > >    Matéria: http://www.net-security.org/secworld.php?id=5939
>  > >
>  > >    O que acham ? Alguém aqui usa WAF (Web Application Firewall) ? Sua
>  > > empresa tem alguma metodologia de desenvolvimento web para mitigar
>  > > problemas ? SI e Desenvolvimento planejam junto ? Simplificando, o que
>  > > fazem para mitigar esse risco de estar entre os 90% vulneráveis ?
>  > >
>  > >
>  > > []z! Rodrigo Montoro (Sp0oKeR)
>  > >
>  >
>  > -----BEGIN PGP SIGNATURE-----
>  > Version: GnuPG v1.4.6 (GNU/Linux)
>  > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>  > <http://enigmail.mozdev.org/>
>  >
>  > iD8DBQFH6UwBpAfA9N0IERwRAn6JAKDCqNpZuFEiO1r0IOAakJ1/9OShzgCguj0L
>  > 0rkmbu/n46ulqz24ToCSV9A=
>  > =wt8e
>  > -----END PGP SIGNATURE-----
>  > _______________________________________________
>  > Owasp-brazilian mailing list
>  > Owasp-brazilian at lists.owasp.org <mailto:Owasp-brazilian at lists.owasp.org>
>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  >
>  >
>  > ------------------------------------------------------------------------
>  > Abra sua conta no Yahoo! Mail
>  > <http://br.rd.yahoo.com/mail/taglines/mail/*http://br.mail.yahoo.com/>,
>  > o único sem limite de espaço para armazenamento!
>  > ------------------------------------------------------------------------
>  >
>  > _______________________________________________
>  > Owasp-brazilian mailing list
>  > Owasp-brazilian at lists.owasp.org
>  > https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>  >
>
>
>
>
>
>  _______________________________________________
>  Owasp-brazilian mailing list
>  Owasp-brazilian at lists.owasp.org
>  https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>


More information about the Owasp-brazilian mailing list