[Owasp-brazilian] Assassinaram a segurança web (veja os comentários) - Mais de 96% dos sites de negócios têm vulnerabilidades críticas

Leonardo Buonsanti leonardo.buonsanti at gmail.com
Wed Jun 3 11:12:13 EDT 2009


Trash hein. Tá com cara de copy-paste.


2009/6/3 Thiago Lechuga <thiagoalz at gmail.com>

> Acho que quem escreveu isso tinha que ser é demitido...
>
> Alem de escrever merda, escreve mal.
>
> Atentem para isso:
>
> Mais de 96% dos sites de negócios têm vulnerabilidades críticas
>
> ai, depois tem ai na matéria:
>
>  Falhas no desenvolvimento de aplicativos web são responsáveis por mais de
> 96% das falhas críticas em sites de negócios
>
> Ou seja... nem interpretar os dados o cara sabe.
>
> []s,
>
> Thiago Alvarenga Lechuga
> (19)9153-3822
>
> Página Pessoal:
> http://thiagoalz.googlepages.com/home
>
> ===Knowledge is only useful if you can share it.===
>
>
> 2009/6/3 Eduardo V. C. Neves <eduardo at camargoneves.com>
>
> Rodrigo,
>> Sempre que um artigo ou matéria começam com um título catastrófico, há de
>> se ter muito cuidado na leitura e interpretação. Apesar de identificarmos
>> estas vulnerabilidades na maior parte das análises que fazemos em aplicações
>> web, me parece quase irresponsável definir que um escopo gigante que cresce
>> a uma taxa incalculável ao dia possa ser efetivamente definido e muito menos
>> um percentual estimado. Estatística e probabilidade aplicadas para chegar
>> neste percentual? :-)
>>
>> Depois entra o problema de se falar sobre um assunto que não domina, o que
>> me parece o caso da tradução feita pelo IDG. Explicar o funcionamento de um
>> firewall para quem não é da área já é complicado, se você ainda citar WAF é
>> capaz de perguntarem se tem a ver com rede sem fio, como já ouvi .....
>>
>> Abraço,
>>
>>
>>  ----
>> *Eduardo Vianna de Camargo Neves*
>> eduardo at camargoneves.com
>> http://camargoneves.com
>> http://www.linkedin.com/in/camargoneves
>> http://twitter.com/evcneves
>> ----
>> OWASP AppSec Brasil 2009
>> Brasília, 29 -30 outubro
>> http://tinyurl.com/qfa2wr
>>
>> On Jun 2, 2009, at 10:43 PM, Rodrigo Montoro(Sp0oKeR) wrote:
>>
>> Comecei a ler a matéria pelo interessante titulo, mas lendo quase joguei o
>> computador na parede
>>
>> "Os testes realizados pelo WASC mostraram que as falhas que mais se
>> repetem podem ser divididas em duas categorias: os problemas derivados de Cross-site
>> Scripting (XSS) e SQL Injection<http://idgnow.uol.com.br/seguranca/2009/01/12/governo-e-empresas-dos-eua-listam-os-25-piores-erros-de-programacao>(o primeiro é uma vulnerabilidade geralmente explorada pelos criminosos que
>> enganam os usuários ao inserir links maliciosos no código de um site e o
>> segundo ocorre quando o cracker insere um comando indesejado para ser
>> executado quando o usuário acessar determinado site) . Essas ocorrem por
>> erros do sistema."
>>
>> Cross-Site Scritping é  "o primeiro é uma vulnerabilidade geralmente
>> explorada pelos criminosos que enganam os usuários ao inserir links
>> maliciosos no código de um site" ???????!!!! Um XSS persistente, mas e o
>> resto?
>>
>> SQL Injection é  "o segundo ocorre quando o cracker insere um comando
>> indesejado para ser executado quando o usuário acessar determinado site"
>> ?????!!! Falha server side para que quero interagir com o usuário ?
>>
>> "Já as falhas denominadas como Information Leakage e Predictable Resource
>> Location ocorrem em função de administração imprópria do sistema, como nos
>> casos de um fraco controle de acesso."
>>
>> Qual a relação entre Information Leakage e controle de acesso? Será que
>> confundiram do DLP ?
>>
>> Para finalizar a  conclusão achei fantastica
>>
>> "Para corrigir tais problemas, os responsáveis seriam os desenvolvedores,
>> que precisariam usar firewalls para bloquear ataques nos aplicativos e
>> manter os programas sempre atualizados com as correções oferecidas pelos
>> fabricantes, além de realizar testes de vulnerabilidades e de invasão
>> regularmente."
>>
>> Precisariam usar firewalls (eu espero que estejam falando de WAF hehehe)?
>> Onde fica a segurança de código? Manter os programas atualizadas, sera que
>> comprar o internet banking na esquina e depois é so baixar o update? SDLC
>> existe? =D
>>
>> Matéria :
>> http://idgnow.uol.com.br/seguranca/2009/06/02/mais-de-96-dos-sites-de-negocios-tem-vulnerabilidades-criticas/
>>
>> Acho que deveriamos enviar o OWASP Top10 para eles =D
>>
>> Abs!
>>
>> --
>> =====================
>> Rodrigo Montoro (Sp0oKeR)
>> http://www.spooker.com.br
>> http://www.snort.org.br
>> http://www.linkedin.com/in/spooker
>> =====================
>>  _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>>
>> _______________________________________________
>> Owasp-brazilian mailing list
>> Owasp-brazilian at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>>
>>
>
> _______________________________________________
> Owasp-brazilian mailing list
> Owasp-brazilian at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-brazilian
>
>


-- 
Leonardo Buonsanti
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-brazilian/attachments/20090603/fd460fea/attachment-0001.html 


More information about the Owasp-brazilian mailing list