[Owasp-brazilian] Assassinaram a segurança web (veja os comentários) - Mais de 96% dos sites de negócios têm vulnerabilidades críticas

CleBeer clebeer at gmail.com
Wed Jun 3 07:24:33 EDT 2009


kkkkkk
A melhor foi a:
"Para corrigir tais problemas, os responsáveis seriam os desenvolvedores,
que precisariam usar firewalls para bloquear ataques nos aplicativos e
manter os programas sempre atualizados com as correções oferecidas pelos
fabricantes,"

show de bola.... eu acho que ta na hora de eu começar a vender chop na praia
pq essa correção de problema jamais teria passado pela minha cabeça.
rs
[]s

2009/6/2 Rodrigo Montoro(Sp0oKeR) <spooker at gmail.com>

> Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o
> computador na parede
>
> "Os testes realizados pelo WASC mostraram que as falhas que mais se repetem
> podem ser divididas em duas categorias: os problemas derivados de Cross-site
> Scripting (XSS) e SQL Injection<http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao>(o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que
> enganam os usuários ao inserir links maliciosos no código de um site e o
> segundo ocorre quando o cracker insere um comando indesejado para ser
> executado quando o usuário acessar determinado site) . Essas ocorrem por
> erros do sistema."
>
> Cross-Site Scritping é  "o primeiro é uma vulnerabilidade geralmente
> explorada pelos criminosos que enganam os usuários ao inserir links
> maliciosos no código de um site" ???????!!!! Um XSS persistente, mas e o
> resto?
>
> SQL Injection é  "o segundo ocorre quando o cracker insere um comando
> indesejado para ser executado quando o usuário acessar determinado site"
> ?????!!! Falha server side para que quero interagir com o usuário ?
>
> "Já as falhas denominadas como Information Leakage e Predictable Resource
> Location ocorrem em função de administração imprópria do sistema, como nos
> casos de um fraco controle de acesso."
>
> Qual a relação entre Information Leakage e controle de acesso? Será que
> confundiram do DLP ?
>
> Para finalizar a  conclusão achei fantastica
>
> "Para corrigir tais problemas, os responsáveis seriam os desenvolvedores,
> que precisariam usar firewalls para bloquear ataques nos aplicativos e
> manter os programas sempre atualizados com as correções oferecidas pelos
> fabricantes, além de realizar testes de vulnerabilidades e de invasão
> regularmente."
>
> Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)?
> Onde fica a segurança de código? Manter os programas atualizadas, sera que
> comprar o internet banking na esquina e depois é so baixar o update? SDLC
> existe? =D
>
> Matéria :
> http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/
>
> Acho que deveriamos enviar o OWASP Top10 para eles =D
>
> Abs!
>
> --
> =====================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> =====================
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


-- 
-----------------------------
Cleber S. Brandão
Mob. +55 011 9333-9429

clebeerpub.blogspot.com
www.snort.org.br
 ,, _
o"    )~
  '' ''
http://www.linkedin.com/in/clebeer
-----------------------------------
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090603/a3cd9c5d/attachment.html 


More information about the Owasp-brazilian mailing list