[Owasp-brazilian] Assassinaram a segurança web (veja os comentários) - Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Eduardo V. C. Neves eduardo at camargoneves.com
Wed Jun 3 09:12:23 EDT 2009


Rodrigo,

Sempre que um artigo ou matéria começam com um título catastrófico, há  
de se ter muito cuidado na leitura e interpretação. Apesar de  
identificarmos estas vulnerabilidades na maior parte das análises que  
fazemos em aplicações web, me parece quase irresponsável definir que  
um escopo gigante que cresce a uma taxa incalculável ao dia possa ser  
efetivamente definido e muito menos um percentual estimado.  
Estatística e probabilidade aplicadas para chegar neste percentual? :-)

Depois entra o problema de se falar sobre um assunto que não domina, o  
que me parece o caso da tradução feita pelo IDG. Explicar o  
funcionamento de um firewall para quem não é da área já é complicado,  
se você ainda citar WAF é capaz de perguntarem se tem a ver com rede  
sem fio, como já ouvi .....

Abraço,


----
Eduardo Vianna de Camargo Neves
eduardo at camargoneves.com
http://camargoneves.com
http://www.linkedin.com/in/camargoneves
http://twitter.com/evcneves
----
OWASP AppSec Brasil 2009
Brasília, 29 -30 outubro
http://tinyurl.com/qfa2wr

On Jun 2, 2009, at 10:43 PM, Rodrigo Montoro(Sp0oKeR) wrote:

> Comecei a ler a matéria pelo interessante titulo, mas lendo quase  
> joguei o computador na parede
>
> "Os testes realizados pelo WASC mostraram que as falhas que mais se  
> repetem podem ser divididas em duas categorias: os problemas  
> derivados de Cross-site Scripting (XSS) e SQL Injection (o primeiro  
> é uma vulnerabilidade geralmente explorada pelos criminosos que  
> enganam os usuários ao inserir links maliciosos no código de um site  
> e o segundo ocorre quando o cracker insere um comando indesejado  
> para ser executado quando o usuário acessar determinado site) .  
> Essas ocorrem por erros do sistema."
>
> Cross-Site Scritping é  "o primeiro é uma vulnerabilidade geralmente  
> explorada pelos criminosos que enganam os usuários ao inserir links  
> maliciosos no código de um site" ???????!!!! Um XSS persistente, mas  
> e o resto?
>
> SQL Injection é  "o segundo ocorre quando o cracker insere um  
> comando indesejado para ser executado quando o usuário acessar  
> determinado site" ?????!!! Falha server side para que quero  
> interagir com o usuário ?
>
> "Já as falhas denominadas como Information Leakage e Predictable  
> Resource Location ocorrem em função de administração imprópria do  
> sistema, como nos casos de um fraco controle de acesso."
>
> Qual a relação entre Information Leakage e controle de acesso? Será  
> que confundiram do DLP ?
>
> Para finalizar a  conclusão achei fantastica
>
> "Para corrigir tais problemas, os responsáveis seriam os  
> desenvolvedores, que precisariam usar firewalls para bloquear  
> ataques nos aplicativos e manter os programas sempre atualizados com  
> as correções oferecidas pelos fabricantes, além de realizar testes  
> de vulnerabilidades e de invasão regularmente."
>
> Precisariam usar firewalls (eu espero que estejam falando de WAF  
> hehehe)? Onde fica a segurança de código? Manter os programas  
> atualizadas, sera que comprar o internet banking na esquina e depois  
> é so baixar o update? SDLC existe? =D
>
> Matéria : http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/
>
> Acho que deveriamos enviar o OWASP Top10 para eles =D
>
> Abs!
>
> -- 
> =====================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> =====================
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090603/f4bdab60/attachment-0001.html 


More information about the Owasp-brazilian mailing list