[Owasp-brazilian] Assassinaram a segurança web (veja os comentários) - Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Thiago Lechuga thiagoalz at gmail.com
Wed Jun 3 10:51:02 EDT 2009


Acho que quem escreveu isso tinha que ser é demitido...

Alem de escrever merda, escreve mal.

Atentem para isso:

Mais de 96% dos sites de negócios têm vulnerabilidades críticas

ai, depois tem ai na matéria:

 Falhas no desenvolvimento de aplicativos web são responsáveis por mais de
96% das falhas críticas em sites de negócios

Ou seja... nem interpretar os dados o cara sabe.

[]s,

Thiago Alvarenga Lechuga
(19)9153-3822

Página Pessoal:
http://thiagoalz.googlepages.com/home

===Knowledge is only useful if you can share it.===


2009/6/3 Eduardo V. C. Neves <eduardo at camargoneves.com>

> Rodrigo,
> Sempre que um artigo ou matéria começam com um título catastrófico, há de
> se ter muito cuidado na leitura e interpretação. Apesar de identificarmos
> estas vulnerabilidades na maior parte das análises que fazemos em aplicações
> web, me parece quase irresponsável definir que um escopo gigante que cresce
> a uma taxa incalculável ao dia possa ser efetivamente definido e muito menos
> um percentual estimado. Estatística e probabilidade aplicadas para chegar
> neste percentual? :-)
>
> Depois entra o problema de se falar sobre um assunto que não domina, o que
> me parece o caso da tradução feita pelo IDG. Explicar o funcionamento de um
> firewall para quem não é da área já é complicado, se você ainda citar WAF é
> capaz de perguntarem se tem a ver com rede sem fio, como já ouvi .....
>
> Abraço,
>
>
> ----
> *Eduardo Vianna de Camargo Neves*
> eduardo at camargoneves.com
> http://camargoneves.com
> http://www.linkedin.com/in/camargoneves
> http://twitter.com/evcneves
> ----
> OWASP AppSec Brasil 2009
> Brasília, 29 -30 outubro
> http://tinyurl.com/qfa2wr
>
> On Jun 2, 2009, at 10:43 PM, Rodrigo Montoro(Sp0oKeR) wrote:
>
> Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o
> computador na parede
>
> "Os testes realizados pelo WASC mostraram que as falhas que mais se repetem
> podem ser divididas em duas categorias: os problemas derivados de Cross-site
> Scripting (XSS) e SQL Injection<http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao>(o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que
> enganam os usuários ao inserir links maliciosos no código de um site e o
> segundo ocorre quando o cracker insere um comando indesejado para ser
> executado quando o usuário acessar determinado site) . Essas ocorrem por
> erros do sistema."
>
> Cross-Site Scritping é  "o primeiro é uma vulnerabilidade geralmente
> explorada pelos criminosos que enganam os usuários ao inserir links
> maliciosos no código de um site" ???????!!!! Um XSS persistente, mas e o
> resto?
>
> SQL Injection é  "o segundo ocorre quando o cracker insere um comando
> indesejado para ser executado quando o usuário acessar determinado site"
> ?????!!! Falha server side para que quero interagir com o usuário ?
>
> "Já as falhas denominadas como Information Leakage e Predictable Resource
> Location ocorrem em função de administração imprópria do sistema, como nos
> casos de um fraco controle de acesso."
>
> Qual a relação entre Information Leakage e controle de acesso? Será que
> confundiram do DLP ?
>
> Para finalizar a  conclusão achei fantastica
>
> "Para corrigir tais problemas, os responsáveis seriam os desenvolvedores,
> que precisariam usar firewalls para bloquear ataques nos aplicativos e
> manter os programas sempre atualizados com as correções oferecidas pelos
> fabricantes, além de realizar testes de vulnerabilidades e de invasão
> regularmente."
>
> Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)?
> Onde fica a segurança de código? Manter os programas atualizadas, sera que
> comprar o internet banking na esquina e depois é so baixar o update? SDLC
> existe? =D
>
> Matéria :
> http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/
>
> Acho que deveriamos enviar o OWASP Top10 para eles =D
>
> Abs!
>
> --
> =====================
> Rodrigo Montoro (Sp0oKeR)
> http://www.spooker.com.br
> http://www.snort.org.br
> http://www.linkedin.com/in/spooker
> =====================
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090603/547ac811/attachment.html 


More information about the Owasp-brazilian mailing list