[Owasp-brazilian] Assassinaram a segurança web (veja os comentários) - Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Rodrigo Montoro(Sp0oKeR) spooker at gmail.com
Tue Jun 2 21:43:40 EDT 2009


Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o
computador na parede

"Os testes realizados pelo WASC mostraram que as falhas que mais se repetem
podem ser divididas em duas categorias: os problemas derivados de Cross-site
Scripting (XSS) e SQL
Injection<http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao>(o
primeiro é uma vulnerabilidade geralmente explorada pelos criminosos
que
enganam os usuários ao inserir links maliciosos no código de um site e o
segundo ocorre quando o cracker insere um comando indesejado para ser
executado quando o usuário acessar determinado site) . Essas ocorrem por
erros do sistema."

Cross-Site Scritping é  "o primeiro é uma vulnerabilidade geralmente
explorada pelos criminosos que enganam os usuários ao inserir links
maliciosos no código de um site" ???????!!!! Um XSS persistente, mas e o
resto?

SQL Injection é  "o segundo ocorre quando o cracker insere um comando
indesejado para ser executado quando o usuário acessar determinado site"
?????!!! Falha server side para que quero interagir com o usuário ?

"Já as falhas denominadas como Information Leakage e Predictable Resource
Location ocorrem em função de administração imprópria do sistema, como nos
casos de um fraco controle de acesso."

Qual a relação entre Information Leakage e controle de acesso? Será que
confundiram do DLP ?

Para finalizar a  conclusão achei fantastica

"Para corrigir tais problemas, os responsáveis seriam os desenvolvedores,
que precisariam usar firewalls para bloquear ataques nos aplicativos e
manter os programas sempre atualizados com as correções oferecidas pelos
fabricantes, além de realizar testes de vulnerabilidades e de invasão
regularmente."

Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)?
Onde fica a segurança de código? Manter os programas atualizadas, sera que
comprar o internet banking na esquina e depois é so baixar o update? SDLC
existe? =D

Matéria :
http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/

Acho que deveriamos enviar o OWASP Top10 para eles =D

Abs!

-- 
=====================
Rodrigo Montoro (Sp0oKeR)
http://www.spooker.com.br
http://www.snort.org.br
http://www.linkedin.com/in/spooker
=====================
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090602/77196856/attachment.html 


More information about the Owasp-brazilian mailing list